醫院信息安全管理措施大全11篇
時間:2023-08-25 16:53:42緒論:寫作既是個人情感的抒發,也是對學術真理的探索,歡迎閱讀由發表云整理的11篇醫院信息安全管理措施范文,希望它們能為您的寫作提供參考和啟發。
篇(1)
醫院管理信息系統是指醫院在日常運營管理中應用的信息管理、聯機操作的計算機應用系統,其幾乎包括了醫院內部所有的業務及活動項目,醫院管理信息系統是提高醫院信息化水平的重要手段。
一、醫院管理信息系統的不安全因素
具體而言,醫院管理信息系統的不安全因素包括以下幾個方面:首先,系統漏洞問題。醫療機構廣泛應用的網絡操作系統包括Windows、Unix、Linux等,無論哪種操作系統均不可避免的存在漏洞,如果操作系統更新不及時、漏洞修補機制不完善,就會為病毒的入侵提供可乘之機,導致計算機反復感染病毒,降低系統的安全性。其次,病毒入侵。病毒會對計算機系統軟件、文件、網絡資源等產生直接影響,局域網體現出復雜性的特點,是計算機病毒感染的高危地帶,嚴重者可能導致醫院局域網的癱瘓,直接影響到醫院的日常業務。再次,黑客攻擊。醫院局域網內存在大量的學術信息、患者的個人隱私信息等,因此成為網絡黑客的攻擊目標。黑客入侵也會導致醫院局域網受到嚴重影響,甚至數據庫中的數據信息都有可能遭到篡改,從而影響到醫院的信息管理。最后,網絡應用者安全意識薄弱。計算機信息技術的發展日新月異,網絡普及速度也越來越迅速,醫院的日常辦公網絡化建設日益完善,網絡端口、上網人數也越來越多,但是很多醫院內部都缺乏一套可操作性強的、完善的網絡安全管理制度,網絡操作人員安全意識薄弱,導致醫院內部網絡擴張速度遠遠大于網絡安全管理的普及度,為醫院管理信息系統埋下了安全隱患。
二、加強醫院管理信息系統安全管理的策略
2.1加強硬件管理
一方面要為計算機系統的運行提供良好的機房環境,比如機房溫度不超過25度、不低于20度,保持相對濕度在50%-65%;日常運行中要求無人員流動、無塵,安裝必要的避雷裝置及抗磁場干擾裝置等。機房要采用兩路供電系統,配有不間斷電源持續供電,以保證機房供電的穩定性及連續性,同樣要設置抗磁場干擾等裝置。
另一方面要加強網絡硬件設備的維護。網絡硬件設備主要包括路由器、交換機、集線器、光纖收發器等,要對上述設備的運行狀態進行實時監測,做好設備的除塵保養,檢查插頭是否有松動等,注意防水。
2.2合理應用網絡安全管理技術
醫院管理信息系統安全管理中常用的安全技術包括以下幾種:
首先,備份技術。所謂備份技術是指在最惡劣的情況下一旦醫院信息系統出問題,可以通過備份技術使數據庫在最短的時間內恢復運行,保證數據安全。備份技術需要硬件設備與軟件系統的配合應用,要根據醫院的實際情況制訂備份頻率、備份時間、恢復時間等備份策略,常用的備份策略包括三種,即只備份數據庫、備份數據庫及事務日志、增量備份等。
其次,冗余技術。冗余技術是指網絡在質量惡化的狀態下不會造成系統停機及數據庫丟失的保障性技術,冗余技術除了可應用于網絡技術中外,還可應用于電源、處理器及相關設備、模塊、鏈路、以太網等等。
再次,防火墻技術。防火墻主要設置于風險區域與內部網絡之間,對訪客進行管理,形成內部網與外部網之間的隔離保護層,可有效防止黑客入侵及破壞行為,保障系統安全。
最后,加密信息技術。加密技術包括對稱加密技術與非對稱加密技術兩種,其中對稱加密技術是指信息的加密與解密使用同一密鑰,通過加密工作的簡化實現了信息交換雙方無需使用專用的加密算法即可讀取信息;非對稱加密技術則是將密鑰分為公開密鑰與私有密鑰兩種,其中加密密鑰可作為公開密鑰公開,而解密密鑰則作為私有密鑰保存起來。
2.3增強系統操作人員的安全意識
要采取必要的措施降低人為因素導致的網絡故障率,針對技術人員的培訓主要包括安全技術、安全策略和風險防范等,操作安全培訓由信息科技術人員負責,使操作人員了解計算機管理的必要性和管理流程,對相關人員進行新業務模式和流程教育,對操作人員進行技術培訓,要求準確、熟練等。
三、結語
計算機信息技術的應用大大推動了醫院信息化發展的進程,但是網絡環境的復雜性增加了醫院管理信息系統的風險性及不確定性,因此日常工作中要結合醫院的實際情況,具體問題具體分析,通過技術、管理等各方面強化信息系統的網絡安全性,保證管理信息系統的可靠性及穩定性。
參 考 文 獻
篇(2)
醫院作為社會重要的服務機構,其所涉及的數據信息數量更是非常繁多,所以新時期醫院建設改革,已經逐漸開始建立完善屬于本院的電子信息化系統,進而輔助醫院更加有效的完成醫務數據的歸納、整理、分析和儲存工作【1】。然而,受網絡自身特點以及人為操作和管理因素等影響,當前醫院信息化建設中存在一定的信息安全風險,亟待探討解決。
一、我國當前醫院電子信息化系統軟件及數據方面的安全現狀
(一)局域網
所謂信息安全,主要指的是系統數據和軟件不被非法濫用或惡意破壞。而當前醫院一般都是利用局域網來當作信息管理系統的整體骨架,所面臨的風險和安全威脅就是用戶未經正常授權而非法連接入網、通過合法或非法工作站對醫院正常合法的用戶口令或ID進行竊聽盜取,進而冒充該用戶進行合法系統登錄,修改或竊取醫院相關數據等。現行措施如下:首先,為有效防止非法入侵或合法用戶隨意訪問其他信息,醫院設立了一定的安全管理機制。用戶在每次登陸系統訪問時,都要對其身份和資格進行重新驗證,傳統驗證主要采用的登陸方式是輸入ID+口令的形式。這種驗證方式相對簡單且操作便捷,但是卻容易泄露,相對安全性能較差。運用最新技術研發的智能IC卡驗證管理技術,可以較好的彌補傳統訪問驗證形式的缺陷。把個人信息存入個人智能IC卡內,經過安全技術處理后無法被復制,使用時只需將此卡插入到指定讀卡器,就能夠實現身份驗證的目的。且一卡還能實現多用的功能,所以深受當前醫院管理的歡迎,逐漸得以普及和運用。其次,數據信息的加密。為了提高信息儲存管理的安全性,一般會對文件、數據和口令進行加密控制處理。常用的加密傳輸技術有端到端加密、節點加密和鏈路加密,對信息數據各傳輸環節進行安全有效的管理。而當前醫院信息傳輸數據加密應用最為廣泛的一種應屬公鑰基礎設施,它的加密方式和解密方式都不相同。電子信息化系統建設時,把醫院工作人員對應的姓名、身份證號、職務以及電話等信息都捆綁在了IC卡內,用戶通過網絡就能實現系統身份驗證,提高了信息傳輸的準確性、完整性和安全性,便于遠程查詢和管理醫院信息安全。
(二)信息化系統操作
首先,信息化系統操作是醫院電子信息化建設實施后必須進行的工作內容,但是由于系統操作設計到成千上萬的程序,所以因操作不當或操作系統故障造成的信息安全隱患也是極大的,決不能忽視。其次,網絡信息本身就存在極大的安全風險,合法的攔截和竊取是無法被系統自動甄別的。如果工作人員綜合職業素養不足,就會導致風險的增加。而現實調查數據顯示,當前我國醫院檔案及資料數據管理人員有90%以上都沒有接受過正規專業的計算機安全管理培訓,相關職業道德水平還有待提升,所以才導致腐敗和誤操現象頻發,給醫院信息化建設的信息安全管理工作增加了阻礙。
二、提高我國醫院電子信息化系統建設中信息安全管理的建議措施
(一)行政方面的措施
首先,制定明確的信息安全管理策略和目標。醫院要根據自身發展情況和特點,明確分析當前電子信息化建設中關于信息安全方面的需求,然后有針對性的制定符合本院工作管理的信息安全策略和信息安全管理目標,為整體安全建設工作做好指導;其次,招聘真正高水平的計算機系統管理人才,組建信息安全管理專門機構,明確管理制度,落實信息安全管理職責,即使隸屬于應用和行政部門,也要保持好獨立性;最后,制定詳細的醫院信息安全管理制度,為相關部門開展工作提供依據和保障,促進信息安全管理機構工作職責和工作目標的實現。
(二)網絡及數據方面的措施
