醫(yī)院信息安全管理措施范文

時(shí)間:2023-06-26 16:41:21

導(dǎo)語:如何才能寫好一篇醫(yī)院信息安全管理措施,這就需要搜集整理更多的資料和文獻(xiàn),歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

醫(yī)院信息安全管理措施

篇1

    醫(yī)院檔案信息化是指檔案管理模式轉(zhuǎn)變的過程,從以檔案實(shí)體為重心轉(zhuǎn)向以檔案信息為重心。在醫(yī)院檔案管理活動(dòng)中全面應(yīng)用現(xiàn)代信息技術(shù),加速實(shí)現(xiàn)檔案管理現(xiàn)代化的進(jìn)程,醫(yī)院檔案信息化建設(shè)就是在醫(yī)院檔案行政管理部門的統(tǒng)一規(guī)劃和組織下,對(duì)醫(yī)院檔案信息資源進(jìn)行處置、管理和為社會(huì)提供服務(wù)。

    隨著信息社會(huì)的到來,檔案現(xiàn)代化管理和信息化建設(shè),是醫(yī)院檔案工作發(fā)展的必然趨勢(shì),醫(yī)院檔案基礎(chǔ)業(yè)務(wù)建設(shè)的重心也開始向信息化、現(xiàn)代化轉(zhuǎn)移。為了研究醫(yī)院檔案信息化,必須首先了解什么是檔案信息化,才能知道其現(xiàn)在面臨的問題,進(jìn)而找到解決的對(duì)策和方法。信息技術(shù)在國民經(jīng)濟(jì)和社會(huì)發(fā)展中扮演了越來越重要的角色。

    在這個(gè)信息化的時(shí)代,在科學(xué)發(fā)展觀的指導(dǎo)下,隨著新醫(yī)改的不斷深入,醫(yī)院經(jīng)營管理的逐漸市場化,醫(yī)院的信息化建設(shè)也漸漸被管理者所重視,成為醫(yī)院基礎(chǔ)建設(shè)的一部分,融入到醫(yī)院現(xiàn)代化建設(shè)經(jīng)營管理之中。

    而檔案管理則成了醫(yī)院信息化的重要組成部分。通過精心設(shè)計(jì)版面,內(nèi)容架構(gòu),以及對(duì)功能模塊的完善,檔案信息化成為醫(yī)院在經(jīng)營管理和競爭中不可替代的關(guān)鍵部分。

    2 方法

    2.1 醫(yī)院檔案信息的數(shù)字化,它是指將紙質(zhì)文件、聲像文件等介質(zhì)文件和已歸檔保存的電子檔案,利用數(shù)據(jù)庫技術(shù)、數(shù)據(jù)壓縮技術(shù)、高速掃描技術(shù)等技術(shù)手段,系統(tǒng)組織成具有有序結(jié)構(gòu)的檔案信息庫。檔案目錄信息的數(shù)字化、檔案全文信息的數(shù)字化,是檔案信息數(shù)字化的內(nèi)容有兩個(gè)不同層次。檔案信息數(shù)字化的原則:規(guī)范性原則、安全性原則、效益性原則。

    2.2 檔案網(wǎng)站建設(shè),它是指檔案網(wǎng)站是檔案機(jī)構(gòu)在公共信息服務(wù)網(wǎng)站上建立的站點(diǎn),它一般是以主頁方式提供相關(guān)檔案服務(wù)和開展檔案宣傳。檔案網(wǎng)站建設(shè)是檔案信息化建設(shè)的重要步驟,檔案網(wǎng)站的功能有:服務(wù)功能、宣傳功能、交流功能。是醫(yī)院檔案部門聯(lián)系整個(gè)醫(yī)院及社會(huì)的重要窗口。檔案工作信息、檔案機(jī)構(gòu)信息、檔案資源信息、檔案利用服務(wù)信息是檔案網(wǎng)站的主要內(nèi)容。

    2.3 數(shù)字檔案建設(shè),它強(qiáng)調(diào)的是在數(shù)字化檔案環(huán)境下用戶開發(fā)利用檔案信息資源的便利,它是指利用電子網(wǎng)絡(luò)遠(yuǎn)程獲取檔案文件信息的一種方式。數(shù)字檔案的主要特點(diǎn):①功能定位上的特點(diǎn),以存取為中心;②運(yùn)行方式上的特點(diǎn),存取檔案信息的網(wǎng)絡(luò)化;③存在方式上的特點(diǎn),是一種無形的信息組織與利用環(huán)境。

    3 檔案信息化的存在問題及解決辦法

    3.1 檔案升級(jí)在加強(qiáng)規(guī)范管理方面需要一筆較大支出,要積極扶持醫(yī)院檔案信息化建設(shè)以保證檔案信息化建設(shè)順利進(jìn)行。

    3.2 開展業(yè)務(wù)指導(dǎo),提高創(chuàng)建技術(shù)。醫(yī)院檔案信息化建設(shè)涉及很多新情況、新問題,應(yīng)積極開展醫(yī)院檔案信息化建設(shè)業(yè)務(wù)指導(dǎo),加強(qiáng)與檔案主管部門聯(lián)系,有的內(nèi)容專業(yè)性較強(qiáng),通過組織培訓(xùn)、舉辦講座、上門輔導(dǎo)等方式,普及創(chuàng)建技術(shù),從而業(yè)務(wù)技能,傳授檔案升級(jí)方面的專業(yè)知識(shí)。

    3.3 挖掘內(nèi)部潛力,增強(qiáng)創(chuàng)建力量。管理檔案人員少的矛盾日益突出,再抽調(diào)人員從事檔案升級(jí)工作相當(dāng)困難。每天需要應(yīng)付日常工作,很難抽出更多的精力搞創(chuàng)建。應(yīng)成立創(chuàng)建工作領(lǐng)導(dǎo)小組,保證創(chuàng)建工作穩(wěn)步推進(jìn)。

    3.4 強(qiáng)化檔案管理,完善創(chuàng)建條件?,F(xiàn)有的醫(yī)院檔案管理水平停留在原先省一級(jí)標(biāo)準(zhǔn)基礎(chǔ)上,對(duì)照省特一級(jí)標(biāo)準(zhǔn)差距較大,所以要不斷更新觀念,完善具體操作規(guī)程,推進(jìn)規(guī)范化建設(shè),進(jìn)一步健全歸檔、保管、鑒定、借閱等各項(xiàng)管理制度;升檔案服務(wù)水平,為檔案管理升級(jí)提供基礎(chǔ)保證,要及時(shí)引進(jìn)先進(jìn)檔案管理設(shè)備。

    3.5 加大宣傳力度,提高創(chuàng)建認(rèn)識(shí)。思想認(rèn)識(shí)上的偏差,即使?fàn)巹?chuàng)檔案升級(jí),也是辦公室檔案人員的事,與己無關(guān),或者對(duì)醫(yī)院檔案信息化建設(shè)的重要性了解不夠,認(rèn)為這是可有可無的事。應(yīng)組織大家學(xué)習(xí),增強(qiáng)為檔案升級(jí)工作服務(wù)的自覺性、積極性,提高全體人員對(duì)檔案信息化建設(shè)重要性的認(rèn)識(shí)。

    4 結(jié)論

    “采用計(jì)算機(jī)及其配套設(shè)備,縮微機(jī)及其設(shè)備,保護(hù)技術(shù)現(xiàn)代化”,是管理手段的現(xiàn)代化和保護(hù)技術(shù)的現(xiàn)代化。檔案管理現(xiàn)代化、信息化,其核心是就是它們。主要是檔案存儲(chǔ)環(huán)境控制檔案存儲(chǔ)載體更新改造的科學(xué)化。要抓住機(jī)遇,提高工作水平、工作效率,提升服務(wù)質(zhì)量,逐步構(gòu)建起各地檔案信息平臺(tái),努力把檔案信息化建設(shè)作為政府電子政務(wù)建設(shè)的一個(gè)重要內(nèi)容;要加強(qiáng)領(lǐng)導(dǎo)、提高認(rèn)識(shí),加快檔案信息化建設(shè),認(rèn)真研究,合理規(guī)劃,爭取支持,加大投入,配備人才;要制定信息化建設(shè)的中期規(guī)劃和短期目標(biāo),使檔案的管理水平邁上一個(gè)新臺(tái)階,加大投入,逐漸增配軟、硬件設(shè)施,爭取政府和上級(jí)部門的支持,為社會(huì)創(chuàng)造更大的經(jīng)濟(jì)效益和社會(huì)效益。

    參考文獻(xiàn):

    [1]李愛軍.檔案信息化的現(xiàn)狀及對(duì)策分析[J].銅陵學(xué)院學(xué)報(bào),2006,(02).

    [2]金光華.在企業(yè)信息化環(huán)境中的檔案信息化定位研究[J].中國管理信息化,2005,(02).

篇2

【關(guān)鍵詞】信息安全等級(jí)保護(hù) 測評(píng)實(shí)施

1 引言

醫(yī)院信息化建設(shè)快速發(fā)展,信息系統(tǒng)應(yīng)用深入到各個(gè)環(huán)節(jié),信息業(yè)務(wù)系統(tǒng)承載了門診收費(fèi)、門診藥房、住院收費(fèi)、住院藥房、醫(yī)保、財(cái)務(wù)、門急診醫(yī)生護(hù)士站、住院醫(yī)生護(hù)士站、電子病歷、病案首頁、檢驗(yàn)LIS系統(tǒng)、檢查PACS系統(tǒng)、體檢系統(tǒng)等。保障重點(diǎn)信息系統(tǒng)的安全,規(guī)范信息安全等級(jí)保護(hù),完善信息保護(hù)機(jī)制,提高信息系統(tǒng)的防護(hù)能力和應(yīng)急水平,有效遏制重大網(wǎng)絡(luò)與信息安全事件的發(fā)生,創(chuàng)造良好的信息系統(tǒng)安全運(yùn)營環(huán)境勢(shì)在必要。根據(jù)衛(wèi)生部印發(fā)的《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》,衛(wèi)生信息安全工作是我國衛(wèi)生事業(yè)發(fā)展的重要組成部分。做好信息安全等級(jí)保護(hù)工作,對(duì)于促進(jìn)衛(wèi)生信息化健康發(fā)展,保障醫(yī)藥衛(wèi)生體制改革,維護(hù)公共利益、社會(huì)秩序和國家安全具有重要意義。

2 確定測評(píng)對(duì)象與等級(jí)

我院是一所二級(jí)甲等綜合醫(yī)院,日門診人次1000人左右,住院日人次400余人。醫(yī)院信息系統(tǒng)HIS、LIS、PACS、電子病歷、體檢等50余個(gè)系統(tǒng)無縫結(jié)合,信息雙向交流。按照《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》定級(jí)原理,確定醫(yī)院信息業(yè)務(wù)系統(tǒng)的安全保護(hù)等級(jí)為第2級(jí),其中業(yè)務(wù)信息安全保護(hù)等級(jí)為2級(jí),系統(tǒng)服務(wù)安全保護(hù)等級(jí)為2級(jí)。

2.1 招標(biāo)比選測評(píng)公司

醫(yī)院通過四川警察網(wǎng)了解到四川省獲得信息安全等級(jí)保護(hù)測評(píng)有資質(zhì)的5家公司。醫(yī)院電話通知該5家公司,簡單介紹醫(yī)院信息化情況,其中有3家公司到現(xiàn)場進(jìn)行調(diào)查,掌握了信息系統(tǒng)情況。然后通過招標(biāo)比選確定一家公司為我院測評(píng)安全等級(jí)保護(hù)。

2.2 測評(píng)實(shí)施

2.2.1 準(zhǔn)備階段

醫(yī)院填報(bào)《安全等級(jí)保護(hù)備案申報(bào)表》、《安全等級(jí)保護(hù)定級(jí)報(bào)告》,確定安全主管人員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、審計(jì)管理員、安全管理員。醫(yī)院組織相關(guān)人員到市級(jí)計(jì)算機(jī)安全學(xué)會(huì)進(jìn)行安全培訓(xùn)學(xué)習(xí)。確定醫(yī)院信息安全主管人員協(xié)助測評(píng)公司人員就醫(yī)院信息業(yè)務(wù)系統(tǒng)做調(diào)研,提交準(zhǔn)備資料。調(diào)研內(nèi)容涉及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖、線路鏈接情況、中心機(jī)房位置分布情況、應(yīng)用系統(tǒng)組成情況、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及相應(yīng)的IP地址、網(wǎng)絡(luò)互連設(shè)備的配置、網(wǎng)絡(luò)安全設(shè)備的配置、安全文檔等。

2.2.2 測評(píng)主要內(nèi)容

主要針對(duì)醫(yī)院信息系統(tǒng)技術(shù)安全和安全管理兩方面實(shí)施測評(píng),其中技術(shù)安全包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用系統(tǒng)安全、數(shù)據(jù)安全及備份恢復(fù)進(jìn)行5;安全管理包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理。

2.2.3 測評(píng)方式與測評(píng)范圍

測評(píng)公司綜合采用了現(xiàn)場測評(píng)與風(fēng)險(xiǎn)分析方法測評(píng)、單元測評(píng)與整體測評(píng)。單元測評(píng)實(shí)施過程中采用現(xiàn)場訪談、檢查和測試等測評(píng)方法。就各類崗位人員進(jìn)行訪談,了解醫(yī)院業(yè)務(wù)運(yùn)作以及網(wǎng)絡(luò)運(yùn)行狀況;查看主機(jī)房、應(yīng)用系統(tǒng)軟件、主機(jī)操作系統(tǒng)及安全相關(guān)軟件、數(shù)據(jù)庫管理系統(tǒng)、安全設(shè)備管理系統(tǒng)、安全文檔、網(wǎng)絡(luò)分布鏈接情況。檢查物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等技術(shù)類測評(píng)任務(wù),以及安全管理類測評(píng)任務(wù);查閱分析文檔、核查安全配置、監(jiān)聽與分析網(wǎng)絡(luò)等檢查方法查證防火墻、路由器、交換機(jī)部署及其配置情況、端口開放情況等;測評(píng)人員采用手工驗(yàn)證和工具測試進(jìn)行漏洞掃描、系統(tǒng)滲透測試,檢查系統(tǒng)的安全有效性。

