时间:2023-03-03 15:54:17
导语:在医院信息安全的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
随着计算机软件技术的发展,特别是分布式和软件移动计算的广泛应用,使得系统开放性越来越强,局域网内的用户都可能访问到应用系统和数据库,这给医院信息安全带来了极大的挑战。从收费数据到医疗信息、从病人隐私保密到管理信息的保密,都要求医院管理系统要处于高度安全的环境中。医院信息系统的稳定和安全运行,是医院持续正常工作的组成部分。作为一个持续运行的事务处理系统,要求能每天24小时不间断运行,不希望有中断,否则会使医院的声誉受到影响。同时,随着业务的发展,系统数据量的增加,要求系统能稳定地运行,不能使系统性能快速降低。在一些重要的系统中,如财务、人事、医保实时交易等信息,已经不能满足于简单的本地保护,要求有更高的系统可靠性,保证系统能进行容灾保护。一旦出现异常情况,如火灾、爆炸、地震、水灾、雷击或某个方向线路故障等自然原因以及电源机器故障、人为破坏等非自然原因引起的灾难后,系统能快速稳定地恢复正常工作。因此,信息安全已经不是人们传统意义上的安全概念,是要保证系统避免一系列威胁,保证医院业务的连续性,最大限度地减少医院业务的损失,为医院的业务发展提供信息安全保障。本文作者根据多年来从事医院管理信息系统和网络系统的建设及维护工作的经验出发,探讨安全建设和日常维护工作。
二、安全的硬指标
系统安全的硬指标考虑的问题是多方面的,包括如下。
(一)中心机房安全
中心机房是医院信息系统设备的存放地,包括数据库服务器、磁盘阵列、网络主交换、应用服务器等设备,因此对环境的要求极高,应该做到:1.机房供电不少于两路;2.双路UPS供电、并采用智能报警管理UPS;3.防静电地板、玻璃隔断、防火墙面处理、外窗防水处理;4.火灾探测器、防窃探测器;5.温度、湿度恒定,防尘,防虫鼠;6.三相四线双变电站供电,安装应急照明系统;7.专用机房接地系统,与主配线柜、主设备柜、防静电地板下的接地线(环)相连;全方位防雷系统,强电、弱电都应安装防雷保护器等。
(二)服务器及服务器操作系统安全
服务器是数据处理的核心单元,是软件安全的基础,因此,其安全应该做到:1.根据医院业务状况决定采用PC服务器或小型机,并配备磁盘阵列、冗余电源、大规模内存和高速缓存的自动纠错,保证在连续工作状态下保持稳定、快速;2.对服务器进行隔离,并采取严格的安全管理,各开箱锁单独保存;3.应用程序服务器和数据库服务器必须严格分开;4.服务器操作系统应采用安全机制较高的系统,如Windows2000或Unix等;5.网络操作系统的用户资源权限控制以及安全审计等功能必须开启;6.操作系统不相关的应用服务必须关闭;7.操作系统安全布丁必须定时更新。
(三)群集技术及磁盘阵列的可靠性
群集技术是能使服务器连续可靠运行的重要保证,简单地说是两台服务器采用双机热备份工作状态,当一台机器出现问题后另一台机器能快速接替主服务器的工作;服务器中易损部件是硬盘,硬盘损坏可以造成系统瘫痪,因此采用磁盘阵列进行冗余,其要求如下:1.为了避免出现灾难性后果,必须每天检查群集工作状态;2.当群集中一台机器出现问题时应该马上解决,检查主服务器,尽早恢复其工作;3.RAID保证数据库的高可靠性,保证在部分存储介质损坏时数据不丢失;4.必须定时检查硬盘工作情况,发现问题及时处理。
(四)网络安全
网络安全主要是指当用户通过网络访问应用服务器和数据库服务器时如何保证网络链路的安全,包括网络布线安全和网络设备安全。特别还应注意设备的软故障,软故障将造成网络系统长时间无法正常运行,使得医院处于一种半瘫痪状态。软故障包括广播风暴、交换机等设备处于时好时坏状态、网络以极慢速率传输数据、频繁出现丢包现象等,因此,基于安全的要求:1.对于光纤介质要求包括温差、阳光、鼠害、碰撞摩擦、拐角半径等的防护环境;2.对于双绞线介质要求包括磁场、雷击、电磁干扰、鼠害、温差、湿度等的防护环境;3.网络设备对环境的要求包括温度、湿度、洁净度、电源质量等;4.核心交换机也须采用双冗余进行备份,确保该交换机出现故障后备份交换机能迅速接替工作;5.定时观察服务器网络传输数率。
(五)数据库安全
在医院信息系统的后台,数据信息是整个系统的灵魂,其安全性至关重要,而数据库管理系统是保证数据能有效保存、查询、分析等的基础;数据被安全存储、合法地访问数据库以及跟踪监视数据库,都必须具有数据有效访问权限,所以应该实现:1.数据库管理系统提供的用户名、口令识别,试图、使用权限控制、审计、数据加密等管理措施;2.数据库权限的划分清晰,如登录权限、资源管理权限和数据库管理权限;3.数据表的建立、数据查询、存储过程的执行等的权限必须清晰;4.建立用户审计,记录每次操作的用户的详细情况;建立系统审计,记录系统级命令和数据库服务器本身的使用情况。
(六)数据存储安全
数据存储安全是数据库存储的信息不能因自然灾害、人为原因和设备损坏而被破坏,同时保证数据可以长期保存,备份的数据可以正确恢复,其要求如下:1.建立数据备份方案,严格按照规定的备份时间、方式进行数据备份;2.数据备份要有多重冗余备份,要有异地数据备份,当某一地点数据丢失或破坏时,另一地点保存的副本可用于恢复;3.数据部分的有效性检查,保证备份的数据万无一失,做到定期检查;4.建立快速恢复机制,明确出现故障后的快速恢复手段与方法,而且必须对之进行阶段性检查,进行灾难模拟测试。
(七)应用软件的安全
由于医院信息系统的用户量大、数据量大、涉及面广、职责多样、业务流程复杂和权限管理复杂等,所以对应用程序,系统安全设计的要求很高。1.设计安全审计功能,且每个审计事件都应和触发该行为的用户身份相关联;2.审计查阅功能,为审计功能提供清晰易懂的审计日志;3.审计事件存储,审计日志存储空间溢满时能导出审计日志并妥善保存;4.设计访问控制策略和访问控制功能;5.设计用户标识、用户主体绑定;6.设计多重会话并发限制、会话锁定。
(八)病毒防护和防黑客攻击安全
计算机病毒在网络中的危害远大于对单机的危害。网络发生计算机病毒后最难处理的问题是清除病毒。对于服务器等关键设备应安装杀毒软件和防黑客攻击软件,网络环境下要把防止计算机病毒进入系统放在首位,基于以上安全特性,要求:1.设备VLAN,在主域服务器上安装网络版杀毒软件和防黑客攻击软件;2.定时更新病毒库和杀毒引擎;3.定时更新操作系统漏洞布丁;4.关闭不用的操作系统服务;5.关闭不用的端口;6.尽量将医院的内网与外网做到物理上的完全隔离。
三、安全的软指标
系统安全的软指标是指管理制度、应急方案、操作规范和安全培训制度等。
(一)组织
成立系统安全工作领导小组、确定第一责任人、责任部门、相关部门和部门负责人,明确安全责任制,并定期检查、督促落实。
(二)制度
建立信息安全管理制度也是安全管理的重要组成部分;完整的计算机文档是分析故障、排除故障的基础,是系统正常运行的保证;工作制度的建立与系统建设同步开始;同时,在日常工作中应该根据系统设置的变化进行修改,保证文档和制度能真实反映系统状态,具体制度为:1.建立网络服务器管理制度;2.建立网络设备管理制度;3.建立网络工作站管理制度;4.建立网络工作人员管理制度;5.技术文档管理制度;6.“第三方”访问管理制度。
(三)信息安全操作规范
很多安全隐患都来自于操作不规范,口令定期调整、程序升级、日志检查都可能杜绝掉很多安全隐患,因此,应建立如下规范:1.建立操作系统操作规范;2.建立数据库系统操作规范;3.应用系统操作规范。
(四)应急方案