首先,運用先進的技術完善網絡安全管理機制。例如,采用隔離卡或單主板隔離技術等,做好內外網的隔離工作;運用漏洞掃描技術,及時發現入侵漏洞點和病毒,將病毒或故障導致的安全隱患生成安全分析報告,并及時預警處理;運用系統入侵檢測技術,對系統網絡內的關鍵信息點進行整理分析,將發現的違反正常安全策略的行為或非法入侵跡象進行警報,以便管理人員能夠及時制定補救策略;運用虛擬網絡專用技術,保障數據安全傳輸和其他網絡功能的安全使用。其次,完善公鑰基礎設施信息加密保護措施以及數據備份恢復措施。而有效的數據備份系統可以很好的防止系統因斷電、驅動磁盤故障、病毒感染以及其他事故造成的數據丟失,要選擇不同的存儲介質和安全地點進行數據備份。
(三)管理方面的措施
首先,由于電子信息化建設中的信息安全問題是無法徹底解決的,所以一定要做好相應的應急預案。尤其是對于醫院檔案信息來說,有效的應急預案可以最大限度的控制和預防突發事件帶來的信息安全危害,為醫院工作的安全運行提供必要依據;其次,構建高水平高素質的專業隊伍,為醫院的電子信息化建設提供人才保障,減少因人為原因造成的信息安全隱患,提高當前在職管理人員的信息安全管理防范意識,增強現代醫院電子信息化建設的科學性和可靠性。
結語
綜上所述,按照當前時展的特點推算,醫院電子信息化建設既是必然發展趨勢,同時也是需要持續建設和發展的重要內容。從當前科技發展的現狀來說,這種信息安全風險還無法根本杜絕和解決。所以,唯有從管理及制度等方面,綜合全面的進行預防及治理,才能確保將這種風險存在的可能降到最低,從而實現有效利用現代化信息系統的優勢,為醫院改革發展做出重大貢獻。
參考文獻:
篇(3)
1信息安全機構管理目的
信息安全等級保護工作是解決信息安全問題的基本方法,而信息安全不僅靠物理安全、網絡安全、主機安全等具體技術上的實現,還需要建立健全的信息安全機構管理制度,貫徹信息安全工作和維持信息安全的建設成果,在技術和管理兩個維度下保障信息安全保護體系在持續的運營工作中發揮應有的信息安全保護作用[1]。
2信息安全機構管理思路
2.1加強安全管理建設是實現等級保護組織機構管理的基礎 醫院信息安全管理需要由醫院信息化領導機構協調進行。為了完成和強化信息安全的管理,需要建立相應的信息安全管理機構,這是醫院信息安全等級保護實施的必要條件[2]。同時,安全組織管理建設也是重要組成內容,包括健全組織體系,明確負責安全管理的主要領導、主管部門、技術支持部門和宣傳部門,制定系統安全保障方案,實施安全宣傳教育、安全監管和安全服務等。
2.2相關管理辦法制定是規范等級保護組織機構管理的根本保證 醫院信息系統存在著來自社會環境、技術環境和物理自然環境的安全風險,其安全威脅無時無處不在。對于醫院信息系統的安全問題,不能企圖單憑利用一些集成了信息安全技術的安全產品來解決,而必須配合等級保護的信息系統安全保障體系,制定相關管理辦法,全方位綜合解決系統安全問題。
2.3定期審查監控是實施等級保護組織機構管理的具體表現 根據醫院對于信息安全等級保護的要求,安全等級保護除重視技術解決方案外,更應明確定期審查、檢查和監控的必要性。包括:指定專員定期對系統進行安全巡查,檢查的內容包含例如系統運行情況、系統漏洞確認、系統數據備份、現有安全技術措施有效性、安全配置與安全策略一致性、安全管理制度的執行情況等等。
3信息安全機構管理措施
醫院信息安全管理體系依賴于信息安全等級保護管理建設的機構管理。根據醫院當前信息安全管理需要和機構管理特點,和信息安全等級保護管理所要求的系統建設管理、系統運維管理、安全管理機構、安全管理制度和人員安全管理,筆者從崗位設置、人員配備、授權、審批、審查和溝通交流等方面分析醫院信息管理機構建設,切實做到提升醫院信息等級保護管理的能力。
3.1崗位設置 信息中心內部根據崗位劃分不同,設置多個安全管理崗位包括系統管理員、網絡管理員、安全管理員、安全審計員崗位,各崗位人員應按照自己的崗位職責,落實本崗位的信息安全工作[3]。
以我院為例,我院信息安全管理工作由院領導負責指導和管理,同時成立了醫院級別的信息安全工作領導小組,由黨委書記擔任領導小組組長,由信息中心負責管理工作的具體落實,制定各信息系統相關崗位的崗位職責和工作標準并形成文件。
3.2人員配備 信息中心采用安全責任層層落實制,中心主任對醫院所有信息化相關系統負責,網絡工程師對醫院所有網絡建設及維護負責,系統工程師對醫院服務器、數據庫、存儲和信息系統負責,信息安全工程師對醫院網絡安全、信息安全、機房物理安全負責,安全審計工程師對所有人的信息安全工作進行監督和審計,保證信息安全工作層層做實。
3.3授權和審批 醫院信息中心對于外部廠商人員的相關操作均需進行審批流程,通過軟件記錄其所有操作行為,并保存進檔。對于中心內部工作人員執行嚴格的離崗流程,由所在部門主管負責回收本部門負責的相關權限,所有權限回收后方可辦理正常的離職手續。
信息中心對于客戶端操作系統權限、應用系統操作權限、數據庫操作權限進行分級控制。內網客戶端硬盤分區全部使用NTFS,管理員密碼由信息中心網絡組每月定時更換;對所有應用系統功能進行編號,對功能進行模塊化管理,并對模塊進行分級控制;同時,設置數據庫用戶,將不同應用的數據分別管理,賦予創建、修改、刪除表及表內數據權限。
3.4審查和檢查 醫院信息中心日常檢查由信息安全管理員進行,自檢內容包括終端安全自檢和軟件管理自檢,終端安全自檢包括檢查是否每臺計算機安裝防病毒軟件,病毒庫是否為最新版本,終端操作系統是否安裝最新補丁,是否設置6位以上口令;軟件管理自檢包括檢查軟件是否為正版軟件,軟件管理的各項記錄是否完整等。
構建信息安全綜合防護體系保證醫院各系統能夠長期穩定安全運行,滿足了醫院不斷擴展的業務應用和管理需要。本文對信息安全機構管理的目的、思路和措施進行了詳細的分析闡述,對相關工作人員和機構具有一定的啟示意義。同時,通過梳理分析業務特點和管理流程,依據等級保護相關政策和標準,明確安全管理需求,筆者所在醫院信息管理中心整理并制定出符合醫院信息系統實際情況的一套信息安全管理體系文件,并在2012年公安局等級保護測評中被評為三級。
參考文獻:
篇(4)
關鍵詞:
醫院;安全等級;管理體系建設
一、引言
根據上級部門三級甲等要求,為了促進和規范天津市醫院信息化建設我院于2014年啟動了圍繞醫院核心業務系統:門診信息系統、住院信息系統、HIS信息系統,深入開展信息安全等級和統計管理系統,為后續各兄弟醫院等級保護建設工作提供一些基本建設和方法。
二、醫院信息化建設存在的安全現狀分析
大型綜合性醫院信息系統的安全保障體系建設是一個極為復雜的工程,醫院的信息系統應用眾多,結構復雜,覆蓋廣泛,涉及的部門和人員眾多,醫院信息系統的角色越來越重要。信息系統任何風險都有可能帶來巨大的損失。醫院信息系統故障,會造成門診大量排隊,業務科室投訴,臨床業務停頓,每次引發的問題都給醫院管理人員造成巨大壓力,社會輿論和聲音受到嚴重影響,不同程度也給醫院造成了較大經濟損失。醫院信息系統面臨極大的安全風險。具體有以下幾點:
(一)物理環境安全風險
醫院的物理安全具備環境安全、設備安全及介質安全等物理支撐環境,保護網絡設備、設施、介質和信息免受大自然,環境事故以及誤操作導致的破壞和丟失。
(二)網絡安全風險
醫院的臨床、財務系統和物流已經全部納入IT系統,業務網中各業務應用是其信息系統的核心,同時也需要與外部發生業務聯系。因此業務應用面臨的任何風險,都會產生嚴重后果。
(三)管理層安全風險
對醫院信息系統的管理尤為重要,責任不明,管理混亂,安全管理制度不健全等都有可能引起管理安全風險。
三、信息安全管理體系建立的作用
信息安全管理體系必須滿足等級保護標準,同時也要滿足政策的要求,還要貫徹執行,不斷進步。一個健全的、正常運行的醫療信息安全管理體系的主要作用體現在以下方面;(1)能夠有效增強行政和技術上的安全管理,將解決網絡設計缺陷,威脅網絡安全的問題,制定出信息系統規范和安全標準。(2)信息安全管理體系的建設,更加重視和執行對安全知識、法規、標準的宣傳和培訓,考核實現了信息安全的動態管理過程。(3)全方位的保護醫院的核心業務系統,在核心數據和信息受到襲擊時,要確保各項工作正常開展,并盡量把損失降到最低。(4)滿足醫療行業和監督機構要求,保護國家或區域醫療信息安全,維護社會醫療秩序穩定。
