医院信息安全管理措施汇总十篇
时间:2023-07-13 16:44:50
序论:好文章的创作是一个不断探索和完善的过程,我们为您推荐十篇医院信息安全管理措施范例,希望它们能助您一臂之力,提升您的阅读品质,带来更深刻的阅读感受。
篇(1)
关于医院信息管理系统的含义,多方学者都试图从不同角度和侧重点对其进行诠释。一位美国信息系统的权威学者毛瑞斯克伦就信息化管理对医疗机构的影响力角度,给出这样的定义:“运用互联网技术和通信设备,在整合医疗机构内部人流、物流和资金流的基础之上。为实现满足信息管理系统下全部授权用户的需要,对医疗机构内部各部门中医患的诊疗信息、组织的日常运营的管理数据信息进行的集中采集、处理过程。由于医疗机构本身特有的属性,决定医院的信息管理系统的复杂性和整合难度要远远超过同级别的其他机构。
2、目前医院信息管理系统存在的安全隐患
2.1医院信息管理系统安全意识淡薄
一方面,由于在部分医院中的管理者仍然执行传统的管理方法,没有对信息管理系统安全问题投入足够的重视。使得下面的工作人员也会随波逐流,对于信息管理系统的使用也只是流于形式,对相关信息系统的维护、开发工作做的不足。另一方面,由于大多数的医院对于信息管理系统安全知识的普及工作做的不是很到位,加之部分医院为了缩减人工成本,录用的非专业工作人员素质相对偏低,不能胜任信息系统的正确的使用和维护工作,这无疑会增加信息管理系统的主观安全隐患。
2.2医院普遍缺少信息管理系统安全预案
一方面,由于医院科室相对较多,信息管理系统相对较分散和复杂。而且不同科室信息系统有存在重叠的可能性,这在很大程度上增加制定医院信息管理系统安全预案的难度。加之部分领导忧心制定信息管理系统安全预案的工作繁杂,使得安全预案迟迟不能出现。另一方面,医院信息管理系统中存在部门间和人员间协调性差的问题,加之日常没有相关的信息管理系统是安全规范。对于突发的信息管理系统问题,很难在第一时间有明确的机构或人员做出及时应对。
2.3医院对信息管理系统安全缺乏必要的技术防范
信息管理系统的安全有赖于数据库的安全运行和数据的完整,而由于医院在实际的信息管理系统使用过程中缺少必要的相关技术人员,加上懈怠疏忽的工作态度作祟,缺乏对重要数据的备份保存的工作习惯,使得医院的信息管理系统在受到外界恶意攻击或由于自身工作人员错误操作时,就会造成大量的数据流失,甚至导致医医疗机构的信息管理系统瘫痪。这样不仅使院方蒙受一定程度的经济损失,由于有关病患个人信息的数据的泄露和医院就诊日常工作效率的降低,最终也会导致医院公信力的下降。
3、保障医院信息管理系统安全运行的措施
3.1强化加强对医院信息系统的数据备份和安全审计
数据对整个信息管理系统的重要性不言而喻,为了降低因为信息系统突发故障或者遭受恶意供给而带来的数据丢失现象的出现,医院要适时的对管理信息系统内部的数据建立完备的备份和恢复方案。以能够在最短时间内应对由不明外力而造成服务器瘫痪和相关数据丢失,将不良安全隐患带来的影响降到最低。在提升信息管理系统化软件稳定性的同时,可以考虑二次备份数据库的做法。同时,可以考虑定期对医院信息管理系统进行数据库的网络安全审计与日志分析,从动态角度掌握信息管理系统的实际运行状态,可以对追踪网路恶意攻击和恢复系统数据提供条件。
3.2制定保障医院信息系统安全运行的预案
首先,要强化医疗机构内部工作人员的信息系统安全意识,因为这些人是操作信息系统的主体。相关部门要制定必要的安全规范章程和操作流程标准,例如要求相关系统的操作指令要达到的安全保护程度和使用权限,都要做出明确的规定,从源头上降低由主观失误造成的安全隐患。并通过日常的信息系统安全培训学习使工作人员形成良好的操作习惯。其次,包括对医院信息系统有关的硬件、软件等存在的隐性安全风险和潜在故障的应急措施都应该列入安全预案之中,包括出现问题后应该由哪些具体的部门来处理,大到部门机构,小到具体的负责人员都要做好明确的分工并予以公示,一旦特殊情况出现可以在第一时间将损失降到最低。最后,要根据医院信息管理系统安全隐患的等级划分应对预案,并可以通过设定紧急系统安全状况处理预案和常规系统安全状况处理预案的方式,提升医疗机构应对信息管理系统安全问题和维稳就医秩序的能力。
篇(2)
综合分析,当前对医院电子档案信息安全管理产生影响的因素主要涉及到以下几个方面。
1.1 环境安全因素
电子档案是将电信号和磁介质作为主要载体的档案文献,因此环境中的磁场干扰和突然断电等问题都会对电子档案信息安全产生影响,出现档案数据失真问题,影响电子档案信息安全的合理管理[1]。同时供电系统的故障也可能会给电子档案信息造成严重的破坏。所以在加强电子档案信息安全管理工作的过程中,应该注意突出环境建设,以环境建设为电子档案信息安全管理提供良好的支持。
1.2 网络环境的影响
近几年随着网络信息技术的发展和其在社会上的普及性应用,网络安全问题频繁出现,网络病毒和黑客等对信息安全产生了严重的不良影响,医院电子档案信息安全管理也受到严重的威胁。所以医院应该正视来自互联网的威胁,对网络安全环境进行合理分析,进而从网络安全角度加强电子档案信息安全管理,有效促进档案管理水平的全面提升。
1.3 制度和人为影响因素
现阶段我国医院档案管理工作中管理制度建设不完善以及工作人员计算机专业素质偏低的问题也对电子档案信息安全管理的优化开展产生了一定的不良影响[2]。在制度不完善的情况下,管理规范性不足,并且由于管理人员综合素质偏低,无法应对计算机系统故障和网络安全对电子档案信息安全管理产生的威胁,导致医院电子档案信息安全管理水平偏低。
2 新时期医院加强电子档案信息安全管理的措施
当前社会上层出不穷的信息安全问题不仅对社会信息安全造成了一定的不良影响,甚至严重者还会威胁社会的稳定。所以社会各界都加强对信息安全管理工作的重视,希望借助科学合理的信息安全管理,为信息行业的稳定发展提供良好的支持。在此背景下,医院电子信息档案管理也受到高度重视,成为医院档案管理部门重点关注的问题。所以本文基于当前医院电子信息档案管理实际需求对电子档案信息安全管理的措施进行了适当的分析,以期为电子档案信息管理的全面优化提供良好的支持。
2.1 加强对安全稳定数据库环境建设工作的重视
医院新时期加强对电子档案信息安全管理工作的重视,最为关键的一点就是应该保证安全稳定环境的建设,为电子档案信息数据库的稳定运行提供良好的支持。首先,针对医院电子档案信息的实际需求,医院应该尝试构建独立的存储电子档案信息数据库室,并对数据库室内的环境进行合理布置,将其设置为暗室,注意采取适当的避光防尘措施,室内除了应该设置独立的18T的光纤通道存储设备外,也应该引入数据核心交换机、高性能刀片服务器等设备[3]。同时,针对医院的具体情况可以有选择性的配置除湿器和恒温机,保证医院数据库室整体环境保持在恒定温度和湿度范围内,并坚持远离磁场,避免数据库?子档案信息受到电子干扰。同时,由于电子档案信息数据库的稳定运行需要电源的支持,因此在环境建设工作中也注意电源保护问题,设置独立的电源,即使遇到突发停电的情况也能够保证数据库室在一段时间内的稳定运行,进而为管理者手动保存资料、关闭数据库提供充足的时间,有效规避突然断电对档案数据信息产生不良影响。这样借助良好数据库外部环境的建设,医院电子档案信息安全管理就能够获得良好的设备支持,提升管理效果。
2.2 提升网络信息技术安全保障工作质量