医院信息系统应急方案是在计算机出现故障,且不能短期完全恢复运行,并影响到局部或整体工作时,只有采用人工的方式来开展工作,保证正常医疗活动不被完全打乱,因此应做到:1.确定应急方案实施责任制;2.应急方案实施范围和时间;3.应急方案通报制度;4.系统故障一般应急措施;5.业务应用应急实施细则。
(五)安全培训制度
信息中心应负责全院相关部门和人员的信息系统安全教育和使用培训的计划制定、实施和组织协调工作:1.制定相应的安全培训大纲、培训计划,有计划地加以实施;2.对医院决策层和管理层的应知应会培训,充分认识信息安全的重要性和信息安全防御体系建设的必要性;3.对计算机科室管理人员的技能培训;4.对操作层面人员的使用培训;5.知识更新培训及业务再培训。
四、探讨
以上的框架描述只是从作者的工作经验和部分理论指导的角度出发,因此很多地方还有待探讨。不同的医院有不同的情况,不能一概而论,包括管理现状、资金状况、人员配备、技术支持等都会影响到信息安全的实施。医院如何开展信息安全工作,应该本着从实际出发的精神,先进行风险评估,研究信息系统存在的漏洞缺陷、面临的风险与威胁,对于可能发现的漏洞、风险,制定相应的策略:首先在技术上,确定操作系统类型、安全级别,以选择合适的安全的服务器系统和相关的安全硬件;再确定适当的网络系统,从安全角度予以验证;选择合适的应用系统,特别要强调应用系统的身份认证与授权。在行为上,对网络行为、各种操作进行实时的监控,对各种行为规范进行分类管理,规定行为规范的范围和期限,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,限制一些不安全的行为。在管理上,制定各项安全制度,并定期检查、督促落实;确定医院的安全领导小组,合理分配职责,做到责任到人。当然,还要意识到信息安全工作的开展有可能会影响到系统使用的方便性,毕竟,安全和方便是矛盾的统一体,要安全就不会很方便,相关工作效率必定降低,要方便则安全得不到保证,因此必须权衡估量。
1 对医院电子档案信息安全管理产生影响的因素
综合分析,当前对医院电子档案信息安全管理产生影响的因素主要涉及到以下几个方面。
1.1 环境安全因素
电子档案是将电信号和磁介质作为主要载体的档案文献,因此环境中的磁场干扰和突然断电等问题都会对电子档案信息安全产生影响,出现档案数据失真问题,影响电子档案信息安全的合理管理[1]。同时供电系统的故障也可能会给电子档案信息造成严重的破坏。所以在加强电子档案信息安全管理工作的过程中,应该注意突出环境建设,以环境建设为电子档案信息安全管理提供良好的支持。
1.2 网络环境的影响
近几年随着网络信息技术的发展和其在社会上的普及性应用,网络安全问题频繁出现,网络病毒和黑客等对信息安全产生了严重的不良影响,医院电子档案信息安全管理也受到严重的威胁。所以医院应该正视来自互联网的威胁,对网络安全环境进行合理分析,进而从网络安全角度加强电子档案信息安全管理,有效促进档案管理水平的全面提升。
1.3 制度和人为影响因素
现阶段我国医院档案管理工作中管理制度建设不完善以及工作人员计算机专业素质偏低的问题也对电子档案信息安全管理的优化开展产生了一定的不良影响[2]。在制度不完善的情况下,管理规范性不足,并且由于管理人员综合素质偏低,无法应对计算机系统故障和网络安全对电子档案信息安全管理产生的威胁,导致医院电子档案信息安全管理水平偏低。
2 新时期医院加强电子档案信息安全管理的措施
当前社会上层出不穷的信息安全问题不仅对社会信息安全造成了一定的不良影响,甚至严重者还会威胁社会的稳定。所以社会各界都加强对信息安全管理工作的重视,希望借助科学合理的信息安全管理,为信息行业的稳定发展提供良好的支持。在此背景下,医院电子信息档案管理也受到高度重视,成为医院档案管理部门重点关注的问题。所以本文基于当前医院电子信息档案管理实际需求对电子档案信息安全管理的措施进行了适当的分析,以期为电子档案信息管理的全面优化提供良好的支持。
2.1 加强对安全稳定数据库环境建设工作的重视
医院新时期加强对电子档案信息安全管理工作的重视,最为关键的一点就是应该保证安全稳定环境的建设,为电子档案信息数据库的稳定运行提供良好的支持。首先,针对医院电子档案信息的实际需求,医院应该尝试构建独立的存储电子档案信息数据库室,并对数据库室内的环境进行合理布置,将其设置为暗室,注意采取适当的避光防尘措施,室内除了应该设置独立的18T的光纤通道存储设备外,也应该引入数据核心交换机、高性能刀片服务器等设备[3]。同时,针对医院的具体情况可以有选择性的配置除湿器和恒温机,保证医院数据库室整体环境保持在恒定温度和湿度范围内,并坚持远离磁场,避免数据库?子档案信息受到电子干扰。同时,由于电子档案信息数据库的稳定运行需要电源的支持,因此在环境建设工作中也注意电源保护问题,设置独立的电源,即使遇到突发停电的情况也能够保证数据库室在一段时间内的稳定运行,进而为管理者手动保存资料、关闭数据库提供充足的时间,有效规避突然断电对档案数据信息产生不良影响。这样借助良好数据库外部环境的建设,医院电子档案信息安全管理就能够获得良好的设备支持,提升管理效果。
2.2 提升网络信息技术安全保障工作质量
网络信息技术安全保障工作在医院电子档案信息安全管理工作中发挥着重要的作用,能够促进医院电子档案信息安全管理工作的顺利推进,促进管理水平的进一步提升。所以医院档案管理部门在开展档案管理工作的过程中必须保持对网络信息技术安全保障工作的高度重视,从多角度探索安全保障措施。首先,应高度重视备份工作,确保即使电子档案信息受到外部力量的冲击仍然能够进行及时的恢复,维护电子档案的安全。在开展备份保障工作的过程中,医院应该按照不同的类别实施电子档案信息的本地备份和异地备份、在线备份和离线备份、增量备份和差分备份等,保证备份的全面性和有效性,为电子档案信息安全工作的良好开展创造条件[4]。其次,电子档案信息加密保障工作,借助加密保护,有效防止病毒和黑客的入侵,并避免电子档案信息被不合理的修改泄密等,切实维护医院电子档案信息安全。一般情况下,医院电子档案管理部门在实施加密保障的过程中可以引入软硬件结合的加密措施,保证只有借助专门的软件才能够读取档案信息,维护电子档案数据安全。最后,设置高级别的防火墙,对档案资源使用者进行合理的限制,对于医院电子档案资源中非机密性的信息可以供个人或者相关组织使用,而对于机密性档案则应按照严格的借阅流程才能够使用档案资源。这样不仅能够实现对医院电子档案信息安全的合理维护,还能借助对档案机密性等级的划分,增强电子档案信息的有效利用率,为患者和社会相关组织提供相应的档案信息服务。
2.3 逐步完善档案规章管理制度,提升管理人员的综合素质
在医院电子档案信息安全管理工作中,档案规章管理制度的建设是维护档案管理信息安全的重要保障,而高素质人才则能为电子档案信息安全管理提供相应的人才保障,所以在加强电子档案信息安全管理的过程中也应该重视制度建设和人才队伍建设[5]。首先,应该结合医院电子档案信息安全管理的实际需求逐步构建相对完善的规章制度,加强对档案管理工作的规范,保证电子档案信息的全面性、完整性和安全性。其次,应注意组织档案管理人员参与相应的在职培训活动,促进管理人员综合管理素质的提升,保证管理人员能够结合医院电子档案信息安全工作的实际需求开展各项管理工作,提升安全管理工作质量。这样,医院电子档案信息安全管理工作就能够在新时期实现新发展,促进医院电子档案信息资源的合理利用。
随着网络科技的快速发展,大数据的信息时代也逐渐面临更多的挑战.医院网络信息的安全防护是网络信息应用和防护的一部分,它记录着我国大部分公民的重要数据和信息.如果医院安全防护系统受到破坏,就会造成大量数据的丢失,需要更多的人力、物力去弥补.因此,构建一个安全和稳定的医院网络信息管理和防护系统是非常必要的.