四、安全保管體系建設的主要思路
我院從安全管理機構、安全管理制度、系統建設管理、系統運維管理及人員安全管理等五個方面著手開展安全等級保護建設。
(一)安全管理機構的設立
組建安全管理領導團隊,由院領導和各科室骨干出任第一責任人,把具體的辦公地點設定在信息所。
(二)安全管理制度
根據《公安信息安全等級保護基本要求》,制定《網絡安全息安全管理制度》,等9個信息安全管理制度,定期進行內部檢查和管理評定,不斷優化和持續改進。我院在實施安全等管理體系建設工作中,采取分級、分類、分階段的策略,根據我院各系統的不同特點,采取不同的安全等級。
(三)系統運維管理
根據最高等級的保護要求,制定多種信息安全方法:一是機房定時巡查,二是增加視頻監控,減少視頻盲區,三是建立智能監控系統,對全院網絡運維情況監控,減低網絡故障。
(四)人員安全管理
我院堅持在風險評估的基礎上,采取適當和管用、足夠的措施來加強信息安全,大大降低系統故障。
五、安全等保的實施過程
實現等級保護,應該采取分級,分類,分階段的策略堅持分級實施保護,加強安全,突出關注重點,要害部位,根據信息化發展階段的不平衡,須根據信息資產的規模大小,依賴程度的深淺,按階段分步驟逐步實現等級保護的各項要求。(1)信息安全管理體系第一階段主要是做好建立信息安全管理系統的前期工作及安全管理人力資源配置。(2)信息安全工作團隊結合等級保護的基本要求,對HIS,LIS,RACS等核心業務信息系統進行處理,對在傳輸和存儲的過程中,信息的機密性,完整性等重要特性進行調研和評價,結合等級保護基本要求差距項匯總,分析差距項目涉及的安全事件一旦發生對醫院信息系統造成的影響。(3)制定安全管理策略、安全管理制度和信息安全管理體系等各方位保護措施,計劃和建成符合三級等保系統基本要求的信息安全管理框架。(4)落實安全管理制度,根據安全管理體系的具體要求,進行全面的信息安全牢固與整改工作,充分發揮安全體系的各項功能。(5)自查和調整。深入分析問題,找出問題根源,查出不完善的過程記錄文件并進行完善,調整不合理管理流程,進一步完善信息安全管理體系。
六、結束語
至2014年初,在我院領導的直接關心和指導下,通過各部門通力合作使信息安全通過了等級保護測評的三甲醫院,為地區三甲醫院信息安全等級保護建設工作開啟良好的開端,展現了我院信息化建設的先進成果。
作者:楊靜 單位:天津市中心婦產科醫院行政樓
參考文獻:
篇(5)
論文摘要:分析了目前威脅醫院網絡信息安全的各種因素結合網絡安全與管理工作的實踐,探討了構建醫院信息安全防御體系的措施。
中國醫院信息化建設經過20多年的發展歷程目前已經進入了一個高速發展時期。據2007年衛生部統計信息中心對全國3765所醫院(其中:三級以上663家:三級以下31o2家)進行信息化現狀調查顯示,超過80%的醫院建立了信息系統…。隨著信息網絡規模的不斷擴大,醫療和管理工作對信息系統的依賴性會越來越強。信息系統所承載的信息和服務安全性越發顯得重要。
1醫院信息安全現狀分析
隨著我們對信息安全的認識不斷深入,目前醫院信息安全建設存在諸多問題。
1.1信息安全策略不明確
醫院信息化工作的特殊性,對醫院信息安全提出了很高的要求。醫院信息安全建設是一個復雜的系統工程。有些醫院只注重各種網絡安全產品的采購沒有制定信息安全的中、長期規劃,沒有根據自己的信息安全目標制定符合醫院實際的安全管理策略,或者沒有根據網絡信息安全出現的一些新問題,及時調整醫院的信息安全策略。這些現象的出現,使醫院信息安全產品不能得到合理的配置和適當的優化,不能起到應有的作用。
1.2以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生,危害日益嚴重
病毒泛濫、系統漏洞、黑客攻擊等諸多問題,已經直接影響到醫院的正常運營。目前,多數網絡安全事件都是由脆弱的用戶終端和“失控”的網絡使用行為引起的。在醫院網中,用戶終端不及時升級系統補丁和病毒庫的現象普遍存在;私設服務器、私自訪問外部網絡、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網絡,就等于給潛在的安全威脅敞開了大門,使安全威脅在更大范圍內快速擴散。保證用戶終端的安全、阻止威脅入侵網絡,對用戶的網絡訪問行為進行有效的控制,是保證醫院網絡安全運行的前提,也是目前醫院網絡安全管理急需解決的問題。
1.3安全孤島現象嚴重
目前,在醫院網絡安全建設中網絡、應用系統防護上雖然采取了防火墻等安全產品和硬件冗余等安全措施,但安全產品之間無法實現聯動,安全信息無法挖掘,安全防護效果低,投資重復,存在一定程度的安全孤島現象。另外,安全產品部署不均衡,各個系統部署了多個安全產品,但在系統邊界存在安全空白,沒有形成縱深的安全防護。
1.4信息安全意識不強,安全制度不健全
從許多安全案例來看,很多醫院要么未制定安全管理制度,要么制定后卻得不到實施。醫院內部員工計算機知識特別是信息安全知識和意識的缺乏是醫院信息化的一大隱患。加強對員工安全知識的培訓刻不容緩。
2醫院信息安全防范措施
醫院信息安全的任務是多方面的,根據當前信息安全的現狀,醫院信息安全應該是安全策略、安全技術和安全管理的完美結合。
2.1安全策略
醫院信息系統~旦投入運行,其數據安全問題就成為系統能否持續正常運行的關鍵。作為一個聯機事務系統,一些大中型醫院要求每天二十四小時不問斷運行,如門診掛號、收費、檢驗等系統,不能有太長時間的中斷,也絕對不允許數據丟失,稍有不慎就會造成災難性后果和巨大損失醫院信息系統在醫院各部門的應用,使得各類信息越來越集中,構成醫院的數據、信息中心,如何合理分配訪問權限,控制信息泄露以及惡意的破壞等信息的訪問控制尤其重要:pacs系統的應用以及電子病歷的應用,使得醫學數據量急劇膨脹,數據多樣化,以及數據安全性、實時性的要求越來越高,要求醫院信息系統(his)必須具有高可用性,完備可靠的數據存儲、備份。醫院要根據自身網絡的實際情況確定安全管理等級和安全管理范圍,制訂有關網絡操作使用規程和人員出入機房管理制度,制定網絡系統的維護制度和應急措施等,建立適合自身的網絡安全管理策略。網絡信息安全是一個整體的問題,需要從管理與技術相結合的高度,制定與時俱進的整體管理策略,并切實認真地實施這些策略,才能達到提高網絡信息系統安全性的目的。
在網絡安全實施的策略及步驟上應遵循輪回機制考慮以下五個方面的內容:制定統一的安全策略、購買相應的安全產品實施安全保護、監控網絡安全狀況(遇攻擊時可采取安全措施)、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。
2.2安全管理
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,加強安全培訓,增強醫務人員的安全防范意識以及制定網絡安全應急方案等。
2.2.1安全機構建設。設立專門的信息安全領導小組,明確主要領導、分管領導和信息科的相應責任職責,嚴格落實信息管理責任l。領導小組應不定期的組織信息安全檢查和應急安全演練。
2.2.2安全隊伍建設。通過引進、培訓等渠道,建設一支高水平、穩定的安全管理隊伍,是醫院信息系統能夠正常運行的保證。
2.2.3安全制度建設。建立一整套切實可行的安全制度,包括:物理安全、系統與數據安全、網絡安全、應用安全、運行安全和信息安全等各方面的規章制度,確保醫療工作有序進行。
2.2.4應急預案的制定與應急演練
依據醫院業務特點,以病人的容忍時間為衡量指標,建立不同層面、不同深度的應急演練。定期人為制造“故障點”,進行在線的技術性的分段應急演練和集中應急演練。同時信息科定期召開“系統安全分析會”。從技術層面上通過數據挖掘等手段,分析信息系統的歷史性能數據,預測信息系統的運轉趨勢,提前優化系統結構,從而降低信息系統出現故障的概率;另一方面,不斷總結信息系統既往故障和處理經驗,不斷調整技術安全策略和團隊應急處理能力,確保應急流程的時效性和可用性。不斷人為制造“故障點”不僅是對技術架構成熟度的考驗,而且還促進全員熟悉應急流程,提高應急處理能力,實現了技術和非技術的完美結合。