网络信息技术安全保障工作在医院电子档案信息安全管理工作中发挥着重要的作用,能够促进医院电子档案信息安全管理工作的顺利推进,促进管理水平的进一步提升。所以医院档案管理部门在开展档案管理工作的过程中必须保持对网络信息技术安全保障工作的高度重视,从多角度探索安全保障措施。首先,应高度重视备份工作,确保即使电子档案信息受到外部力量的冲击仍然能够进行及时的恢复,维护电子档案的安全。在开展备份保障工作的过程中,医院应该按照不同的类别实施电子档案信息的本地备份和异地备份、在线备份和离线备份、增量备份和差分备份等,保证备份的全面性和有效性,为电子档案信息安全工作的良好开展创造条件[4]。其次,电子档案信息加密保障工作,借助加密保护,有效防止病毒和黑客的入侵,并避免电子档案信息被不合理的修改泄密等,切实维护医院电子档案信息安全。一般情况下,医院电子档案管理部门在实施加密保障的过程中可以引入软硬件结合的加密措施,保证只有借助专门的软件才能够读取档案信息,维护电子档案数据安全。最后,设置高级别的防火墙,对档案资源使用者进行合理的限制,对于医院电子档案资源中非机密性的信息可以供个人或者相关组织使用,而对于机密性档案则应按照严格的借阅流程才能够使用档案资源。这样不仅能够实现对医院电子档案信息安全的合理维护,还能借助对档案机密性等级的划分,增强电子档案信息的有效利用率,为患者和社会相关组织提供相应的档案信息服务。
2.3 逐步完善档案规章管理制度,提升管理人员的综合素质
篇(3)
医院作为社会重要的服务机构,其所涉及的数据信息数量更是非常繁多,所以新时期医院建设改革,已经逐渐开始建立完善属于本院的电子信息化系统,进而辅助医院更加有效的完成医务数据的归纳、整理、分析和储存工作【1】。然而,受网络自身特点以及人为操作和管理因素等影响,当前医院信息化建设中存在一定的信息安全风险,亟待探讨解决。
一、我国当前医院电子信息化系统软件及数据方面的安全现状
(一)局域网
所谓信息安全,主要指的是系统数据和软件不被非法滥用或恶意破坏。而当前医院一般都是利用局域网来当作信息管理系统的整体骨架,所面临的风险和安全威胁就是用户未经正常授权而非法连接入网、通过合法或非法工作站对医院正常合法的用户口令或ID进行窃听盗取,进而冒充该用户进行合法系统登录,修改或窃取医院相关数据等。现行措施如下:首先,为有效防止非法入侵或合法用户随意访问其他信息,医院设立了一定的安全管理机制。用户在每次登陆系统访问时,都要对其身份和资格进行重新验证,传统验证主要采用的登陆方式是输入ID+口令的形式。这种验证方式相对简单且操作便捷,但是却容易泄露,相对安全性能较差。运用最新技术研发的智能IC卡验证管理技术,可以较好的弥补传统访问验证形式的缺陷。把个人信息存入个人智能IC卡内,经过安全技术处理后无法被复制,使用时只需将此卡插入到指定读卡器,就能够实现身份验证的目的。且一卡还能实现多用的功能,所以深受当前医院管理的欢迎,逐渐得以普及和运用。其次,数据信息的加密。为了提高信息储存管理的安全性,一般会对文件、数据和口令进行加密控制处理。常用的加密传输技术有端到端加密、节点加密和链路加密,对信息数据各传输环节进行安全有效的管理。而当前医院信息传输数据加密应用最为广泛的一种应属公钥基础设施,它的加密方式和解密方式都不相同。电子信息化系统建设时,把医院工作人员对应的姓名、身份证号、职务以及电话等信息都捆绑在了IC卡内,用户通过网络就能实现系统身份验证,提高了信息传输的准确性、完整性和安全性,便于远程查询和管理医院信息安全。
(二)信息化系统操作
首先,信息化系统操作是医院电子信息化建设实施后必须进行的工作内容,但是由于系统操作设计到成千上万的程序,所以因操作不当或操作系统故障造成的信息安全隐患也是极大的,决不能忽视。其次,网络信息本身就存在极大的安全风险,合法的拦截和窃取是无法被系统自动甄别的。如果工作人员综合职业素养不足,就会导致风险的增加。而现实调查数据显示,当前我国医院档案及资料数据管理人员有90%以上都没有接受过正规专业的计算机安全管理培训,相关职业道德水平还有待提升,所以才导致腐败和误操现象频发,给医院信息化建设的信息安全管理工作增加了阻碍。
二、提高我国医院电子信息化系统建设中信息安全管理的建议措施
(一)行政方面的措施
首先,制定明确的信息安全管理策略和目标。医院要根据自身发展情况和特点,明确分析当前电子信息化建设中关于信息安全方面的需求,然后有针对性的制定符合本院工作管理的信息安全策略和信息安全管理目标,为整体安全建设工作做好指导;其次,招聘真正高水平的计算机系统管理人才,组建信息安全管理专门机构,明确管理制度,落实信息安全管理职责,即使隶属于应用和行政部门,也要保持好独立性;最后,制定详细的医院信息安全管理制度,为相关部门开展工作提供依据和保障,促进信息安全管理机构工作职责和工作目标的实现。
(二)网络及数据方面的措施
首先,运用先进的技术完善网络安全管理机制。例如,采用隔离卡或单主板隔离技术等,做好内外网的隔离工作;运用漏洞扫描技术,及时发现入侵漏洞点和病毒,将病毒或故障导致的安全隐患生成安全分析报告,并及时预警处理;运用系统入侵检测技术,对系统网络内的关键信息点进行整理分析,将发现的违反正常安全策略的行为或非法入侵迹象进行警报,以便管理人员能够及时制定补救策略;运用虚拟网络专用技术,保障数据安全传输和其他网络功能的安全使用。其次,完善公钥基础设施信息加密保护措施以及数据备份恢复措施。而有效的数据备份系统可以很好的防止系统因断电、驱动磁盘故障、病毒感染以及其他事故造成的数据丢失,要选择不同的存储介质和安全地点进行数据备份。
(三)管理方面的措施
首先,由于电子信息化建设中的信息安全问题是无法彻底解决的,所以一定要做好相应的应急预案。尤其是对于医院档案信息来说,有效的应急预案可以最大限度的控制和预防突发事件带来的信息安全危害,为医院工作的安全运行提供必要依据;其次,构建高水平高素质的专业队伍,为医院的电子信息化建设提供人才保障,减少因人为原因造成的信息安全隐患,提高当前在职管理人员的信息安全管理防范意识,增强现代医院电子信息化建设的科学性和可靠性。
结语
综上所述,按照当前时展的特点推算,医院电子信息化建设既是必然发展趋势,同时也是需要持续建设和发展的重要内容。从当前科技发展的现状来说,这种信息安全风险还无法根本杜绝和解决。所以,唯有从管理及制度等方面,综合全面的进行预防及治理,才能确保将这种风险存在的可能降到最低,从而实现有效利用现代化信息系统的优势,为医院改革发展做出重大贡献。
参考文献:
篇(4)
随着医院的发展和信息化的进步,信息系统渗透到医院的各个角落。医院的医疗业务、教学、研究对信息系统的依赖性是不容置疑的。医院的信息安全不仅是保证医院有效秩序的前提 ,还是保障医院的财务管理等方面巨大的支撑,并且安全的医疗信息数据才能够有效地提高病人的治疗效果、维护病人的权益。因此加强管理和监控,加强医院有关信息安全系统方面的建设 ,是医院良好有序发展的前提以及客观要求[1]。因此对信息安全的认识从方方面面都得到了前所未有的重视。作为走在信息安全研究前列的大国,美、俄、日等国家都已制定自己的信息安全发展战略和计划,确保信息安全沿着正确的方向发展。2000年初美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》,明确了保护信息安全的措施。