整體測評(píng)主要應(yīng)用于安全控制間、層面間和區(qū)域間等三個(gè)方面。主要就是針對(duì)同一區(qū)域內(nèi)、同一層面上或不同層面上的不同安全控制間存在的安全問題以及不同區(qū)域間的互連互通時(shí)的安全性。

醫(yī)院信息系統(tǒng)運(yùn)用了身份鑒別措施、軟件容錯(cuò)機(jī)制、用戶權(quán)限分組管理、密碼賬戶登錄、數(shù)據(jù)庫表中記錄用戶操作、對(duì)重要事件進(jìn)行審計(jì)并留存記錄。網(wǎng)絡(luò)邊界處部署防火墻防御入侵,終端使用了趨勢(shì)網(wǎng)絡(luò)版本防病毒產(chǎn)品,抵御惡意代碼。開啟系統(tǒng)審計(jì)日志,制定和實(shí)施有效安全管理制度,加強(qiáng)安全管理,降低系統(tǒng)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)進(jìn)行了有效的區(qū)域劃分,區(qū)域之間通過訪問控制列表實(shí)現(xiàn)安全控制,與社保局、醫(yī)管辦等第三方外聯(lián)區(qū)之間通過防火墻嚴(yán)格限制訪問端口。

2.2.5 差距分析與測評(píng)整改

通過測評(píng),測評(píng)公司寫出測評(píng)報(bào)告,提出整改建議。按照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》要求6,測評(píng)公司人員根據(jù)醫(yī)院當(dāng)前安全管理需要和管理特點(diǎn),針對(duì)等級(jí)保護(hù)所要求的安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理,從人員、制度、運(yùn)作、規(guī)范等角度,進(jìn)行全面的建設(shè)7,提供技術(shù)建設(shè)措施,落實(shí)等級(jí)保護(hù)制度的各項(xiàng)要求,就各類人員進(jìn)行安全培訓(xùn),提升醫(yī)院信息系統(tǒng)管理的能力。醫(yī)院分期逐步投入防網(wǎng)絡(luò)入侵系統(tǒng)、數(shù)據(jù)庫審計(jì)系統(tǒng)等。

2.2.6 編制報(bào)告,成功備案

測評(píng)公司編制報(bào)告,上報(bào)市公安局備案成功,獲得二級(jí)信息系統(tǒng)備案證書。二級(jí)信息系統(tǒng),每兩年進(jìn)行一次信息安全等級(jí)測評(píng)。實(shí)施安全等級(jí)保護(hù)測評(píng)備案使醫(yī)院信息系統(tǒng)安全管理水平提高,安全保護(hù)能力增強(qiáng),有效保障信息化健康發(fā)展。

3 結(jié)語

網(wǎng)絡(luò)安全問題是一個(gè)集技術(shù)、管理和法規(guī)于一體的長期系統(tǒng)工程,始終有其動(dòng)態(tài)性,醫(yī)院需要不斷進(jìn)行完善,加強(qiáng)管理,持續(xù)增加安全設(shè)備以保障醫(yī)院數(shù)據(jù)安全有效,保障信息系統(tǒng)安全穩(wěn)定運(yùn)行。醫(yī)院信息安全建設(shè)要切合自身?xiàng)l件特點(diǎn),分期分批循序建設(shè),保證醫(yī)院各系統(tǒng)長期穩(wěn)定安全運(yùn)行,以適應(yīng)醫(yī)院不斷擴(kuò)展的業(yè)務(wù)應(yīng)用和管理需求8。

參考文獻(xiàn)

[1]衛(wèi)辦發(fā).〔2011〕85號(hào),衛(wèi)生部關(guān)于印發(fā)“衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見”的通知,2011.

[2]尚邦治.做好信息安全等級(jí)保護(hù)工作[J].中國衛(wèi)生信息管理雜志,2005.

[3]王建英,陳文霞,胡雯,張鵬.醫(yī)院信息安全分析及措施[J].中國病案,2013.

[4]王俊.醫(yī)院信息安全等級(jí)保護(hù)管理體系的構(gòu)建[J].醫(yī)學(xué)信息,2013.

[5]韓作為.醫(yī)院信息安全等級(jí)保護(hù)三級(jí)建設(shè)流程與要點(diǎn)[J].中國數(shù)字醫(yī)學(xué),2006.

篇3

關(guān)鍵詞:醫(yī)院信息化建設(shè);信息安全管理;作用

DOI:10.12249/j.issn.1005-4669.2020.26.316

當(dāng)前,醫(yī)院在很多方面都應(yīng)用了網(wǎng)絡(luò)技術(shù),其對(duì)信息系統(tǒng)的使用越來越依賴,隨著而來的風(fēng)險(xiǎn)也越來越高,特別近些年來的勒索病毒,更是給醫(yī)院的信息系統(tǒng)安全敲響了警鐘。因此必須要加醫(yī)院信息的安全管理,保證醫(yī)院信息系統(tǒng)運(yùn)行正常。

1加強(qiáng)醫(yī)院信息安全管理的意義

隨著醫(yī)院的信息化建設(shè)不斷進(jìn)步,醫(yī)院的信息系統(tǒng)很容易受到病毒的侵入以及不法分子的入侵,有資料顯示,當(dāng)前一些醫(yī)院出現(xiàn)醫(yī)院患者資料信息出現(xiàn)泄漏及勒索病毒入侵等事件,出現(xiàn)這些問題的原因都是沒有重視信息的安全管理[1]。

2醫(yī)院信息安全管理的基本內(nèi)容

醫(yī)院信息安全管理主要包括:1)機(jī)房管理:機(jī)房管理主要是斷電、設(shè)備損壞等現(xiàn)象。2)網(wǎng)絡(luò)安全:將內(nèi)、外網(wǎng)完全隔離,設(shè)置防火墻以及配置訪問,保障網(wǎng)絡(luò)的安全。3)服務(wù)器安全:是對(duì)服務(wù)器的運(yùn)行進(jìn)行檢查,看是否存在種種弊端以及影響系統(tǒng)運(yùn)行的因素,一般意義都是采用兩臺(tái)服務(wù)器(一臺(tái)運(yùn)行,一臺(tái)容災(zāi))進(jìn)行運(yùn)作,主服務(wù)器受損后可以在短時(shí)間內(nèi)用另一臺(tái)服務(wù)器進(jìn)行運(yùn)作,在很大的程度上保證系統(tǒng)的正常運(yùn)行。4)客戶端管理:用戶根據(jù)不同的人(患者或醫(yī)生)有不同的訪問權(quán)限。5)病毒防護(hù):隨著病毒及木馬種類的不斷增多,這些病毒對(duì)信息系統(tǒng)的危害是不容小覷的[2]。

3目前醫(yī)院信息安全管理存在的問題

3.1管理意識(shí)觀念不強(qiáng)

就目前醫(yī)院信息安全管理的現(xiàn)象來看,醫(yī)院領(lǐng)導(dǎo)的工作重心著重體現(xiàn)在醫(yī)療事物以及研究領(lǐng)域,忽略了信息安全管理的工作,普遍存在“重業(yè)務(wù)、輕安全”的現(xiàn)場,導(dǎo)致信息安全管理出現(xiàn)多種問題。

3.2網(wǎng)絡(luò)安全問題日益嚴(yán)重

在網(wǎng)絡(luò)時(shí)代的背景下,醫(yī)院信息管理系統(tǒng)正在逐步走向信息化,利用互聯(lián)網(wǎng)的特點(diǎn)使得信息傳播的速度變得越來越快。一些病毒、木馬等對(duì)信息系統(tǒng)的侵害日益嚴(yán)重,另外一些不法分子對(duì)信息系統(tǒng)進(jìn)行入侵,例如,2011年福州某醫(yī)院處方事件、2018年江蘇某醫(yī)院的勒索病毒事件。

3.3從業(yè)人員的專業(yè)水平以及安全意識(shí)不強(qiáng)

醫(yī)院信息化建設(shè)過程之中,信息設(shè)備以及人才方面的投入不足,缺乏相關(guān)專業(yè)的技術(shù)人才,導(dǎo)致醫(yī)院信息化建設(shè)很難推進(jìn)。

3.4數(shù)據(jù)庫的安全性不足

醫(yī)院信息化建設(shè)的數(shù)據(jù)庫都是用大中型數(shù)據(jù)管理工具進(jìn)行管理數(shù)據(jù),這些數(shù)據(jù)庫的安全機(jī)制并不是很好,大量的信息未經(jīng)加密就儲(chǔ)存在數(shù)據(jù)庫中,一經(jīng)泄露就會(huì)造成惡劣的影響[3]。

4威脅醫(yī)院信息安全的主要因素

由于醫(yī)院的信息系統(tǒng)關(guān)系著患者以及醫(yī)院自身的相關(guān)數(shù)據(jù),這些數(shù)據(jù)都是非常重要的。但是由于醫(yī)院的信息化建設(shè)安全防護(hù)工作不到位,就會(huì)發(fā)生安全隱患。目前威脅醫(yī)院信息安全的主要因素有兩類。

4.1內(nèi)部因素

可以分為:人為故意和人為無意。人為無意:相關(guān)人員的操作失誤造成的信息安全出現(xiàn)問題,比如,在訪問登錄頁面時(shí),操作失誤造成安全漏洞。人為故意:醫(yī)院內(nèi)部人員為了個(gè)人的利益,監(jiān)守自盜,私自入侵系統(tǒng)篡改患者信息,或者泄露患者以及醫(yī)療機(jī)密的相關(guān)資料。

4.2外部因素

第一種就是木馬、病毒的入侵。由外部環(huán)境的產(chǎn)生的網(wǎng)絡(luò)病毒傳播到醫(yī)院的安全系統(tǒng)內(nèi)部,造成損害。第二種就是非法入侵,對(duì)系統(tǒng)的相關(guān)資料進(jìn)行下載者篡改,為醫(yī)院以及患者造成極大的損失[4]。

5醫(yī)院信息安全管理優(yōu)化建議

5.1加強(qiáng)醫(yī)院信息安全管理意識(shí)

在醫(yī)院信息化建設(shè)的過程中,醫(yī)院的領(lǐng)導(dǎo)要重視這項(xiàng)工作,要認(rèn)識(shí)到信息系統(tǒng)存在的安全隱患,增強(qiáng)管理者以及醫(yī)院工作人員的信息安全管理的意識(shí)。

5.2建立并完善信息安全管理制度

首先是人員方面的管理:未經(jīng)允許,不得私自添加或者刪除相關(guān)的軟件;不得對(duì)醫(yī)院網(wǎng)絡(luò)功能進(jìn)行修改、添加或者刪除等等。在設(shè)備方面,要拒絕使用質(zhì)量不合格的設(shè)備設(shè)施,不得使用假冒偽劣產(chǎn)品等。網(wǎng)絡(luò):建立防火墻,相關(guān)的殺毒軟件,工作人員要定期地對(duì)網(wǎng)絡(luò)進(jìn)行安全隱患的檢測。

5.3提高相關(guān)人員的技術(shù)水平以及安全意識(shí)

醫(yī)院要引進(jìn)相關(guān)的技術(shù)人才,管理人員不僅要熟練的掌握計(jì)算機(jī)和網(wǎng)絡(luò)的相關(guān)技術(shù),還要對(duì)醫(yī)院的相關(guān)制度以及組織框架要有一定的了解,并對(duì)醫(yī)院其他的工作人員進(jìn)行信息安全管理方面的培訓(xùn),讓全體人員加強(qiáng)安全防護(hù)意識(shí)。這樣才能提高醫(yī)院信息安全管理的水平。

5.4建立數(shù)據(jù)庫的備份與恢復(fù)工作

由于醫(yī)院的信息數(shù)據(jù)非常重要,在醫(yī)院信息化建設(shè)的完善和實(shí)施的過程中,數(shù)據(jù)庫的信息難免會(huì)出現(xiàn)泄露以及丟失,所以就要做好數(shù)據(jù)庫的備份與恢復(fù)工作。

5.5引進(jìn)先進(jìn)的設(shè)備設(shè)施

醫(yī)院應(yīng)該引進(jìn)先進(jìn)的設(shè)備設(shè)施來加強(qiáng)安全信息的防護(hù)。利用先進(jìn)的設(shè)備可以穩(wěn)定的保證信息安全系統(tǒng)的運(yùn)行,同時(shí)制定一套比較先進(jìn)的安全管理模式,在服務(wù)器比較先進(jìn)的情況下,可以設(shè)置一些基本的病毒防護(hù)措施,讓一般的病毒不易入侵到系統(tǒng)中[5]。

篇4

【關(guān)鍵詞】信息安全;數(shù)據(jù)庫;網(wǎng)絡(luò)應(yīng)用;安全體系

1信息安全現(xiàn)狀

1.1目前醫(yī)院信息安全存在的問題根據(jù)衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》的通知,三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)不得低于國家安全信息保護(hù)等級(jí)三級(jí)。據(jù)此我們對(duì)信息系統(tǒng)的各個(gè)方面進(jìn)行了安全評(píng)估,發(fā)現(xiàn)主要有如下的問題:

(1)物理安全:機(jī)房管理混亂問題;機(jī)房場地效用不明確;機(jī)房人員訪問控制問題;

(2)網(wǎng)絡(luò)設(shè)備安全:訪問控制問題;網(wǎng)絡(luò)設(shè)備安全漏洞;設(shè)備配置安全;

(3)系統(tǒng)安全:補(bǔ)丁問題;運(yùn)行服務(wù)問題;安全策略問題;訪問控制問題;默認(rèn)共享問題;防病毒情況;

(4)數(shù)據(jù)安全:數(shù)據(jù)庫補(bǔ)丁問題;SQL數(shù)據(jù)庫默認(rèn)賬號(hào)問題;SQL數(shù)據(jù)庫弱口令問題;SQL數(shù)據(jù)庫默認(rèn)配置問題;(5)網(wǎng)絡(luò)區(qū)域安全:醫(yī)院內(nèi)網(wǎng)安全措施完善;醫(yī)院內(nèi)網(wǎng)的訪問控制問題;醫(yī)院內(nèi)外網(wǎng)互訪控制問題;

(6)安全管理:沒有建立安全管理組織;沒有制定總體的安全策略;沒有落實(shí)各個(gè)部門信息安全的責(zé)任人;缺少安全管理文檔。

1.2當(dāng)前醫(yī)院信息安全存在的問題,主要表現(xiàn)在如下的幾個(gè)方面

(1)機(jī)房所處環(huán)境不合格,場地效用不明確,人員訪問控制不足,管理混亂。

(2)在辦公外網(wǎng)中,醫(yī)院建立了基本的安全體系,但是還需要進(jìn)一步的完善,例如辦公外網(wǎng)總出口有單點(diǎn)故障的隱患、門戶網(wǎng)站有被撰改的隱患。

(3)在醫(yī)院內(nèi)網(wǎng)中,內(nèi)網(wǎng)與辦公外網(wǎng)之間沒有做訪問控制,存在蠕蟲病毒相互擴(kuò)散的可能。

(4)沒有成立安全應(yīng)急小組,雖然有相應(yīng)的應(yīng)急事件預(yù)案,但缺少安全預(yù)案的應(yīng)急演練;缺少安全事件應(yīng)急處理流程與規(guī)范,也沒有對(duì)安全事件的處理過程做記錄歸檔。

(5)沒有建立數(shù)據(jù)備份與恢復(fù)制度;缺少對(duì)備份的數(shù)據(jù)做恢復(fù)演練,保證備份數(shù)據(jù)的有效性和可用性,在出現(xiàn)數(shù)據(jù)故障的時(shí)候能夠及時(shí)的進(jìn)行恢復(fù)操作。

2醫(yī)院信息安全總體規(guī)劃

2.1設(shè)計(jì)目標(biāo)、依據(jù)及原則

2.1.1設(shè)計(jì)目標(biāo)

信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用,存儲(chǔ)著重要的數(shù)據(jù)資源,是醫(yī)院正常運(yùn)行必不可少的組成部分,所以必須從硬件設(shè)施、軟件系統(tǒng)、安全管理等方面,加強(qiáng)安全保障體系的建設(shè),為醫(yī)院工作應(yīng)用提供安全可靠的運(yùn)行環(huán)境。

2.1.2設(shè)計(jì)依據(jù)

(1)《信息安全等級(jí)保護(hù)管理辦法》;

(2)《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》;

(3)《衛(wèi)生部衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》;

(4)《電子計(jì)算機(jī)場地通用規(guī)范》。

2.1.3設(shè)計(jì)原則

醫(yī)院信息安全系統(tǒng)在整體設(shè)計(jì)過程中應(yīng)遵循如下的原則:分級(jí)保護(hù)原則:以應(yīng)用為主導(dǎo),科學(xué)劃分網(wǎng)絡(luò)安全防護(hù)與業(yè)務(wù)安全保護(hù)的安全等級(jí),并依據(jù)安全等級(jí)進(jìn)行安全建設(shè)和管理,保證服務(wù)的有效性和快捷性。最小特權(quán)原則:整個(gè)系統(tǒng)中的任何主體和客體不應(yīng)具有超出執(zhí)行任務(wù)所需權(quán)力以外的權(quán)力。標(biāo)準(zhǔn)化與一致性原則:醫(yī)院信息系統(tǒng)是一個(gè)龐大的系統(tǒng)工程,其安全保障體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn),這樣才能確保各個(gè)分系統(tǒng)的一致性,使整個(gè)醫(yī)院信息系統(tǒng)安全地互聯(lián)互通、信息共享。多重保護(hù)原則:任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層被攻破時(shí),其他層仍可保護(hù)系統(tǒng)的安全。易操作性原則:安全措施需要人去完成,如果措施過于復(fù)雜,對(duì)人的要求過高,本身就降低了安全性;其次,措施的采用不能影響系統(tǒng)的正常運(yùn)行。適應(yīng)性及靈活性原則:安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化,要容易適應(yīng)、容易修改和升級(jí)。

2.2總體信息安全規(guī)劃方案

2.2.1基礎(chǔ)保障體系

建設(shè)信息安全基礎(chǔ)保障體系,是一項(xiàng)復(fù)雜的、綜合的系統(tǒng)工程,是堅(jiān)持積極防御、綜合防范方針的具體體現(xiàn)。目前醫(yī)院基礎(chǔ)保障體系已經(jīng)初具規(guī)模,但是還存在個(gè)別問題,需要進(jìn)一步的完善。

2.2.2監(jiān)控審計(jì)體系

監(jiān)控審計(jì)體系設(shè)計(jì)的實(shí)現(xiàn),能完成對(duì)醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控。通過此體系監(jiān)控到的數(shù)據(jù)能對(duì)醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動(dòng)作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等有較全面的了解。

2.2.3應(yīng)急響應(yīng)體系

應(yīng)急響應(yīng)體系的主要功能是采取足夠的主動(dòng)措施解決各類安全事件。安全事件可以被許多不同的事件觸發(fā)并破壞單個(gè)系統(tǒng)或整個(gè)網(wǎng)絡(luò)的可用性,完整性、數(shù)據(jù)的保密性。引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應(yīng)該就地解決,以避免加重整個(gè)醫(yī)院信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

2.2.4災(zāi)難備份與恢復(fù)體系

為了保證醫(yī)院信息系統(tǒng)的正常運(yùn)行,抵抗包括地震、火災(zāi)、水災(zāi)等自然災(zāi)難,以及戰(zhàn)爭、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障和人為破壞等無法預(yù)料的突發(fā)事件造成的損害,應(yīng)該建立一個(gè)災(zāi)難備份與恢復(fù)體系。在這個(gè)體系里主要包括下面三個(gè)部分:政務(wù)內(nèi)網(wǎng)線路的冗余備份、主機(jī)服務(wù)器的系統(tǒng)備份與恢復(fù)、數(shù)據(jù)庫系統(tǒng)的備份與恢復(fù)。

3結(jié)論

通過對(duì)醫(yī)院的信息安全風(fēng)險(xiǎn)評(píng)估,我們發(fā)現(xiàn)了大量關(guān)于物理安全、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等等方面的漏洞。為了達(dá)到對(duì)安全風(fēng)險(xiǎn)的長期有效的管理,我們進(jìn)行了具有體系性和原則性并能夠符合醫(yī)院實(shí)際需求的規(guī)劃。

參考文獻(xiàn)

[1]王立,史明磊.醫(yī)院信息系統(tǒng)的建設(shè)與維護(hù)[J].醫(yī)學(xué)信息,2007,20(3).

[2]王洪萍,程濤.醫(yī)院信息系統(tǒng)安全技術(shù)分析[J].醫(yī)院管理雜志,2011,18(11).

[3]尚邦治.醫(yī)院信息系統(tǒng)安全問題[J].醫(yī)療設(shè)備信息,2004,19(9).

篇5

醫(yī)院網(wǎng)絡(luò)信息安全與醫(yī)療衛(wèi)生服務(wù)質(zhì)量、效率息息相關(guān),因此做好網(wǎng)絡(luò)信息安全防護(hù)體系建設(shè)有助于確保醫(yī)療信息安全與信息服務(wù)平臺(tái)應(yīng)用,對(duì)于進(jìn)一步提升醫(yī)療服務(wù)質(zhì)量至關(guān)重要。文章分析了我國醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系現(xiàn)狀,并對(duì)醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系的設(shè)計(jì)與應(yīng)用進(jìn)行了探討,希望能為醫(yī)療信息服務(wù)改革與創(chuàng)新提供參考。

關(guān)鍵詞:

醫(yī)院;信息安全;防護(hù)體系;設(shè)計(jì)

醫(yī)院作為提供醫(yī)療衛(wèi)生服務(wù)的主體,本身的發(fā)展關(guān)鍵在于做好綜合管理,信息平臺(tái)作為進(jìn)行醫(yī)療服務(wù)、醫(yī)學(xué)研究、教學(xué)、對(duì)外交流宣傳等工作的主要陣地,建設(shè)與服務(wù)情況直接關(guān)系到醫(yī)院工作質(zhì)量與效率,因此建立完善的信息安全防護(hù)體系不僅可有效保障信息平臺(tái)運(yùn)作的有效性,同時(shí)也可及時(shí)消除信息服務(wù)過程中出現(xiàn)的各類故障與問題,確保醫(yī)院工作順利進(jìn)行。

1我國醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系現(xiàn)狀分析

(1)安全需求。醫(yī)院信息網(wǎng)絡(luò)安全防護(hù)涉及計(jì)算機(jī)、通信安全、信息安全、密碼、信息論、數(shù)論等多種專業(yè)知識(shí)與技術(shù),計(jì)算機(jī)信息系統(tǒng)平臺(tái)的防護(hù)要做好到不因偶然或者故意的外界因素影響系統(tǒng)運(yùn)行,保障信息的安全,減少信息丟失、受損、更改、泄露等,確保信息提供服務(wù)醫(yī)療工作的延續(xù)性、長期性、可用性與高效性,提升系統(tǒng)運(yùn)行安全性與可靠性。結(jié)合我國信息安全防護(hù)規(guī)范與醫(yī)院醫(yī)療信息工作防護(hù)需求來看,技術(shù)層面上醫(yī)院網(wǎng)絡(luò)信息安全主要分為三個(gè)層次,一是硬件設(shè)施安全,包括計(jì)算機(jī)、網(wǎng)絡(luò)交換機(jī)、機(jī)房、線路、電源等物理設(shè)備在內(nèi)的設(shè)備安全,二是數(shù)據(jù)或應(yīng)用安全,即軟件安全,保證信息系統(tǒng)相關(guān)軟件、程序、數(shù)據(jù)庫等操作的訪問安全,三是網(wǎng)絡(luò)與系統(tǒng)安全,即包括網(wǎng)絡(luò)通信、信息交換、信息應(yīng)用、信息備份、計(jì)算機(jī)系統(tǒng)等在內(nèi)的系統(tǒng)平臺(tái)免受系統(tǒng)入侵、攻擊等影響。

(2)安全防護(hù)現(xiàn)狀。目前國內(nèi)經(jīng)濟(jì)發(fā)達(dá)地區(qū)的二級(jí)醫(yī)院與三級(jí)醫(yī)院基本上已經(jīng)建立起了HIS系統(tǒng)與局域網(wǎng),通過與因特網(wǎng)連接構(gòu)建服務(wù)院內(nèi)醫(yī)療工作的信息平臺(tái),信息網(wǎng)絡(luò)運(yùn)行遵照內(nèi)外網(wǎng)物理隔離形式,因此相對(duì)而言運(yùn)行風(fēng)險(xiǎn)減小,在安全防護(hù)方面投入比例相對(duì)較低,不過面對(duì)越來越進(jìn)步的醫(yī)療需求,實(shí)現(xiàn)內(nèi)外網(wǎng)合一成為必然,有助于構(gòu)建更為高效的醫(yī)療信息共享模式、預(yù)防傳染疾病、建立大范圍醫(yī)療服務(wù)體系等,但是內(nèi)外網(wǎng)合一將會(huì)面臨更多的安全風(fēng)險(xiǎn)與漏洞,因此加強(qiáng)安全防護(hù)體系建設(shè)迫在眉睫,是保證醫(yī)療信息安全與高效管理的必然舉措。醫(yī)院信息安全防護(hù)體系的建設(shè)面臨著來自安全管理、硬件軟件等多方面的風(fēng)險(xiǎn),目前防護(hù)體系建設(shè)主要是通過升級(jí)硬件、軟件防護(hù)確保信息安全,通過加強(qiáng)人員管理與安全管理降低安全風(fēng)險(xiǎn)威脅,對(duì)于醫(yī)院醫(yī)療系統(tǒng)而言,隨著越來越多的信息化醫(yī)療設(shè)備、儀器、就醫(yī)人員等介入信息平臺(tái),安全防護(hù)體系建設(shè)所面臨的風(fēng)險(xiǎn)與需求也將會(huì)越來越大,因此針對(duì)醫(yī)療信息安全需求做好防護(hù)體系的建設(shè)與推廣應(yīng)用是目前進(jìn)步發(fā)展的關(guān)鍵。