关键词:
医院;网络信息;安全防护;措施
1前言
医院的信息管理系统包含了计算机技术、管理科学以及通信技术等功能,是计算机信息管理技术在医院信息管理系统的特殊应用.它结合了医院人力和信息管理等,促进了医院管理技术的提升和医学科技的发展.医院信息管理最初是引进计算机,用于大量数据信息的记算和记录.如:记录药物的单价;对医疗费用的计算和收费;财务的核对等工作.目前,计算机被用于医院的信息管理工作的各个方面.主要工作是对信息进行数字化管理,即对图片、声像、文字等进行数字化记录,然后存储在计算机当中.这样不仅可以进行大量数据的快速运算,还能方便信息的传递和检索.如:医院信息管理系统对物资合理的管理,保证药品等物资既能够在需要时及时得到供应,降低购买成本;又可以增加医院的流动资金储备.当今社会正处于大数据被广泛应用的时期,而网络数据信息的传播已经渗透进了我们的每一面日常生活当中,它记录着我们的重要信息.但是随着科技的进步,许多网络问题也随之产生.特别是网络信息的安全受到了不断地攻击.医院数据信息包含我国公民的许多绝密信息,更是应该受到严密的防护.
2大部分医院的网络信息安全建设
2.1信息管理内容
医院网络信息管理分为两大功能:财务管理系统和数据资源共享.财务管理系统主要包括对患者进行挂号收费、门诊收费以及住院收费;对药物的价钱进行记录、核算以及控制.数据资源共享主要体现在挂号、医生开药、计价收费、患者使用药物的查询、药品的购入和售出等数据共享.
2.2医院信息安全的难点
虽然各大医院都在信息管理防护系统中配备了相关杀毒软件和防火墙等安全管理软件.但是目前,大部分医院仍然面临着一些问题:兼容度不足、不能继续扩展、设备和软件繁乱等.由于大部分医院所配备的电脑使用的杀毒软件和硬件设备不是同一公司出品,就难以进行统一的管理;另一方面,医院的工作人员电脑安全操作的知识较为匮乏,使得安全维护人员的工作难度加大;网络信息时代,各种软件科技发展飞快,安全防护系统需要不断地随之更新和制定.
3构建信息安全防护体系的几点措施
3.1完善网络信息安全方面的法律法规
目前,我国网络信息安全相关的标准大约只有一百多条.网络安全标准是实现网络安全的保障和基础.它不仅保护着我们的信息不被泄露,还关系着每个人和社会的整体利益.现如今,网络技术快速发展的同时,各种网络违法犯罪行为也应运而生.造成了许多群众因网络信息泄露受到了严重的损失.因此,为了营造一个健康、安全的网络空间,必须要加强法律的宣传力度,完善相关的法规,减少和杜绝网络信息诈骗等违法犯罪行为.
3.2采用值班员制度提高监控的严密性
为了保证医院信息安全防护系统正常运行,需要在网络中心实行值班员制度.即每天至少要安排两名技术人员,进行流动值班.主要任务是对各个机房、服务器、空调、交换机等设备进行监控,查看数据库的备份有没有问题并进行记录.对于无法解决的问题,交给相关技术人员进行修复处理.与此同时,对于进行系统维护的工作人员,需要每年分批进行关于电脑维护知识的相关培训,对于新员工也要通过系统的训练才能上岗.
3.3使用适当的设备建立安全防护体系
在物理层面进行防护:合理进行机房的设计和布局,中心机房从里向外宜分为三个模块(空调电源室、设备间以及监控室),按照国家标准建设的同时还应设置备用机房.使用统一且有较高要求的硬件设备(服务器、网络设备、核心交换机、PC机、打印机等);在网络层进行安全防护:医院内部的电脑应统一使用合适的防火墙技术,不仅能够对内外部网络进行监控,还能防止非法和恶意的访问.如近年来出现的新型入侵检测技术IDS.它通过网络相关节点进行数据的收集,同时予以分析,不仅具有病毒防御能力,还有反攻击等功能;应用层面的防护:采用防病毒技术,病毒是电脑安全防护系统中的最大对手.因此,系统的主机一定要配置防病毒客户端,在各个服务器对病毒进行交互式扫描和灭杀.系统层面的防护:即保障数据库和操作系统的安全.使用适当的服务器版本,如:Unix、WindowsNTServer以及Windows2000Server.不仅能决定不同等级用户的访问权限,还能监控数据库的调用情况.
3.4对操作系统进行数据备份
众所周知,操作系统在被长时间的使用和运行之后,系统内会不可避免的产生大量的垃圾程序和文件,大大降低了电脑的运行速度和使用寿命.因此,对操作系统进行定期杀毒和数据备份都是非常重要的环节.如:可以在成功安装操作系统之后,再下载一些工作过程中杀毒的必备软件,再通过使用ghost软件将系统盘转化成镜像文件存储至新的盘符内.在操作系统受到破坏甚至不能被修复之后,就可以将盘符内存储的镜像文件还原到系统盘内.
3.5进行日志记录以做好故障恢复工作
数据库作为信息系统的核心组成部分,必须对其日常的维护、设备检查记录以及服务器启动和停止等活动进行记录,建立一个成熟的日志系统,在检查数据时做到有据可查.同时,要定期的进行应急演练,让相关技术人员在危机情况下镇定有序的展开补救工作,以免在发生故障时数据的丢失和医疗流程出现中断.
3.6对计算机等设备运行的环境保障
对于电器设备,最首要的运行要求就是电源充足.只有提供源源不断的电源,计算机才能一直运行.如:对于重要楼层的计算机设备在需要二十四小时不停止的工作的同时,还应该在急救室等重要楼层布置控制稳压延时的电源.此外,医院还需配置移动的稳压延时电源和一定功率的发电机,作为特殊情况和断电情况下使用.电路的布置也尽量采用双电路和双回路的方式;对于防雷电系统的布置,首先,不能将弱电线和强电线的线缆布置在一个金属管内部.其次,对于重要设备间(中心机房)采用的防雷措施必须满足国家标准规范.对于有一定要求技术才能安装的设备,一定要经过专业技术人员的建议才能安装,如接地装置和光缆的布置;机房以及配线间除了需要进行定期的除尘之外,其室内温度要在二十六摄氏度以下,机柜散热快,才能保证设备正常运行.
4小结
在计算机科技发展飞速的今天,安全问题将会层出不穷.因此,医院安全防护体系的建立是一个长期的、多方面、多角度的工程.需要我们以动态的眼光去看待问题,不断学习网络防护知识,完善网络安全防护技术,开发健全的防护软件;同时,要根据以一定的尺度,即医院的自身实力和国家标准来操作安全保密技术,以实现医院信息的安全存储.
参考文献:
〔1〕巩蕾,路万里,王伟伟.构建医院网络信息安全防护体系的探讨[J].当代医学,2010(06):26-27.
〔2〕宋莉莉,王光华,郭雪清.医院网络信息安全防护体系及其应用研究[J].中国数字医学,2013(01):59-63.
〔3〕张真真.大型医院网络安全防护体系的架构[J].现代医院管理,2008(06):63-65.
〔4〕张滨.构建医院信息安全等级保护纵深防护体系[J].信息通信,2014(09):148-149.
