医院信息安全管理措施范文
时间:2023-06-26 16:41:21
导语:如何才能写好一篇医院信息安全管理措施,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
医院档案信息化是指档案管理模式转变的过程,从以档案实体为重心转向以档案信息为重心。在医院档案管理活动中全面应用现代信息技术,加速实现档案管理现代化的进程,医院档案信息化建设就是在医院档案行政管理部门的统一规划和组织下,对医院档案信息资源进行处置、管理和为社会提供服务。
随着信息社会的到来,档案现代化管理和信息化建设,是医院档案工作发展的必然趋势,医院档案基础业务建设的重心也开始向信息化、现代化转移。为了研究医院档案信息化,必须首先了解什么是档案信息化,才能知道其现在面临的问题,进而找到解决的对策和方法。信息技术在国民经济和社会发展中扮演了越来越重要的角色。
在这个信息化的时代,在科学发展观的指导下,随着新医改的不断深入,医院经营管理的逐渐市场化,医院的信息化建设也渐渐被管理者所重视,成为医院基础建设的一部分,融入到医院现代化建设经营管理之中。
而档案管理则成了医院信息化的重要组成部分。通过精心设计版面,内容架构,以及对功能模块的完善,档案信息化成为医院在经营管理和竞争中不可替代的关键部分。
2 方法
2.1 医院档案信息的数字化,它是指将纸质文件、声像文件等介质文件和已归档保存的电子档案,利用数据库技术、数据压缩技术、高速扫描技术等技术手段,系统组织成具有有序结构的档案信息库。档案目录信息的数字化、档案全文信息的数字化,是档案信息数字化的内容有两个不同层次。档案信息数字化的原则:规范性原则、安全性原则、效益性原则。
2.2 档案网站建设,它是指档案网站是档案机构在公共信息服务网站上建立的站点,它一般是以主页方式提供相关档案服务和开展档案宣传。档案网站建设是档案信息化建设的重要步骤,档案网站的功能有:服务功能、宣传功能、交流功能。是医院档案部门联系整个医院及社会的重要窗口。档案工作信息、档案机构信息、档案资源信息、档案利用服务信息是档案网站的主要内容。
2.3 数字档案建设,它强调的是在数字化档案环境下用户开发利用档案信息资源的便利,它是指利用电子网络远程获取档案文件信息的一种方式。数字档案的主要特点:①功能定位上的特点,以存取为中心;②运行方式上的特点,存取档案信息的网络化;③存在方式上的特点,是一种无形的信息组织与利用环境。
3 档案信息化的存在问题及解决办法
3.1 档案升级在加强规范管理方面需要一笔较大支出,要积极扶持医院档案信息化建设以保证档案信息化建设顺利进行。
3.2 开展业务指导,提高创建技术。医院档案信息化建设涉及很多新情况、新问题,应积极开展医院档案信息化建设业务指导,加强与档案主管部门联系,有的内容专业性较强,通过组织培训、举办讲座、上门辅导等方式,普及创建技术,从而业务技能,传授档案升级方面的专业知识。
3.3 挖掘内部潜力,增强创建力量。管理档案人员少的矛盾日益突出,再抽调人员从事档案升级工作相当困难。每天需要应付日常工作,很难抽出更多的精力搞创建。应成立创建工作领导小组,保证创建工作稳步推进。
3.4 强化档案管理,完善创建条件。现有的医院档案管理水平停留在原先省一级标准基础上,对照省特一级标准差距较大,所以要不断更新观念,完善具体操作规程,推进规范化建设,进一步健全归档、保管、鉴定、借阅等各项管理制度;升档案服务水平,为档案管理升级提供基础保证,要及时引进先进档案管理设备。
3.5 加大宣传力度,提高创建认识。思想认识上的偏差,即使争创档案升级,也是办公室档案人员的事,与己无关,或者对医院档案信息化建设的重要性了解不够,认为这是可有可无的事。应组织大家学习,增强为档案升级工作服务的自觉性、积极性,提高全体人员对档案信息化建设重要性的认识。
4 结论
“采用计算机及其配套设备,缩微机及其设备,保护技术现代化”,是管理手段的现代化和保护技术的现代化。档案管理现代化、信息化,其核心是就是它们。主要是档案存储环境控制档案存储载体更新改造的科学化。要抓住机遇,提高工作水平、工作效率,提升服务质量,逐步构建起各地档案信息平台,努力把档案信息化建设作为政府电子政务建设的一个重要内容;要加强领导、提高认识,加快档案信息化建设,认真研究,合理规划,争取支持,加大投入,配备人才;要制定信息化建设的中期规划和短期目标,使档案的管理水平迈上一个新台阶,加大投入,逐渐增配软、硬件设施,争取政府和上级部门的支持,为社会创造更大的经济效益和社会效益。
参考文献:
[1]李爱军.档案信息化的现状及对策分析[J].铜陵学院学报,2006,(02).
[2]金光华.在企业信息化环境中的档案信息化定位研究[J].中国管理信息化,2005,(02).
篇2
【关键词】信息安全等级保护 测评实施
1 引言
医院信息化建设快速发展,信息系统应用深入到各个环节,信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LIS系统、检查PACS系统、体检系统等。保障重点信息系统的安全,规范信息安全等级保护,完善信息保护机制,提高信息系统的防护能力和应急水平,有效遏制重大网络与信息安全事件的发生,创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》,卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
2 确定测评对象与等级
我院是一所二级甲等综合医院,日门诊人次1000人左右,住院日人次400余人。医院信息系统HIS、LIS、PACS、电子病历、体检等50余个系统无缝结合,信息双向交流。按照《信息系统安全等级保护定级指南》定级原理,确定医院信息业务系统的安全保护等级为第2级,其中业务信息安全保护等级为2级,系统服务安全保护等级为2级。
2.1 招标比选测评公司
医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司,简单介绍医院信息化情况,其中有3家公司到现场进行调查,掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。
2.2 测评实施
2.2.1 准备阶段
医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》,确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研,提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的IP地址、网络互连设备的配置、网络安全设备的配置、安全文档等。
2.2.2 测评主要内容
主要针对医院信息系统技术安全和安全管理两方面实施测评,其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5;安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
2.2.3 测评方式与测评范围
测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈,了解医院业务运作以及网络运行状况;查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务,以及安全管理类测评任务;查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等;测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试,检查系统的安全有效性。
整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。
医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵,终端使用了趋势网络版本防病毒产品,抵御恶意代码。开启系统审计日志,制定和实施有效安全管理制度,加强安全管理,降低系统安全风险。网络进行了有效的区域划分,区域之间通过访问控制列表实现安全控制,与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。
2.2.5 差距分析与测评整改
通过测评,测评公司写出测评报告,提出整改建议。按照《信息系统安全等级保护基本要求》要求6,测评公司人员根据医院当前安全管理需要和管理特点,针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理,从人员、制度、运作、规范等角度,进行全面的建设7,提供技术建设措施,落实等级保护制度的各项要求,就各类人员进行安全培训,提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。
2.2.6 编制报告,成功备案
测评公司编制报告,上报市公安局备案成功,获得二级信息系统备案证书。二级信息系统,每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高,安全保护能力增强,有效保障信息化健康发展。
3 结语
网络安全问题是一个集技术、管理和法规于一体的长期系统工程,始终有其动态性,医院需要不断进行完善,加强管理,持续增加安全设备以保障医院数据安全有效,保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点,分期分批循序建设,保证医院各系统长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求8。
参考文献
[1]卫办发.〔2011〕85号,卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知,2011.