(3)信息安全建設(shè)問題。當(dāng)前醫(yī)院網(wǎng)絡(luò)信息安全問題已經(jīng)成為困擾信息系統(tǒng)平臺(tái)運(yùn)行、應(yīng)用的瓶頸,為了應(yīng)對(duì)信息網(wǎng)絡(luò)時(shí)代頻繁的網(wǎng)絡(luò)攻擊與信息安全威脅,殺毒軟件、防火墻、入侵檢測技術(shù)、信息備份技術(shù)、數(shù)據(jù)庫安全技術(shù)等廣泛應(yīng)用于醫(yī)院網(wǎng)絡(luò)信息安全建設(shè)。上述技術(shù)雖然在確保網(wǎng)絡(luò)信息安全方面發(fā)揮了一定作用,但是同時(shí)也存在不足之處,就目前來看,我國醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系還存在不少問題。醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)使用的硬件、軟件產(chǎn)品因不屬于同一企業(yè),在整合、規(guī)劃、管理中容易存在漏洞導(dǎo)致重復(fù)建設(shè)或者潛在安全風(fēng)險(xiǎn)等問題,影響信息系統(tǒng)安全。信息平臺(tái)的構(gòu)造與使用專業(yè)性要求較高,并且設(shè)備、軟件需進(jìn)行專業(yè)整合,院內(nèi)桌面終端的分散與多邊、醫(yī)護(hù)人員水平高低、使用情況等都直接增加了信息安全防護(hù)的難度。目前醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)的建設(shè)與應(yīng)用缺乏統(tǒng)一的技術(shù)標(biāo)準(zhǔn)與規(guī)范,不利于信息技術(shù)的整合和信息平臺(tái)潛力的挖掘,一定程度上增加安全防護(hù)系統(tǒng)構(gòu)建與應(yīng)用的難度。網(wǎng)絡(luò)信息技術(shù)的發(fā)展與安全防護(hù)本身處于此消彼長的態(tài)勢(shì),在制定安全防護(hù)策略、構(gòu)建防護(hù)體系時(shí)必須做好與時(shí)俱進(jìn),最大限度的在降低經(jīng)濟(jì)成本的同時(shí)提升技術(shù)應(yīng)用效率與效益。

2醫(yī)院網(wǎng)絡(luò)信息安全防護(hù)體系的設(shè)計(jì)與應(yīng)用

(1)硬件設(shè)施建設(shè)。醫(yī)院安全防護(hù)系統(tǒng)硬件設(shè)施建設(shè)關(guān)鍵要做好核心服務(wù)器、交換機(jī)、應(yīng)用計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備等建設(shè),硬件建設(shè)優(yōu)劣直接決定信息服務(wù)效果與質(zhì)量,是確保醫(yī)院信息平臺(tái)順利運(yùn)行的關(guān)鍵物質(zhì)基礎(chǔ),因此為提升防護(hù)穩(wěn)定性與可靠性,加強(qiáng)硬件設(shè)施建設(shè)勢(shì)在必行。硬件設(shè)施建設(shè)要從設(shè)備型號(hào)、性能等入手,配合網(wǎng)絡(luò)布局規(guī)劃、服務(wù)需求制定最佳建設(shè)方案。以機(jī)房設(shè)計(jì)為例,作為安全防護(hù)信息系統(tǒng)的神經(jīng)中樞,醫(yī)院至少要建立兩個(gè)A級(jí)標(biāo)準(zhǔn)機(jī)房作為主機(jī)房與備用機(jī)房,并對(duì)監(jiān)控間、設(shè)備間、空調(diào)電源間做好設(shè)計(jì),比如空調(diào)電源間要做好精密控溫、恒溫恒濕、備用UPS電源等建設(shè),并留有充足的后續(xù)設(shè)備空間,另外要著重做好消防安全工作。監(jiān)控間要應(yīng)用專業(yè)的設(shè)備環(huán)境監(jiān)控系統(tǒng)及時(shí)掌握主機(jī)房環(huán)境變化,以便在意外發(fā)生時(shí)做到準(zhǔn)確應(yīng)對(duì)。硬件配備方面為滿足醫(yī)院工作網(wǎng)絡(luò)信息安全防護(hù)需求,要配備優(yōu)質(zhì)的設(shè)備以保證數(shù)據(jù)訪問效率,利用HIS服務(wù)器、PACS服務(wù)器等為實(shí)現(xiàn)辦公自動(dòng)化、電子病歷、信息安全管理提供強(qiáng)勁動(dòng)力;應(yīng)用混合光纖磁盤陣列、近線存儲(chǔ)等完成海量數(shù)據(jù)的存儲(chǔ)、交換與備份,并采用核心交換機(jī)、光纖寬帶等構(gòu)件高性能網(wǎng)絡(luò)平臺(tái),并在醫(yī)院內(nèi)部配備優(yōu)質(zhì)計(jì)算機(jī)服務(wù)終端。網(wǎng)絡(luò)布局方面,根據(jù)醫(yī)院性質(zhì)做好軍網(wǎng)、醫(yī)保專網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)的聯(lián)合建設(shè),內(nèi)網(wǎng)建設(shè)是關(guān)鍵部分,要著重加強(qiáng)安全防護(hù)建設(shè),并留有網(wǎng)站備份與未來拓展空間,為醫(yī)院信息安全管理提供支持與保障。

(2)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)。醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全威脅主要來自于外部攻擊入侵或者網(wǎng)絡(luò)本身缺陷所導(dǎo)致的運(yùn)行失誤、效率下降、系統(tǒng)崩潰等問題,攻擊入侵包括木馬病毒攻擊、系統(tǒng)漏洞等,因此要著重做好網(wǎng)絡(luò)安全防護(hù)與系統(tǒng)安全防護(hù)。網(wǎng)絡(luò)安全防護(hù)要根據(jù)醫(yī)院網(wǎng)絡(luò)性質(zhì)做好內(nèi)外網(wǎng)融合與統(tǒng)一,保證專網(wǎng)、軍網(wǎng)等介入內(nèi)網(wǎng)時(shí)受到物理防火墻、網(wǎng)閘的有效保護(hù),屏蔽內(nèi)網(wǎng)信息、運(yùn)行情況及結(jié)構(gòu),有效預(yù)防、制止非法入侵及破壞行為,并且為了提升防護(hù)效果,要盡量配合網(wǎng)絡(luò)運(yùn)行監(jiān)控系統(tǒng)以達(dá)到理想防護(hù)效果。系統(tǒng)安全防護(hù)需要建立完善的病毒防護(hù)體系,處理好系統(tǒng)終端計(jì)算機(jī)內(nèi)的病毒、木馬等,建立有效權(quán)限制度以達(dá)到保護(hù)信息、防護(hù)內(nèi)外入侵等行為,可通過采購企業(yè)版病毒防護(hù)軟件定期更新病毒庫達(dá)到自動(dòng)殺毒維護(hù)安全效果;系統(tǒng)內(nèi)部防護(hù)安全與計(jì)算機(jī)個(gè)人網(wǎng)絡(luò)終端關(guān)系密切,因此要在院內(nèi)移動(dòng)終端上增加桌面控制軟件以實(shí)施全面安全管理,通過系統(tǒng)補(bǔ)丁分發(fā)、端口訪問、安全準(zhǔn)入等機(jī)制實(shí)現(xiàn)防護(hù)。

(3)數(shù)據(jù)應(yīng)用安全。數(shù)據(jù)應(yīng)用安全關(guān)鍵要做好數(shù)據(jù)存儲(chǔ)、訪問、應(yīng)用安全及信息系統(tǒng)軟件運(yùn)行安全。數(shù)據(jù)存儲(chǔ)安全與系統(tǒng)環(huán)境、硬件設(shè)備、數(shù)據(jù)庫安全密切相關(guān),因系統(tǒng)漏洞、硬件損毀、數(shù)據(jù)庫錯(cuò)誤等造成數(shù)據(jù)毀壞要通過采取備份、恢復(fù)、數(shù)據(jù)容錯(cuò)等舉措解決。為保證數(shù)據(jù)安全性與完整性,要建立數(shù)據(jù)庫本機(jī)與多機(jī)備份機(jī)制,尤其是核心數(shù)據(jù)庫要分別建立主、備用服務(wù)器,一旦其中之一發(fā)生意外立即采取補(bǔ)救措施實(shí)現(xiàn)自動(dòng)切換,尤其是電子病歷要進(jìn)行專業(yè)備份及歸檔,確保數(shù)據(jù)完整性與可用性。數(shù)據(jù)訪問安全問題主要以非法用戶訪問、非法篡改數(shù)據(jù)為主要表現(xiàn),要完善醫(yī)院內(nèi)部訪問權(quán)限與身份準(zhǔn)入系統(tǒng),實(shí)現(xiàn)統(tǒng)一授權(quán)管理,以減少信息丟失、錯(cuò)誤等情況。要對(duì)數(shù)據(jù)庫安全環(huán)境建設(shè)、應(yīng)用軟件環(huán)境建設(shè)倍加關(guān)注,如lP±IE址的設(shè)置、數(shù)據(jù)庫配置、環(huán)境變量設(shè)置等,實(shí)現(xiàn)統(tǒng)一運(yùn)行環(huán)境與地址綁定,降低安全運(yùn)行風(fēng)險(xiǎn)。

(4)安全管理制度。醫(yī)院內(nèi)部要做好信息安全管理制度的完善與執(zhí)行,根據(jù)國家政策、行業(yè)法規(guī)、院內(nèi)需求積極完善系統(tǒng)及數(shù)據(jù)應(yīng)用,確保網(wǎng)絡(luò)信息安全防護(hù)系統(tǒng)始終維持良性運(yùn)行狀態(tài),為醫(yī)院安全建設(shè)奠定基石。要加強(qiáng)網(wǎng)絡(luò)安全值班制度建設(shè),配備專業(yè)人員監(jiān)督網(wǎng)絡(luò)系統(tǒng)運(yùn)行,并配備專業(yè)監(jiān)控系統(tǒng)及時(shí)處理各類問題與意外,對(duì)于問題嚴(yán)重者要及時(shí)通報(bào)技術(shù)科室進(jìn)行維修養(yǎng)護(hù),確保醫(yī)院信息系統(tǒng)始終處于24小時(shí)監(jiān)控維護(hù)下。值班管理中,要做好系統(tǒng)運(yùn)行情況記錄,并進(jìn)行數(shù)據(jù)備份,確保值班日記連貫、完整,為安全管理提供幫助。院內(nèi)用戶管理是安全管理另一重點(diǎn),權(quán)限管理中要嚴(yán)格管理員權(quán)限準(zhǔn)入機(jī)制,做好院內(nèi)計(jì)算機(jī)終端設(shè)備的改造,做好院內(nèi)工作人員專業(yè)培訓(xùn),以便實(shí)現(xiàn)用戶合法、合規(guī)訪問系統(tǒng),減少系統(tǒng)運(yùn)行與訪問風(fēng)險(xiǎn),保證信息數(shù)據(jù)的安全性。

(5)應(yīng)用實(shí)踐。為了確保醫(yī)院網(wǎng)絡(luò)安全信息防護(hù)系統(tǒng)得到有效運(yùn)行,在實(shí)際運(yùn)營中要增加相應(yīng)的運(yùn)維管理系統(tǒng)與安全防護(hù)系統(tǒng)達(dá)到理想防護(hù)效果。比如在主機(jī)房設(shè)置機(jī)房動(dòng)力與環(huán)境監(jiān)控系統(tǒng),對(duì)機(jī)房準(zhǔn)入權(quán)限、電源供應(yīng)、通風(fēng)、控溫、消防等情況進(jìn)行監(jiān)控,確保機(jī)房始終維持在理想的恒溫、恒濕現(xiàn)狀,電壓、電流、頻率滿足需求,并將變化做好數(shù)據(jù)記錄監(jiān)控,為機(jī)房高效管理提供保障;在醫(yī)院內(nèi)網(wǎng)設(shè)置專門的安全防護(hù)系統(tǒng),以規(guī)范約束院內(nèi)終端用戶操作與應(yīng)用,避免非法訪問與數(shù)據(jù)篡改,該系統(tǒng)與院內(nèi)身份認(rèn)證系統(tǒng)合作,通過靈活的安全策略實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)用戶、終端計(jì)算機(jī)的安全管理,充分踐行事前預(yù)防、事中控制、事后審計(jì)的原則,實(shí)現(xiàn)安全行為管理;針對(duì)電子病歷管理,要建立專門的VERITAS存儲(chǔ)管理系統(tǒng)對(duì)病例數(shù)據(jù)進(jìn)行存儲(chǔ)、備份與恢復(fù),并根據(jù)備份策略做好病程文件的保護(hù)與恢復(fù),以確保醫(yī)療工作的順利進(jìn)行。

3結(jié)語

綜上所述,醫(yī)院網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)與應(yīng)用有助于降低醫(yī)院信息安全風(fēng)險(xiǎn),提升信息系統(tǒng)可靠性、可用性與安全性,對(duì)于提升醫(yī)院醫(yī)療服務(wù)質(zhì)量與效果有積極意義,可有效減少院內(nèi)信息系統(tǒng)安全故障、降低安全運(yùn)行風(fēng)險(xiǎn),提升系統(tǒng)運(yùn)行服務(wù)質(zhì)量,對(duì)于國內(nèi)醫(yī)療改革進(jìn)步、創(chuàng)新有重要實(shí)用價(jià)值。

參考文獻(xiàn):

[1]胡祎.醫(yī)院信息網(wǎng)絡(luò)建設(shè)中的安全技術(shù)體系[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2013(10):59

[2]劉夏娥.醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全體系構(gòu)造[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2013(1):51