我国对信息安全研究起步较晚,目前已初步建成了国家信息安全组织保障体系[2]。我国在1994年颁布了《中华人民共和国计算机信息系统安全保护条例》。在以后的十几年中,国家又出台了多个法律、法规,对信息安全等级保护的具体内容、职责和工作方法做了具体的规定。在2007年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室出台了《信息安全等级保护管理办法》。首都医科大学附属医院北京妇产医院(以下简称“北京妇产医院”)正是借着《信息安全等级保护管理办法》的实行,促进了院信息安全工作的发展,提高了信息安全的水平。从2007年到今天,院信息安全等级保护工作已经走到了第十个年头。这十年信息安全建设大约分为两个阶段。
2 第一阶段:夯实制度基础,加强边界防护
北京妇产医院于2007年10月根据《信息安全等级保护管理办法》的要求和医院的实际情况,把医院的核心系统HIS和LIS系统定为二级系统。在随后的几年中严格按照等级保护二级系统的规范进行建设。
2.1 制定和完善制度,促进安全管理
任何技术都只是手段,而人是最重要的因素,能把两者有效的、高效的结合在一起的是管理。管理又是通过制度实现的。参照等级保护的要求,增加制定了网络安全管理制度、计算机病毒防治管理制度、业务网络安全管理规定、信息安全数据使用授权制度和重大信息安全事件报告制度等制度,基本做到了制度完备。通过信息安全管理相关规范的制订与,确立信息安全方针,对信息安全管理体系文档的制订、、修订、评审进行约定,以保证信息安全管理规范文档的严肃性。通过制订全院统一的信息安全策略,有效指导信息安全管理与技术工作的开展,为全院建立了统一的信息安全策略标准。
2.2 提高信息安全意识
在领导层面,北京妇产医院建立了医院信息系统安全领导小组,明确信息安全工作由院长负责,成员包括信息科、院办、医务科等相关科室领导。在基层层面,根据技术专长和日常工作把工作人员安排为信息安全管理员、安全审计员、系统管理员等。这样不仅使每个人了解信息安全,还要负责信息安全的事,同时也让工作人员时时刻刻有信息安全的意识,还把信息安全内容纳入到每年进修人员和新入职人员培训日程之中。
2.3 加强中心机房的安全建设和管理
北京妇产医院参照《信息系统安全等级保护基本要求》进行信息化基础设施建设。中心机房配置门禁系统,机房出入口安排专人值守,控制、鉴别和记录进入的人员。外来人员进出机房须获得机房管理员的授权,对人员及设备进出情况进行记录。中心机房内服务器、网络设备均安置在机柜内并固定,对设备与走线进行了标识。中心机房设置防盗报警系统、视频监控系统、自动消防系统、空调周围安装漏水检测报警系统等物理安全设备。目前中心机房物理环境基本达到了等级保护三级系统所要求的物理环境,物理安全防护措施相对完善。
2.4 部署了基线网络监控管理系统
此系统能够通过SNMP协议获得被监控网络设备、服务器、通讯线路、网段、应用等有关信息,包括系统信息、网络连接、TCP连接、程序运行、 ARP表、路由表以及CPU负荷等。网络管理员可以通过此系统对全网络可以实时的监控。此系统还可以对IP地址的全局使用情况有一个清晰准确的统计,对于 IP地址使用的管理、分配都可以起到很好的辅助作用。
2.5 部署了桌面管理系统
此系统能够远程维护、远程控制为网络的管理、维护与故障诊断提供了全方位的平台。在管理、维护或故障排除需要时,网络管理员可以通过本功能远程登录客户机,当服务器显示客户机桌面后,即可以对其进行相应的操作。通过桌面管理系统可以管理外部设备,我院业务网禁用了U盘、软驱、光驱、UBS等各种各样的外部存储设备,减少病毒通过外部存储设备进入到业务网中的可能。通过桌面管理系统指定部分关键终端进行IP地址绑定,进一步提升了业务网的安全性。桌面管理系统还不断地进行更新、升级,以提升网络的防护水平。
北京妇产医院通过信息系统的等级保护定级工作,对医院的信息安全状况进行了一次较为全面的摸底,认识到自身信息安全水平和问题所在。针对信息安全投入了相当的力量,通过以上和其他措施加强了防篡改、防病毒、防泄密等方面的安全,提升了业务网的边界防护能力,使其处于基本安全的环境中。
3 第二阶段:持续性推进,再上台阶
2007年至2012年,北京妇产医院年门诊量从7万人次增长11万人次;年出院人次从2.5万人次增长到约3万人次;病房手术人次从1.9 万人次增长到2.5万人次。HIS系统的主要用户医生、护士、医技人员也从500余个增加到约1200余个。HIS系统的应用大大提高了医院工作效率,使医院的资源得到了更合理的优化配置。但是同时对信息系统的依赖性越高,也就对信息系统的安全有了更高的要求。在2012年《北京地区卫生行业信息安全等级保护工作实施细则》中提出:“三级甲等医院的核心业务信息系统的安全保护等级原则上不低于第三级”。针对过去的问题和三级的要求,积极进行整改和推动信息安全工作,在2014年将核心系统 - HIS系统原定级2级提升为3级系统。
3.1 确定保护对象及其区域边界,打好建设基础。
根据北京妇产医院业务的发展需要,原有的内、外网物理的隔离的网络拓扑将随着区域卫生平台、网上预约挂号等业务的推进而发生结构性的改变。如图1所示。
因此,医院原有相对独立的业务网将会受到来自互联网以及其他第三方网络威胁源的攻击。北京妇产医院与时俱进,根据《信息系统安全等级保护基本要求》首先确定了保护对象及其区域边界。根据医院信息系统的计算环境划分情况,围绕信息系统确定出区域边界:
(1)东院业务域计算环境区域边界;
(2)西院业务域计算环境区域边界;
(3)东院终端控制域计算环境区域边界;
(4)外网业务应用域计算环境区域边界;
(5)内网数据交换前置域计算环境区域边界;
(6)外网无线网络域边界;
(7)安全管理域计算环境区域边界;
(8)内网办公终端域计算环境区域边界;
(9)外网办公终端域计算环境区域边界。
保护对象及其区域边界的确定,为以后的计算环境、区域边界、通信网络等安全保护设计和实施奠定了坚实地基础。
3.2 完善日常安全管理,切实落实安全制度
北京妇产医院以前更多地关注技术的提升,有了等级保护要求之后,使得大家能全方位来看待信息安全。从安全管理平台角度来看,技术安全和管理安全同等重要,而在实际工作中,网络维护人员常常忽视管理层面的安全防护,如安全制度的建立和长期执行,机房登记制度等[3]。
北京妇产医院的信息安全制度根据实际情况进行不定期修改,使其具有科学性和可操作性。为保证信息安全制度及各种安全管理手段与技术的落实,信息科制定了完善的巡检制度。巡检人员按规定时间、内容及技术路线对设备进行巡回检查,巡检的内容涵盖了全院。硬件包括中心机房的服务器、交换机;门诊大厅的自助打印机、排号机;中心机房和各个楼层设备间的环境监控和消防等,软件包括数据库监控、病毒监控和移动存储设备的监控;磁盘空间容量、系统运行情况等。巡检人员每日巡检项目11大类504小项,巡检内容还要及时向上级进行反馈,以保证各种安全隐患的得到及时处理。同时还记录每天的程序改动、软件问题等信息,便于事后追溯。
3.3 提高数据备份与恢复能力,降低安全事件带来影响和损失
北京妇产医院原有利用东、西两院区各自独立的机房,采用了后台磁盘阵列之间的远程镜像技术,实现东、西两院区数据同步和远程容灾。通过存储在不同存储设施上的镜像数据,可以实现医院内部关键业务数据的备份与快速恢复。医院对数据保护的方式主要是采用双机高可用和备份系统。但是,双机热备系统也只能避免由于网络故障、服务器故障、物理硬盘故障造成的系统停机问题,如果应用数据受到病毒感染、人为误删除、黑客攻击、甚至是共享磁盘阵列故障,应用系统也是无法运行的。