[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志,2005.
[3]王建英,陈文霞,胡雯,张鹏.医院信息安全分析及措施[J].中国病案,2013.
[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息,2013.
[5]韩作为.医院信息安全等级保护三级建设流程与要点[J].中国数字医学,2006.
篇3
关键词:医院信息化建设;信息安全管理;作用
DOI:10.12249/j.issn.1005-4669.2020.26.316
当前,医院在很多方面都应用了网络技术,其对信息系统的使用越来越依赖,随着而来的风险也越来越高,特别近些年来的勒索病毒,更是给医院的信息系统安全敲响了警钟。因此必须要加医院信息的安全管理,保证医院信息系统运行正常。
1加强医院信息安全管理的意义
随着医院的信息化建设不断进步,医院的信息系统很容易受到病毒的侵入以及不法分子的入侵,有资料显示,当前一些医院出现医院患者资料信息出现泄漏及勒索病毒入侵等事件,出现这些问题的原因都是没有重视信息的安全管理[1]。
2医院信息安全管理的基本内容
医院信息安全管理主要包括:1)机房管理:机房管理主要是断电、设备损坏等现象。2)网络安全:将内、外网完全隔离,设置防火墙以及配置访问,保障网络的安全。3)服务器安全:是对服务器的运行进行检查,看是否存在种种弊端以及影响系统运行的因素,一般意义都是采用两台服务器(一台运行,一台容灾)进行运作,主服务器受损后可以在短时间内用另一台服務器进行运作,在很大的程度上保证系统的正常运行。4)客户端管理:用户根据不同的人(患者或医生)有不同的访问权限。5)病毒防护:随着病毒及木马种类的不断增多,这些病毒对信息系统的危害是不容小觑的[2]。
3目前医院信息安全管理存在的问题
3.1管理意识观念不强
就目前医院信息安全管理的现象来看,医院领导的工作重心着重体现在医疗事物以及研究领域,忽略了信息安全管理的工作,普遍存在“重业务、轻安全”的现场,导致信息安全管理出现多种问题。
3.2网络安全问题日益严重
在网络时代的背景下,医院信息管理系统正在逐步走向信息化,利用互联网的特点使得信息传播的速度变得越来越快。一些病毒、木马等对信息系统的侵害日益严重,另外一些不法分子对信息系统进行入侵,例如,2011年福州某医院处方事件、2018年江苏某医院的勒索病毒事件。
3.3从业人员的专业水平以及安全意识不强
医院信息化建设过程之中,信息设备以及人才方面的投入不足,缺乏相关专业的技术人才,导致医院信息化建设很难推进。
3.4数据库的安全性不足
医院信息化建设的数据库都是用大中型数据管理工具进行管理数据,这些数据库的安全机制并不是很好,大量的信息未经加密就储存在数据库中,一经泄露就会造成恶劣的影响[3]。
4威胁医院信息安全的主要因素
由于医院的信息系统关系着患者以及医院自身的相关数据,这些数据都是非常重要的。但是由于医院的信息化建设安全防护工作不到位,就会发生安全隐患。目前威胁医院信息安全的主要因素有两类。
4.1内部因素
可以分为:人为故意和人为无意。人为无意:相关人员的操作失误造成的信息安全出现问题,比如,在访问登录页面时,操作失误造成安全漏洞。人为故意:医院内部人员为了个人的利益,监守自盗,私自入侵系统篡改患者信息,或者泄露患者以及医疗机密的相关资料。
4.2外部因素
第一种就是木马、病毒的入侵。由外部环境的产生的网络病毒传播到医院的安全系统内部,造成损害。第二种就是非法入侵,对系统的相关资料进行下载者篡改,为医院以及患者造成极大的损失[4]。
5医院信息安全管理优化建议
5.1加强医院信息安全管理意识
在医院信息化建设的过程中,医院的领导要重视这项工作,要认识到信息系统存在的安全隐患,增强管理者以及医院工作人员的信息安全管理的意识。
5.2建立并完善信息安全管理制度
首先是人员方面的管理:未经允许,不得私自添加或者删除相关的软件;不得对医院网络功能进行修改、添加或者删除等等。在设备方面,要拒绝使用质量不合格的设备设施,不得使用假冒伪劣产品等。网络:建立防火墙,相关的杀毒软件,工作人员要定期地对网络进行安全隐患的检测。
5.3提高相关人员的技术水平以及安全意识
医院要引进相关的技术人才,管理人员不仅要熟练的掌握计算机和网络的相关技术,还要对医院的相关制度以及组织框架要有一定的了解,并对医院其他的工作人员进行信息安全管理方面的培训,让全体人员加强安全防护意识。这样才能提高医院信息安全管理的水平。
5.4建立数据库的备份与恢复工作
由于医院的信息数据非常重要,在医院信息化建设的完善和实施的过程中,数据库的信息难免会出现泄露以及丢失,所以就要做好数据库的备份与恢复工作。
5.5引进先进的设备设施
医院应该引进先进的设备设施来加强安全信息的防护。利用先进的设备可以稳定的保证信息安全系统的运行,同时制定一套比较先进的安全管理模式,在服务器比较先进的情况下,可以设置一些基本的病毒防护措施,让一般的病毒不易入侵到系统中[5]。
篇4
【关键词】信息安全;数据库;网络应用;安全体系
1信息安全现状
1.1目前医院信息安全存在的问题根据卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知,三级甲等医院的核心业务信息系统不得低于国家安全信息保护等级三级。据此我们对信息系统的各个方面进行了安全评估,发现主要有如下的问题:
(1)物理安全:机房管理混乱问题;机房场地效用不明确;机房人员访问控制问题;
(2)网络设备安全:访问控制问题;网络设备安全漏洞;设备配置安全;
(3)系统安全:补丁问题;运行服务问题;安全策略问题;访问控制问题;默认共享问题;防病毒情况;
(4)数据安全:数据库补丁问题;SQL数据库默认账号问题;SQL数据库弱口令问题;SQL数据库默认配置问题;(5)网络区域安全:医院内网安全措施完善;医院内网的访问控制问题;医院内外网互访控制问题;
(6)安全管理:没有建立安全管理组织;没有制定总体的安全策略;没有落实各个部门信息安全的责任人;缺少安全管理文档。
1.2当前医院信息安全存在的问题,主要表现在如下的几个方面
(1)机房所处环境不合格,场地效用不明确,人员访问控制不足,管理混乱。
(2)在办公外网中,医院建立了基本的安全体系,但是还需要进一步的完善,例如办公外网总出口有单点故障的隐患、门户网站有被撰改的隐患。
(3)在医院内网中,内网与办公外网之间没有做访问控制,存在蠕虫病毒相互扩散的可能。
(4)没有成立安全应急小组,虽然有相应的应急事件预案,但缺少安全预案的应急演练;缺少安全事件应急处理流程与规范,也没有对安全事件的处理过程做记录归档。
(5)没有建立数据备份与恢复制度;缺少对备份的数据做恢复演练,保证备份数据的有效性和可用性,在出现数据故障的时候能够及时的进行恢复操作。
2医院信息安全总体规划
2.1设计目标、依据及原则
2.1.1设计目标
信息系统是医院日常工作的重要应用,存储着重要的数据资源,是医院正常运行必不可少的组成部分,所以必须从硬件设施、软件系统、安全管理等方面,加强安全保障体系的建设,为医院工作应用提供安全可靠的运行环境。
2.1.2设计依据
(1)《信息安全等级保护管理办法》;