1.1国家卫生部文件
文件明确规定了信息安全等级保护工作的工作目标、工作原则、工作机制、工作任务、工作要求,工作任务别强调了“三级甲等医院的核心业务信息系统”应进行定级备案。
1.2浙江省卫生厅文件
为加强医疗卫生行业信息安全管理,提高信息安全意识,以信息安全等级保护标准促进全行业的信息安全工作,提高全省卫生系统信息安全保护与信息安全技术水平,强化信息安全的重要性。2011年6月7日,浙江省卫生厅和浙江省公安厅联合下发《关于做好全省医疗卫生行业重要信息系统信息安全等级保护工作的通知》(浙卫发〔2011〕131号),并一同下发了《浙江省医疗卫生行业信息安全等级保护工作实施方案》和《浙江省卫生行业信息系统安全等级保护定级工作指导意见》。为进一步指导我省卫生行业单位开展信息安全等级保持工作,浙江省卫生信息中心于2012年4月6日下发了《关于印发<浙江省卫生行业信息安全等级保护工作指导意见细则>的函》。上述文件详细规定了工作目标、工作流程和工作进度,并明确了医疗卫生单位重要信息系统的划分和定级,具有很强的指导性和操作性。
2医院信息安全等级保护
依据上述行业文件要求,全省医院重要信息系统信息安全等级保护工作由省卫生厅和各级卫生局、公安局分级负责,按照系统定级、系统备案、等级测评、安全整改[1]四个工作步骤实施。
2.1系统定级
2.1.1确定对象
我省医院信息化发展较早,各类系统比较完善,但数量繁多。将出现多达几十甚至上百个定级对象的状况,这与要求重点保护、控制建设成本、优化资源配置[2]的原则相违背,不利于医院重要信息系统开展信息安全等级保护工作。依据《计算机信息系统安全保护等级划分准则(GB17859-1999)》等标准,结合我省医院信息化现状及发展需要,经卫生信息化专家和信息安全专家多次论证,本着突出重点、按类归并、相对独立、节约费用的原则,从系统管理、业务使用者、系统服务对象和运行环境等多方面综合考虑,把医院信息系统划分为以下几类,如表1所示。
2.1.2等级评定
医院重要信息系统的信息安全和系统服务应用被破坏时,产生的危害主要涉及公民的个人隐私、就医权利及合法权益,对社会秩序和公共利益的损害属于“损害”或“严重损害”程度。参考《信息安全等级保护管理办法》及省卫生信息中心指导意见细则要求[3],即属于“第二级”或“第三级”范畴。因此医院信息系统对信息安全防护和服务能力保护的要求较高,结合业务服务及系统应用范畴,实行保护重点、以点带面原则,参考定级如表2所示。
2.2系统定级备案
省卫生厅及省级医疗卫生单位信息系统、全省统一联网或跨市联网运行的信息系统由省公安厅受理备案;各市卫生局及其下属单位、辖区内医院信息系统由属地公安机关受理备案。各市卫生局应将辖区内医疗卫生单位备案汇总情况和《信息系统安全等级保护备案表》等材料以电子文件形式向省卫生厅报备。定级备案流程示意图如图1所示。
2.3等级保护测评
医院重要信息系统完成定级备案后,应依据《浙江省信息安全等级保护工作协调小组关于公布信息安全等级报测评机构的通知》(浙等保〔2010〕9号)选择浙江省信息安全等级保护工作协调小组办公室推荐的等级测评机构,启动等级测评工作,结合所属等级要求对系统进行逐项测评。通过对医院系统进行查验、访谈、现场测试等方式收集相关信息,详细了解信息安全保护现状,分析所收集的资料和数据,查找发现医院重要信息系统漏洞和安全隐患,针对测评报告结果进行分析反馈、沟通协商,明确等级保护整改工作目标、整改流程及注意事项,共同制定等级保护整改建议方案用于指导后续整改工作。对第二级以上的信息系统要定期开展等级测评。信息系统测评后,医院应及时将测评机构出具的《信息系统等级测评报告》向所属地公安机关报备。
2.4等级保护规划建设整改
根据《信息系统安全等级保护实施指南》及省实施方案,结合医院信息系统的安全需求分析,判断安全保护现状,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划[4]等,用以指导信息系统安全建设工程实施。引进第三方安全技术服务商,协助完成系统安全规划、建设及整改工作。建设,整改实施过程中按照详细设计方案,设置安全产品采购、安全控制开发与集成、机构和人员配置、安全管理制度建设、人员安全技能培训等环节[5],将规划设计阶段的安全方针和策略,切实落实到医院系统的信息安全规划、建设、评估、运行和维护等各个环节。其核心是根据系统的实际信息安全需求、业务特点及应用重点,并结合医院自身信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,确保医院系统的信息安全。等级保护工程及管理体系建设整改流程如图2所示。
3医院重要信息系统安全等级保护成效
各级医院按照国家有关信息安全等级保护政策、标准,结合卫生行业政策和要求,全面落实信息系统信息安全等级保护工作,保障信息系统安全可靠运行,提高安全管理运维水平。
3.1明确系统安全保护目标
通过推行各级医院信息安全等级保护工作,梳理卫生信息系统资产、网络边界、网络安全设备部署及运行状况。根据系统风险评估、危害的覆盖范围及影响性判定安全等级,从而根据标准全面、系统、深入地掌握系统潜在的风险隐患,安全漏洞。明确需要重点保护的应用系统及信息资产,提出行之有效的保护措施,有针对性地提高保护等级,实现重点目标重点保护。
3.2建立安全管理保障体系
安全管理保障体系是开展信息安全工作的保障,指导落实各项安全指标要求。信息安全等级保护基本要求中明确要求加强主管及安全责任部门领导,配备信息安全专员督导安全检查、维护、培训工作。建立健全信息安全管理保障制度体系,包括机房安全管理制度、人员安全管理制度、运维安全管理规范。建立行之有效的安全应急响应预案及常规化的信息安全培训及预防演练,形成长期的安全风险管控机制。
3.3加强安全意识和管理能力
通过落实等级保护制度的各项要求,认识安全意识在信息安全工作中的重要性和必要性,调动安全保护的自觉主动性,加大安全保护的资金投入力度,优化安全管理资源及策略,主动提升安全保护能力。同时重视常规化的信息安全管理教育和培训,强化安全管理员和责任人的安全意识,提高风险分析和安全性评估等能力,信息系统安全整体管理水平将得到提高。
3.4强化安全保护技术实施
医院开展信息安全等级保护工作可加深分级、分域的纵深防御理念,进一步结合终端安全、身份认证、网络安全、容灾技术,建立统一的安全监控平台和安全运行中心。根据测评报告及建设整改建议,增强对应用系统的授权访问,终端计算机的安全控制,网络流量的异常监控,业务与数据安全保障,恶意软件和攻击行为的防御、发现及阻击等功能,深层次提高抵御外部和内部信息安全威胁的能力。
3.5优化第三方技术服务
与安全技术服务机构建立长期稳定的合作关系,引进并优化第三方技术资源,搭建安全保护技术的学习桥梁与交流平台。在安全技术与管理方面加固信息安全防护措施,完善信息安全管理制度,同时通过安全技术管理培训强化医院工作人员信息安全保护意识,提高信息安全队伍的技术与管理水平,共同为医院系统信息化建设的快速发展保驾护航。总之,医院开展信息安全等级保护工作将有效提高医院信息化建设的整体水平,有利于医院信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调;有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务;有利于优化信息安全资源的配置,重点保障基础信息网络、个人隐私、医疗资源和社会公共卫生等方面的重要信息系统的安全[6]。