随着等保工作和信息化建设的推进,医院又配置了CDP保护设备,实现重要数据实时保护;1-3分钟内找回丢失的数据,同时可以恢复到毫秒级的数据版本状态,保障核心业务数据的完整性、一致性、可用性,从而保证核心业务系统正常、稳定、连续运行;数据恢复过程简单方便;后端重建系统,无停机时间;仅复制上次复制后已更改的增量数据,进行有效的系统及数据备份;大大缩短恢复过程,从而减少停机时间并保持生产力;如果出现应用程序故障或硬盘崩溃,可以可靠地捕捉启动应用程序服务器所需的数据。CDP设备部署如2图所示。
CDP设备不仅能够轻而易举的实现本地的应用系统保护和恢复,而且能够很轻松的将保护延伸到远程,建立起更为强大的异地容灾系统。
4 结束语
篇(5)
中图分类号:R19 文献标识码:A
随着21世纪的到来, 我国整体信息化水平的提高以及医院规模的扩大、现代设备的增加以及门诊量的提升,通过信息化手段提升医院整体管理水平,提高医院内部诊疗信息的共享率,全面增强医院服务患者水平成为现代医院新的经营理念和必然的发展趋势。本文将从技术和管理两方面介绍保障信息安全的主要方法,并结合医院的特点说明怎样的医院信息系统才是一个安全的系统。
1 医院信息化建设的安全范畴
1.1局域网络
就医院局域网建设来说,它应紧密围绕着医院管理目标,体现医院管理思想。它所面临的安全威胁主要来自非法用户利用私自连接上网的未经授权的工作站或利用一台合法工作站, 通过窃听网上通信来窃取合法用户的用户标识符(ID)和口令,冒充合法用户登录系统,窃取或修改数据。保障信息安全就必须有效地对抗这些攻击。
(1)网络的安全机制
医院信息管理系统(HIS)已在我国大部分医院启用,为防止未授权用户进入系统或合法用户访问它无权了解的信息,在用户登录系统时,对其访问资格进行认证,即身份认证。目前主要采用ID+ 口令方式。用户登录时,输入ID和口令。这种方式简单易行,但ID 和口令容易泄露,安全性差。最佳方案是采用智能IC卡技术。用户的个人信息存储在IC 卡内, IC卡使用多种安全技术确保卡内资料不会被复制和泄漏。使用时,将卡插入工作站的读卡器进行身份认证。由于费用较高,当前国内医院较少采用。但它的安全性能突出, 而且一卡多用, 是今后的发展方向。
(2)网络通信数据的保密
在网络分层通信中,保密通信安排的层次越高,则传送密文的安全路径越长,信息传输的安全性相对也越高,但相应的开销和延时也可能较大,所以网络中具体安排哪一层次进行加密和解密,仍需根据网络系统应用类型、范围及环境等因素综合考虑和规划。在这种结构的网络中,数据以广播的形式进行发送。当一台工作站与服务器通信时,网上的其他任何一台计算机都可以获得传输数据的副本。为了保证有在线窃听情况下数据的保密性,只有对数据加密。现阶段国内医院信息系统,基本选用软件加密方式。密码运算工作全部由工作站和服务器完成。如果网上数据全部加密传输,运算量极大。在通信频繁的情况下,会使整个系统的性能迅速下降。通过分析医院的信息流动情况和面临的安全威胁,可以看出:首先,医院并非高度保密单位。日常工作中使用的信息,多数保密等级并不高。其次,入侵者攻击方式和目的明确,主要是试图经网络侵入系统,通过非法修改、窃取、破坏保存在数据库中的相关数据,从而获取某种程度的利益。而不是单纯通过在线窃听网上通信来获得有用的信息。因此,将少量保密等级高的数据在网上加密传输,而大部分普通数据则直接传输,可使系统的速度和安全性能均达到满意的水平。为防止在用户登录时其ID、口令等用户安全信息被窃听,这类对系统安全至关重要的数据在网上传输时必须加密。
1.2 系统和应用软件
包括操作系统、数据库和管理信息系统。为能有效保障信息安全,软件系统应具有以下技术特性:
(1)访问控制
系统应能通过授权数据库等安全机制对用户进行分级管理,限定访问权限。从而防止无权用户对操作系统核心区域和重要文件的访问,避免系统被破坏和系统安全信息的泄漏。对数据库的访问,在任何情况下,都应通过数据库系统进行。防止用户绕过数据库系统, 直接存取库中数据。医院信息系统中的数据库,其访问控制的粒度至少要达到/“纪录”一级。例如,在病案管理中,对于病案库中的每一条纪录,只有其主管医师拥有/“修改”权限。其他一些人员可以有/ “只读”权限,有时还需要限定某些人员的查阅项目(访问控制的粒度需达到/“域”一级)。对于无权接触病案的人员,则禁止其访问。
(2)安全审计
一个安全的系统应该知道系统中何时何处谁在做什么。这就要求系统能跟踪运行中发生的事件和出现的变化,将过程记录在工作日志中。以便供安全审计人员查阅,发现问题并采取相应的防范措施。工作日志应具有很高的安全等级,并禁止修改。
(3)数据加密存储
是利用数据加密技术将数据库中的数据由明文变为密码存储,使非法攻击者即使得到数据也无法解读和使用。多数系统采用在程序中设置固定的加密算法和密钥的方式对数据库进行加密。这种加密方式容易实现,使用简便,能够提供一定的防护能力。在医院信息系统中被广泛采用。缺点是,由于始终使用同一个密钥进行加密,安全性不高。如改用可变密钥的方式,将大大增加数据库的安全性,但同时也会使数据库管理工作变得复杂。
(4)签名和校验
签名用来纪录数据录入者的身份,明确责任。校验用以检验数据在存储过程中是否被非法修改。在医院信息系统中,一般以/“纪录”或/“域”为单位进行签名。例如,在电子病案中各级医师每日的查房纪录和医嘱,都应由各人分别签名确认。签名往往与校验结合在一起,利用操作者的个人密钥,对被签名数据进行运算,生成消息验证码(MAC)与被签名数据一起存储,实现校验和签名的双重功能。
2 医院信息安全系统的管理
随着计算技术的发展和普及,计算机技术被广泛运用于各个领域,为医院信息安全系统提供重要的技术支持。计算机系统主要由硬件和软件构成,但是系统的运行却离不开其使用者。所以明确医院信息安全管理目标,加强人员的培训,加强信息系统安全管理,才能保证医院安全信息系统的正常运行。
2.1 信息安全行政管理措施
(1)明确安全管理目标及方法。每个医院信息安全问题都不同,对信息安全系统的要求也不同,所以在进行医院信息安全系统管理的时候,要依据医院的实际情况及医院的信息安全需求,明确医院信息安全系统的管理目标,并制定相应的安全管理措施,保障医院信息安全。(2)信息安全管理队伍的建立。依据医院实际情况,建立相应的安全管理队伍,合理分配管理任务,落实责任制度,保证安全管理工作的顺利进行。(3)信息安全制度的制定。信息安全制度是规范信息安全管理工作,明确信息安全工作目标,落实信息安全职责的重要原则。信息安全制度主要包括工作规程、安全原则及工作责任等。
2.2 信息安全管理工作内容