篇6

[關(guān)鍵詞]醫(yī)院檔案;檔案安全;防范策略

隨著社會(huì)經(jīng)濟(jì)的發(fā)展和科學(xué)技術(shù)的進(jìn)步,促使各種載體形式的檔案開始在醫(yī)院出現(xiàn),從而給醫(yī)院的安全管理工作帶來困難。檔案的安全管理始終是醫(yī)院檔案管理工作的底線,是醫(yī)院檔案部門最基本的工作。因此在信息化不斷發(fā)展的今天醫(yī)院檔案安全管理又相應(yīng)的出現(xiàn)了許多新的安全問題,需要對(duì)醫(yī)院檔案安全管理進(jìn)行深入的研究并相應(yīng)的提出解決的對(duì)策,從而促進(jìn)醫(yī)院檔案安全管理的合理性和有序性。

一、醫(yī)院檔案檔案的特點(diǎn)

1.檔案類型繁多

醫(yī)院內(nèi)部各科室的工作內(nèi)容非常廣泛,因此檔案的種類多種多樣。例如病案檔案、財(cái)務(wù)檔案、醫(yī)療設(shè)備檔案、醫(yī)院人事檔案、醫(yī)療科研檔案、基建工程檔案等多種形式。同時(shí)隨著醫(yī)院醫(yī)療技術(shù)、設(shè)備引進(jìn)和人員建設(shè)等方面的要素不斷發(fā)展,促使醫(yī)院檔案不論是在數(shù)量上還是在種類上都在不斷的增加,使醫(yī)院的管理工作任務(wù)加重。

2.檔案載體的多樣化

傳統(tǒng)醫(yī)院的檔案多以紙質(zhì)載體為主,紙質(zhì)檔案的數(shù)量非常大并且極易損壞和老化,同時(shí)還不容易管理和查詢?,F(xiàn)今隨著電子信息技術(shù)的發(fā)展,使醫(yī)院的檔案載體呈現(xiàn)多樣化的發(fā)展趨勢(shì),例如電子信息檔案、音頻和視頻檔案、膠片檔案、實(shí)物檔案等多種載體形式。具有體積小、便攜帶、易查找等多種優(yōu)勢(shì)[1]。

3.檔案管理的信息化發(fā)展

檔案管理的信息化建設(shè)是今后我國檔案管理的重要發(fā)展目標(biāo),實(shí)現(xiàn)檔案管理的信息化建設(shè)可以便于檔案的歸類、分檔和查詢。因此醫(yī)院的檔案管理的信息化發(fā)展也成為了今后醫(yī)院檔案管理工作的重點(diǎn),從而有效的提升醫(yī)院檔案管理的工作效率。

二、影響醫(yī)院檔案安全的因素

1.自然環(huán)境因素

影響醫(yī)院檔案安全性的主要自然環(huán)境因素有:(1)火災(zāi)。醫(yī)院火災(zāi)的發(fā)生不僅是自然和人為因素共同造成的結(jié)果,對(duì)于大量的醫(yī)院紙質(zhì)檔案來說極易發(fā)生火災(zāi)的危險(xiǎn),從而使檔案安全受到損壞。(2)水災(zāi)。不論是紙質(zhì)檔案還是電子形式的檔案等如果受到水的侵蝕就會(huì)產(chǎn)生嚴(yán)重的破壞,所以水災(zāi)是影響醫(yī)院檔案安全的普遍因素。

2.醫(yī)院檔案管理因素

醫(yī)院檔案管理的缺失是影響檔案安全的關(guān)鍵性因素,只有加強(qiáng)各方面的管理水平才能真正的保證醫(yī)院檔案管理的安全性。具體的有:(1)醫(yī)院檔案庫房的建設(shè)和管理。醫(yī)院檔案庫房在創(chuàng)建時(shí)就要注重內(nèi)部的防火、防水、防蟲、防盜等問題。檔案庫房的管理人員也必須從這些方面加強(qiáng)管理,提高醫(yī)院檔案的安全性。(2)檔案管理制度和水平。從國家檔案管理制度層面來說,醫(yī)院的檔案管理要依照國家的相關(guān)制度和法律運(yùn)行,做好檔案的保密工作。同時(shí)醫(yī)院內(nèi)部檔案管理制度不健全也會(huì)造成檔案管理缺乏一定的規(guī)范造成檔案安全問題。(3)載體因素。主要是指對(duì)于現(xiàn)今新型的檔案載體而言,如電子信息可以被惡意復(fù)制和修改的行為,或者計(jì)算機(jī)病毒的影響等都會(huì)給醫(yī)院檔案的安全性帶來影響。

3.檔案人員因素

影響檔案管理安全的重要人為因素就是檔案的管理者,是檔案的直接接觸者,其行為和工作對(duì)檔案的安全至關(guān)重要。例如,如果醫(yī)院檔案管理人員的安全意識(shí)不高就會(huì)忽視檔案的安全管理問題。同時(shí)還存在一些惡意的人為破壞問題,例如電子檔案極容易被某種利益驅(qū)使的不法分子通過病毒入侵來獲取數(shù)據(jù)信息或者損壞電子檔案等問題。所以檔案的管理人員還必須掌握一定的電子信息技術(shù),來保證檔案的安全性。

三、醫(yī)院檔案的安全防范策略

1.加強(qiáng)醫(yī)院檔案管理制度的建設(shè)

首先要建立健全醫(yī)院檔案管理的各項(xiàng)規(guī)章制度,為檔案管理的工作人員提供一定的管理規(guī)范支持。同時(shí)要注意醫(yī)院檔案管理規(guī)章制度執(zhí)行的監(jiān)督力度。再者針對(duì)檔案信息安全風(fēng)險(xiǎn)要完善醫(yī)院檔案管理的信息安全制度,醫(yī)院檔案管理的信息安全管理工作的重點(diǎn)就是要加強(qiáng)檔案管理設(shè)備、系統(tǒng)、網(wǎng)絡(luò)以及檔案數(shù)據(jù)的管理工作。面對(duì)電子檔案容易被病毒侵襲、被傳播、修改、盜取等問題,在完善預(yù)防技術(shù)的同時(shí)要建立健全的管理規(guī)程,做好醫(yī)院電子檔案的保密、保真和保存工作。

2.加強(qiáng)醫(yī)院檔案安全設(shè)施的建設(shè)

主要是指醫(yī)院的檔案庫起到檔案安全防范的重要屏障作用,有效的加強(qiáng)醫(yī)院檔案安全設(shè)施建設(shè)是檔案安全的基本保障。首先要為檔案的防治提供一個(gè)安全的環(huán)境,確保實(shí)體檔案的安全。同時(shí)要做好檔案的防災(zāi)和減災(zāi)工作,最重要的就是要注重防火、防水設(shè)施的建設(shè),還要注重檔案的密封和保密工作,避免出現(xiàn)盜取的安全危險(xiǎn)。再者檔案庫的建設(shè)結(jié)構(gòu)要注重抗震、防災(zāi)等方面的要求,要嚴(yán)格的按照《檔案館建設(shè)標(biāo)準(zhǔn)》和《檔案管建筑涉及規(guī)范》建設(shè)實(shí)施。其次是檔案的放置設(shè)施的建設(shè),為了考慮檔案管理的便利性和安全性可以采用檔案放置的雙節(jié)柜,同時(shí)有效的控制周圍的溫度和濕度。為醫(yī)院放置的檔案提供一個(gè)安全的存放環(huán)境[2]。

3.加強(qiáng)檔案管理人員的建設(shè)

隨著醫(yī)院檔案管理的信息化發(fā)展,對(duì)醫(yī)院的檔案管理人員的要求逐漸提升,所以必須通過不斷的建設(shè)提高檔案工作人員的綜合素質(zhì)。首先要注重醫(yī)院檔案管理人員的培訓(xùn)工作,加大檔案安全教育和培訓(xùn)學(xué)習(xí)的禮俗,培養(yǎng)檔案管理工作人員的檔案信息安全意識(shí)、保密責(zé)任意識(shí)和安全的防范意識(shí)。其次要注重檔案管理工作人員檔案安全保障知識(shí)和相關(guān)技能的培養(yǎng),避免電子檔案出現(xiàn)信息安全問題,培養(yǎng)一支安全責(zé)任意識(shí)墻,能夠掌握現(xiàn)代信息安全防范技術(shù)的專業(yè)醫(yī)院檔案管理人員,從而為醫(yī)院檔案管理安全提供必要的保障。

結(jié)語

醫(yī)院的檔案管理工作是醫(yī)院基層工作的重要組成部分,檔案管理記載著醫(yī)院醫(yī)療發(fā)展、人員構(gòu)成、醫(yī)療技術(shù)創(chuàng)新等多方面的發(fā)展成果,為醫(yī)院的建設(shè)提供重要的資料支撐。因此醫(yī)院檔案安全管理工作始終是醫(yī)院檔案管理的基礎(chǔ)工作和最重要的任務(wù)。為了更好的完善醫(yī)院檔案安全管理工作,就必須充分的掌握容易引起檔案安全缺失的各種因素,從而可以有針對(duì)性的找出應(yīng)對(duì)醫(yī)院檔案安全的防范措施,為醫(yī)院的檔案建設(shè)提供重要的管理支撐。

參考文獻(xiàn)

[1]許黛薇.談醫(yī)院檔案的安全管理[J].云南檔案,2010,(9):54-55.

篇7

一、我院信息網(wǎng)絡(luò)安全工作開展情況

(一)概況:我院信息化建設(shè)起步晚,基礎(chǔ)薄弱。在院領(lǐng)導(dǎo)的重視支持下,自2013年開始信息化建設(shè)得以快速發(fā)展。目前醫(yī)院設(shè)立單獨(dú)中心機(jī)房,配備有服務(wù)器、存儲(chǔ)、核心交換機(jī)、防火墻、UPS、VPN、IPS等專用設(shè)備。工作人員為4人,負(fù)責(zé)全院信息網(wǎng)絡(luò)建設(shè),信息系統(tǒng)維護(hù)、軟硬件設(shè)備維護(hù)等工作。相繼建設(shè)運(yùn)行的系統(tǒng)有:HIS系統(tǒng)、LIS系統(tǒng)、體檢系統(tǒng)、電子病歷等業(yè)務(wù)。

(二)關(guān)鍵信息基礎(chǔ)設(shè)施情況:我院關(guān)鍵信息基礎(chǔ)設(shè)施主要是業(yè)務(wù)類系統(tǒng),負(fù)責(zé)全院醫(yī)療業(yè)務(wù)流程管理和質(zhì)量管理、醫(yī)院日常辦公管理。醫(yī)院網(wǎng)站為托管模式,與我院內(nèi)網(wǎng)完全分離,制定較為嚴(yán)格的管理及訪問規(guī)則,保證網(wǎng)站安全運(yùn)行。

(三)醫(yī)院網(wǎng)絡(luò)安全主要工作情況:

(1)加強(qiáng)制度建設(shè)和培訓(xùn)宣傳。我院近兩年完善了信息網(wǎng)絡(luò)管理及安全建設(shè)相關(guān)的管理制度、應(yīng)急預(yù)案,制定了網(wǎng)絡(luò)及安全管理崗位職責(zé)、工作流程,開展了全員參與的信息網(wǎng)絡(luò)安全培訓(xùn),通過不斷的宣傳和督促,讓員工樹立信息網(wǎng)絡(luò)安全意識(shí),主動(dòng)參與網(wǎng)絡(luò)安全防護(hù)、防止信息泄露,確保醫(yī)院信息網(wǎng)絡(luò)運(yùn)行安全。

(2)健全組織,強(qiáng)化責(zé)任。信息管理作為醫(yī)院管理的重要工作之一,院領(lǐng)導(dǎo)十分重視。醫(yī)院調(diào)整了信息化建設(shè)領(lǐng)導(dǎo)小組,由院長任組長,相關(guān)人員為成員。領(lǐng)導(dǎo)小組下設(shè)工作小組,由相關(guān)職能科室負(fù)責(zé)人、信息技術(shù)專業(yè)人員為成員。明確了包括醫(yī)院信息規(guī)劃、信息網(wǎng)絡(luò)建設(shè)、信息網(wǎng)絡(luò)安全、網(wǎng)絡(luò)應(yīng)急、人員培訓(xùn)等方面的職能職責(zé)。為了進(jìn)一步落實(shí)各級(jí)主管部門強(qiáng)調(diào)加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的要求,醫(yī)院成立了醫(yī)院網(wǎng)絡(luò)安全管理小組并明確責(zé)任。對(duì)照國家及上級(jí)有關(guān)部門的要求,不斷完善醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)功能,不斷提升信息系統(tǒng)安全性與穩(wěn)定性,滿足日益增加的信息網(wǎng)絡(luò)技術(shù)服務(wù)需求。

(3)加強(qiáng)信息科管理。科室內(nèi)經(jīng)常性對(duì)信息網(wǎng)絡(luò)安全工作加以強(qiáng)調(diào),盡量安排人員參加每一次信息網(wǎng)絡(luò)安全知識(shí)培訓(xùn)。落實(shí)機(jī)房中心設(shè)備定期巡查制度,及時(shí)排除隱患。信息科組織專人到科室開展信息網(wǎng)絡(luò)安全巡查,提醒和糾正員工在日常操作中不規(guī)范行為,減少隱患。對(duì)醫(yī)院重要數(shù)據(jù)庫數(shù)據(jù)采用每日備份,和定期拷貝備份的方式,確保數(shù)據(jù)安全。