4结束语
医院信息系统主要包括:HIS系统、PACS系统、LIS系统、手麻系统、电子病历等;这些系统所包含的数据基本囊括了医院所有的数据。这样就要求医院建立完善的信息系统来保证信息的安全性、完整性、时效性,确保数据能长期保存,且不被非法访问。
1硬件设施的建设
以本人所在医院为例,济宁市第一人民医院在大量数据存储时,采用磁盘阵列方式,通过光纤接口将应用服务和数据存储进行高效对接,在提高了安全性的同时,又保证了传输的高速性。同时其中两台指定的磁盘阵列之间可以通过复制技术,实现了两个磁盘阵列中的数据的同步,实现了数据的冗余,保证了医院数据的安全。同时,为了保证未来5年内的数据增长可能占用的空间问题,设计时集中存储设备的容量不低于5TB,集中备份设备的容量不低于5TB。为了实现对磁盘阵列的有效管理,我们建立了一个高效、稳定、可靠的安全的管理平台,应用了高性能、高可靠性的大容量存储设备对信息系统相关数据进行整合,形成存储网络和数据存储中心,保证了数据的安全性和可扩展性。
2数据库的信息安全
数据库是医院信息系统的核心之一,因而数据库的信息安全在整个医院信息安全方面的地位可谓举足轻重。济宁市第一人民医院为了保障医院数据信息的安全,在实施了严格的硬件保障前提下,重点从日常管理方面制定了维护制度和操作规范。
首先设置数据库的访问权限,对数据库的访问我们医院采取专人负责,访问数据库是需提供用户名、口令;并且对用户的关键数据操作进行记录,以备以后追踪审计;
然后划分了3种角色,即:数据库服务器管理员,具有最高权限,承担数据安全的主要责任,系统管理员,分别负责不同数据库的维护,承担相应系统数据库安全责任;普通用户,能够数据记录,不能修改数据结构,对数据记录的完整性,有效性负责;
接着对外部系统数据对接用户的权限管理,由系统管理员负责为外部系统对接提供账号信息并分配相应权限,防止外部系统对本系统数据造成灾难性影响;
最后关键数据监控机制,实施对数据库访问的实时监控,为了防止人为的出错,我院购买了数据库实施监控软件,对任何时段,任何人访问数据库,做的具体什么工作都有监控,有效阻止人为破坏的发生,同时也保护了病人的隐私。
3网络系统的安全
由于医院日常业务的特殊性,必须保证网络通信7x24小时无故障运行,以保障诊疗数据和监护信息实时准确地记录下来,为临床医疗提供可靠参考,一旦出现长时间的网络故障,并且没有科学的应急方案,将会造成数据丢失,给医院和患者带来难以弥补的损失。
我院根据实际情况,实施内外网分开访问,内网数据不能被外网访问,这样保证信息访问的安全性,同时我院在网络结构上采用总线型拓扑方式,核心交换机是2台思科WS-C2918,采用双机均衡模式,实现了关键业务的链路冗余及网络冗余,保障了网络的稳定运行。
为了保证通信的安全高效,核心交换机与各大楼或楼层交换机之间全部采用双光纤连接,特别是在各个门诊大楼和机房相连接的地方,采用交换机双核心工作模式,保证了日常通信业务的稳定性。同时网络结构不超过三层,根据各个楼层详细划分VLAN,实现各个病房楼网络的独立性,这样当出现问题时,能及时判断问题的出处,及时解决问题,有力保障了网络的稳定性。
结语
医院信息系统安全的重要性对于当前每一个医院都是不言而喻的;其系统的安全和管理是一个整体。管理策略能切实认真地实施,制度能与时倶进,方能实现安全的目标。同时这也是一项复杂的系统工程:一方面,从技术水平上,提高医院信息管理人员的专业技术水平,提高对硬件、软件和网络的技术支持能力;另一方面,从规章制度上,要完善日常管理工作流程,加强对内部使用者的监管,并提高内部人员的安全意识,使医院信息系统为临床医疗和管理工作提供可能的数据支撑。
参考文献
[1]阿孜古丽.医院数据库数据安全维护的分析及策略[J].中国医疗设备,2011
[2]陈凌平,马宗庆,郭振华.浙江省台州医院计算机中心医院信息系统安全与管理建设浅谈on.中国医疗器械信息,2010(03).
1 引言
随着医院的发展和信息化的进步,信息系统渗透到医院的各个角落。医院的医疗业务、教学、研究对信息系统的依赖性是不容置疑的。医院的信息安全不仅是保证医院有效秩序的前提 ,还是保障医院的财务管理等方面巨大的支撑,并且安全的医疗信息数据才能够有效地提高病人的治疗效果、维护病人的权益。因此加强管理和监控,加强医院有关信息安全系统方面的建设 ,是医院良好有序发展的前提以及客观要求[1]。因此对信息安全的认识从方方面面都得到了前所未有的重视。作为走在信息安全研究前列的大国,美、俄、日等国家都已制定自己的信息安全发展战略和计划,确保信息安全沿着正确的方向发展。2000年初美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》,明确了保护信息安全的措施。
我国对信息安全研究起步较晚,目前已初步建成了国家信息安全组织保障体系[2]。我国在1994年颁布了《中华人民共和国计算机信息系统安全保护条例》。在以后的十几年中,国家又出台了多个法律、法规,对信息安全等级保护的具体内容、职责和工作方法做了具体的规定。在2007年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室出台了《信息安全等级保护管理办法》。首都医科大学附属医院北京妇产医院(以下简称“北京妇产医院”)正是借着《信息安全等级保护管理办法》的实行,促进了院信息安全工作的发展,提高了信息安全的水平。从2007年到今天,院信息安全等级保护工作已经走到了第十个年头。这十年信息安全建设大约分为两个阶段。
2 第一阶段:夯实制度基础,加强边界防护
北京妇产医院于2007年10月根据《信息安全等级保护管理办法》的要求和医院的实际情况,把医院的核心系统HIS和LIS系统定为二级系统。在随后的几年中严格按照等级保护二级系统的规范进行建设。
2.1 制定和完善制度,促进安全管理
任何技术都只是手段,而人是最重要的因素,能把两者有效的、高效的结合在一起的是管理。管理又是通过制度实现的。参照等级保护的要求,增加制定了网络安全管理制度、计算机病毒防治管理制度、业务网络安全管理规定、信息安全数据使用授权制度和重大信息安全事件报告制度等制度,基本做到了制度完备。通过信息安全管理相关规范的制订与,确立信息安全方针,对信息安全管理体系文档的制订、、修订、评审进行约定,以保证信息安全管理规范文档的严肃性。通过制订全院统一的信息安全策略,有效指导信息安全管理与技术工作的开展,为全院建立了统一的信息安全策略标准。
2.2 提高信息安全意识
在领导层面,北京妇产医院建立了医院信息系统安全领导小组,明确信息安全工作由院长负责,成员包括信息科、院办、医务科等相关科室领导。在基层层面,根据技术专长和日常工作把工作人员安排为信息安全管理员、安全审计员、系统管理员等。这样不仅使每个人了解信息安全,还要负责信息安全的事,同时也让工作人员时时刻刻有信息安全的意识,还把信息安全内容纳入到每年进修人员和新入职人员培训日程之中。
2.3 加强中心机房的安全建设和管理
北京妇产医院参照《信息系统安全等级保护基本要求》进行信息化基础设施建设。中心机房配置门禁系统,机房出入口安排专人值守,控制、鉴别和记录进入的人员。外来人员进出机房须获得机房管理员的授权,对人员及设备进出情况进行记录。中心机房内服务器、网络设备均安置在机柜内并固定,对设备与走线进行了标识。中心机房设置防盗报警系统、视频监控系统、自动消防系统、空调周围安装漏水检测报警系统等物理安全设备。目前中心机房物理环境基本达到了等级保护三级系统所要求的物理环境,物理安全防护措施相对完善。