(1)提高人员的安全意识。采用职位转换的方式,避免工作人员长期担任信息安全管理工作。确保每位工作人员具有获取工作信息的权利,制定信息安全管理制度,对每位工作人员获取的信息进行有效的管理和控制,同时对每位工作人员进行信息安全管理教育,提高工作人员的信息安全意识。(2)加强信息系统设备维护和管理。管理人员将信息系统所有的设备资料进行详细的记录,记录设备的型号、名称、编号等等。安全管理人员可以依据设备档案资料对设备进行定期的检查,检查信息设备的运行情况,及时更换新设备,保证信息系统的正常运行。(3)信息安全管理工作的审核。对信息安全管理工作进行有效的审核,及时发现信息系统存在的安全问题,并制定相应的解决方法,消除信息系统存在的安全隐患,保证医院信息安全。(4)信息系统病毒的安全防范。在信息系统病毒防范上,通常采用杀毒软件来起到预防、杀毒的作用。而在信息系统安全管理中,则通过安全防范措施来达到阻止病毒入侵,保证信息系统安全的目的。病毒防范措施主要有两个方面。第一,如果病毒是通过信息网络入侵的,医院最好采用独立的局域网,与公用的网络进行隔离。同时可以在网络接口处安装杀毒软件和防火墙,可以起到一定的防治作用。第二,如果病毒是通过可移动的存储设备入侵的,在信息安全系统运行中最好禁止使用移动存储设备。对必须用到的存储设备进行有效的安全管理,在信息系统中安装杀毒软,防治病毒对信息系统的破坏。同时在技术允许的情况下,对系统设备进行严格检测,保证移动存储设备内没有病毒。
结语
总之,医院信息管理对信息安全等级保护的实现有十分重要的意义和作用,为使采集的数据真实有效,要制定了工作站入网操作规程,以提高信息的准确性。在实际工作中,网络管理人员只有不断更新知识、积累经验,才能未雨绸缪,扼杀网络瘫痪,把危害降到最低,确保医院网络安全运行。
篇(6)
论文摘要:分析了目前威胁医院网络信息安全的各种因素结合网络安全与管理工作的实践,探讨了构建医院信息安全防御体系的措施。
中国医院信息化建设经过20多年的发展历程目前已经进入了一个高速发展时期。据2007年卫生部统计信息中心对全国3765所医院(其中:三级以上663家:三级以下31o2家)进行信息化现状调查显示,超过80%的医院建立了信息系统…。随着信息网络规模的不断扩大,医疗和管理工作对信息系统的依赖性会越来越强。信息系统所承载的信息和服务安全性越发显得重要。
1医院信息安全现状分析
随着我们对信息安全的认识不断深入,目前医院信息安全建设存在诸多问题。
1.1信息安全策略不明确
医院信息化工作的特殊性,对医院信息安全提出了很高的要求。医院信息安全建设是一个复杂的系统工程。有些医院只注重各种网络安全产品的采购没有制定信息安全的中、长期规划,没有根据自己的信息安全目标制定符合医院实际的安全管理策略,或者没有根据网络信息安全出现的一些新问题,及时调整医院的信息安全策略。这些现象的出现,使医院信息安全产品不能得到合理的配置和适当的优化,不能起到应有的作用。
1.2以计算机病毒、黑客攻击等为代表的安全事件频繁发生,危害日益严重
病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到医院的正常运营。目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起的。在医院网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设服务器、私自访问外部网络、滥用政府禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证医院网络安全运行的前提,也是目前医院网络安全管理急需解决的问题。
1.3安全孤岛现象严重
目前,在医院网络安全建设中网络、应用系统防护上虽然采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。
1.4信息安全意识不强,安全制度不健全
从许多安全案例来看,很多医院要么未制定安全管理制度,要么制定后却得不到实施。医院内部员工计算机知识特别是信息安全知识和意识的缺乏是医院信息化的一大隐患。加强对员工安全知识的培训刻不容缓。
2医院信息安全防范措施
医院信息安全的任务是多方面的,根据当前信息安全的现状,医院信息安全应该是安全策略、安全技术和安全管理的完美结合。
2.1安全策略
医院信息系统~旦投入运行,其数据安全问题就成为系统能否持续正常运行的关键。作为一个联机事务系统,一些大中型医院要求每天二十四小时不问断运行,如门诊挂号、收费、检验等系统,不能有太长时间的中断,也绝对不允许数据丢失,稍有不慎就会造成灾难性后果和巨大损失医院信息系统在医院各部门的应用,使得各类信息越来越集中,构成医院的数据、信息中心,如何合理分配访问权限,控制信息泄露以及恶意的破坏等信息的访问控制尤其重要:pacs系统的应用以及电子病历的应用,使得医学数据量急剧膨胀,数据多样化,以及数据安全性、实时性的要求越来越高,要求医院信息系统(his)必须具有高可用性,完备可靠的数据存储、备份。医院要根据自身网络的实际情况确定安全管理等级和安全管理范围,制订有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等,建立适合自身的网络安全管理策略。网络信息安全是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。
在网络安全实施的策略及步骤上应遵循轮回机制考虑以下五个方面的内容:制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。
2.2安全管理
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,加强安全培训,增强医务人员的安全防范意识以及制定网络安全应急方案等。
2.2.1安全机构建设。设立专门的信息安全领导小组,明确主要领导、分管领导和信息科的相应责任职责,严格落实信息管理责任l。领导小组应不定期的组织信息安全检查和应急安全演练。
2.2.2安全队伍建设。通过引进、培训等渠道,建设一支高水平、稳定的安全管理队伍,是医院信息系统能够正常运行的保证。
2.2.3安全制度建设。建立一整套切实可行的安全制度,包括:物理安全、系统与数据安全、网络安全、应用安全、运行安全和信息安全等各方面的规章制度,确保医疗工作有序进行。
2.2.4应急预案的制定与应急演练
依据医院业务特点,以病人的容忍时间为衡量指标,建立不同层面、不同深度的应急演练。定期人为制造“故障点”,进行在线的技术性的分段应急演练和集中应急演练。同时信息科定期召开“系统安全分析会”。从技术层面上通过数据挖掘等手段,分析信息系统的历史性能数据,预测信息系统的运转趋势,提前优化系统结构,从而降低信息系统出现故障的概率;另一方面,不断总结信息系统既往故障和处理经验,不断调整技术安全策略和团队应急处理能力,确保应急流程的时效性和可用性。不断人为制造“故障点”不仅是对技术架构成熟度的考验,而且还促进全员熟悉应急流程,提高应急处理能力,实现了技术和非技术的完美结合。
2.3安全技术
从安全技术实施上,要进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案。
2.3.1冗余技术
医院信息网络由于运行整个医院的业务系统,需要保证网络的正常运行,不因网络的故障或变化引起医院业务的瞬间质量恶化甚至内部业务系统的中断。网络作为数据处理及转发中心,应充分考虑可靠性。网络的可靠性通过冗余技术实现,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。
2.3.2建立安全的数据中心