2.3安全技術
從安全技術實施上,要進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案。
2.3.1冗余技術
醫院信息網絡由于運行整個醫院的業務系統,需要保證網絡的正常運行,不因網絡的故障或變化引起醫院業務的瞬間質量惡化甚至內部業務系統的中斷。網絡作為數據處理及轉發中心,應充分考慮可靠性。網絡的可靠性通過冗余技術實現,包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。
2.3.2建立安全的數據中心
醫療系統的數據類型豐富,在不斷的對數據進行讀取和存儲的同時,也帶來了數據丟失,數據被非法調用,數據遭惡意破壞等安全隱患。為了保證系統數據的安全,建立安全可靠的數據中心,能夠很有效的杜絕安全隱患,加強醫療系統的數據安全等級,保證各個醫療系統的健康運轉,確保病患的及時信息交互。融合的醫療系統數據中心包括了數據交換、安全防護、數據庫、存儲、服務器集群、災難備份/恢復,遠程優化等各個組件。
2.3.3加強客戶機管理
醫院信息的特點是分散處理、高度共享,用戶涉及醫生、護士、醫技人員和行政管理人員,因此需要制定一套統一且便于管理的客戶機管理方案。通過設定不同的訪問權限,加強網絡訪問控制的安全措施,控制用戶對特定數據的訪問,使每個用戶在整個系統中具有唯一的帳號,限定各用戶一定級別的訪問權限,如對系統盤符讀寫、光驅訪問、usb口的訪問、更改注冊表和控制面板的限制等。同時捆綁客戶機的ip與mac地址以防用戶隨意更改ip地址和隨意更換網絡插口等惡意行為,檢查用戶終端是否安裝了信息安全部門規定的安全軟件、防病毒軟件以及漏洞補丁等,從而阻止非法用戶和非法軟件入網以確保只有符合安全策略規定的終端才能連入醫療網絡。
2.3.4安裝安全監控系統
安全監控系統可充分利用醫院現有的網絡和安全投資,隨時監控和記錄各個終端以及網絡設備的運行情況,識別、隔離被攻擊的組件。與此同時,它可以強化行為管理,對各種網絡行為和操作進行實施監控,保持醫院內部安全策略的符合性。
2.3.5物理隔離
篇(6)
【關鍵詞】
醫院管理系統;信息安全;策略
近年來,醫療體制改革日漸深入,社會對醫院的管理水平與服務質量的要求也在提高,加上醫院規模不斷擴大,患者數量增加,醫院信息管理也迎來了新的挑戰。同時,信息技術手段的進步與發展,為醫院進行信息管理提供了便利,但也存在許多問題,特別是信息安全方面的問題,嚴重威脅到了醫院各項信息安全及完整性,影響醫院各項工作的開展。所以,加強醫院管理系統信息安全管理,對保障醫院各項工作的正常進行具有積極作用。
1內部硬件的安全管理
在醫院系統的內部硬件安全管理中,主要是對網絡服務器、工作站及交換器等內部硬件的安全管理[1]。對于這些設備,必須對其進行安全管理,并對網絡進行優化。在服務器與儲備設備的管理中,應該形成數據管理,如保證電源故障管理的積極運作,促進網絡的正常運用。為了保證系統的安全運行,關鍵是做好防護工作。因此,必須形成標準建構,以最大程度地保證網絡安全。在硬件方面,應避免相同設備出現問題,并在數據庫服務中應用集中管理系統,如硬盤選用的是磁盤陣列式,可實現在短時間內進行切換,促進整個系統的安全運用,除此之外,還應實施雙路管理,即一路為UPS系統,一路使用市電,以保證服務器與網絡設備的正常運行。
2網絡安全管理
進行網絡安全管理,主要是為了避免計算機受攻擊,包括主動攻擊與被動攻擊。在網絡正常運行的狀態下,醫院系統信息被截取、破壞、竊取的情況時有發生,對計算機網絡與數據都造成了很大損傷[2]。網絡攻擊會對內網與外網都構成巨大安全威脅,故必須增加投入,改善網絡安全,防范人為惡意攻擊,最大限度地保證醫院信息安全。基于上述認識,必須對網絡安全管理予以高度重視,并在管理與技術方面加強溝通,形成有前瞻性的管理策略,以實現對網絡信息安全管理的目的。
3軟件系統管理
對操作系統的管理,主要是做好正版操作系統的補丁工作。例如,在屏幕保護工作中,應將數據暴露于桌面。在對軟件系統進行管理時,需形成多個分區,然后分別放置操作系統、重要數據及應用系統。在管理過程中,要把多余的網絡協議、服務等刪除,并將不必要端口關閉,實現默認管理,并形成鎖定注冊表管理。需要注意的是,在醫院信息系統的網絡管理工作中,應將內網與互聯網隔開,不可在內網中形成互聯網鏈接,以保證內網操作系統的精準性與可靠性[3]。在殺毒軟件管理方面,安裝的軟件必須是正版軟件,并定期升級、殺毒,以保證病毒庫安全。情況需要時,可利用輔助軟件進行殺毒處理。對于流行性新興病毒,應做到定期查殺,并實現對軟件的實時監控,且要求在在下載升級后先殺毒再使用,與現行系統環境相結合,在促進軟件升級與改善測試環境的條件下做好管理工作,保證系統的安全運行。
4數據庫安全管理
在醫院系統信息管理工作中,數據信息的安全管理是核心部分。做好數據庫安全管理工作,可有效保證數據的安全,實現對數據的查詢,并保證數據在安全存儲中的合法訪問,構建基礎訪問權限。例如,在Oracle數據庫管理中,應重視并認真做好用戶區別與密碼保護工作。比如,在進行SYS與System特殊賬戶管理工作中,應嚴格控制網絡上的DBA權限,預防遠程訪問[4]。對于日志文件、DBA查看警告、定期檢查等,應加強監控與管理,以便第一時間發現與解決問題,實現對數據庫碎片及可用空間的管理。在數據庫管理中,還應對鏈接情況進行定期查看,并將不必要的鏈接清理干凈。在對網絡服務與網絡硬件進行檢查時,應保證硬件的正常運行。在開展周圍性數據庫管理工作時,應有較完善的數據庫恢復預案。對于數據庫而言,防止病毒入侵也是安全管理的一項重要內容。在醫院信息安全管理中,病毒問題是威脅信息安全的重要原因,對醫院各項利益均產生了很大威脅,故必須采取有效的防病毒措施。具體來說,應認真做好以下幾個方面的工作:(1)認真做好數據備份工作。病毒入侵會導致數據被竊取與篡改,故應對數據進行備份,特別是重要信息,即便病毒入侵也能保證數據的完整與安全。(2)保證操作系統的安全。盜版系統的穩定性較差,且往往存在較多漏洞易被病毒攻擊,無法保證信息的安全性。因此,所選系統應為正版,且要求管理人員應注意查看系統官方消息,加強系統更新與維護工作,以最大程度地保證系統的穩定性。(3)提升工作人員的安全意識。醫院應定期組織對工作人員的信息管理安全教育,使工作人員樹立正確的安全意識,并掌握常見的系統安全問題處理方法,以保證系統信息的安全性。(4)安裝各種殺毒軟件及其他防護軟件,加強信息管理系統的軟件屏障功能,并定期更新與維護,以保證系統的正常、安全運行。
5加強應急管理,完善事故處理預案
醫院應根據實際情況制定有效的應急方案。一方面,醫院平日應對相關工作人員進行專門培訓,保證每位工作人員熟悉緊急預案的流程及具體措施,以便發生緊急事件時能夠從容面對,將損失降至最低。另一方面,加強應急演練。醫院應定期對工作人員進行各種應急演練,并根據存在的問題進行整改,以保證應急方案的實用性與針對性,減少安全事故造成的損失。除此之外,為了避免意外破壞而導致信息丟失或網絡癱瘓,應在平時做好數據備份工作,并定期在服務器端進行一次聯機全備份與數據恢復檢驗工作,以確保備份的可靠性與有效性。
6結語
總而言之,在醫院信息化建設不斷推進的情況下,信息安全成為醫院高度重視的一個問題,因為醫院信息安全事關醫院、患者的切身利益。基于當前醫院管理系統信息安全的情況,醫院應積極采取有效措施,如加強內部硬件管理、網絡安全管理、軟件系統管理及數據庫安全管理等,以保證醫院系統信息的安全性與完整性,促進醫院各項工作的順利進行。
作者:李瑤瑤 單位:江蘇省鹽城市射陽縣中醫院
參考文獻:
[1]韓盼盼.加強醫院信息管理系統安全的若干策略[J].計算機光盤軟件與應用,2014(24):191,193.