(2)《信息技术安全技术信息技术安全性评估准则》;
(3)《卫生部卫生行业信息安全等级保护工作的指导意见》;
(4)《电子计算机场地通用规范》。
2.1.3设计原则
医院信息安全系统在整体设计过程中应遵循如下的原则:分级保护原则:以应用为主导,科学划分网络安全防护与业务安全保护的安全等级,并依据安全等级进行安全建设和管理,保证服务的有效性和快捷性。最小特权原则:整个系统中的任何主体和客体不应具有超出执行任务所需权力以外的权力。标准化与一致性原则:医院信息系统是一个庞大的系统工程,其安全保障体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个医院信息系统安全地互联互通、信息共享。多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。适应性及灵活性原则:安全措施必须能随着系统性能及安全需求的变化而变化,要容易适应、容易修改和升级。
2.2总体信息安全规划方案
2.2.1基础保障体系
建设信息安全基础保障体系,是一项复杂的、综合的系统工程,是坚持积极防御、综合防范方针的具体体现。目前医院基础保障体系已经初具规模,但是还存在个别问题,需要进一步的完善。
2.2.2监控审计体系
监控审计体系设计的实现,能完成对医院内网所有网上行为的监控。通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等有较全面的了解。
2.2.3应急响应体系
应急响应体系的主要功能是采取足够的主动措施解决各类安全事件。安全事件可以被许多不同的事件触发并破坏单个系统或整个网络的可用性,完整性、数据的保密性。引发或可能引发本地小范围破坏的安全问题应该就地解决,以避免加重整个医院信息网络的安全风险。
2.2.4灾难备份与恢复体系
为了保证医院信息系统的正常运行,抵抗包括地震、火灾、水灾等自然灾难,以及战争、网络攻击、设备系统故障和人为破坏等无法预料的突发事件造成的损害,应该建立一个灾难备份与恢复体系。在这个体系里主要包括下面三个部分:政务内网线路的冗余备份、主机服务器的系统备份与恢复、数据库系统的备份与恢复。
3结论
通过对医院的信息安全风险评估,我们发现了大量关于物理安全、操作系统、数据库系统、网络设备、应用系统等等方面的漏洞。为了达到对安全风险的长期有效的管理,我们进行了具有体系性和原则性并能够符合医院实际需求的规划。
参考文献
[1]王立,史明磊.医院信息系统的建设与维护[J].医学信息,2007,20(3).
[2]王洪萍,程涛.医院信息系统安全技术分析[J].医院管理杂志,2011,18(11).
[3]尚邦治.医院信息系统安全问题[J].医疗设备信息,2004,19(9).
篇5
医院网络信息安全与医疗卫生服务质量、效率息息相关,因此做好网络信息安全防护体系建设有助于确保医疗信息安全与信息服务平台应用,对于进一步提升医疗服务质量至关重要。文章分析了我国医院网络信息安全防护体系现状,并对医院网络信息安全防护体系的设计与应用进行了探讨,希望能为医疗信息服务改革与创新提供参考。
关键词:
医院;信息安全;防护体系;设计
医院作为提供医疗卫生服务的主体,本身的发展关键在于做好综合管理,信息平台作为进行医疗服务、医学研究、教学、对外交流宣传等工作的主要阵地,建设与服务情况直接关系到医院工作质量与效率,因此建立完善的信息安全防护体系不仅可有效保障信息平台运作的有效性,同时也可及时消除信息服务过程中出现的各类故障与问题,确保医院工作顺利进行。
1我国医院网络信息安全防护体系现状分析
(1)安全需求。医院信息网络安全防护涉及计算机、通信安全、信息安全、密码、信息论、数论等多种专业知识与技术,计算机信息系统平台的防护要做好到不因偶然或者故意的外界因素影响系统运行,保障信息的安全,减少信息丢失、受损、更改、泄露等,确保信息提供服务医疗工作的延续性、长期性、可用性与高效性,提升系统运行安全性与可靠性。结合我国信息安全防护规范与医院医疗信息工作防护需求来看,技术层面上医院网络信息安全主要分为三个层次,一是硬件设施安全,包括计算机、网络交换机、机房、线路、电源等物理设备在内的设备安全,二是数据或应用安全,即软件安全,保证信息系统相关软件、程序、数据库等操作的访问安全,三是网络与系统安全,即包括网络通信、信息交换、信息应用、信息备份、计算机系统等在内的系统平台免受系统入侵、攻击等影响。
(2)安全防护现状。目前国内经济发达地区的二级医院与三级医院基本上已经建立起了HIS系统与局域网,通过与因特网连接构建服务院内医疗工作的信息平台,信息网络运行遵照内外网物理隔离形式,因此相对而言运行风险减小,在安全防护方面投入比例相对较低,不过面对越来越进步的医疗需求,实现内外网合一成为必然,有助于构建更为高效的医疗信息共享模式、预防传染疾病、建立大范围医疗服务体系等,但是内外网合一将会面临更多的安全风险与漏洞,因此加强安全防护体系建设迫在眉睫,是保证医疗信息安全与高效管理的必然举措。医院信息安全防护体系的建设面临着来自安全管理、硬件软件等多方面的风险,目前防护体系建设主要是通过升级硬件、软件防护确保信息安全,通过加强人员管理与安全管理降低安全风险威胁,对于医院医疗系统而言,随着越来越多的信息化医疗设备、仪器、就医人员等介入信息平台,安全防护体系建设所面临的风险与需求也将会越来越大,因此针对医疗信息安全需求做好防护体系的建设与推广应用是目前进步发展的关键。
(3)信息安全建设问题。当前医院网络信息安全问题已经成为困扰信息系统平台运行、应用的瓶颈,为了应对信息网络时代频繁的网络攻击与信息安全威胁,杀毒软件、防火墙、入侵检测技术、信息备份技术、数据库安全技术等广泛应用于医院网络信息安全建设。上述技术虽然在确保网络信息安全方面发挥了一定作用,但是同时也存在不足之处,就目前来看,我国医院网络信息安全防护体系还存在不少问题。医院网络信息安全防护系统使用的硬件、软件产品因不属于同一企业,在整合、规划、管理中容易存在漏洞导致重复建设或者潜在安全风险等问题,影响信息系统安全。信息平台的构造与使用专业性要求较高,并且设备、软件需进行专业整合,院内桌面终端的分散与多边、医护人员水平高低、使用情况等都直接增加了信息安全防护的难度。目前医院网络信息安全防护系统的建设与应用缺乏统一的技术标准与规范,不利于信息技术的整合和信息平台潜力的挖掘,一定程度上增加安全防护系统构建与应用的难度。网络信息技术的发展与安全防护本身处于此消彼长的态势,在制定安全防护策略、构建防护体系时必须做好与时俱进,最大限度的在降低经济成本的同时提升技术应用效率与效益。
2医院网络信息安全防护体系的设计与应用