2.4 部署了基线网络监控管理系统
此系统能够通过SNMP协议获得被监控网络设备、服务器、通讯线路、网段、应用等有关信息,包括系统信息、网络连接、TCP连接、程序运行、 ARP表、路由表以及CPU负荷等。网络管理员可以通过此系统对全网络可以实时的监控。此系统还可以对IP地址的全局使用情况有一个清晰准确的统计,对于 IP地址使用的管理、分配都可以起到很好的辅助作用。
2.5 部署了桌面管理系统
此系统能够远程维护、远程控制为网络的管理、维护与故障诊断提供了全方位的平台。在管理、维护或故障排除需要时,网络管理员可以通过本功能远程登录客户机,当服务器显示客户机桌面后,即可以对其进行相应的操作。通过桌面管理系统可以管理外部设备,我院业务网禁用了U盘、软驱、光驱、UBS等各种各样的外部存储设备,减少病毒通过外部存储设备进入到业务网中的可能。通过桌面管理系统指定部分关键终端进行IP地址绑定,进一步提升了业务网的安全性。桌面管理系统还不断地进行更新、升级,以提升网络的防护水平。
北京妇产医院通过信息系统的等级保护定级工作,对医院的信息安全状况进行了一次较为全面的摸底,认识到自身信息安全水平和问题所在。针对信息安全投入了相当的力量,通过以上和其他措施加强了防篡改、防病毒、防泄密等方面的安全,提升了业务网的边界防护能力,使其处于基本安全的环境中。
3 第二阶段:持续性推进,再上台阶
2007年至2012年,北京妇产医院年门诊量从7万人次增长11万人次;年出院人次从2.5万人次增长到约3万人次;病房手术人次从1.9 万人次增长到2.5万人次。HIS系统的主要用户医生、护士、医技人员也从500余个增加到约1200余个。HIS系统的应用大大提高了医院工作效率,使医院的资源得到了更合理的优化配置。但是同时对信息系统的依赖性越高,也就对信息系统的安全有了更高的要求。在2012年《北京地区卫生行业信息安全等级保护工作实施细则》中提出:“三级甲等医院的核心业务信息系统的安全保护等级原则上不低于第三级”。针对过去的问题和三级的要求,积极进行整改和推动信息安全工作,在2014年将核心系统 - HIS系统原定级2级提升为3级系统。
3.1 确定保护对象及其区域边界,打好建设基础。
根据北京妇产医院业务的发展需要,原有的内、外网物理的隔离的网络拓扑将随着区域卫生平台、网上预约挂号等业务的推进而发生结构性的改变。如图1所示。
因此,医院原有相对独立的业务网将会受到来自互联网以及其他第三方网络威胁源的攻击。北京妇产医院与时俱进,根据《信息系统安全等级保护基本要求》首先确定了保护对象及其区域边界。根据医院信息系统的计算环境划分情况,围绕信息系统确定出区域边界:
(1)东院业务域计算环境区域边界;
(2)西院业务域计算环境区域边界;
(3)东院终端控制域计算环境区域边界;
(4)外网业务应用域计算环境区域边界;
(5)内网数据交换前置域计算环境区域边界;
(6)外网无线网络域边界;
(7)安全管理域计算环境区域边界;
(8)内网办公终端域计算环境区域边界;
(9)外网办公终端域计算环境区域边界。
保护对象及其区域边界的确定,为以后的计算环境、区域边界、通信网络等安全保护设计和实施奠定了坚实地基础。
3.2 完善日常安全管理,切实落实安全制度
北京妇产医院以前更多地关注技术的提升,有了等级保护要求之后,使得大家能全方位来看待信息安全。从安全管理平台角度来看,技术安全和管理安全同等重要,而在实际工作中,网络维护人员常常忽视管理层面的安全防护,如安全制度的建立和长期执行,机房登记制度等[3]。
北京妇产医院的信息安全制度根据实际情况进行不定期修改,使其具有科学性和可操作性。为保证信息安全制度及各种安全管理手段与技术的落实,信息科制定了完善的巡检制度。巡检人员按规定时间、内容及技术路线对设备进行巡回检查,巡检的内容涵盖了全院。硬件包括中心机房的服务器、交换机;门诊大厅的自助打印机、排号机;中心机房和各个楼层设备间的环境监控和消防等,软件包括数据库监控、病毒监控和移动存储设备的监控;磁盘空间容量、系统运行情况等。巡检人员每日巡检项目11大类504小项,巡检内容还要及时向上级进行反馈,以保证各种安全隐患的得到及时处理。同时还记录每天的程序改动、软件问题等信息,便于事后追溯。
3.3 提高数据备份与恢复能力,降低安全事件带来影响和损失
北京妇产医院原有利用东、西两院区各自独立的机房,采用了后台磁盘阵列之间的远程镜像技术,实现东、西两院区数据同步和远程容灾。通过存储在不同存储设施上的镜像数据,可以实现医院内部关键业务数据的备份与快速恢复。医院对数据保护的方式主要是采用双机高可用和备份系统。但是,双机热备系统也只能避免由于网络故障、服务器故障、物理硬盘故障造成的系统停机问题,如果应用数据受到病毒感染、人为误删除、黑客攻击、甚至是共享磁盘阵列故障,应用系统也是无法运行的。
随着等保工作和信息化建设的推进,医院又配置了CDP保护设备,实现重要数据实时保护;1-3分钟内找回丢失的数据,同时可以恢复到毫秒级的数据版本状态,保障核心业务数据的完整性、一致性、可用性,从而保证核心业务系统正常、稳定、连续运行;数据恢复过程简单方便;后端重建系统,无停机时间;仅复制上次复制后已更改的增量数据,进行有效的系统及数据备份;大大缩短恢复过程,从而减少停机时间并保持生产力;如果出现应用程序故障或硬盘崩溃,可以可靠地捕捉启动应用程序服务器所需的数据。CDP设备部署如2图所示。
CDP设备不仅能够轻而易举的实现本地的应用系统保护和恢复,而且能够很轻松的将保护延伸到远程,建立起更为强大的异地容灾系统。
4 结束语
信息安全是动态的,随着技术的发展而变化。信息安全防护没有完全单一而又绝对保险的安全措施[4]。如果墨守成规,止步不前,必然会影响信息安全的整体水平。每年按照等级保护的要求进行自查,可以让医院查缺补漏,对医院的信息安全是很好的督促。医院在等级保护制度的指导下,持续性的推进信息安全工作,必然会明显地降低信息安全的风险。等级保护制度还促进了卫生行业信息安全建设的标准化和规范化。我们有理由认为信息安全等级保护制度对医院信息安全的建设、管理等方方面面都有极大的促进作用。
关键词:高效便捷;医院计算机;安全问题;防御结构
前言
随着网络时代的到来,各项科技技术获得了极大的突破,也在实际生活中得以应用。而在现代医院运行管理中,计算机网络信息技术的综合运用便是极为明显的可靠实例。通过加强改进医院计算机系统管理与风险控制,改善医疗整体服务质量与业务能力。通过对现代医院计算机信息系统重要性分析阐述,并对其风险控制方法提出建议。
1医院计算机信息网络系统建立的重要性
由于网络技术的飞速发展,已经对现代社会,生活,政治,经济等各方面产生深远影响,深入渗透。尤其在医院现代化管理中,医院信息网络化管理,资源数据化带来了非常大的便利,也是现代化医院建立的必要条件。借助计算机网络工具,提高服务质量,医疗水平,促进医疗事业的发展。通过信息网络管理后,使医院运营得更加规范科学。不仅推动了医院现代化改革,也对整个医疗事业的发展提供了助力,其意义与作用不言而喻。传统的医院管理中,由于缺乏网络信息,往往花费大量的财力物力人力对进行日常维护。随着医院计算机信息系统的引入,不断地智能化科学化,在很大程度上对医院的资源配置进行合理优化,提高了整体的医疗竞争力。而在信息分析处理中,因为计算机的决策整合,使得最终处理结果更加合理精确。例如在对患者病情记录分析中,职员考察考核等等,都可以高速便捷的展开研究。