医疗系统的数据类型丰富,在不断的对数据进行读取和存储的同时,也带来了数据丢失,数据被非法调用,数据遭恶意破坏等安全隐患。为了保证系统数据的安全,建立安全可靠的数据中心,能够很有效的杜绝安全隐患,加强医疗系统的数据安全等级,保证各个医疗系统的健康运转,确保病患的及时信息交互。融合的医疗系统数据中心包括了数据交换、安全防护、数据库、存储、服务器集群、灾难备份/恢复,远程优化等各个组件。
2.3.3加强客户机管理
医院信息的特点是分散处理、高度共享,用户涉及医生、护士、医技人员和行政管理人员,因此需要制定一套统一且便于管理的客户机管理方案。通过设定不同的访问权限,加强网络访问控制的安全措施,控制用户对特定数据的访问,使每个用户在整个系统中具有唯一的帐号,限定各用户一定级别的访问权限,如对系统盘符读写、光驱访问、usb口的访问、更改注册表和控制面板的限制等。同时捆绑客户机的ip与mac地址以防用户随意更改ip地址和随意更换网络插口等恶意行为,检查用户终端是否安装了信息安全部门规定的安全软件、防病毒软件以及漏洞补丁等,从而阻止非法用户和非法软件入网以确保只有符合安全策略规定的终端才能连入医疗网络。
2.3.4安装安全监控系统
安全监控系统可充分利用医院现有的网络和安全投资,随时监控和记录各个终端以及网络设备的运行情况,识别、隔离被攻击的组件。与此同时,它可以强化行为管理,对各种网络行为和操作进行实施监控,保持医院内部安全策略的符合性。
2.3.5物理隔离
篇(7)
中图分类号:TP393.08
医院网络信息安全管理关系重大,不仅是贯穿医院网络工程建设的关键步骤,同时也是保证医院各类信息高效流通的基本方式。该项管理工作具有一定系统性,结合当前VLAN技术的广泛应用特征,将其在管理策略上所发挥的优势与医院网络信息建设实现对接,可为医院现代化发展提供坚实的技术保障。
VLAN(VirtualLocalAreaNetwork)技术。VLAN又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN是建立在物理网络基础上的一种逻辑子网,将网络分段成几个不同的广播组,从而有效的控制大的网络广播风暴的产生。建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备。
1 医院网络信息安全管理采用VLAN技术的重要性
VLAN技术是指虚拟局域网技术,它的运行基础是交换技术,在应用中把局域网中的不同机器设备在逻辑层面上划分为不同网段,利用软件形式达到逻辑工作组的划分与管理目的。VLAN可以使同局域网中的各个成员之间实现信息无阻碍化交流,不同的VLAN之间的信息无法直接实现对接,如果要通讯就必需使用相关路由设备。在医院网络信息沟通与交流中应用VLAN技术则可以实现同一网络系统之间的信息交流,与此同时,信息的安全性也成为首要关注的对象,依据VLAN不同的划分策略,安全管理方式也具有针对性。
基于端口的VLAN划分方式是最为普遍的系统划分与运行方案,这是基于交换机上的网络设备类型来区别不同的网络区域,根据端口划分也是定义VLAN技术最为便捷的方法之一,具有网络成员的确定较为简单快捷的特点,只需要在全部端口进行统一指定即可。但是这种划分方式也具有明显的不足之处,即用户不能灵活选择端口,一旦确定后就不能改变,如果换到了另一个网络设备端口中,则需要重新对VLAN进行定义。基于MAC地址对VLAN进行划分主要依据和交换机主机相互联系的MAC地址,主机所在的VLAN与端口并没有关系,与IP地址也没有关系,该种划分方式便于用户的随时接入,在接入时无需重新定义就可以实现信息的管理,它的不足之处是最初系统的配置量非常大,需要对局域网系统中的每一台主机都实现一对一的VLAN技术配置,给网络系统安全维护的管理人员带来非常繁重的任务量。基于协议的VLAN技术划分主要依据网络主机运行中采用的网络协议类型,针对不同信息广播区域的网络地址,将事先定义好的信息分门别类归入具体VLAN中,接着依据生成树算法再将各种信息数据进行即时交换。该种划分方式和路由的操作没有直接的联系,当用户的物理位置变化时也不需要重新定义VLAN,但是该种方式总体操作效率比较低,对网络运行速度具有高要求的局域网络一般很少采用。
现阶段医院采用VLAN技术具有诸多的便利性。医院网络系统的管理员可以在VLAN技术平台上轻松进行各种网络活动的管理,并可以根据工作的需求,灵活而快捷地构建不同类型虚拟工作组,便于进行下一步的管理。采用VLAN将不同的用户划分到需要的工作组中,同一用户也可以不受具体时空范围的限制,将互相通信比较频繁的用户划分到一个工作组中,还可以提高信息传输与交流的效率,同时也可以防止同一VLAN中的广播风暴不会波及到其余系统中,这样整个网络系统的安全性就得以大幅度提升,而在日常工作中,网络子系统的构建与运行维护工作的便利性更加突出,大大提高了网络管理员的工作效率。
2 医院网络信息安全管理应用的具体策略
医院网络信息系统安全性建设服务体系的实践应用主要包括主干系统、医保服务器、办公楼、住院楼、门诊楼等系统的组合,这些组成部分运行的首要目的是为网络系统的正常使用建立一个可靠的外部环境,保证信息沟通与交流的及时性和准确性,为信息资料的使用者提供更为便捷的搜寻服务。当前很多医院都已经认识到网络信息安全管理的重要性,因此普遍增强了管理力度,具体策略包括以下几点:
一是成立网络信息安全保密管理委员会,具体工作实践中,以院长为中心,建立专门的管理机构,将网络信息安全的各项原则和方案贯彻到工作中来,保证信息使用和传递的安全。
二是不断完善现有的安全管理制度,总结经验教训,提高网络信息安全管理效率。医院各种网络设备和设施在应用过程中,每一环节都要建立相应的管理措施和制度,包括后期维护方面,并且要对服务器实行定期检查与不定期抽查结合的管理办法。网络信息系统运行过程中难免遇到停电或者运行障碍,事先要做好应急准备,以便在各种突发事件中确保信息安全和医院日常工作的进行,例如可以同时完善挂号、收费以及取药等的人工操作管理流程,在网络信息系统暂停服务时依然确保医院的正常运营秩序。
三是不断增强网络信息系统的硬件水平和软件水平,对系统进行维护时要选择品质较高的软件与硬件,可通过安装防火墙、病毒防治软件以及使用外来信息入侵监测设备进行系统的全面保护与管理。
四是提高医院全体成员网络信息系统操作与管理安全性教育水平。现阶段,医院普遍出现的信息安全事故都源于内部管理不善,例如各类移动硬盘随意接入医院的网络系统,导致信息网络受到病毒的入侵,或者在利用计算机系统进行现代化办公与管理过程中,导致用户信息的泄漏,这些安全意识方面的问题,不是仅仅通过使用高级网络安全管理硬件或软件就能彻底解决的,还需要各方成员的共同努力,从思想意识里树立牢固的安全意识,同时医院要定期组织安全教育和相关知识的考核,将安全管理策略落到实处,确保信息安全化水平更上一层楼。
3 结束语
综上所述,信息传输安全性一直为人们所关注,提高网络信息交流和应用的安全性,可以同时提高信息存储的完整性和保密性,为医院信息传输的高效性增添更多的便利。在实践管理中,利用VLAN技术能够实现信息的及时化管理操作,进一步推动医院网络信息安全管理的发展。
参考文献:
[1]吕晓娟.运用虚拟局域网技术加强医院网络安全建设[J].医学信息(中旬刊),2011(15).
[2]宋恒球.基于医院网络安全管理的分析[J].数字化用户,2013(06).
[3]王蕾,朱刘松,孙瑛.军队医院网络安全管理[J].医疗卫生装备,2013(15).