(1)硬件设施建设。医院安全防护系统硬件设施建设关键要做好核心服务器、交换机、应用计算机、网络设备等建设,硬件建设优劣直接决定信息服务效果与质量,是确保医院信息平台顺利运行的关键物质基础,因此为提升防护稳定性与可靠性,加强硬件设施建设势在必行。硬件设施建设要从设备型号、性能等入手,配合网络布局规划、服务需求制定最佳建设方案。以机房设计为例,作为安全防护信息系统的神经中枢,医院至少要建立两个A级标准机房作为主机房与备用机房,并对监控间、设备间、空调电源间做好设计,比如空调电源间要做好精密控温、恒温恒湿、备用UPS电源等建设,并留有充足的后续设备空间,另外要着重做好消防安全工作。监控间要应用专业的设备环境监控系统及时掌握主机房环境变化,以便在意外发生时做到准确应对。硬件配备方面为满足医院工作网络信息安全防护需求,要配备优质的设备以保证数据访问效率,利用HIS服务器、PACS服务器等为实现办公自动化、电子病历、信息安全管理提供强劲动力;应用混合光纤磁盘阵列、近线存储等完成海量数据的存储、交换与备份,并采用核心交换机、光纤宽带等构件高性能网络平台,并在医院内部配备优质计算机服务终端。网络布局方面,根据医院性质做好军网、医保专网、内网、外网的联合建设,内网建设是关键部分,要着重加强安全防护建设,并留有网站备份与未来拓展空间,为医院信息安全管理提供支持与保障。
(2)网络系统安全建设。医院信息网络系统安全威胁主要来自于外部攻击入侵或者网络本身缺陷所导致的运行失误、效率下降、系统崩溃等问题,攻击入侵包括木马病毒攻击、系统漏洞等,因此要着重做好网络安全防护与系统安全防护。网络安全防护要根据医院网络性质做好内外网融合与统一,保证专网、军网等介入内网时受到物理防火墙、网闸的有效保护,屏蔽内网信息、运行情况及结构,有效预防、制止非法入侵及破坏行为,并且为了提升防护效果,要尽量配合网络运行监控系统以达到理想防护效果。系统安全防护需要建立完善的病毒防护体系,处理好系统终端计算机内的病毒、木马等,建立有效权限制度以达到保护信息、防护内外入侵等行为,可通过采购企业版病毒防护软件定期更新病毒库达到自动杀毒维护安全效果;系统内部防护安全与计算机个人网络终端关系密切,因此要在院内移动终端上增加桌面控制软件以实施全面安全管理,通过系统补丁分发、端口访问、安全准入等机制实现防护。
(3)数据应用安全。数据应用安全关键要做好数据存储、访问、应用安全及信息系统软件运行安全。数据存储安全与系统环境、硬件设备、数据库安全密切相关,因系统漏洞、硬件损毁、数据库错误等造成数据毁坏要通过采取备份、恢复、数据容错等举措解决。为保证数据安全性与完整性,要建立数据库本机与多机备份机制,尤其是核心数据库要分别建立主、备用服务器,一旦其中之一发生意外立即采取补救措施实现自动切换,尤其是电子病历要进行专业备份及归档,确保数据完整性与可用性。数据访问安全问题主要以非法用户访问、非法篡改数据为主要表现,要完善医院内部访问权限与身份准入系统,实现统一授权管理,以减少信息丢失、错误等情况。要对数据库安全环境建设、应用软件环境建设倍加关注,如lP±IE址的设置、数据库配置、环境变量设置等,实现统一运行环境与地址绑定,降低安全运行风险。
(4)安全管理制度。医院内部要做好信息安全管理制度的完善与执行,根据国家政策、行业法规、院内需求积极完善系统及数据应用,确保网络信息安全防护系统始终维持良性运行状态,为医院安全建设奠定基石。要加强网络安全值班制度建设,配备专业人员监督网络系统运行,并配备专业监控系统及时处理各类问题与意外,对于问题严重者要及时通报技术科室进行维修养护,确保医院信息系统始终处于24小时监控维护下。值班管理中,要做好系统运行情况记录,并进行数据备份,确保值班日记连贯、完整,为安全管理提供帮助。院内用户管理是安全管理另一重点,权限管理中要严格管理员权限准入机制,做好院内计算机终端设备的改造,做好院内工作人员专业培训,以便实现用户合法、合规访问系统,减少系统运行与访问风险,保证信息数据的安全性。
(5)应用实践。为了确保医院网络安全信息防护系统得到有效运行,在实际运营中要增加相应的运维管理系统与安全防护系统达到理想防护效果。比如在主机房设置机房动力与环境监控系统,对机房准入权限、电源供应、通风、控温、消防等情况进行监控,确保机房始终维持在理想的恒温、恒湿现状,电压、电流、频率满足需求,并将变化做好数据记录监控,为机房高效管理提供保障;在医院内网设置专门的安全防护系统,以规范约束院内终端用户操作与应用,避免非法访问与数据篡改,该系统与院内身份认证系统合作,通过灵活的安全策略实现对内网用户、终端计算机的安全管理,充分践行事前预防、事中控制、事后审计的原则,实现安全行为管理;针对电子病历管理,要建立专门的VERITAS存储管理系统对病例数据进行存储、备份与恢复,并根据备份策略做好病程文件的保护与恢复,以确保医疗工作的顺利进行。
3结语
综上所述,医院网络安全防护体系的建设与应用有助于降低医院信息安全风险,提升信息系统可靠性、可用性与安全性,对于提升医院医疗服务质量与效果有积极意义,可有效减少院内信息系统安全故障、降低安全运行风险,提升系统运行服务质量,对于国内医疗改革进步、创新有重要实用价值。
参考文献:
[1]胡祎.医院信息网络建设中的安全技术体系[J].网络安全技术与应用,2013(10):59
[2]刘夏娥.医院信息系统网络安全体系构造[J].计算机光盘软件与应用,2013(1):51
篇6
[关键词]医院档案;档案安全;防范策略
随着社会经济的发展和科学技术的进步,促使各种载体形式的档案开始在医院出现,从而给医院的安全管理工作带来困难。档案的安全管理始终是医院档案管理工作的底线,是医院档案部门最基本的工作。因此在信息化不断发展的今天医院档案安全管理又相应的出现了许多新的安全问题,需要对医院档案安全管理进行深入的研究并相应的提出解决的对策,从而促进医院档案安全管理的合理性和有序性。
一、医院档案档案的特点
1.档案类型繁多
医院内部各科室的工作内容非常广泛,因此档案的种类多种多样。例如病案档案、财务档案、医疗设备档案、医院人事档案、医疗科研档案、基建工程档案等多种形式。同时随着医院医疗技术、设备引进和人员建设等方面的要素不断发展,促使医院档案不论是在数量上还是在种类上都在不断的增加,使医院的管理工作任务加重。
2.档案载体的多样化
传统医院的档案多以纸质载体为主,纸质档案的数量非常大并且极易损坏和老化,同时还不容易管理和查询。现今随着电子信息技术的发展,使医院的档案载体呈现多样化的发展趋势,例如电子信息档案、音频和视频档案、胶片档案、实物档案等多种载体形式。具有体积小、便携带、易查找等多种优势[1]。
3.档案管理的信息化发展
档案管理的信息化建设是今后我国档案管理的重要发展目标,实现档案管理的信息化建设可以便于档案的归类、分档和查询。因此医院的档案管理的信息化发展也成为了今后医院档案管理工作的重点,从而有效的提升医院档案管理的工作效率。
二、影响医院档案安全的因素
1.自然环境因素
影响医院档案安全性的主要自然环境因素有:(1)火灾。医院火灾的发生不仅是自然和人为因素共同造成的结果,对于大量的医院纸质档案来说极易发生火灾的危险,从而使档案安全受到损坏。(2)水灾。不论是纸质档案还是电子形式的档案等如果受到水的侵蚀就会产生严重的破坏,所以水灾是影响医院档案安全的普遍因素。
2.医院档案管理因素
医院档案管理的缺失是影响档案安全的关键性因素,只有加强各方面的管理水平才能真正的保证医院档案管理的安全性。具体的有:(1)医院档案库房的建设和管理。医院档案库房在创建时就要注重内部的防火、防水、防虫、防盗等问题。档案库房的管理人员也必须从这些方面加强管理,提高医院档案的安全性。(2)档案管理制度和水平。从国家档案管理制度层面来说,医院的档案管理要依照国家的相关制度和法律运行,做好档案的保密工作。同时医院内部档案管理制度不健全也会造成档案管理缺乏一定的规范造成档案安全问题。(3)载体因素。主要是指对于现今新型的档案载体而言,如电子信息可以被恶意复制和修改的行为,或者计算机病毒的影响等都会给医院档案的安全性带来影响。