篇(7)
前言
隨著網絡時代的到來,各項科技技術獲得了極大的突破,也在實際生活中得以應用。而在現代醫院運行管理中,計算機網絡信息技術的綜合運用便是極為明顯的可靠實例。通過加強改進醫院計算機系統管理與風險控制,改善醫療整體服務質量與業務能力。通過對現代醫院計算機信息系統重要性分析闡述,并對其風險控制方法提出建議。
1醫院計算機信息網絡系統建立的重要性
由于網絡技術的飛速發展,已經對現代社會,生活,政治,經濟等各方面產生深遠影響,深入滲透。尤其在醫院現代化管理中,醫院信息網絡化管理,資源數據化帶來了非常大的便利,也是現代化醫院建立的必要條件。借助計算機網絡工具,提高服務質量,醫療水平,促進醫療事業的發展。通過信息網絡管理后,使醫院運營得更加規范科學。不僅推動了醫院現代化改革,也對整個醫療事業的發展提供了助力,其意義與作用不言而喻。傳統的醫院管理中,由于缺乏網絡信息,往往花費大量的財力物力人力對進行日常維護。隨著醫院計算機信息系統的引入,不斷地智能化科學化,在很大程度上對醫院的資源配置進行合理優化,提高了整體的醫療競爭力。而在信息分析處理中,因為計算機的決策整合,使得最終處理結果更加合理精確。例如在對患者病情記錄分析中,職員考察考核等等,都可以高速便捷的展開研究。
2計算機軟件信息安全維護
在醫院計算機使用過程中,要做到醫院計算機自身終端完全不受干擾破壞是不可能的,只有通過提高免疫防御能力,才能減少被感染可能性。但是由于有的高危病毒,傳播速度驚人,破壞力極大,并且頑固復雜,難以徹底清除,在短時間內就能造成大量客戶計算機無法工作,對醫院日常的工作帶來了極大的影響。應用系統在數據交換過程中可以對其進行審計,其中記錄的事件內容,可能包括客戶機地址,具體操作時間,與其他用戶結果信息數據。在日常維護處理中,就可以對報告結果導出分析。對于用戶私人數據,也應該建立嚴格的保護機制,安全性,只有通過權限授予才能訪問讀取相關的信息數據。同時為了保證關聯性,可以對用戶設置多個角色。系統根據角色類別進行權限操作限制,不僅可以越權操作,還可以設置角色屬性限制期的功能,權限的多樣化和靈活性大大保證了醫院計算機信息系統的安全性。
3計算機信息安全管理制度建立
在安全管理中,可以實施責任制度。例如成立醫院信息安全管理組,醫院相關負責人,以職能為參考標準,負責安全線的各項工作,定期安排任務與會議總結,發現問題,總結問題,進而深化部署醫院計算機信息安全管理工作。在制度的建立中,可以參考服務器,網絡設備,技術人員,數據文檔相關系列的安全管理制度體系。指定人員定期維護,保存記錄,做好應急預案與應急措施,做到日志化管理。對于信息安全操作規范,也需要加強管理。指定系統軟件,數據操作規范流程,沒有授權不能進行文件復制,數據共享,系統的修改增刪。定期維護服務器狀態檢查,分析日志,并且觀測數據是否存在問題,及時發現異常點,做好日志記錄,保證完整性與可靠性。可以制定培訓計劃,在整個培訓中,目標,流程,結果應該清晰有效,如果信息安全管理小組發生變化可以及時跟進培訓配合,建立獨立操作局域網,模擬真實的信息系統環境,幫助相關人員快速準確掌握方法。
4信息系統安全管理控制升級
4.1信息安全細節化設計
醫院網絡安全數字化是一個長期整體的系統工程,主要圍繞防護警示,檢測檢查,修改恢復這一過程循環運行。如果這一程序鏈中出現錯誤,某個環節沒有按照預定設置完成,將會產生諸多負面影響。控制好每一個環節的處理,并且嚴格落實,通過一系列的管理制度與措施,監督責任到位,確保整個信息安全系統安全高效,持續穩定的工作。由于網絡技術的不斷發展,漏洞與不足暴露得越來越多,對于新應用新技術推廣的同時,還需要加強培訓,以滿足業務工作需要。就信息網絡系統自身而言,采用符合實際操作情況與工作狀態的結構系統,安全等級與維護難度都將能夠降低難度,易于操作。構建多層次,體系化的設計使用戶角色等級,權限操作,優先等級分布到更多層次,更多日志記錄。那么后續維護,控制分配也將更加靈敏。結合具體的業務情況,在可用性與安全性之間尋找平衡點,在符合安全的大前提下,開拓業務,提升服務質量。
4.2醫院計算機信息安全風險控制升級
在某些醫院中,計算機網絡防御等級較低,需要通過加強安全性對整個系統進行升級。首先需要確保醫院計算機信息網絡服務器保持正常。要確定系統的長期安全。注意機房服務供電情況,布線合理,溫度濕度,雷電預防等問題。保證醫院服務器不間斷供電,保持電源線路通暢。同時主要設備與核心設備固定器維護與檢查,及時發現問題與前兆,快速有效處理。保證計算機中心溫控與散熱條件良好,使得整個服務器中心環境到達理想狀態。保持清潔,除塵保潔,重視物理環境的維護,并且確保數據的及時正確備份。另外,對于醫院計算機信息主要管理人員的素質,仍然需要加強,明確權力責任,落實到點。這也關系到醫院信息安全工作能否安全運行。對于網絡用戶也應該嚴格限制管理,分清患者、醫務職員、管理人員的角色職能。對用戶和密碼加強管理,這樣可以有效的避免危險數據與不明軟件對服務器的攻擊與傷害。同時重視日常計算機系統相關記錄數據。在常規服務日志的檢測基礎上,加以分析預判,進而實施下一步相關措施。例如服務器啟動停止,異常運行數等等,都可以有助于信息系統管理者對醫院計算機信息系統的全面了解,從而進行評估,得出相關結論。依托數據對系統的安全等級展開定級,制定有效制度措施防范解決問題,確保整個信息系統的安全和高效,達到風險管理控制的目的。
5結束語
提高安全防范意識,完善制度,對于醫院計算機信息安全風險管理控制方法不僅僅需要從技術角度入手,自身也需要意識到它的重要性。這不僅關系到醫院的整體協作與工作效率,還影響所有部門員工統一性。需要全面了解當前信息系統中的安全問題,并積極應對。因此在提高技術的同時,依靠建立制度對員工進行規范管理,提高防范意識,確保醫院計算機信息系統安全。
參考文獻
[1]馮成志.淺談現代醫院計算機網絡的安全與可靠性[J].科技與創新,2014(7):143-144.