2计算机软件信息安全维护
在医院计算机使用过程中,要做到医院计算机自身终端完全不受干扰破坏是不可能的,只有通过提高免疫防御能力,才能减少被感染可能性。但是由于有的高危病毒,传播速度惊人,破坏力极大,并且顽固复杂,难以彻底清除,在短时间内就能造成大量客户计算机无法工作,对医院日常的工作带来了极大的影响。应用系统在数据交换过程中可以对其进行审计,其中记录的事件内容,可能包括客户机地址,具体操作时间,与其他用户结果信息数据。在日常维护处理中,就可以对报告结果导出分析。对于用户私人数据,也应该建立严格的保护机制,安全性,只有通过权限授予才能访问读取相关的信息数据。同时为了保证关联性,可以对用户设置多个角色。系统根据角色类别进行权限操作限制,不仅可以越权操作,还可以设置角色属性限制期的功能,权限的多样化和灵活性大大保证了医院计算机信息系统的安全性。
3计算机信息安全管理制度建立
在安全管理中,可以实施责任制度。例如成立医院信息安全管理组,医院相关负责人,以职能为参考标准,负责安全线的各项工作,定期安排任务与会议总结,发现问题,总结问题,进而深化部署医院计算机信息安全管理工作。在制度的建立中,可以参考服务器,网络设备,技术人员,数据文档相关系列的安全管理制度体系。指定人员定期维护,保存记录,做好应急预案与应急措施,做到日志化管理。对于信息安全操作规范,也需要加强管理。指定系统软件,数据操作规范流程,没有授权不能进行文件复制,数据共享,系统的修改增删。定期维护服务器状态检查,分析日志,并且观测数据是否存在问题,及时发现异常点,做好日志记录,保证完整性与可靠性。可以制定培训计划,在整个培训中,目标,流程,结果应该清晰有效,如果信息安全管理小组发生变化可以及时跟进培训配合,建立独立操作局域网,模拟真实的信息系统环境,帮助相关人员快速准确掌握方法。
4信息系统安全管理控制升级
4.1信息安全细节化设计
医院网络安全数字化是一个长期整体的系统工程,主要围绕防护警示,检测检查,修改恢复这一过程循环运行。如果这一程序链中出现错误,某个环节没有按照预定设置完成,将会产生诸多负面影响。控制好每一个环节的处理,并且严格落实,通过一系列的管理制度与措施,监督责任到位,确保整个信息安全系统安全高效,持续稳定的工作。由于网络技术的不断发展,漏洞与不足暴露得越来越多,对于新应用新技术推广的同时,还需要加强培训,以满足业务工作需要。就信息网络系统自身而言,采用符合实际操作情况与工作状态的结构系统,安全等级与维护难度都将能够降低难度,易于操作。构建多层次,体系化的设计使用户角色等级,权限操作,优先等级分布到更多层次,更多日志记录。那么后续维护,控制分配也将更加灵敏。结合具体的业务情况,在可用性与安全性之间寻找平衡点,在符合安全的大前提下,开拓业务,提升服务质量。
4.2医院计算机信息安全风险控制升级
在某些医院中,计算机网络防御等级较低,需要通过加强安全性对整个系统进行升级。首先需要确保医院计算机信息网络服务器保持正常。要确定系统的长期安全。注意机房服务供电情况,布线合理,温度湿度,雷电预防等问题。保证医院服务器不间断供电,保持电源线路通畅。同时主要设备与核心设备固定器维护与检查,及时发现问题与前兆,快速有效处理。保证计算机中心温控与散热条件良好,使得整个服务器中心环境到达理想状态。保持清洁,除尘保洁,重视物理环境的维护,并且确保数据的及时正确备份。另外,对于医院计算机信息主要管理人员的素质,仍然需要加强,明确权力责任,落实到点。这也关系到医院信息安全工作能否安全运行。对于网络用户也应该严格限制管理,分清患者、医务职员、管理人员的角色职能。对用户和密码加强管理,这样可以有效的避免危险数据与不明软件对服务器的攻击与伤害。同时重视日常计算机系统相关记录数据。在常规服务日志的检测基础上,加以分析预判,进而实施下一步相关措施。例如服务器启动停止,异常运行数等等,都可以有助于信息系统管理者对医院计算机信息系统的全面了解,从而进行评估,得出相关结论。依托数据对系统的安全等级展开定级,制定有效制度措施防范解决问题,确保整个信息系统的安全和高效,达到风险管理控制的目的。
5结束语
提高安全防范意识,完善制度,对于医院计算机信息安全风险管理控制方法不仅仅需要从技术角度入手,自身也需要意识到它的重要性。这不仅关系到医院的整体协作与工作效率,还影响所有部门员工统一性。需要全面了解当前信息系统中的安全问题,并积极应对。因此在提高技术的同时,依靠建立制度对员工进行规范管理,提高防范意识,确保医院计算机信息系统安全。
参考文献
[1]冯成志.浅谈现代医院计算机网络的安全与可靠性[J].科技与创新,2014(7):143-144.
[2]燕磊.浅谈医院计算机网络安全策略[J].网友世界,2014(2):10.
随着医院信息化的普及和发展,医院已经引入了门诊挂号系统、药房管理系统、医学影像系统、诊断治疗系统等,为医师、护士、患者及其他用户有效地提供了信息化支持。但是,医院信息系统也面临着木马、病毒等攻击威胁,非常容易造成医院信息被盗取或破坏,因此需要采取防御措施。本文首先对医院应用计算机网络信息技术的重要性进行分析,然后总结当前信息安全管理维护工作中存在的问题,最后提出管理维护工作策略。
【关键词】医院信息系统 网络安全 防范
1 引言
自从进入21世纪以来,科学技术得到了飞速的发展,网络信息技术也开始兴起。随着当前网络信息技术越来越广泛的应用,人类社会已经迈入了信息时代。在当前的医院工作当中,无论是财务系统、医疗记录系统还是医院的行政管理工作都已经向着信息化发展。然而,信息技术的应用在带来巨大便利的同时,也带来了前所未有的安全风险。因此,在医院的网络信息管理当中,必须要保障安全运行,这样才能对医院的工作提供更大的帮助。
2 计算机信息管理技术网络安全的重要性
在科学技术和现实需求的推动下,电脑讯息管理技术使用而生。在社会成长中,电脑讯息管理技术发挥着不可替代的作用,加强对它的因特网安全管理具有重要性。具体来讲,第一,电脑讯息管理技术因特网安全是适应时代成长潮流的需要。电脑讯息管理技术的成长促进了全球各种经济社会的成长,在各国经济成长中占据着举足轻重的地位。在我国,电脑讯息管理技术的使用越来越普遍,在这种时代背景下,必须加强对电脑讯息管理技术因特网安全的管理,使其更好地为我国经济社会成长和人们生产生活服务。因此,电脑讯息管理技术因特网安全是适应时代成长潮流的需要。
3 医院信息系统网络安全管理现状
3.1 攻击渠道多样化
目前,医院信息系统覆盖的范围越来越广泛,并且多家医院联合开展诊疗活动也成为一个新趋势,医院把智能手机、平板电脑、PC电脑等终端设备接入到网络。这些系统集成时采用的网络拓扑结构包括星型网络、无线网络、总线型网络等,每一个接入的环节都可能成为攻击的渠道,不同设备的开发技术、系统架构集成在一起,也容易造成系统漏洞,无形中增加了互联网攻击渠道。
3.2 感染范围扩大化
随着黑客采用的技术增多,开发的病毒、木马拥有了更加强大的感染能力,如果某一个医院信息系统感染病毒或木马之后,其可以利用高速的网络带宽迅速在局域网范围内传播,感染医院局域网中的所有服务器、终端设备,感染范围呈现了扩大化和快速化特点,网络安全事故一旦爆发,将给医院信息系统带来严重的灾难,造成不可估量的损失。