3.档案人员因素
影响档案管理安全的重要人为因素就是档案的管理者,是档案的直接接触者,其行为和工作对档案的安全至关重要。例如,如果医院档案管理人员的安全意识不高就会忽视档案的安全管理问题。同时还存在一些恶意的人为破坏问题,例如电子档案极容易被某种利益驱使的不法分子通过病毒入侵来获取数据信息或者损坏电子档案等问题。所以档案的管理人员还必须掌握一定的电子信息技术,来保证档案的安全性。
三、医院档案的安全防范策略
1.加强医院档案管理制度的建设
首先要建立健全医院档案管理的各项规章制度,为档案管理的工作人员提供一定的管理规范支持。同时要注意医院档案管理规章制度执行的监督力度。再者针对档案信息安全风险要完善医院档案管理的信息安全制度,医院档案管理的信息安全管理工作的重点就是要加强档案管理设备、系统、网络以及档案数据的管理工作。面对电子档案容易被病毒侵袭、被传播、修改、盗取等问题,在完善预防技术的同时要建立健全的管理规程,做好医院电子档案的保密、保真和保存工作。
2.加强医院档案安全设施的建设
主要是指医院的档案库起到档案安全防范的重要屏障作用,有效的加强医院档案安全设施建设是档案安全的基本保障。首先要为档案的防治提供一个安全的环境,确保实体档案的安全。同时要做好档案的防灾和减灾工作,最重要的就是要注重防火、防水设施的建设,还要注重档案的密封和保密工作,避免出现盗取的安全危险。再者档案库的建设结构要注重抗震、防灾等方面的要求,要严格的按照《档案馆建设标准》和《档案管建筑涉及规范》建设实施。其次是档案的放置设施的建设,为了考虑档案管理的便利性和安全性可以采用档案放置的双节柜,同时有效的控制周围的温度和湿度。为医院放置的档案提供一个安全的存放环境[2]。
3.加强档案管理人员的建设
随着医院档案管理的信息化发展,对医院的档案管理人员的要求逐渐提升,所以必须通过不断的建设提高档案工作人员的综合素质。首先要注重医院档案管理人员的培训工作,加大档案安全教育和培训学习的礼俗,培养档案管理工作人员的档案信息安全意识、保密责任意识和安全的防范意识。其次要注重档案管理工作人员档案安全保障知识和相关技能的培养,避免电子档案出现信息安全问题,培养一支安全责任意识墙,能够掌握现代信息安全防范技术的专业医院档案管理人员,从而为医院档案管理安全提供必要的保障。
结语
医院的档案管理工作是医院基层工作的重要组成部分,档案管理记载着医院医疗发展、人员构成、医疗技术创新等多方面的发展成果,为医院的建设提供重要的资料支撑。因此医院档案安全管理工作始终是医院档案管理的基础工作和最重要的任务。为了更好的完善医院档案安全管理工作,就必须充分的掌握容易引起档案安全缺失的各种因素,从而可以有针对性的找出应对医院档案安全的防范措施,为医院的档案建设提供重要的管理支撑。
参考文献
[1]许黛薇.谈医院档案的安全管理[J].云南档案,2010,(9):54-55.
篇7
一、我院信息网络安全工作开展情况
(一)概况:我院信息化建设起步晚,基础薄弱。在院领导的重视支持下,自2013年开始信息化建设得以快速发展。目前医院设立单独中心机房,配备有服务器、存储、核心交换机、防火墙、UPS、VPN、IPS等专用设备。工作人员为4人,负责全院信息网络建设,信息系统维护、软硬件设备维护等工作。相继建设运行的系统有:HIS系统、LIS系统、体检系统、电子病历等业务。
(二)关键信息基础设施情况:我院关键信息基础设施主要是业务类系统,负责全院医疗业务流程管理和质量管理、医院日常办公管理。医院网站为托管模式,与我院内网完全分离,制定较为严格的管理及访问规则,保证网站安全运行。
(三)医院网络安全主要工作情况:
(1)加强制度建设和培训宣传。我院近两年完善了信息网络管理及安全建设相关的管理制度、应急预案,制定了网络及安全管理岗位职责、工作流程,开展了全员参与的信息网络安全培训,通过不断的宣传和督促,让员工树立信息网络安全意识,主动参与网络安全防护、防止信息泄露,确保医院信息网络运行安全。
(2)健全组织,强化责任。信息管理作为医院管理的重要工作之一,院领导十分重视。医院调整了信息化建设领导小组,由院长任组长,相关人员为成员。领导小组下设工作小组,由相关职能科室负责人、信息技术专业人员为成员。明确了包括医院信息规划、信息网络建设、信息网络安全、网络应急、人员培训等方面的职能职责。为了进一步落实各级主管部门强调加强网络安全建设的要求,医院成立了医院网络安全管理小组并明确责任。对照国家及上级有关部门的要求,不断完善医院信息网络系统功能,不断提升信息系统安全性与稳定性,满足日益增加的信息网络技术服务需求。
(3)加强信息科管理。科室内经常性对信息网络安全工作加以强调,尽量安排人员参加每一次信息网络安全知识培训。落实机房中心设备定期巡查制度,及时排除隐患。信息科组织专人到科室开展信息网络安全巡查,提醒和纠正员工在日常操作中不规范行为,减少隐患。对医院重要数据库数据采用每日备份,和定期拷贝备份的方式,确保数据安全。
(4)多种防护措施保证信息网络安全。一是业务用局域网与互联网物理隔离。同时连接的有医保专网、新农和专网,与互联网一样通过防火墙设备进入。二是访问公网的计算机均为固定IP,并绑定计算机,且与内网隔离。防止外来计算机的进入,带来安全隐患。财务管理软件系统的计算机连接财政专网与内网完全隔离。三是今年购置了一台新IPS设备,严把入口,局域内网分区域分段管理,限制访问权限,避免病毒全网传播。四是院内局域网中客户端均实行域控管理,对客户端系统安装均为本科专人管理预防病毒感染和威胁。五是重点部位重点管理,机房不准无关人员进入,系统数据库均设置复杂密码,专人保管。六是定期监控局域网内计算机是否异常,通过限制局域网内计算机使用U盘来防止病毒在网内传播。七是服务器区关闭非必须端口,提升防护能力。八是对办公使用的外网计算机,安装了免费防病毒软件。
二、主要存在的问题
尽管采取了一定的防范措施和手段,我们依然感觉到网络发展之快,和现实工作对网络的依赖程度之高,给我们的网络管理带来了很大压力,特别是随着业务的扩展和增加,以及上级各部门的工作通过互联网完成的趋势要求,网络及数据安全问题的压力陡增。通过自查及整改后防护有所好转,但仍然存在一些问题,主要表现在:
(一)随着互联网+医疗的推进,未来将会多系统通过互联网进入,对医院局域网将带来很大威胁,存在一定的安全隐患。医院的业务系统独成一体,在医院内部应用,通过内部局域网的管理和控制,基本可以保证安全与稳定。但随着各部门要求医院实时上报相关数据,虽然大部分专线来完成数据传输,但也有通过公共互联网进行上报如网上预约、线上线下支付等,对医院的管理和安全防护带来压力。医院目前的安全防护设备相对较少,仅靠人力被动处理,抵御能力有限。
(二)信息安全需要一定经费投入,对医院来说有压力。医院也通过购置相关设备对医院的信息安全进行一定的管理,但这些设备需要不断的更新,需要费用不断投入,而且因为价格过高而没有单独购置主要系统(操作系统、数据库系统、网络杀毒)的正版软件,对安全来说没有保障。