篇(8)
關鍵詞:
醫院信息安全;等級保護工作;等級測評
一、引言
隨著我國信息化建設的快速發展與廣泛應用,信息安全的重要性愈發突出。在國家重視信息安全的大背景下,推出了信息安全等級保護制度。為統一管理規范和技術標準,公安部等四部委聯合了《信息安全等級保護管理辦法》(公通字[2007]43號)。隨著等級保護工作的深入開展,原衛生部制定了《衛生行業信息安全等級保護工作的指導意見》(衛辦發[2011]85號),進一步規范和指導了我國醫療衛生行業信息安全等級保護工作,并對三級甲等醫院核心業務信息系統的安全等級作了要求,原則上不低于第三級。從《關于信息安全等級保護工作的實施意見》中可知信息安全等級保護對象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對信息系統及其安全產品進行等級劃分,并按等級對信息安全事件響應[1]。
二、醫院信息安全等級保護工作實施步驟
2.1定級與備案[2]。
根據公安部信息安全等級保護評估中心編制的《信息安全等級保護政策培訓教程》,有兩個定級要素決定了信息系統的安全保護等級,一個是等級保護對象受到破壞時所侵害的客體,另外一個是對客體造成侵害的程度。對于三級醫院,門診量與床位相對較多,影響范圍較廣,一旦信息系統遭到破壞,將會給患者造成生命財產損失,對社會秩序帶來重大影響。因此,從影響范圍和侵害程度來看,我們非常認同國家衛計委對三級甲等醫院的核心業務信息系統安全等級的限制要求。在完成定級報告編制工作后,填寫備案表,并按屬地化管理要求到市級公安機關辦理備案手續,在取得備案回執后才算完成定級備案工作。我院已按照要求向我市公安局網安支隊,同時也是我市信息安全等級保護工作領導小組辦公室,提交了定級報告與備案表。
2.2安全建設與整改[3]。
在完成定級備案后,就要結合醫院實際,分析信息安全現狀,進行合理規劃與整改。
2.2.1等保差距分析與風險評估。
了解等級保護基本要求。《信息系統安全等級保護基本要求》分別從技術和管理兩方面提出了基本要求。基本技術要求包括五個方面:物理安全、網絡安全、主機安全、應用安全和數據安全,主要是由在信息系統中使用的網絡安全產品(包括硬件和軟件)及安全配置來實現;基本管理要求也包括五個方面:安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理,主要是根據相關政策、制度以及規范流程等方面對人員活動進行約束控制,以期達到安全管理要求[4]。技術類安全要求按保護側重點進一步劃分為三類:業務信息安全類(S類)、系統服務安全類(A類)、通用安全保護類(G類)。如受條件限制,可以逐步完成三級等級保護,A類和S類有一類滿足即可,但G類必須達到三級,最嚴格的G3S3A3控制項共計136條[5]。醫院可以結合自身建設情況,選擇其中一個標準進行差距分析。管理方面要求很嚴格,只有完成所有的154條控制項,達到管理G3的要求,才能完成三級等級保護要求。這需要我們逐條對照,發現醫院安全管理中的不足與漏洞,找出與管理要求的差距。對于有條件的三甲醫院,可以先進行風險評估,通過分析信息系統的資產現狀、安全脆弱性及潛在安全威脅,形成《風險評估報告》。經過與三級基本要求對照,我院還存在一定差距。比如:在物理環境安全方面,我院機房雖有滅火器,但沒安裝氣體滅火裝置。當前的安全設備產品較少,不能很好的應對網絡入侵。在運維管理方面,缺乏預警機制,無法提前判斷系統潛在威脅等。
2.2.2建設整改方案。
根據差距分析情況,結合醫院信息系統安全實際需求和建設目標,著重于保證業務的連續性與數據隱私方面,滿足于臨床的實際需求,避免資金投入的浪費、起不到實際效果。整改方案制訂應遵循以下原則:安全技術和安全管理相結合,技術作保障,管理是更好的落實安全措施;從安全區域邊界、安全計算環境和安全通信網絡進行三維防護,建立安全管理中心[6]。方案設計完成后,應組織專家或經過第三方測評機構進行評審,以保證方案的可用性。整改方案實施。實施過程中應注意技術與管理相結合,并根據實際情況適當調整安全措施,提高整體保護水平。我院整改方案是先由醫院內部自查,再邀請等級測評公司進行預測評,結合醫院實際最終形成的方案。網絡技術人員熟悉系統現狀,易于發現潛在安全威脅,所以醫院要先自查,對自身安全進行全面了解。等級測評公司派專業安全人員進駐醫院,經過與醫院技術人員溝通,利用安全工具進行測試,可以形成初步的整改報告,對我院安全整改具有指導意義。
2.3開展等級保護測評[7]。
下一步工作就是開展等級測評。在測評機構的選擇上,首先要查看其是否具有“DICP”認證,有沒有在當地公安部門進行備案,還可以到中國信息安全等級保護網站進行核實。測評周期一般為1至2月,其測評流程如下。
2.3.1測評準備階段。
醫院與測評機構共同成立項目領導小組,制定工作任務與測評計劃等前期準備工作。項目啟動前,為防止醫院信息泄露,還需要簽訂保密協議。項目啟動后,測評機構要進行前期調研,主要是了解醫院信息系統的拓撲結構、設備運行狀況、信息系統應用情況及安全管理等情況,然后再選擇相應的測評工具和文檔。在測評準備階段,主要是做好組織機構建設工作,配合等級測評公司人員的調查工作。
2.3.2測評方案編制階段。
測評內容主要由測評對象與測評指標來確定。我院測評對象包含三級的醫院信息系統、基礎網絡和二級的門戶網站。測評機構要與醫院溝通,制定工具測試方法與測評指導書,編制測評方案。在此階段,主要工作由等級測評機構來完成。
2.3.3現場測評階段。
在經過實施準備后,測評機構要對上述控制項進行逐一測評,大約需要1至2周,需要信息科人員密切配合與注意。為保障醫院業務正常開展,測評工作應盡量減少對業務工作的沖擊。當需要占用服務器和網絡資源時應避免業務高峰期,可以選擇下班時間或晚上。為避免對現有業務造成影響,測評工具應在接入前進行測試,同時要做好應急預案準備,一旦影響醫院業務,應立即啟動應急預案[8]。在對209條控制項進行測評后應進行結果確認,并將資料歸還醫院。該階段是從真實情況中了解信息系統全面具體的主要工作,也是技術人員比較辛苦的階段。除了要密切配合測評,還不能影響醫院業務開展,除非必要,不然安全測試工作必須在夜間進行。
2.3.4報告編制階段。
通過判定測評單項,測評機構對單項測評結果進行整理,逐項分析,最終得出整體測評報告。測評報告包含了醫院信息安全存在的潛在威脅點、整改建議與最終測評結果[9]。對于公安機關來講,醫院能否通過等級測評的主要標準就是測評結果。因此,測評報告的結果至關重要。測評結果分為:不符合、部分符合、全部符合。有的測評機構根據單項測評結果進行打分,最后給出總分,以分值來判定是否通過測評。為得到理想測評結果,需要醫院落實安全整改方案。
2.4安全運維。
我們必須清醒地認識到,實施安全等級保護是一項長期工作,它不僅要在信息化建設規劃中考慮,還要在日常運維管理中重視,是不斷循環的過程。按照等級保護制度要求,信息系統等級保護級別定為三級的三甲醫院每年要自查一次,還要邀請測評機構進行測評并進行整改,監管部門每年要抽查一次。因此,醫院要按照PDCA的循環工作機制,不斷改進安全技術與管理上,完善安全措施,更好地保障醫院信息系統持續穩定運行[10]。
三、結語
醫院信息安全工作是信息化建設的一部分,是一項長期的系統工程,需要分批分期的循序改建。還要結合醫院實際,考慮安全產品的實用性,不能盲目的進行投資。醫院通過實施等級保護工作,可以有效增強網絡與信息系統整體安全性,有力保障醫院各項業務的持續開展,適應醫院信息化不斷發展的需求。
作者:王磊 單位:蚌埠醫學院第二附屬醫院
參考文獻
[1]公安部,國家保密局,國家密碼管理局,國務院信息化辦公室文件.關于信息安全等級保護工作的實施意見(公通字[2004]66號)[R],2004-9-15.