(4)多種防護(hù)措施保證信息網(wǎng)絡(luò)安全。一是業(yè)務(wù)用局域網(wǎng)與互聯(lián)網(wǎng)物理隔離。同時(shí)連接的有醫(yī)保專網(wǎng)、新農(nóng)和專網(wǎng),與互聯(lián)網(wǎng)一樣通過防火墻設(shè)備進(jìn)入。二是訪問公網(wǎng)的計(jì)算機(jī)均為固定IP,并綁定計(jì)算機(jī),且與內(nèi)網(wǎng)隔離。防止外來計(jì)算機(jī)的進(jìn)入,帶來安全隱患。財(cái)務(wù)管理軟件系統(tǒng)的計(jì)算機(jī)連接財(cái)政專網(wǎng)與內(nèi)網(wǎng)完全隔離。三是今年購置了一臺(tái)新IPS設(shè)備,嚴(yán)把入口,局域內(nèi)網(wǎng)分區(qū)域分段管理,限制訪問權(quán)限,避免病毒全網(wǎng)傳播。四是院內(nèi)局域網(wǎng)中客戶端均實(shí)行域控管理,對(duì)客戶端系統(tǒng)安裝均為本科專人管理預(yù)防病毒感染和威脅。五是重點(diǎn)部位重點(diǎn)管理,機(jī)房不準(zhǔn)無關(guān)人員進(jìn)入,系統(tǒng)數(shù)據(jù)庫均設(shè)置復(fù)雜密碼,專人保管。六是定期監(jiān)控局域網(wǎng)內(nèi)計(jì)算機(jī)是否異常,通過限制局域網(wǎng)內(nèi)計(jì)算機(jī)使用U盤來防止病毒在網(wǎng)內(nèi)傳播。七是服務(wù)器區(qū)關(guān)閉非必須端口,提升防護(hù)能力。八是對(duì)辦公使用的外網(wǎng)計(jì)算機(jī),安裝了免費(fèi)防病毒軟件。

二、主要存在的問題

盡管采取了一定的防范措施和手段,我們依然感覺到網(wǎng)絡(luò)發(fā)展之快,和現(xiàn)實(shí)工作對(duì)網(wǎng)絡(luò)的依賴程度之高,給我們的網(wǎng)絡(luò)管理帶來了很大壓力,特別是隨著業(yè)務(wù)的擴(kuò)展和增加,以及上級(jí)各部門的工作通過互聯(lián)網(wǎng)完成的趨勢(shì)要求,網(wǎng)絡(luò)及數(shù)據(jù)安全問題的壓力陡增。通過自查及整改后防護(hù)有所好轉(zhuǎn),但仍然存在一些問題,主要表現(xiàn)在:

(一)隨著互聯(lián)網(wǎng)+醫(yī)療的推進(jìn),未來將會(huì)多系統(tǒng)通過互聯(lián)網(wǎng)進(jìn)入,對(duì)醫(yī)院局域網(wǎng)將帶來很大威脅,存在一定的安全隱患。醫(yī)院的業(yè)務(wù)系統(tǒng)獨(dú)成一體,在醫(yī)院內(nèi)部應(yīng)用,通過內(nèi)部局域網(wǎng)的管理和控制,基本可以保證安全與穩(wěn)定。但隨著各部門要求醫(yī)院實(shí)時(shí)上報(bào)相關(guān)數(shù)據(jù),雖然大部分專線來完成數(shù)據(jù)傳輸,但也有通過公共互聯(lián)網(wǎng)進(jìn)行上報(bào)如網(wǎng)上預(yù)約、線上線下支付等,對(duì)醫(yī)院的管理和安全防護(hù)帶來壓力。醫(yī)院目前的安全防護(hù)設(shè)備相對(duì)較少,僅靠人力被動(dòng)處理,抵御能力有限。

(二)信息安全需要一定經(jīng)費(fèi)投入,對(duì)醫(yī)院來說有壓力。醫(yī)院也通過購置相關(guān)設(shè)備對(duì)醫(yī)院的信息安全進(jìn)行一定的管理,但這些設(shè)備需要不斷的更新,需要費(fèi)用不斷投入,而且因?yàn)閮r(jià)格過高而沒有單獨(dú)購置主要系統(tǒng)(操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)殺毒)的正版軟件,對(duì)安全來說沒有保障。

(三)安全防護(hù)本身就是一個(gè)難題,涉及的點(diǎn)面較多,普通應(yīng)用人員對(duì)網(wǎng)絡(luò)威脅的辨別能力和防范意識(shí)不高,也容易產(chǎn)生隱患。而目前醫(yī)院網(wǎng)絡(luò)管理專業(yè)技術(shù)人員缺乏也是安全防護(hù)隱患存在的一個(gè)因素。

三、下一步工作措施及建議

通過本次的自查,我們將進(jìn)行下一步整改,通過對(duì)制度的完善,加強(qiáng)培訓(xùn),增購設(shè)備等,使我院信息網(wǎng)絡(luò)安全進(jìn)一步強(qiáng)化。下一步我們?nèi)匀粫?huì)對(duì)照各級(jí)部門對(duì)信息網(wǎng)絡(luò)安全的要求,利用有限的資金做好安全防護(hù),逐步達(dá)到信息安全管理工作的各項(xiàng)要求。

(一)加強(qiáng)信息安全組織管理。完善信息管理組織的職能,堅(jiān)持定期開展專題工作會(huì)議,安排部署信息網(wǎng)絡(luò)建設(shè)及安全等各項(xiàng)工作。巡查常態(tài)化,通過督促檢查,提升員工安全防護(hù)意識(shí)。

(二)根據(jù)實(shí)際落實(shí)和變化情況,修訂完善細(xì)化各類規(guī)章制度,通過網(wǎng)絡(luò)宣傳、現(xiàn)場指導(dǎo)培訓(xùn)、集中培訓(xùn)等多種方式提高大家在網(wǎng)絡(luò)環(huán)境中的安全意識(shí)。辨識(shí)虛擬環(huán)境中的不安全因素。

(三)進(jìn)行嚴(yán)格的訪問權(quán)限設(shè)置,降低安全風(fēng)險(xiǎn),嚴(yán)令禁止內(nèi)網(wǎng)用戶使用移動(dòng)介質(zhì)訪問,杜絕病毒網(wǎng)內(nèi)傳播蔓延。

篇8

[關(guān)鍵詞]醫(yī)院;信息系統(tǒng);網(wǎng)絡(luò)安全;管理;醫(yī)療

doi:10.3969/j.issn.1673 - 0194.2016.14.099

[中圖分類號(hào)]TP393.08 [文獻(xiàn)標(biāo)識(shí)碼]A [文章編號(hào)]1673-0194(2016)14-0-02

醫(yī)院信息系統(tǒng)(Hospital Information System,HIS)是指運(yùn)用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)等現(xiàn)代化技術(shù),對(duì)醫(yī)院的人流、物流、財(cái)流等進(jìn)行綜合性管理,以將醫(yī)院各項(xiàng)醫(yī)療行為所產(chǎn)生的數(shù)據(jù)加工成各種信息,進(jìn)而為醫(yī)院的整體運(yùn)作提供現(xiàn)代化管理的信息系統(tǒng)。醫(yī)院信息系統(tǒng)作為現(xiàn)代化醫(yī)院建設(shè)中不可或缺的組成部分,其應(yīng)用有助于提升醫(yī)院的業(yè)務(wù)水平、提高醫(yī)療服務(wù)質(zhì)量。但是隨著我國醫(yī)院信息系統(tǒng)的不斷推廣與應(yīng)用,其安全隱患問題也逐漸暴露出來,這給醫(yī)院的信息安全帶來了極大的威脅。從信息安全管理層面入手,醫(yī)院信息系統(tǒng)存在網(wǎng)絡(luò)安全隱患的主要原因在于缺少行之有效的信息安全策略,使系統(tǒng)的網(wǎng)絡(luò)通信與數(shù)據(jù)備份等操作的安全性無法獲得根本的保障。

1 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理現(xiàn)存的問題

1.1 殺毒軟件、系統(tǒng)補(bǔ)丁更新不及時(shí)

當(dāng)前,諸多醫(yī)院在應(yīng)用醫(yī)院信息系統(tǒng)時(shí),通常都會(huì)在業(yè)務(wù)主機(jī)中安裝殺毒軟件,但因?yàn)橹鳈C(jī)數(shù)量較大,維護(hù)難度也較大,導(dǎo)致計(jì)算機(jī)維護(hù)人員很難保證所有主機(jī)的殺毒軟件、系統(tǒng)補(bǔ)丁都是最新版本,使醫(yī)院信息系統(tǒng)的應(yīng)用存在網(wǎng)絡(luò)安全管理問題。

1.2 IP、MAC地址綁定無現(xiàn)實(shí)意義

個(gè)別醫(yī)院為了避免外來者隨意連接院內(nèi)網(wǎng)絡(luò),通常都會(huì)選擇在接入層的交換機(jī)上將IP地址、MAC地址與端口綁定。但是此操作存在兩大安全隱患:第一,IP地址、MAC地址的綁定必須逐臺(tái)電腦進(jìn)行設(shè)置操作,工作量非常大,也很不方便;第二,略懂計(jì)算機(jī)技術(shù)的人能輕松修改IP地址、MAC地址,進(jìn)而使其綁定失去現(xiàn)實(shí)意義。

1.3 IDS入侵檢測系統(tǒng)作用失效

當(dāng)前,大多數(shù)醫(yī)院在應(yīng)用醫(yī)院信息系統(tǒng)時(shí)都安裝了IDS入侵檢測系統(tǒng),但該系統(tǒng)只能在出現(xiàn)異常時(shí)發(fā)出預(yù)警提示,而無法實(shí)現(xiàn)其他功能,因此導(dǎo)致入侵檢測的功能難以見效。

1.4 數(shù)據(jù)庫安全審計(jì)系統(tǒng)難以定位到人

在應(yīng)用信息系統(tǒng)時(shí),大多數(shù)醫(yī)院為了有效避免數(shù)據(jù)被修改或盜取,通常會(huì)選擇對(duì)登錄者進(jìn)行訪問權(quán)限設(shè)置,但此操作依然不能有效預(yù)防惡意者的不法行為。數(shù)據(jù)庫安全審計(jì)系統(tǒng)能夠詳細(xì)記錄數(shù)據(jù)庫的各項(xiàng)操作,并準(zhǔn)確定位到IP地址,但卻難以與IP地址所在的人員一一綁定,因此導(dǎo)致無法將責(zé)任追究到個(gè)人。

2 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理的需求

2.1 身份驗(yàn)證與訪問控制需求

按照角色級(jí)別與用戶類型以及對(duì)醫(yī)院信息操作的重要性,判斷是否進(jìn)行身份驗(yàn)證,另外應(yīng)對(duì)不同的用戶采用不同的方式驗(yàn)證。訪問控制管理必須有明確的條件約束,以確保用戶能夠在權(quán)限范圍內(nèi)登錄醫(yī)院信息系統(tǒng)。

2.2 信息資產(chǎn)的安全管理需求

對(duì)醫(yī)院信息資產(chǎn)的安全管理應(yīng)從硬件與軟件兩個(gè)層面來分析。在硬件上,應(yīng)保證信息資產(chǎn)處于絕對(duì)安全的環(huán)境中,以保證信息資產(chǎn)的安全性;同時(shí)要保證醫(yī)院信息系統(tǒng)中各核心設(shè)備的合理冗余。在軟件上,應(yīng)保證操作系統(tǒng)與應(yīng)用軟件的安全性,保證入網(wǎng)用戶端設(shè)備外連接口啟動(dòng)、后臺(tái)服務(wù)等運(yùn)行的安全性。

2.3 網(wǎng)絡(luò)通信的安全管理需求

醫(yī)院信息系統(tǒng)要能對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行實(shí)時(shí)控制,同時(shí)能夠屏蔽危險(xiǎn)網(wǎng)絡(luò)行為,自行檢測并處理安全事件,以及時(shí)對(duì)系統(tǒng)故障進(jìn)行處理,進(jìn)而避免網(wǎng)絡(luò)風(fēng)險(xiǎn)事故的發(fā)生,保證網(wǎng)絡(luò)通信操作行為的安全性。

3 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理的創(chuàng)新對(duì)策

3.1 物理安全管理對(duì)策

醫(yī)院信息系統(tǒng)的物流安全是指各種硬件信息資產(chǎn)的物理保護(hù),以防遭到破壞,其保護(hù)對(duì)象包括中心機(jī)房、服務(wù)器、工作站與硬件接口設(shè)備等。中心機(jī)房是醫(yī)院信息系統(tǒng)的核心設(shè)備,對(duì)其進(jìn)行網(wǎng)絡(luò)安全管理的過程中,①應(yīng)按其設(shè)備需求,對(duì)室內(nèi)溫度、濕度進(jìn)行嚴(yán)格把控;②應(yīng)啟動(dòng)門禁制度,以控制人員流動(dòng);③應(yīng)實(shí)施多路供電,以確保電源不中斷;④應(yīng)采取避雷措施。服務(wù)器在醫(yī)院信息系統(tǒng)的運(yùn)作中占據(jù)了舉足輕重的地位,服務(wù)器一旦發(fā)生故障,則會(huì)造成整個(gè)系統(tǒng)的癱瘓,因此必須確保服務(wù)器24小時(shí)正常運(yùn)行,還應(yīng)進(jìn)行冗余設(shè)置,可采用多機(jī)容錯(cuò)、多機(jī)熱備份方案,或采用雙服務(wù)器;同時(shí)要給服務(wù)器配置高質(zhì)量的UPS電源,并進(jìn)行冗余設(shè)置。工作站是醫(yī)院臨床醫(yī)師與護(hù)理人員的終端PC設(shè)備,可作為醫(yī)院信息系統(tǒng)的獨(dú)立模塊,對(duì)其進(jìn)行網(wǎng)絡(luò)安全管理時(shí),應(yīng)確保其工作環(huán)境的安全性,同時(shí)對(duì)軟盤、光盤的使用進(jìn)行明確規(guī)定,并用軟件對(duì)用戶的行為進(jìn)行監(jiān)控。硬件接口設(shè)備包括路由器、集線器等,管理時(shí)應(yīng)制定嚴(yán)格的制度,做好傳輸電纜端口的記錄。