(三)安全防护本身就是一个难题,涉及的点面较多,普通应用人员对网络威胁的辨别能力和防范意识不高,也容易产生隐患。而目前医院网络管理专业技术人员缺乏也是安全防护隐患存在的一个因素。
三、下一步工作措施及建议
通过本次的自查,我们将进行下一步整改,通过对制度的完善,加强培训,增购设备等,使我院信息网络安全进一步强化。下一步我们仍然会对照各级部门对信息网络安全的要求,利用有限的资金做好安全防护,逐步达到信息安全管理工作的各项要求。
(一)加强信息安全组织管理。完善信息管理组织的职能,坚持定期开展专题工作会议,安排部署信息网络建设及安全等各项工作。巡查常态化,通过督促检查,提升员工安全防护意识。
(二)根据实际落实和变化情况,修订完善细化各类规章制度,通过网络宣传、现场指导培训、集中培训等多种方式提高大家在网络环境中的安全意识。辨识虚拟环境中的不安全因素。
(三)进行严格的访问权限设置,降低安全风险,严令禁止内网用户使用移动介质访问,杜绝病毒网内传播蔓延。
篇8
[关键词]医院;信息系统;网络安全;管理;医疗
doi:10.3969/j.issn.1673 - 0194.2016.14.099
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)14-0-02
医院信息系统(Hospital Information System,HIS)是指运用计算机技术、网络技术等现代化技术,对医院的人流、物流、财流等进行综合性管理,以将医院各项医疗行为所产生的数据加工成各种信息,进而为医院的整体运作提供现代化管理的信息系统。医院信息系统作为现代化医院建设中不可或缺的组成部分,其应用有助于提升医院的业务水平、提高医疗服务质量。但是随着我国医院信息系统的不断推广与应用,其安全隐患问题也逐渐暴露出来,这给医院的信息安全带来了极大的威胁。从信息安全管理层面入手,医院信息系统存在网络安全隐患的主要原因在于缺少行之有效的信息安全策略,使系统的网络通信与数据备份等操作的安全性无法获得根本的保障。
1 医院信息系统网络安全管理现存的问题
1.1 杀毒软件、系统补丁更新不及时
当前,诸多医院在应用医院信息系统时,通常都会在业务主机中安装杀毒软件,但因为主机数量较大,维护难度也较大,导致计算机维护人员很难保证所有主机的杀毒软件、系统补丁都是最新版本,使医院信息系统的应用存在网络安全管理问题。
1.2 IP、MAC地址绑定无现实意义
个别医院为了避免外来者随意连接院内网络,通常都会选择在接入层的交换机上将IP地址、MAC地址与端口绑定。但是此操作存在两大安全隐患:第一,IP地址、MAC地址的绑定必须逐台电脑进行设置操作,工作量非常大,也很不方便;第二,略懂计算机技术的人能轻松修改IP地址、MAC地址,进而使其绑定失去现实意义。
1.3 IDS入侵检测系统作用失效
当前,大多数医院在应用医院信息系统时都安装了IDS入侵检测系统,但该系统只能在出现异常时发出预警提示,而无法实现其他功能,因此导致入侵检测的功能难以见效。
1.4 数据库安全审计系统难以定位到人
在应用信息系统时,大多数医院为了有效避免数据被修改或盗取,通常会选择对登录者进行访问权限设置,但此操作依然不能有效预防恶意者的不法行为。数据库安全审计系统能够详细记录数据库的各项操作,并准确定位到IP地址,但却难以与IP地址所在的人员一一绑定,因此导致无法将责任追究到个人。
2 医院信息系统网络安全管理的需求
2.1 身份验证与访问控制需求
按照角色级别与用户类型以及对医院信息操作的重要性,判断是否进行身份验证,另外应对不同的用户采用不同的方式验证。访问控制管理必须有明确的条件约束,以确保用户能够在权限范围内登录医院信息系统。
2.2 信息资产的安全管理需求
对医院信息资产的安全管理应从硬件与软件两个层面来分析。在硬件上,应保证信息资产处于绝对安全的环境中,以保证信息资产的安全性;同时要保证医院信息系统中各核心设备的合理冗余。在软件上,应保证操作系统与应用软件的安全性,保证入网用户端设备外连接口启动、后台服务等运行的安全性。
2.3 网络通信的安全管理需求
医院信息系统要能对网络数据流进行实时控制,同时能够屏蔽危险网络行为,自行检测并处理安全事件,以及时对系统故障进行处理,进而避免网络风险事故的发生,保证网络通信操作行为的安全性。
3 医院信息系统网络安全管理的创新对策
3.1 物理安全管理对策
医院信息系统的物流安全是指各种硬件信息资产的物理保护,以防遭到破坏,其保护对象包括中心机房、服务器、工作站与硬件接口设备等。中心机房是医院信息系统的核心设备,对其进行网络安全管理的过程中,①应按其设备需求,对室内温度、湿度进行严格把控;②应启动门禁制度,以控制人员流动;③应实施多路供电,以确保电源不中断;④应采取避雷措施。服务器在医院信息系统的运作中占据了举足轻重的地位,服务器一旦发生故障,则会造成整个系统的瘫痪,因此必须确保服务器24小时正常运行,还应进行冗余设置,可采用多机容错、多机热备份方案,或采用双服务器;同时要给服务器配置高质量的UPS电源,并进行冗余设置。工作站是医院临床医师与护理人员的终端PC设备,可作为医院信息系统的独立模块,对其进行网络安全管理时,应确保其工作环境的安全性,同时对软盘、光盘的使用进行明确规定,并用软件对用户的行为进行监控。硬件接口设备包括路由器、集线器等,管理时应制定严格的制度,做好传输电缆端口的记录。
3.2 身份验证管理对策
当前,大多数医院所选用的医院信息系统都是基于“B/S”结构与“用户名+密码”的方式验证身份,这种方式较为单一,难以满足医院信息系统的升级需求。建议在“用户名+密码”身份验证方式的基础上,由医院信息系统网管人员统一设置,灵活绑定用户名相关信息,再统一下发至接入层交换机,以加强对用户身份的验证与管理。也可采取安装网络安全管理软件的方式,评测主机的接入是否符合要求,不符合要求则拒绝登录,以此确保用户身份的合法性。
3.3 访问控制管理对策
随着医院信息系统的不断推广与应用,过去基于角色的访问控制方法与静态授权方式已然不适用。角色访问控制模型――TLRBAC是一种基于时间与空间环境制约因素的访问控制模式,能够满足医院信息系统的安全管理需求。角色访问控制模型的工作原理是:用户用特定角色身份登录医院信息系统,在其登录前需受时间和空间属性的访问控制权限的限制,以此实现对用户访问行为的有效管理。角色访问控制模型是访问控制对策主要从用户验证、联网访问控制以及操作权限限定3方面来实现。
3.4 授权管理对策
在我国医院信息系统不断发展的过程中,医院的信息化管理水平逐渐提升,传统的集中式授权模式显然已经不适用。为了确保医院信息系统的正常运行,必须建立一种更合理的用户授权管理体系。可以采用分布式授权方式或层次化授权方式,分布式授权方式能够实现医院信息系统管理者的多方式分配,确保医院信息系统登录者身份的合法性;层次化授权方式是由各部分进行分层授权,要求医院建设最高授权管理部门,实现信息资产的自动识别,并制定最高的权限管理策略。
4 结 语
在医院信息系统的安全保护上,当前并无完全单一且有绝对安全保障的管理对策,因此,必须在合理的立体化安全机制下运用各种对策给予预防,且应不断对其功能进行完善,提高安全防治意识,以确保医院各项操作的安全性。
主要参考文献
[1]张桂华,罗平,郭剑峰.医院信息系统的网络安全管理思路[J].中国医药科学,2011(12).