[2]GB/T22240-2008.信息安全技術信息系統安全等級保護定級指南[S],2008-06-19.
[3]GB/T25058-2010.信息安全技術信息系統安全等級保護實施指南[S],2010-09-02.
[4]GB/T22239-2008.信息安全技術信息系統安全等級保護基本要求[S],2008-06-19.
[5]魏世杰.醫院信息安全等級保護三級建設思路[J].科技傳播,2013,5(99):208-209.
[6]張濱.構建醫院信息安全等級保護縱深防護體系[J].信息通信,2014(141):148-149.
[7]GB/T28449-2012.信息安全技術信息系統安全等級保護測評過程指南[S],2012-06-29.
篇(9)
0引言
醫療行業是一個比較特殊且管理復雜度相對較高的領域,信息化是現代醫院管理的重要基礎和技術手段,醫院信息化是多種網絡硬件與龐大的醫療業務管理應用模塊所構成的技術綜合體,任何一個細小的軟硬件故障或細微的安全疏忽都可能造成全院臨床業務和醫療服務的中斷。為此,在醫院管理信息化的建設過程中,我們多花費一些時間來思考信息安全、多花費一些投入去保障信息安全則是一件十分必要且富有現實意義的工作。
1醫院網絡安全及信息系統安全風險的識別
信息系統安全的概念實際上已包含了硬件和軟件的安全。其中的硬件即常說的網絡安全,其中的軟件是指滿足管理要求的軟件應用模塊、系統、平臺以及實現安全指標的各類硬件設備中所固化的程序指令代碼。在學術界,一般只用信息安全這一概念,而在實際工作中經常會混淆這兩個名稱,口語化常用網絡安全代指硬件安全,信息安全代指軟件安全,均屬于信息安全的學術范疇。
1.1信息安全是醫院可持續發展的重要保障
醫院信息化是多種網絡硬件與龐大的醫療業務管理應用模塊所構成的高技術綜合體,醫院信息化管理系統涉及臨床管理、藥耗品與物資管理、財務管理、行政管理、后勤管理、績效管理等眾多應用管理。近年來,遠程醫療、自助服務、醫保結算等網上醫療或云醫療服務的不斷延伸,網絡的健壯性與安全性需求已提升到一個重要的位置,任何一個細小的軟硬件故障或細微的安全疏忽都可能造成全院臨床業務和醫療服務的中斷,這就涉及財務風險和醫療服務糾紛風險。醫療信息涉及公民個人隱私,涉及公民隱私保護的法律風險,因此醫療信息必須采取多重安全措施、備份措施。這三大風險是一家醫院正常經營和持續發展的重大隱患,務必要采取相應的技術措施和管理措施予以防范。
1.2信息安全是推動醫療行業向現代化醫院發展的重要基礎
隨著區域醫療資源的大整合、分級診療制度的落地實施以及全國醫保跨區結算體系的建立,醫院管理的信息化已不再是一家醫院自己內部的事情了,所有的信息必須走出醫院、走出地市、走向全國,實現全國范圍內醫療信息的互聯互通,這是一個大趨勢,所以,在信息安全方面達不到相應安全等級保護(等保)的醫院,則沒有資格接入這一全國范圍內的互聯互通醫療信息網絡,不跨過這一門檻,醫院的發展以及向現代化醫院推進的理想就只能是一朵浮云。
2醫院網絡及信息系統的安全管理
醫院信息系統中的醫療信息數據、財務信息數據等內容眾多,運用病毒查殺軟件、建立防火墻等網絡技術,加強軟硬件雙重管理,保證內部業務交流、數據信心安全以及對入侵監測的管理,強化用戶的層級管理,對用戶的認證與業務處理范圍進行管控,強化內部管控的提升,從容應對外部黑客、病毒等問題對系統及網絡的攻擊,保障醫院信息系統可靠運行,促進醫院現代化管理水平不斷提升。
2.1建立完善的防火墻及安全檢測策略
防火墻技術和安全策略是醫院信息系統安全的可靠保障,通過多層安全策略的保護機制,為醫院醫療數據及資源、財務相關數據提供有效保證,并能夠提升工作效率,和諧醫患關系,保證業務流程的順利,實現醫療和醫院信息管理系統的健康運行。(1)防火墻能夠將內網與外網進行有效分隔,建立可靠的網絡互聯關卡,提升網絡用戶的訪問、認證及有效數據過濾,防范外來數據的攻擊,是安全的重要邊界,同時也是保護敏感的可靠數據服務應用。尤其針對外來入侵及病毒的監測,加強地址、及身份認證進行深化管理。重視將內外網絡的監控及隔離,醫院的數據庫內含有大量病患資料、研究資料及財務數據等眾多內容,眾多的信息及數據資源訪問及流通,需要具有深入攔截及管控能力的防火墻,對關鍵、敏感及熱點訪問連接進行多層設置,防止因出現網絡安全出現攻擊等問題對全局造成停止影響。對內外部連接區域的數據交換尤為重要,加強運行保障,提升安全區域的等級劃分,實施網絡訪問等級劃分,對不同業務的需求進行權限管理,對內部人員進一步進行管理,運用過濾技術的防火墻,為醫院信息系統建立安全管理的第一道防線。(2)醫院信息系統的安全管控第二個關鍵門卡是入侵檢測,對防火墻薄弱的內部攻擊及未知攻擊進行防范,加強網絡的監測力度,建立共同的系統網絡防范有效措施,對系統管理員員監控、識別等響應能力進行關注,提升安全管理的能力。運用入侵檢測對系統內網絡、用戶活動情況進行關注,對不同網段的傳感器、日志、流量及文件和軟件的非正常改變進行控制,信息與程序執行情況及時進行對比,迅速分析,合理運用檢測引擎對各項信息及數據進行檢測,對出現網絡入侵情況及系統非正常變化進行匹配模式分析,關注重點及熱點區域文件數據信息是否完整,對統計對象的屬性闕值進行統計分析,加強入侵監測設備的參數定義,及時進行內部權限多層管理模式,可采用二到七層分級管理方式,保障信息的有效性及可控性,為不同權限人員提供不同的系統服務。
2.2加強信息安全管理的綜合管控
醫院對信息通建設具有明確的管理制度,加強安全管理的系統性,加大信息安全等保投入,提升網絡安全的管理及建設標準,強化用戶的日志及權限管理,醫院信息系統運行是24小時無停息,重視對防火墻、入侵檢測等多重管控,提升整體管控意識,合理進行多終端系統管理,實現操作運行的規范及標準性,運用殺毒軟件、防火墻及入侵檢測等多個防范措施進行防范,還可以利用黑盾等軟件接入認證,提升主機通信加密管理,防范地址欺騙,實現信息網絡的管理安全,保證醫院系統平穩運行。注重軟硬件共同的安全管理,強化軟件管控及技術提升,注重硬件使用的審批手續及可靠管理,滿足系統安全管理整體管控需求。
2.3加強無線網絡安全管理管控
隨著近年來無線終端設備的迅速普及,醫院信息系統中無線應用迅速普及,提供日常檢查、咨詢及反饋等多種信息交流,重視對網絡秘鑰的管控,對非法訪問或黑客入侵從源頭上進行把握,防止因SSID廣播的應用造成不必要的信息泄露與安全管控問題,強化病患隱私與醫療數據的管理,提升用戶信息處理能力,分層級進行身份驗證,對局域網內人員行為進行可靠的約束,加強巡視及比對,對出現非法越權及數據波動加大用戶進行管控,實現無線網絡的安全管控。
2.4提升信息系統網絡硬件的安全等級
網絡安全及醫院信息系統需要大量的硬件,且醫院科室眾多并與都醫患信息、財務信息相聯系,加強多終端硬件的管理,對外來U盤、移動硬盤等硬件應用需要加強,防止從內部侵害網絡安全,健全規章管理制度及審批手續,完善硬件設備、文件利用及機房環境、線路連接等管控,并加強相關管理制度的。尤其是醫療文件、財務文件的讀取與拷貝,必須經過層層審批,在拷貝過程中要進行監督及檢查,對外來硬件進行查殺、篩選后進行應用,從源頭進行安全管理,實行可靠運行,為信息系統軟件與硬件管理形成可靠保障。
3結語
醫院信息系統及網絡安全管理是醫院業務運行的重要保障,加強網絡安全管理,為醫院營造穩定、健康的網絡環境,提供更為優質的服務,降低重復、枯燥的工作,提升醫院服務效率,滿足患者不同需求。加強醫院內外網的管控,強化防火墻、殺毒軟件、入侵檢測等環節的能力及水平,防范黑客、病毒等多方面的攻擊,強化無線網絡的服務與管理,提升安全性,妥善保障醫院內部信息,為更多患者提供個,促進我國網絡系統安全運行與維護能力提升,推動我國醫療行業信息化管理的整體大發展。
參考文獻:
[1]王玉珍,賀瀅,馬婧等.醫院信息系統安全保障體系存在的風險分析[J].醫療衛生裝備,2007.