3.2 身份驗(yàn)證管理對(duì)策

當(dāng)前,大多數(shù)醫(yī)院所選用的醫(yī)院信息系統(tǒng)都是基于“B/S”結(jié)構(gòu)與“用戶名+密碼”的方式驗(yàn)證身份,這種方式較為單一,難以滿足醫(yī)院信息系統(tǒng)的升級(jí)需求。建議在“用戶名+密碼”身份驗(yàn)證方式的基礎(chǔ)上,由醫(yī)院信息系統(tǒng)網(wǎng)管人員統(tǒng)一設(shè)置,靈活綁定用戶名相關(guān)信息,再統(tǒng)一下發(fā)至接入層交換機(jī),以加強(qiáng)對(duì)用戶身份的驗(yàn)證與管理。也可采取安裝網(wǎng)絡(luò)安全管理軟件的方式,評(píng)測主機(jī)的接入是否符合要求,不符合要求則拒絕登錄,以此確保用戶身份的合法性。

3.3 訪問控制管理對(duì)策

隨著醫(yī)院信息系統(tǒng)的不斷推廣與應(yīng)用,過去基于角色的訪問控制方法與靜態(tài)授權(quán)方式已然不適用。角色訪問控制模型――TLRBAC是一種基于時(shí)間與空間環(huán)境制約因素的訪問控制模式,能夠滿足醫(yī)院信息系統(tǒng)的安全管理需求。角色訪問控制模型的工作原理是:用戶用特定角色身份登錄醫(yī)院信息系統(tǒng),在其登錄前需受時(shí)間和空間屬性的訪問控制權(quán)限的限制,以此實(shí)現(xiàn)對(duì)用戶訪問行為的有效管理。角色訪問控制模型是訪問控制對(duì)策主要從用戶驗(yàn)證、聯(lián)網(wǎng)訪問控制以及操作權(quán)限限定3方面來實(shí)現(xiàn)。

3.4 授權(quán)管理對(duì)策

在我國醫(yī)院信息系統(tǒng)不斷發(fā)展的過程中,醫(yī)院的信息化管理水平逐漸提升,傳統(tǒng)的集中式授權(quán)模式顯然已經(jīng)不適用。為了確保醫(yī)院信息系統(tǒng)的正常運(yùn)行,必須建立一種更合理的用戶授權(quán)管理體系??梢圆捎梅植际绞跈?quán)方式或?qū)哟位跈?quán)方式,分布式授權(quán)方式能夠?qū)崿F(xiàn)醫(yī)院信息系統(tǒng)管理者的多方式分配,確保醫(yī)院信息系統(tǒng)登錄者身份的合法性;層次化授權(quán)方式是由各部分進(jìn)行分層授權(quán),要求醫(yī)院建設(shè)最高授權(quán)管理部門,實(shí)現(xiàn)信息資產(chǎn)的自動(dòng)識(shí)別,并制定最高的權(quán)限管理策略。

4 結(jié) 語

在醫(yī)院信息系統(tǒng)的安全保護(hù)上,當(dāng)前并無完全單一且有絕對(duì)安全保障的管理對(duì)策,因此,必須在合理的立體化安全機(jī)制下運(yùn)用各種對(duì)策給予預(yù)防,且應(yīng)不斷對(duì)其功能進(jìn)行完善,提高安全防治意識(shí),以確保醫(yī)院各項(xiàng)操作的安全性。

主要參考文獻(xiàn)

[1]張桂華,羅平,郭劍峰.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理思路[J].中國醫(yī)藥科學(xué),2011(12).

[2]陳卓明.醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理探究[J].通訊世界,2016(5).

篇9

關(guān)鍵詞:醫(yī)院信息安全系統(tǒng)保障

從信息系統(tǒng)安全的角度來看,信息安全系統(tǒng)包括的許多技術(shù)、技巧都是在網(wǎng)絡(luò)的各個(gè)層面上實(shí)施的,離開網(wǎng)絡(luò),信息系統(tǒng)的安全就失去意義。信息系統(tǒng)的安全包括了安全機(jī)制和安全服務(wù)兩項(xiàng)內(nèi)容,安全機(jī)制可以理解成為提供某些安全服務(wù)、利用各種安全技術(shù)和技巧,所形成的一個(gè)較為完善的結(jié)構(gòu)體系,安全服務(wù)就是從網(wǎng)絡(luò)中各個(gè)層次提供給信息應(yīng)用系統(tǒng)所需要的安全服務(wù)支持。隨著網(wǎng)絡(luò)的逐層擴(kuò)展,安全的內(nèi)涵也更加豐富,達(dá)到了具有認(rèn)證、權(quán)限完整、加密和不可否認(rèn)五大要素。從目前醫(yī)院信息系統(tǒng)的發(fā)展?fàn)顩r以及對(duì)醫(yī)療信息系統(tǒng)數(shù)據(jù)的安全性要求來看,在醫(yī)院中如何做到從物理、網(wǎng)絡(luò)、系統(tǒng)主機(jī)以及應(yīng)用層面來確保IT系統(tǒng)中各種信息的保密性、完整性、可用性,提高整體防護(hù)能力,規(guī)范安全管理流程,保障信息系統(tǒng)的平穩(wěn)運(yùn)行,是醫(yī)院信息系統(tǒng)安全的關(guān)鍵所在。但是從目前醫(yī)院信息系統(tǒng)的發(fā)展?fàn)顩r,資金投人等方面來看實(shí)施全面的醫(yī)院信息安全系統(tǒng)是不現(xiàn)實(shí)的。既然實(shí)現(xiàn)全面的信息安全系統(tǒng)是不現(xiàn)實(shí)的,只有先抓主要矛盾,首先在醫(yī)院信息系統(tǒng)的關(guān)鍵環(huán)節(jié)實(shí)施信息安全系統(tǒng),那么醫(yī)院信息安全系統(tǒng)應(yīng)該包含哪些關(guān)鍵環(huán)節(jié),每個(gè)環(huán)節(jié)又應(yīng)該采取什么樣的策略,先詳述如下。

1醫(yī)院信息安全系統(tǒng)的關(guān)鍵環(huán)節(jié)

1.1中心機(jī)房、服務(wù)器、數(shù)據(jù)庫的安全

醫(yī)院中心機(jī)房作為醫(yī)院信息系統(tǒng)的心臟,安全穩(wěn)定運(yùn)行應(yīng)該包括穩(wěn)定的電源,專用的空調(diào)設(shè)備,安全的防雷、防靜電措施,靈敏的監(jiān)控報(bào)警系統(tǒng),安全的防火墻、最新的安全補(bǔ)丁以及規(guī)范的機(jī)房管理措施。

服務(wù)器的安全運(yùn)行首先應(yīng)該是建立在機(jī)房安全運(yùn)行的基礎(chǔ)上,其次應(yīng)該是自身軟硬件的安全運(yùn)行,最后應(yīng)該是防止各種非法的網(wǎng)絡(luò)入侵。

數(shù)據(jù)庫的安全運(yùn)行應(yīng)該建立在服務(wù)器安全運(yùn)行的基礎(chǔ)上,不僅僅是數(shù)據(jù)庫軟件的安全運(yùn)行,更重要的是數(shù)據(jù)庫中數(shù)據(jù)的安全備份、保護(hù)與及時(shí)恢復(fù)等。

1.2網(wǎng)絡(luò)設(shè)備及其連接線路

網(wǎng)絡(luò)設(shè)備中的核心交換機(jī)就像人體的供血樞紐,各級(jí)交換機(jī)就像中轉(zhuǎn)站,連接醫(yī)院各種信息設(shè)備的網(wǎng)線,就像人體通向各個(gè)地方的血管,其重要性不言而喻。

1.3終端機(jī)器的穩(wěn)定運(yùn)行

醫(yī)院大多數(shù)系統(tǒng)采用C/S或B/S結(jié)構(gòu),各種信息系統(tǒng)的使用主要是在終端機(jī)器運(yùn)行,只有終端機(jī)器的穩(wěn)定運(yùn)行才可以保證醫(yī)院信息系統(tǒng)得到充分應(yīng)用。

1.4應(yīng)用軟件的健壯性

應(yīng)用軟件的健壯性、穩(wěn)定性也是醫(yī)院信息系統(tǒng)安全的重要環(huán)節(jié),因?yàn)樗熊浻布际菫閼?yīng)用系統(tǒng)的運(yùn)行創(chuàng)造條件、搭建環(huán)境,如果應(yīng)用系統(tǒng)本身存在安全問題,其它環(huán)節(jié)的安全將失去意義。

1.5人的因素

在醫(yī)院信息系統(tǒng)安全的關(guān)鍵環(huán)節(jié)中,人的因素是最重要的因素,因?yàn)樾畔⑾到y(tǒng)安全中存在的主要風(fēng)險(xiǎn)應(yīng)該是人的因素占有很大比例。

2醫(yī)院信息安全系統(tǒng)關(guān)鍵環(huán)節(jié)的主要策略

2.1中心機(jī)房、服務(wù)器、數(shù)據(jù)庫的安全運(yùn)行策略

醫(yī)院中心機(jī)房應(yīng)該在溫度、濕度、電磁、噪聲、防塵、靜電和震動(dòng)等方面做好安全策略,溫度波動(dòng)控制在24士1一2℃之內(nèi),相對(duì)濕度波動(dòng)控制在50%士5%RH之內(nèi),每升的空氣中,大于等于0.5um的顆粒應(yīng)小于18,000個(gè),換氣次數(shù)/h>30,中心機(jī)房機(jī)房與其它房間、走廊間的壓差不應(yīng)小于4.9Pa,與室外靜壓差不應(yīng)小于9.8Pa。機(jī)房中應(yīng)具有報(bào)警系統(tǒng),并具備發(fā)手機(jī)短信報(bào)警功能。中心機(jī)房應(yīng)采取雙路供電,配有滿足要求的UPS設(shè)備,做好防雷措施。

定期對(duì)服務(wù)器進(jìn)行安全評(píng)估、安全加固,是保證服務(wù)器正常運(yùn)行的必要手段,內(nèi)容至少包括對(duì)服務(wù)器定期進(jìn)行硬件檢查,操作系統(tǒng)、應(yīng)用軟件的補(bǔ)丁升級(jí),做好系統(tǒng)備份,安裝殺毒軟件并及時(shí)升級(jí)病毒庫,重要業(yè)務(wù)服務(wù)器要做好雙機(jī)備份。對(duì)于醫(yī)院互連網(wǎng)業(yè)務(wù)用服務(wù)器要單獨(dú)放到DMZ區(qū)域,并配備IPS,以防止互連網(wǎng)黑客或病毒的攻擊,并盡量使得在受到攻擊后不影響內(nèi)部服務(wù)器的使用。

對(duì)服務(wù)器及核心交換機(jī)要做好入侵檢測、審計(jì)、網(wǎng)管等相應(yīng)的安全系統(tǒng),以便實(shí)時(shí)檢測核心設(shè)備及整個(gè)網(wǎng)絡(luò)的狀況,如果出現(xiàn)問題可以及時(shí)通過審計(jì)系統(tǒng)查到問題的根源。數(shù)據(jù)庫應(yīng)該做好增量備份、全備份及異地備份,以保證信息系統(tǒng)的數(shù)據(jù)萬無一失。

2.2網(wǎng)絡(luò)設(shè)備及其線路的安全策略

網(wǎng)絡(luò)設(shè)備應(yīng)該根據(jù)設(shè)備的重要程度對(duì)硬件進(jìn)行定期的維護(hù)檢查,軟件進(jìn)行定期升級(jí),網(wǎng)絡(luò)設(shè)備中應(yīng)該根據(jù)業(yè)務(wù)的具體需要進(jìn)行安全域的劃分,網(wǎng)絡(luò)設(shè)備的連接線路應(yīng)該具有明確的標(biāo)志,以便在系統(tǒng)出現(xiàn)問題時(shí)可準(zhǔn)確及時(shí)的定位。

2.3終端機(jī)器的安全策略

終端機(jī)器由于醫(yī)院使用者計(jì)算機(jī)水平的限制,對(duì)系統(tǒng)的維護(hù)及保護(hù)意識(shí)比較差,而且終端機(jī)器往往又是業(yè)務(wù)系統(tǒng)的直接運(yùn)行設(shè)備,所以對(duì)終端機(jī)器的管理顯得尤為重要。對(duì)終端機(jī)器至少應(yīng)該根據(jù)業(yè)務(wù)的不同將其劃分到不同的安全域中,通過網(wǎng)絡(luò)設(shè)備做好訪問控制,系統(tǒng)一定要打最新的補(bǔ)丁,安裝殺毒軟件并及時(shí)升級(jí)病毒庫,因?yàn)椴《灸壳皝砜慈匀皇轻t(yī)院信息系統(tǒng)安全的“第一殺手”。另外,終端機(jī)器應(yīng)做好準(zhǔn)入控制,防止外來筆記本電腦等移動(dòng)設(shè)備直接進(jìn)入網(wǎng)絡(luò),業(yè)務(wù)用終端機(jī)器最好禁用USB設(shè)備。在條件允許的情況下,業(yè)務(wù)系統(tǒng)和辦公系統(tǒng)使用的終端機(jī)器最好做到物理隔離。