篇(8)
1.1 复杂性档案种类
医院工作过程当中会收集多方面和多元化的信息及资料,因此也就促成了医院的档案信息的复杂性问题。针对医院的档案信息进行管理和储存,才能够保证了解内容丰富和复杂的档案信息,通过科学的管理方式将医院方面的档案进行种类的划分,可以建立病历、影像诊断、科研教学、人事管理、财务信息等等档案文本内容。将以上科学划分的档案类型进行不同形式的划分,掌握纸质、电子和影像等诸多类型的档案,更加有助于降低未来医院工作方面的负担[1]。
1.2 多元化档案媒介
多元化的档案信息管理媒介能够满足当下的医疗卫生行业服务和管理工作的需求,但是同时也存在一定的问题,容易导致医院档案信息管理工作出现安全风险。从前医院的档案信息基本以纸质为主,在保存和查找方面都存在很大的难度,伴随科学技术的不断发展,信息技术支持的档案信息管理模式更加适合繁忙的医疗工作体系,但同时也存在一定的安全风险性。电子信息模式下的档案管理方式具备携带便捷和成本低廉等众多优点,但同时也存在风险问题需要不断的优化处理[2]。
1.3 网络式档案信息
网络模式的档案信息管理是非常有效的工作模式之一,也是未来社会发展的主要趋势。针对医院档案信息管理工作进行研究和分析能够发现,电子信息化的档案信息管理模式非常适合应用于医院的工作,主要是源于电子信息系统具有庞大的信息收集和归纳、整理作用,能够为医疗工作者提供更加高效的工作方式和方法,是一种优化的工作途径,保证了医院档案信息管理工作的质量和效率,也是未来行业发展的趋势[3]。
2 影响医院档案信息安全的因素
2.1 安全的档案信息媒介
影响医院档案信息管理的安全性因素涉及到很多方面,针对这些问题进行客观的分析,并针对存在的影响因素和问题找到一个科学、合理的解决途径,能够保证未来医院服务和管理工作的质量。影响医院档案信息管理质量的基本原因是受到档案信息媒介安全性的影响,档案信息的媒介安全性主要是指环境因素的影响,例如火灾、虫鼠灾害、水灾等等,都会影响档案信息的保存和管理。一旦发生环境因素灾害,就会导致档案信息出现部分和全部损失的情况,进而造成医院管理方面的阻碍问题等等[4]。
2.2 计算机病毒
影响医院出现档案信息管理安全威胁的问题还涉及到计算机的病毒问题,因为计算机的工作模式会受到病毒的影响,而且计算机的病毒影响非常严重。计算机的病毒存在传播速度特别快的问题,还存在智能化程度高的问题,因此,出现计算机病毒的问题很难控制,也会造成医院的档案信息安全出现风险。最为影响医院档案信息安全管理工作的因素还源于计算机的病毒侵害杀伤力非常大,而且在不断的技术升级过程中还会出现病毒侵害力逐渐增加的情况和问题。很多计算机的小型病毒可能会在工作的过程中不断的出现作用力增强的情况,进而导致医院的档案信息安全管理工作出现危机[5]。
2.3 网络入侵
影响医院档案信息管理的安全威胁因素还包含网络入侵的问题,关注网络入侵才能够认识到医院档案管理工作过程中会出现的问题。医院建立的网络档案管理模式体系当中,发现需要通过授权才能够登录,但是网络的模式自然也存在容易侵犯的问题。黑客可能通过口令的模式达成网络的入侵,实用软件窃取相关文件档案等。另外还有特洛伊木马的黑客形式通过软件的植入造成计算机的远程干扰,最终丢失医院的档案信息。除此之外,还有监听方法和社会工程学的诸多入侵方式,更高的科学技术达成了多层面入侵的黑客模式,导致医院的档案信息管理出现风险问题。
2.4 缺失科学组织管理和先进理念
可能影响医院出现档案信息管理的安全因素有很多,缺失科学的组织管理和先进理念就是影响医院档案和信息管理的安全性。由于当下科学技术的不断发展,网络信息技术已经全面的覆盖了人们的生活。医院档案管理的过程当中也需要应用到网络信息的技术和平台,由于网络体系的安全权限设置存在不足,就会出现安全管理方面的问题。还有部分的医院档案管理从业人员对于档案信息的保存存在认知和理念层面的不足,很容易在保存档案信息方面出现缺失专业的随意性,导致医院的档案信息在网络平台上随意被窃取,严重妨碍了?t院的档案信息管理[6]。
3 医院档案信息安全管理对策
3.1 实体安全档案防护
重视医院的档案信息管理工作,需要从安全性角度进行科学的考量,保证实施切实有效的档案管理信息,进而构建安全防护体系,降低可能出现的信息管理问题。关注医院的档案信息安全管理工作,不仅仅要重视日常的信息管理和维护工作,还需要从档案的存放位置及地点方面进行管理。医院不仅仅保留电子信息文档,还应当保存文件的纸质本,以此为后续管理工作提供完整的信息和资料。通常为保证纸质文版档案的安全保存,需要避免储存在潮湿的地下室位置,还应当避免存在火灾安全隐患的位置。在日常的管理和储存过程当中,需要保证通风和除湿的管理,定时进行驱虫和灭鼠操作[7]。
3.2 计算机信息安全措施
篇(9)
关键词:
医院信息安全;等级保护工作;等级测评
一、引言
随着我国信息化建设的快速发展与广泛应用,信息安全的重要性愈发突出。在国家重视信息安全的大背景下,推出了信息安全等级保护制度。为统一管理规范和技术标准,公安部等四部委联合了《信息安全等级保护管理办法》(公通字[2007]43号)。随着等级保护工作的深入开展,原卫生部制定了《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号),进一步规范和指导了我国医疗卫生行业信息安全等级保护工作,并对三级甲等医院核心业务信息系统的安全等级作了要求,原则上不低于第三级。从《关于信息安全等级保护工作的实施意见》中可知信息安全等级保护对象是国家秘密信息、法人和其他组织以及公民的专有信息和公开信息。对信息系统及其安全产品进行等级划分,并按等级对信息安全事件响应[1]。
二、医院信息安全等级保护工作实施步骤
2.1定级与备案[2]。
根据公安部信息安全等级保护评估中心编制的《信息安全等级保护政策培训教程》,有两个定级要素决定了信息系统的安全保护等级,一个是等级保护对象受到破坏时所侵害的客体,另外一个是对客体造成侵害的程度。对于三级医院,门诊量与床位相对较多,影响范围较广,一旦信息系统遭到破坏,将会给患者造成生命财产损失,对社会秩序带来重大影响。因此,从影响范围和侵害程度来看,我们非常认同国家卫计委对三级甲等医院的核心业务信息系统安全等级的限制要求。在完成定级报告编制工作后,填写备案表,并按属地化管理要求到市级公安机关办理备案手续,在取得备案回执后才算完成定级备案工作。我院已按照要求向我市公安局网安支队,同时也是我市信息安全等级保护工作领导小组办公室,提交了定级报告与备案表。
2.2安全建设与整改[3]。
在完成定级备案后,就要结合医院实际,分析信息安全现状,进行合理规划与整改。
2.2.1等保差距分析与风险评估。
了解等级保护基本要求。《信息系统安全等级保护基本要求》分别从技术和管理两方面提出了基本要求。基本技术要求包括五个方面:物理安全、网络安全、主机安全、应用安全和数据安全,主要是由在信息系统中使用的网络安全产品(包括硬件和软件)及安全配置来实现;基本管理要求也包括五个方面:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理,主要是根据相关政策、制度以及规范流程等方面对人员活动进行约束控制,以期达到安全管理要求[4]。技术类安全要求按保护侧重点进一步划分为三类:业务信息安全类(S类)、系统服务安全类(A类)、通用安全保护类(G类)。如受条件限制,可以逐步完成三级等级保护,A类和S类有一类满足即可,但G类必须达到三级,最严格的G3S3A3控制项共计136条[5]。医院可以结合自身建设情况,选择其中一个标准进行差距分析。管理方面要求很严格,只有完成所有的154条控制项,达到管理G3的要求,才能完成三级等级保护要求。这需要我们逐条对照,发现医院安全管理中的不足与漏洞,找出与管理要求的差距。对于有条件的三甲医院,可以先进行风险评估,通过分析信息系统的资产现状、安全脆弱性及潜在安全威胁,形成《风险评估报告》。经过与三级基本要求对照,我院还存在一定差距。比如:在物理环境安全方面,我院机房虽有灭火器,但没安装气体灭火装置。当前的安全设备产品较少,不能很好的应对网络入侵。在运维管理方面,缺乏预警机制,无法提前判断系统潜在威胁等。
2.2.2建设整改方案。