篇(10)
【中圖分類號】R197.324【文獻標識碼】A【文章編號】1006-4222(2016)01-0048-01
引言
在我國,信息化建設起步較晚,這無疑就造成了我國計算機網絡信息安全技術的相對落后,安全措施方面的局限性也是暴漏無疑。好在隨著全球化網絡安全技術的不斷發展,我國的網絡安全技術也隨之得到一定的提高,再加上新的醫改方案的落實實施,更是使醫院的信息化管理得到了巨大的發展,這不僅在很大程度上提高了廣大醫護人員的工作效率,也在一定程度上給醫院的管理帶來了極大的方便,更是使醫院的各項工作順以有序的進行。現階段醫院的各項工作都依賴于網絡信息系統的正常運轉,其安全性在很大程度上直接關系到醫院工作的正常運行,因此確保醫院網絡系統的安全工作勢在必行。
1網絡安全概述
網絡安全是指系統中的數據受到保護,不論是網絡系統的硬件、軟件還是其系統中的數據都不因任何原因被惡意更改,也不因偶然的原因而遭受到重大的破壞,甚至泄露;網絡安全還要求網絡系統能夠連續可靠的正常運行,不出現網絡服務中斷的現象。網絡安全顧名思義究其本質上來講就是指網絡上的信息安全。但從廣義來說,任何涉及到網絡上信息的保密性,或是其完整性和可用性,亦或是其真實性和可控性的相關技術及其理論都在網絡安全的研究范疇。
2醫院網絡信息的不安全因素
2.1管理因素
管理在網絡安全中扮演著至關重要的角色,其地位不容動搖。安全管理中的責權不明,會給安全管理工作帶來混亂的局面,當然不健全的安全管理制度以及缺乏可操作性的管理制度都可能在不同程度上引起管理安全的風險。
2.2硬件因素
硬件安全是網絡信息安全工作中的重要組成部分,其主要是指信息系統中的硬件設備的相關性能,如果其硬件性能不能夠穩定的工作或者存在這樣那樣的故障問題:①就會使醫院的各項工作受到不同程度的影響;②還會使整個網絡信息系統的服務器出現問題,緊接著交換機等設備也會相繼出現這樣那樣的問題,嚴重時導致醫院整個網絡處于癱瘓狀態也是不無可能。
2.3軟件因素
軟件安全也是網絡安全中不可或缺的因素。其主要是指計算機病毒或是黑客的侵入。在過去一段時間,醫院的網絡信息系統大多都采用封閉式的局域網,這樣雖然避免了外來病毒以及黑客的侵入,但是就醫院整體而言在很大程度上還是有局限性。現如今,現代醫院網絡信息系統不再使用以前封閉式的局域網,而是采用開放式的互聯網網絡,這樣一來雖然醫院的工作效率得到了明顯提高,但是很容易受到外來病毒或者是黑客的侵入,致使醫院網絡信息系統的不安全性大大提高。
3醫院網絡信息的有效防護措施
3.1安全管理制度
不斷完善醫院網絡安全管理制度是確保醫院網絡信息安全的有效措施之一。在執行安全策略時要制度化,確保信息化設備及系統各項工作過程中的相關管理制度的落實,并嚴格實施與執行。
3.2硬件安全措施
在硬件安全方面,服務器是醫院網絡信息系統的中心,所以加強服務器的安全管理工作十分重要。為進一步確保服務器的安全運行,需要在服務器以及安全性要求較高的設備上安裝入侵檢測系統,這樣就能在很大程度上避免病毒的侵入。此外,外在環境也能在一定程度上對醫院網絡信息的安全造成一定的影響,因此就要求我們控制好設備運行的環境、濕度、溫度等外在環境,從而達到確保醫院網絡系統安全運行的目的。
3.3軟件安全措施
在軟件安全方面,數據庫在安全管理工作中扮演著核心角色,因此對于數據庫的選擇也是至關重要,目前現有醫院計算機網絡系統中常見的數據庫有SQLSERVER、ORACLE數據庫。在數據庫的管理工作中嚴格操作以及規范管理是最基本的要求,對數據庫進行及時的備份才是數據庫管理工作的重中之重,備份能夠有效的預防數據的丟失,確保數據庫的整體完整。目前在醫院中常用的數據備份方法有以下幾種;雙機熱備、異地備份和磁帶備份。雙機熱備是指書庫從主服務器備份到備份服務器上,能夠實時有效的進行,另外其每天進行三次將數據分別備份在主服務器和備份服務器上,這樣一來即使其中的一臺服務器出現了故障,啟動另一臺服務器就能保證系統的正常運轉,數據的完整性也不會遭到破壞。磁帶備份也是較常用的備份方式,高容量、易攜帶以及易保存是其較為顯著的特點,在數據的異地保存中工作中具有很大的靈活性和可靠性,能夠有效的預防醫院中心機房發生災難性的事故,使丟失的恢復完整。
4結語
綜上所述,為了確保醫院各項工作順利有序的進行,提高醫院各項工作的工作效率,就要做好醫院網絡信息安全的防護工作,提高醫院網絡信息的安全性及穩定性。
參考文獻
[1]王淑梅,朱芮穎.電子文件管理中的不安全因素及防護措施[J].黑龍江檔案,2002,06:47.
篇(11)
經過20多年的發展,我國的醫院管理信息系統歷經了單機單任務、一體化醫院信息系統。以前各醫院建立的計算機系統主要是MIS系統,以財務為重點,涉及掛號、收費、藥庫等流程。現在醫院信息化建設的重點將是臨床管理的信息化,把信息技術真正應用到疾病的診斷和手術中去,然后在臨床信息系統發展的基礎上,逐步建立電子病歷,促進病歷信息的共享和利用。一般來說,醫院信息系統的主要功能是為醫院及其所屬各部門提供患者醫療信息、財務核算分析、行政管理信息和決策分析統計信息的收集、存貯、處理、提取和數據通訊[1]。將門診管理、住院管理、醫技管理、職能科室管理等各部門通過計算機網絡有機集成在一起,提高醫院信息利用率和醫院整體運行效率。加強醫院管理信息系統信息安全的意義信息化為醫院帶來了更加科學、規范的工作流程,工作效率的明顯提升也產生了巨大的經濟效益,醫院的核心業務也越來越依賴于信息系統穩定可靠的運行支持。目前,我國約有3萬多所醫院,5萬多個防疫站,大多數醫院采用的是病床管理和財務管理。據衛生部一項統計顯示,參與調查的中國6000多家醫院中,只有31%的醫院用上了信息管理系統[2]。目前的3萬多家醫院中有6000家是三甲以上的醫院,衛生部曾強調“國內三甲以上的醫院都需要實行信息化管理”,未來幾年,我國將有超過70%的醫院實現信息化管理,信息系統所具有的絕對重要地位和其相對脆弱的本質應當引起高度重視。建立完善的安全備份系統和管理機制,對加強醫院管理信息系統的信息安全,顯得尤為重要。