2.4應(yīng)用軟件的安全性策略

應(yīng)用軟件的安全應(yīng)從系統(tǒng)級(jí)安全、程序資源訪問控制安全、功能性安全和數(shù)據(jù)域安全四個(gè)層次去考慮,在醫(yī)院信息系統(tǒng)中,由于涉及到的業(yè)務(wù)類型比較多,部門間職能劃分差異比較大,因此程序資源訪問控制及數(shù)據(jù)域安全顯得尤為重要,程序的授權(quán)模型需考慮組織、崗位和用戶等各個(gè)層面。另外,應(yīng)用軟件在安裝使用之前一定要按照軟件測試的標(biāo)準(zhǔn)流程進(jìn)行測試,對(duì)軟件中身份認(rèn)證部分的數(shù)據(jù)一定要進(jìn)行必要的加密,軟件系統(tǒng)中一定要記錄軟件使用者的具體信息,保留使用痕跡。

2.5人員管理培訓(xùn)策略

醫(yī)院信息安全系統(tǒng)中人的因素占有很大比重,包括管理水平、技術(shù)水平、職業(yè)道德等。

醫(yī)院信息系統(tǒng)的管理水平具有決定性的作用,因?yàn)獒t(yī)院信息系統(tǒng)中主要以應(yīng)用現(xiàn)有計(jì)算機(jī)技術(shù)為主,主要是計(jì)算機(jī)技術(shù)在醫(yī)院信息系統(tǒng)中的應(yīng)用,可以說是“三分技術(shù)、七分管理”,管理水平將直接決定信息系統(tǒng)的安全性、穩(wěn)定性。

信息系統(tǒng)發(fā)展快、更新快的特點(diǎn)決定了從事信息技術(shù)工作的人員必須經(jīng)常學(xué)習(xí),才可以跟上計(jì)算機(jī)技術(shù)的不斷更新,所以對(duì)于從事信息技術(shù)的人員要進(jìn)行定期的培訓(xùn),最好能具備專業(yè)的信息安全知識(shí),對(duì)于業(yè)務(wù)系統(tǒng)的使用者也要進(jìn)行定期培訓(xùn),具備必要的安全知識(shí)。

加強(qiáng)信息從業(yè)人員的職業(yè)道德培訓(xùn),信息工作人員的職業(yè)道德對(duì)信息系統(tǒng)的安全具有非常重要的作用,信息系統(tǒng)的安全問題有很大一部分是由于內(nèi)部人員造成的,很大程度與內(nèi)部人員的職業(yè)道德有直接關(guān)系,因此對(duì)于信息技術(shù)從業(yè)人員應(yīng)該加強(qiáng)企業(yè)道德培訓(xùn)。新晨:

篇10

關(guān)鍵詞:醫(yī)院;數(shù)據(jù)庫;安全管理

通常而言,數(shù)據(jù)庫的安全問題主要表現(xiàn)在數(shù)據(jù)庫本身的安全問題、數(shù)據(jù)庫的保密安全性兩個(gè)方面。在保護(hù)醫(yī)院數(shù)據(jù)庫安全的過程中,應(yīng)保證數(shù)據(jù)庫準(zhǔn)確無誤,在數(shù)據(jù)庫自動(dòng)停止的過程中可以不破壞內(nèi)部數(shù)據(jù),數(shù)據(jù)庫不能輕而易舉就遭到非法侵入,以造成數(shù)據(jù)被盜問題的發(fā)生,因此應(yīng)具備較強(qiáng)的自動(dòng)修復(fù)性,確保數(shù)據(jù)庫沒有漏洞存在。醫(yī)院的數(shù)據(jù)庫安全問題和這兩方面的問題有關(guān),要把醫(yī)院的數(shù)據(jù)庫信息保護(hù)好,必須將防護(hù)措施做到位。

一、當(dāng)前醫(yī)院數(shù)據(jù)庫安全管理現(xiàn)狀

現(xiàn)階段,各大醫(yī)院已對(duì)數(shù)據(jù)庫信息安全的重要性有了深刻的認(rèn)識(shí),采用了對(duì)數(shù)據(jù)庫進(jìn)行密碼分段管理策略,即把數(shù)據(jù)庫的密碼分成幾個(gè)部分,交給不同的數(shù)據(jù)庫管理人員展開分散管理,如此,借助其中的一個(gè)人是不能將數(shù)據(jù)庫后臺(tái)打開登錄成功的,必須這些工作人員全部在場,把自己所掌握的那段密碼輸入后,才可以將正確的數(shù)據(jù)庫登錄密碼構(gòu)成,有效管理數(shù)據(jù)庫。這種分段式密碼管理的顯著優(yōu)勢(shì)便是可以將一定的監(jiān)督機(jī)制形成,防止數(shù)據(jù)庫管理職權(quán)由一個(gè)人掌握,導(dǎo)致篡改數(shù)據(jù)庫信息、濫用權(quán)力的現(xiàn)象發(fā)生[1]。但是,這種方式便利性不強(qiáng),只要掌握密碼的管理人員有一人未到場,那么就不能順利登陸數(shù)據(jù)庫系統(tǒng),不能第一時(shí)間解決一些突發(fā)問題。此外,現(xiàn)階段的醫(yī)院數(shù)據(jù)庫管理人員掌握的權(quán)利較大,他們甚至可以任意把一些數(shù)據(jù)刪除或進(jìn)行篡改,進(jìn)而為數(shù)據(jù)庫信息帶來了一定的安全隱患。

二、醫(yī)院數(shù)據(jù)庫安全管理措施

(一)醫(yī)院數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)加密管理

權(quán)限管理在制度上對(duì)用戶的使用權(quán)限作出了明確規(guī)定,但是不能確保毫無漏洞。如一些具有較高權(quán)限的用戶不遵循制度辦事,非法操作重要數(shù)據(jù);醫(yī)院數(shù)據(jù)庫管理人員將一定權(quán)限的臨時(shí)賬號(hào)分配給軟件開發(fā)公司;黑客入侵,這些均造成數(shù)據(jù)庫管理存在諸多漏洞。借助數(shù)據(jù)庫系統(tǒng)的加密措施加密處理醫(yī)院數(shù)據(jù)庫系統(tǒng)中的重要數(shù)據(jù),只有具有權(quán)限的合法用戶對(duì)數(shù)據(jù)進(jìn)行訪問的時(shí)候。系統(tǒng)才能展開解密操作,就算有訪問權(quán)限的非合法用戶也不能訪問,如此可以避免非法用戶將醫(yī)院數(shù)據(jù)系統(tǒng)的重要信息竊取。

(二)加強(qiáng)對(duì)硬件設(shè)施的安全防護(hù)

要想將一個(gè)數(shù)據(jù)庫完成,就必須在硬件設(shè)備上展開數(shù)據(jù)庫維護(hù)和編程,所以,必須合理保障醫(yī)院數(shù)據(jù)庫的硬件設(shè)施,確保硬件設(shè)施沒有任何問題[2]。在醫(yī)院使用的網(wǎng)絡(luò)設(shè)備中,醫(yī)院必須對(duì)每一臺(tái)設(shè)備進(jìn)行嚴(yán)格檢查,在選擇設(shè)備的過程中,必須選擇具有較好性能、較強(qiáng)硬件技術(shù)的設(shè)備,不能為了節(jié)約費(fèi)用,選擇硬件不好的網(wǎng)絡(luò)設(shè)備操作醫(yī)院數(shù)據(jù)庫,這樣既會(huì)發(fā)生數(shù)據(jù)丟失的問題,同時(shí)還可能早場數(shù)據(jù)庫系統(tǒng)卡機(jī)等,致使醫(yī)院系統(tǒng)發(fā)生癱瘓。同時(shí),要定期檢修醫(yī)院使用的網(wǎng)絡(luò)設(shè)備,一些設(shè)備可能因?yàn)殚L期處于潮濕狀態(tài),造成設(shè)備受損,因此,要在固定時(shí)間檢查設(shè)備,確保設(shè)備的各器件均不會(huì)受到一點(diǎn)破壞,如此,才可以在好的設(shè)備中展開數(shù)據(jù)庫操作。

(三)選擇合適的數(shù)據(jù)庫應(yīng)用系統(tǒng)

醫(yī)院的數(shù)據(jù)庫安全管理具有很強(qiáng)的技術(shù)性,其既需要專業(yè)素質(zhì)的安全管理人員,更離不開合理、科學(xué)的數(shù)據(jù)庫操作系統(tǒng)。現(xiàn)階段的數(shù)據(jù)庫操作系統(tǒng)具有豐富多樣的類型,在對(duì)數(shù)據(jù)庫展開安全管理的過程中,首先要對(duì)數(shù)據(jù)庫的系統(tǒng)類型和其可以達(dá)到的安全級(jí)別予以明確,進(jìn)而選擇合理的硬件設(shè)施和服務(wù)器。同時(shí),還要評(píng)估現(xiàn)階段的網(wǎng)錄系統(tǒng),對(duì)其安全性作出全面考慮。應(yīng)注意的是,在選擇應(yīng)用系統(tǒng)的過程中,要對(duì)授權(quán)的保障和系統(tǒng)身份認(rèn)證予以重視。此外,相關(guān)數(shù)據(jù)庫的管理人員要監(jiān)控?cái)?shù)據(jù)庫的操作和網(wǎng)絡(luò)行為,對(duì)數(shù)據(jù)庫的操作和授權(quán)范圍予以規(guī)范。針對(duì)部分?jǐn)?shù)據(jù)庫使用不規(guī)范的行為要嚴(yán)厲抵制,把安全管理工作做好,對(duì)相關(guān)的規(guī)章制度予以完善,并把一定的審核和監(jiān)察機(jī)制成立起來,定期監(jiān)察數(shù)據(jù)庫的信息管理,把責(zé)任落實(shí)到具體人頭上,加大團(tuán)隊(duì)合作力度,嚴(yán)格落實(shí)數(shù)據(jù)庫的信息安全工作。

(四)數(shù)據(jù)庫安全管理機(jī)制

將完善的人事制度和管理制度建立起來。數(shù)據(jù)庫應(yīng)安排專門的人員進(jìn)行管理,最好可以做到專人專用;同時(shí)對(duì)數(shù)據(jù)庫應(yīng)用的一些規(guī)范標(biāo)準(zhǔn)進(jìn)行制定,借助對(duì)工作流程的方式和用戶行為進(jìn)行規(guī)范,使數(shù)據(jù)庫的安全得到保證。對(duì)數(shù)據(jù)庫的操作權(quán)限進(jìn)行嚴(yán)格分配,要根據(jù)用戶的操作登記對(duì)操作權(quán)限進(jìn)行合理分配;同時(shí)還要建立健全正常的醫(yī)院數(shù)據(jù)庫用戶標(biāo)識(shí)建立和注銷制度。針對(duì)數(shù)據(jù)庫應(yīng)用人員,加大培訓(xùn)力度,培訓(xùn)的內(nèi)容主要有:操作注意事項(xiàng)、應(yīng)用系統(tǒng)所需要的安全環(huán)境、前臺(tái)系統(tǒng)的正確使用方法。

(五)數(shù)據(jù)庫的備份和恢復(fù)

網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)恢復(fù)和備份功能有利于確保數(shù)據(jù)庫的安全,其在各行各業(yè)中得到了廣泛運(yùn)用。在醫(yī)院數(shù)據(jù)庫安全管理中,需要把完善的數(shù)據(jù)備份和恢復(fù)系統(tǒng)構(gòu)建起來,當(dāng)數(shù)據(jù)庫中的數(shù)據(jù)受到病毒破壞、黑客入侵、錯(cuò)誤操作等危險(xiǎn)而發(fā)生篡改、丟失數(shù)據(jù)等問題時(shí),可以借助備份恢復(fù)功能把丟失或受到破壞的數(shù)據(jù)找到,為數(shù)據(jù)庫的正常運(yùn)行奠定堅(jiān)實(shí)的基礎(chǔ)。在操作數(shù)據(jù)庫的時(shí)候,務(wù)必要第一時(shí)間對(duì)相關(guān)的文件和數(shù)據(jù)進(jìn)行備份,以便于在之后使用的過程中可以有效、快速地將數(shù)據(jù)信息恢復(fù),借助這樣的方式可以使數(shù)據(jù)庫信息的安全得到保障[3]。

三、結(jié)語

醫(yī)院要想始終處于正常運(yùn)行狀態(tài),首先必須確保醫(yī)院數(shù)據(jù)庫系統(tǒng)的安全性,不然醫(yī)院將難以把正常的操作完成,甚至發(fā)生錯(cuò)誤,在信息化時(shí)代,信息系統(tǒng)的管理是醫(yī)院必不可少的內(nèi)容,必須保護(hù)好數(shù)據(jù)庫系統(tǒng)。現(xiàn)階段我國醫(yī)院網(wǎng)絡(luò)化的辦公形式多種多樣,在這種形勢(shì)下,醫(yī)院的數(shù)據(jù)庫顯得極為重要,醫(yī)院數(shù)據(jù)庫中記錄了全部病人的信息,這和醫(yī)院的診治以及病人的康復(fù)有著極為密切的聯(lián)系,因此,必須高度重視醫(yī)院的數(shù)據(jù)庫安全管理,確保醫(yī)院的數(shù)據(jù)庫安全。

參考文獻(xiàn)

[1]陳威.醫(yī)院數(shù)據(jù)庫安全管理解決方案探討[J].數(shù)碼世界,2017(3):33-33.

[2]蘭禎偉.醫(yī)院信息管理系統(tǒng)與數(shù)據(jù)庫安全管理[J].電子技術(shù)與軟件工程,2017(13):174-174.