根据差距分析情况,结合医院信息系统安全实际需求和建设目标,着重于保证业务的连续性与数据隐私方面,满足于临床的实际需求,避免资金投入的浪费、起不到实际效果。整改方案制订应遵循以下原则:安全技术和安全管理相结合,技术作保障,管理是更好的落实安全措施;从安全区域边界、安全计算环境和安全通信网络进行三维防护,建立安全管理中心[6]。方案设计完成后,应组织专家或经过第三方测评机构进行评审,以保证方案的可用性。整改方案实施。实施过程中应注意技术与管理相结合,并根据实际情况适当调整安全措施,提高整体保护水平。我院整改方案是先由医院内部自查,再邀请等级测评公司进行预测评,结合医院实际最终形成的方案。网络技术人员熟悉系统现状,易于发现潜在安全威胁,所以医院要先自查,对自身安全进行全面了解。等级测评公司派专业安全人员进驻医院,经过与医院技术人员沟通,利用安全工具进行测试,可以形成初步的整改报告,对我院安全整改具有指导意义。
2.3开展等级保护测评[7]。
下一步工作就是开展等级测评。在测评机构的选择上,首先要查看其是否具有“DICP”认证,有没有在当地公安部门进行备案,还可以到中国信息安全等级保护网站进行核实。测评周期一般为1至2月,其测评流程如下。
2.3.1测评准备阶段。
医院与测评机构共同成立项目领导小组,制定工作任务与测评计划等前期准备工作。项目启动前,为防止医院信息泄露,还需要签订保密协议。项目启动后,测评机构要进行前期调研,主要是了解医院信息系统的拓扑结构、设备运行状况、信息系统应用情况及安全管理等情况,然后再选择相应的测评工具和文档。在测评准备阶段,主要是做好组织机构建设工作,配合等级测评公司人员的调查工作。
2.3.2测评方案编制阶段。
测评内容主要由测评对象与测评指标来确定。我院测评对象包含三级的医院信息系统、基础网络和二级的门户网站。测评机构要与医院沟通,制定工具测试方法与测评指导书,编制测评方案。在此阶段,主要工作由等级测评机构来完成。
2.3.3现场测评阶段。
在经过实施准备后,测评机构要对上述控制项进行逐一测评,大约需要1至2周,需要信息科人员密切配合与注意。为保障医院业务正常开展,测评工作应尽量减少对业务工作的冲击。当需要占用服务器和网络资源时应避免业务高峰期,可以选择下班时间或晚上。为避免对现有业务造成影响,测评工具应在接入前进行测试,同时要做好应急预案准备,一旦影响医院业务,应立即启动应急预案[8]。在对209条控制项进行测评后应进行结果确认,并将资料归还医院。该阶段是从真实情况中了解信息系统全面具体的主要工作,也是技术人员比较辛苦的阶段。除了要密切配合测评,还不能影响医院业务开展,除非必要,不然安全测试工作必须在夜间进行。
2.3.4报告编制阶段。
通过判定测评单项,测评机构对单项测评结果进行整理,逐项分析,最终得出整体测评报告。测评报告包含了医院信息安全存在的潜在威胁点、整改建议与最终测评结果[9]。对于公安机关来讲,医院能否通过等级测评的主要标准就是测评结果。因此,测评报告的结果至关重要。测评结果分为:不符合、部分符合、全部符合。有的测评机构根据单项测评结果进行打分,最后给出总分,以分值来判定是否通过测评。为得到理想测评结果,需要医院落实安全整改方案。
2.4安全运维。
我们必须清醒地认识到,实施安全等级保护是一项长期工作,它不仅要在信息化建设规划中考虑,还要在日常运维管理中重视,是不断循环的过程。按照等级保护制度要求,信息系统等级保护级别定为三级的三甲医院每年要自查一次,还要邀请测评机构进行测评并进行整改,监管部门每年要抽查一次。因此,医院要按照PDCA的循环工作机制,不断改进安全技术与管理上,完善安全措施,更好地保障医院信息系统持续稳定运行[10]。
三、结语
医院信息安全工作是信息化建设的一部分,是一项长期的系统工程,需要分批分期的循序改建。还要结合医院实际,考虑安全产品的实用性,不能盲目的进行投资。医院通过实施等级保护工作,可以有效增强网络与信息系统整体安全性,有力保障医院各项业务的持续开展,适应医院信息化不断发展的需求。
作者:王磊 单位:蚌埠医学院第二附属医院
参考文献
[1]公安部,国家保密局,国家密码管理局,国务院信息化办公室文件.关于信息安全等级保护工作的实施意见(公通字[2004]66号)[R],2004-9-15.
[2]GB/T22240-2008.信息安全技术信息系统安全等级保护定级指南[S],2008-06-19.
[3]GB/T25058-2010.信息安全技术信息系统安全等级保护实施指南[S],2010-09-02.
[4]GB/T22239-2008.信息安全技术信息系统安全等级保护基本要求[S],2008-06-19.
[5]魏世杰.医院信息安全等级保护三级建设思路[J].科技传播,2013,5(99):208-209.
[6]张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信,2014(141):148-149.
[7]GB/T28449-2012.信息安全技术信息系统安全等级保护测评过程指南[S],2012-06-29.
篇(10)
1数字化医院信息安全建设与管理存在问题及分析
1.1信息安全建设投入成本有限
数字化医院信息安全建设与管理并不是一朝一夕就能完成的,它在整体建设上非常繁杂的,需要专业的、系统的筹备才能完成的。在网络信息技术数字化的时代下,要想充分保障信息的安全性,足够快的更新换代医院的新设备,就需要大量的资金投入,才能保证。然而很多时候,由于发展的限制,医院在资金的投入使用中都有很大的限制,这就意味着信息安全建设和管理维护工作的投入资金过低,并不能更优先的发展[1]。
1.2信息安全管理体系尚未成熟
医院的信息安全管理体系是在应用风险管控的方式管理医疗数据的基础上进行改进的工作体系。但是,部分数字化医院仍然没有成熟的信息安全管理体系,在安全防范方面能力较为薄弱。
1.3操作方面的因素
在医院信息系统的应用过程中,由于操作人员主观失误、不按规定操作等行为都会出现数据输入输出错误等现象,或者泄露了本应该保密的口令,进而影响到系统运行的稳定性。
1.4系统管理方面的因素
数字化医院信息管理系统还处于不断完善的过程中,相关的安全管理制度建立不够完善,管理人员的技术水平也没有达到相关的标准。而且在安全事故预案建设方面也不够完善,导致安全事故发生之后无法高效地应对。
2数字化下医院信息安全建设的策略
2.1完善信息安全体系
首先要加强人员对信息安全的重视度。医院应对全体医务人员进行培训,并在医院各个工作环节加强信息安全系统管理。各科室要有专业信息技术人员来执行信息安全系统的维护工作[2]。根据《网络安全法》规定:“网络产品、服务具有收集用户信息功能的,其提供者应向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息。”医院信息安全等级保护制度中关于用户管理制度中提到信息科对员工的账号与密码不得向任何人透露,具体规定如下:①信息科对新员工配置账号与密码;在其离院时账号与密码均应注销;人事科凭借‘已注销账号和密码’为依据批准员工离院并支付其相关费用。②员工不得将自己的账号与密码告知他人,定期修改密码。③任何人员不可以登录他人的账号与密码,在未得到授权的情况下不得将任何数据告知他人。④密码应是字母与数字的组合。信息技术人员充分的了解医院信息安全系统后,应制定科学、合理的安全管理制度,对相关的工作人员进行培训,确保其能够按照医院信息安全等级保护制度以及操作规范,并对实践中出现的问题进行总结与改进,将信息安全管理制度落实到位[3]。
2.2对基础的软硬件设备进行优化配置
数字化医院信息安全系統是医院信息系统管理的重要方式,对基础的硬件与软件设备进行优化,是建设数字化医院信息安全系统的本质所在,以此来保证系统运行的高效性与稳定性。首先,基础软件层的建设。在购买操作类与数据库类的软件上必须要进行综合地考虑。其次,在终端设备层上。在采购方面也要进行全方面的分析与考虑,在能够满足基本的业务需求的基础上,还要考虑到系统自身的升级问题,以此来确保设备的使用性能。再次,在服务层上。服务是整个系统的核心,直接地影响着系统的总能。所以要根据所应用系统的特性设备与之相匹配的服务器。而在存储上也要达到一定的要求。最后,在网络设备层上。要利用星型拓扑结构进行处理。核心层要与不同的楼宇进行连接,这样能够提高路由的交换效率。汇聚层也可以与接入层的设备进行网络直连,以此来对虚拟的局域网进行划分,避免出现网络风暴等现象,促进实际工作效率的提升。
2.3信息安全人才管理体系建设
数字化医院信息安全建设与管理说到底就是人才的建设,人与人之间的管理。信息技术本身就是服务于信息安全建设与管理的,所以医院要做到来制定符合医院具体情况的信息安全,建立一支专业的、负责任的信息安全队伍,长期规划,制定战略实施目标,根据医院的具体网络安全事态来调整原本的信息安全策略措施。在空余时间举办培训班,引进先进的人才为战略目标,加强内部员工的信息安全意识和信息安全教育的培养与提高[4]。
2.4加强数字化医院信息安全技术