[2]陈卓明.医院信息系统的网络安全管理探究[J].通讯世界,2016(5).
篇9
关键词:医院信息安全系统保障
从信息系统安全的角度来看,信息安全系统包括的许多技术、技巧都是在网络的各个层面上实施的,离开网络,信息系统的安全就失去意义。信息系统的安全包括了安全机制和安全服务两项内容,安全机制可以理解成为提供某些安全服务、利用各种安全技术和技巧,所形成的一个较为完善的结构体系,安全服务就是从网络中各个层次提供给信息应用系统所需要的安全服务支持。随着网络的逐层扩展,安全的内涵也更加丰富,达到了具有认证、权限完整、加密和不可否认五大要素。从目前医院信息系统的发展状况以及对医疗信息系统数据的安全性要求来看,在医院中如何做到从物理、网络、系统主机以及应用层面来确保IT系统中各种信息的保密性、完整性、可用性,提高整体防护能力,规范安全管理流程,保障信息系统的平稳运行,是医院信息系统安全的关键所在。但是从目前医院信息系统的发展状况,资金投人等方面来看实施全面的医院信息安全系统是不现实的。既然实现全面的信息安全系统是不现实的,只有先抓主要矛盾,首先在医院信息系统的关键环节实施信息安全系统,那么医院信息安全系统应该包含哪些关键环节,每个环节又应该采取什么样的策略,先详述如下。
1医院信息安全系统的关键环节
1.1中心机房、服务器、数据库的安全
医院中心机房作为医院信息系统的心脏,安全稳定运行应该包括稳定的电源,专用的空调设备,安全的防雷、防静电措施,灵敏的监控报警系统,安全的防火墙、最新的安全补丁以及规范的机房管理措施。
服务器的安全运行首先应该是建立在机房安全运行的基础上,其次应该是自身软硬件的安全运行,最后应该是防止各种非法的网络入侵。
数据库的安全运行应该建立在服务器安全运行的基础上,不仅仅是数据库软件的安全运行,更重要的是数据库中数据的安全备份、保护与及时恢复等。
1.2网络设备及其连接线路
网络设备中的核心交换机就像人体的供血枢纽,各级交换机就像中转站,连接医院各种信息设备的网线,就像人体通向各个地方的血管,其重要性不言而喻。
1.3终端机器的稳定运行
医院大多数系统采用C/S或B/S结构,各种信息系统的使用主要是在终端机器运行,只有终端机器的稳定运行才可以保证医院信息系统得到充分应用。
1.4应用软件的健壮性
应用软件的健壮性、稳定性也是医院信息系统安全的重要环节,因为所有软硬件都是为应用系统的运行创造条件、搭建环境,如果应用系统本身存在安全问题,其它环节的安全将失去意义。
1.5人的因素
在医院信息系统安全的关键环节中,人的因素是最重要的因素,因为信息系统安全中存在的主要风险应该是人的因素占有很大比例。
2医院信息安全系统关键环节的主要策略
2.1中心机房、服务器、数据库的安全运行策略
医院中心机房应该在温度、湿度、电磁、噪声、防尘、静电和震动等方面做好安全策略,温度波动控制在24士1一2℃之内,相对湿度波动控制在50%士5%RH之内,每升的空气中,大于等于0.5um的颗粒应小于18,000个,换气次数/h>30,中心机房机房与其它房间、走廊间的压差不应小于4.9Pa,与室外静压差不应小于9.8Pa。机房中应具有报警系统,并具备发手机短信报警功能。中心机房应采取双路供电,配有满足要求的UPS设备,做好防雷措施。
定期对服务器进行安全评估、安全加固,是保证服务器正常运行的必要手段,内容至少包括对服务器定期进行硬件检查,操作系统、应用软件的补丁升级,做好系统备份,安装杀毒软件并及时升级病毒库,重要业务服务器要做好双机备份。对于医院互连网业务用服务器要单独放到DMZ区域,并配备IPS,以防止互连网黑客或病毒的攻击,并尽量使得在受到攻击后不影响内部服务器的使用。
对服务器及核心交换机要做好入侵检测、审计、网管等相应的安全系统,以便实时检测核心设备及整个网络的状况,如果出现问题可以及时通过审计系统查到问题的根源。数据库应该做好增量备份、全备份及异地备份,以保证信息系统的数据万无一失。
2.2网络设备及其线路的安全策略
网络设备应该根据设备的重要程度对硬件进行定期的维护检查,软件进行定期升级,网络设备中应该根据业务的具体需要进行安全域的划分,网络设备的连接线路应该具有明确的标志,以便在系统出现问题时可准确及时的定位。
2.3终端机器的安全策略
终端机器由于医院使用者计算机水平的限制,对系统的维护及保护意识比较差,而且终端机器往往又是业务系统的直接运行设备,所以对终端机器的管理显得尤为重要。对终端机器至少应该根据业务的不同将其划分到不同的安全域中,通过网络设备做好访问控制,系统一定要打最新的补丁,安装杀毒软件并及时升级病毒库,因为病毒目前来看仍然是医院信息系统安全的“第一杀手”。另外,终端机器应做好准入控制,防止外来笔记本电脑等移动设备直接进入网络,业务用终端机器最好禁用USB设备。在条件允许的情况下,业务系统和办公系统使用的终端机器最好做到物理隔离。
2.4应用软件的安全性策略
应用软件的安全应从系统级安全、程序资源访问控制安全、功能性安全和数据域安全四个层次去考虑,在医院信息系统中,由于涉及到的业务类型比较多,部门间职能划分差异比较大,因此程序资源访问控制及数据域安全显得尤为重要,程序的授权模型需考虑组织、岗位和用户等各个层面。另外,应用软件在安装使用之前一定要按照软件测试的标准流程进行测试,对软件中身份认证部分的数据一定要进行必要的加密,软件系统中一定要记录软件使用者的具体信息,保留使用痕迹。
2.5人员管理培训策略
医院信息安全系统中人的因素占有很大比重,包括管理水平、技术水平、职业道德等。
医院信息系统的管理水平具有决定性的作用,因为医院信息系统中主要以应用现有计算机技术为主,主要是计算机技术在医院信息系统中的应用,可以说是“三分技术、七分管理”,管理水平将直接决定信息系统的安全性、稳定性。
信息系统发展快、更新快的特点决定了从事信息技术工作的人员必须经常学习,才可以跟上计算机技术的不断更新,所以对于从事信息技术的人员要进行定期的培训,最好能具备专业的信息安全知识,对于业务系统的使用者也要进行定期培训,具备必要的安全知识。
加强信息从业人员的职业道德培训,信息工作人员的职业道德对信息系统的安全具有非常重要的作用,信息系统的安全问题有很大一部分是由于内部人员造成的,很大程度与内部人员的职业道德有直接关系,因此对于信息技术从业人员应该加强企业道德培训。新晨:
篇10
关键词:医院;数据库;安全管理
通常而言,数据库的安全问题主要表现在数据库本身的安全问题、数据库的保密安全性两个方面。在保护医院数据库安全的过程中,应保证数据库准确无误,在数据库自动停止的过程中可以不破坏内部数据,数据库不能轻而易举就遭到非法侵入,以造成数据被盗问题的发生,因此应具备较强的自动修复性,确保数据库没有漏洞存在。医院的数据库安全问题和这两方面的问题有关,要把医院的数据库信息保护好,必须将防护措施做到位。
一、当前医院数据库安全管理现状
现阶段,各大医院已对数据库信息安全的重要性有了深刻的认识,采用了对数据库进行密码分段管理策略,即把数据库的密码分成几个部分,交给不同的数据库管理人员展开分散管理,如此,借助其中的一个人是不能将数据库后台打开登录成功的,必须这些工作人员全部在场,把自己所掌握的那段密码输入后,才可以将正确的数据库登录密码构成,有效管理数据库。这种分段式密码管理的显著优势便是可以将一定的监督机制形成,防止数据库管理职权由一个人掌握,导致篡改数据库信息、滥用权力的现象发生[1]。但是,这种方式便利性不强,只要掌握密码的管理人员有一人未到场,那么就不能顺利登陆数据库系统,不能第一时间解决一些突发问题。此外,现阶段的医院数据库管理人员掌握的权利较大,他们甚至可以任意把一些数据删除或进行篡改,进而为数据库信息带来了一定的安全隐患。
二、医院数据库安全管理措施
(一)医院数据库系统数据加密管理
权限管理在制度上对用户的使用权限作出了明确规定,但是不能确保毫无漏洞。如一些具有较高权限的用户不遵循制度办事,非法操作重要数据;医院数据库管理人员将一定权限的临时账号分配给软件开发公司;黑客入侵,这些均造成数据库管理存在诸多漏洞。借助数据库系统的加密措施加密处理医院数据库系统中的重要数据,只有具有权限的合法用户对数据进行访问的时候。系统才能展开解密操作,就算有访问权限的非合法用户也不能访问,如此可以避免非法用户将医院数据系统的重要信息窃取。
(二)加强对硬件设施的安全防护
要想将一个数据库完成,就必须在硬件设备上展开数据库维护和编程,所以,必须合理保障医院数据库的硬件设施,确保硬件设施没有任何问题[2]。在医院使用的网络设备中,医院必须对每一台设备进行严格检查,在选择设备的过程中,必须选择具有较好性能、较强硬件技术的设备,不能为了节约费用,选择硬件不好的网络设备操作医院数据库,这样既会发生数据丢失的问题,同时还可能早场数据库系统卡机等,致使医院系统发生瘫痪。同时,要定期检修医院使用的网络设备,一些设备可能因为长期处于潮湿状态,造成设备受损,因此,要在固定时间检查设备,确保设备的各器件均不会受到一点破坏,如此,才可以在好的设备中展开数据库操作。
(三)选择合适的数据库应用系统
医院的数据库安全管理具有很强的技术性,其既需要专业素质的安全管理人员,更离不开合理、科学的数据库操作系统。现阶段的数据库操作系统具有丰富多样的类型,在对数据库展开安全管理的过程中,首先要对数据库的系统类型和其可以达到的安全级别予以明确,进而选择合理的硬件设施和服务器。同时,还要评估现阶段的网录系统,对其安全性作出全面考虑。应注意的是,在选择应用系统的过程中,要对授权的保障和系统身份认证予以重视。此外,相关数据库的管理人员要监控数据库的操作和网络行为,对数据库的操作和授权范围予以规范。针对部分数据库使用不规范的行为要严厉抵制,把安全管理工作做好,对相关的规章制度予以完善,并把一定的审核和监察机制成立起来,定期监察数据库的信息管理,把责任落实到具体人头上,加大团队合作力度,严格落实数据库的信息安全工作。
(四)数据库安全管理机制
将完善的人事制度和管理制度建立起来。数据库应安排专门的人员进行管理,最好可以做到专人专用;同时对数据库应用的一些规范标准进行制定,借助对工作流程的方式和用户行为进行规范,使数据库的安全得到保证。对数据库的操作权限进行严格分配,要根据用户的操作登记对操作权限进行合理分配;同时还要建立健全正常的医院数据库用户标识建立和注销制度。针对数据库应用人员,加大培训力度,培训的内容主要有:操作注意事项、应用系统所需要的安全环境、前台系统的正确使用方法。
(五)数据库的备份和恢复
网络系统的数据恢复和备份功能有利于确保数据库的安全,其在各行各业中得到了广泛运用。在医院数据库安全管理中,需要把完善的数据备份和恢复系统构建起来,当数据库中的数据受到病毒破坏、黑客入侵、错误操作等危险而发生篡改、丢失数据等问题时,可以借助备份恢复功能把丢失或受到破坏的数据找到,为数据库的正常运行奠定坚实的基础。在操作数据库的时候,务必要第一时间对相关的文件和数据进行备份,以便于在之后使用的过程中可以有效、快速地将数据信息恢复,借助这样的方式可以使数据库信息的安全得到保障[3]。
三、结语
医院要想始终处于正常运行状态,首先必须确保医院数据库系统的安全性,不然医院将难以把正常的操作完成,甚至发生错误,在信息化时代,信息系统的管理是医院必不可少的内容,必须保护好数据库系统。现阶段我国医院网络化的办公形式多种多样,在这种形势下,医院的数据库显得极为重要,医院数据库中记录了全部病人的信息,这和医院的诊治以及病人的康复有着极为密切的联系,因此,必须高度重视医院的数据库安全管理,确保医院的数据库安全。
参考文献
[1]陈威.医院数据库安全管理解决方案探讨[J].数码世界,2017(3):33-33.
[2]兰祯伟.医院信息管理系统与数据库安全管理[J].电子技术与软件工程,2017(13):174-174.