3.3 潜藏周期长期化
医院信息系统采用的杀毒软件和防御技术的水平越来越高,普通的病毒、木马一旦爆发将会被识别出来,被防御工具所狙杀。因此,许多黑客改变了传统的破坏模式,隐藏的医院信息周期越来越长,长期地、持续地对医院信息系统进行攻击,造成许多的机密数据被盗用。
4 医院计算机网络信息安全维护工作策略
4.1 双核心网络虚拟化建设
为了提高网络安全,增加网络传输效率,建设双核心的网络架构是医院信息化发展的必由之路。该网络架构中,核心层由1台交换机增加至2台高端交换机,通过配置智能弹性架构技术虚拟成1台设备,2台核心设备间通过2条万兆光纤和1条千兆光纤进行连接,主要用作数据传输和链路检测。各层网络间均采用千兆光纤连接(重要楼宇与核心交换机采用万兆光纤连接),通过IRF技术,2台核心交换机可同时处于双机热备状态,当其中1台出现故障时,另1台仍处于正常工作状态,在不影响信息系统运行的情况下也给网管人员预留了故障处理时间,保障了医院信息系统的稳定运行。
4.2 运用讯息加密技术
讯息传送加密大致包含线路加密和端对端加密两种科学技术,目的是对传送中的讯息流进行加密,如图1。线路加密指的是对保密讯息的各线路采取不同的加密密钥进行安全保护的措施,侧重点是讯息线路,对信源和信宿没有考虑;端对端加密指的是讯息通过专用的加密软件,从发送者端运用某种加密科学技术,对发送的文件进行加密,通过把明文加密成密文,然后进入讯息包封装后穿过因特网,到达目的地后,收件人通过运用相应密钥解密成明文。
4.3 注重系统升级处理
在计算机信息安全管理活又校工作人员还应该采用规范的流程作业法进行数据销毁处理,确保信息数据销毁安全。基于访问者的身份进行保密设计,采用强制访问控制的方法,保障数据和隐于安全的状态。在密码设备管理活动中,积极应用PKI管理方法,显著提升密钥管理活动的高效率。在数据和隐私安全防护系统中,对核心数据存储库与易感染区进行有效隔离。采用访问权限的认证和加密技术管理,显著提升网络系统安全防护的质量,防止未知的第三方文件进入。另外,需定期对网络系统程序进行全盘扫描和病毒查杀,采用入侵检测的方法对程序的安全性进行技术保障。
5 结束语
医院信息系统网络安全管理和维护是一个长期的、系统的和动态的过程,未来需要引入更加先进的数据分析、可视化交互技术,以便提升网络安全管理性能,保证网络安全升级维护的有效性。
参考文献
[1]孙辉,聂媛媛,高立芳.军队医院计算机网络信息安全存在问题及管理措施[J].实用医药杂志,2011,28(07):655.
关键词:移动医疗;医院信息;网络安全;措施
无线网络技术的发展,为医院医疗信息的网络安全管理带来了发展机遇,同时也带来了一定的挑战。在无线网络技术背景下,医院的移动医疗、智慧医疗等日渐成熟,逐渐提升了医院医疗资源管理的信息化水平,构建了更加完善的移动医疗系统,并配备了完善的无线网络、健全的医疗软件系统、无线终端设备等,能够帮助医院的医护人员为病人进行更加安全和方便的诊疗。移动医疗系统包括移动查房系统和移动护理系统,其进一步强化了住院诊疗和护理的高效性与安全性,促进了诊疗信息管理的科学化。但是由于无线网络技术的开放性特点,使其在进行医院信息管理过程中,存在极大的网络信息安全隐患,容易受到病毒侵害、恶意攻击等。因此,在移动医疗背景下,要强化对医院信息网络安全管理,完善软件系统,优化数据库保护,提升移动终端信息管理技术水平,从而为移动医疗医院信息网络安全管理效果的提升提供坚实的安全保障。
1问题分析
移动医疗系统主要由移动终端、移动APP、工作站、接入访问节点等设备组成。其网络安全现状问题如下:
(1)运行方式问题移动医疗网络接入方式存在一定的隐蔽性,很难在表面发现其安全隐患问题。一般情况下,医院使用的是本地无线局域网的方式接入。其移动医生终端、护理终端等设备,主要利用医院内部的无线APP和医院网络进行连接,流程为APP—局域网线—楼层交换机—光纤—汇聚交换机—核心交换机—防火墙—中西机房。在这一过程中,无线APP的连接方式具有极高的隐蔽性和开放性,很难直接发现移动终端的接入情况,容易发生非法接入和攻击行为[1]。
(2)网络安全问题移动医疗系统具有一定的开放性,容易被破解,安全风险较高。移动APP在苹果系统和安卓系统中同时使用,并利用互联网和医院外网防火墙进行连接,从而成功接入医院网络服务器,增加了医院设备终端外部攻击风险,容易引起医院数据泄露等问题。其中风险因素有:无线广播长期处于打开状态,为外部攻击提供网络入口;密码简单容易被破解;无线APP加密算法漏洞较多,存在很大的风险点。在免费WiFi的干扰下,移动医疗系统容易发生接入安全风险,导致数据泄露、网线系统运行异常等情况。而且当前随身携带的移动WiFi设备很难被检测出来,这增加了医院网络安全管理难度和医院局域网络安全风险系数[2]。
(3)日常管理问题医护移动站的移动终端比较常用的是安卓系统,其在应用过程中容易被动安装第三方软件,甚至引起病毒和木马的侵害,造成系统瘫痪、数据泄露、数据被更改;对网络交换设备缺乏专门的看管,容易引起非法接入的问题;安全监管力度不足,容易引起门卡被盗用、监控系统故障等问题;Web服务器是移动医疗系统的关键设备,一旦受到攻击就会对医院的医疗工作带来极大的损害。移动医疗系统不但包括服务器设备,还包括不同功能的工作站和操作系统等。由于操作系统使用的版本各不相同,因此在日常医护工作中利用设备拷贝数据的现象较为频繁,这增加了设备病毒侵害的风险。一旦移动设备感染病毒,就会引起系统运行异常,数据泄露或者是丢失问题。因此,强化移动医疗系统的稳定性,需要制定科学合理的病毒防护措施,保障移动设备系统版本的统一化,安装统一高效的杀毒软件,从而强化设备安全防护能力[3]。
(4)通用性引起的非法攻击移动医疗系统的服务器主要是Windowsserve,该操作系统的界面较为优化,操作简单,维护费用较低。但是其通用性和易用性特点,也为网络黑客的攻击提供了便利,黑客往往会利用系统漏洞实施恶意攻击。此外,移动医疗系统的数据库存有海量的诊疗数据,但是数据库服务器容易出现软件、硬件故障,致使数据丢失[4]。
2应对策略
(1)强化网络设备安全防护在医院医疗系统中,针对密码相对简单的数据,要综合利用设备简单操作,强化安全部署,减少其风险点。一般情况下,需要制定具有一定指向性和可行性的操作条例,完善日常安全风险管控,并结合实际情况制定合理的工作规范操作流程,保障安全防范规则的有序开展;需要结合医院系统的具体情况,完善管理制度的妥善执行,保障关闭广播设备,并在设置密码时确保其具有复杂性;需要制定分层管理机制,对设备检查责任进行明确的划分,保障日常例行检查,强化设备安全责任人的责任意识,开展定期的设备检查,及时发现违规现象并上报,采取科学的风险排查措施,保障安全风险的高效解决。为了进一步增加WEP密码的安全性,可以适当提升安全防护等级,利用加密算法进行安全防护。一般情况下,在医院移动APP中可使用WPA或者WPA2加密算法[5]。
(2)定期优化检测设备为了保障医疗系统的安全性,防止设备的非法接入,需要利用科学的检测软件对其实施全面的探测。其主要探测流程是对IP特征开展系统性分析,检测应用层数据属性,获得相关数据信息,在此基础上精准判断非法设备接入情况,其中包括对移动设备和无线路由器设备的检测。为了保障检测效果,要对检测软件进行定期更新和优化,从而降低网络风险。针对外网的安全防护,需要安装新型的web防火墙,其工作原理主要是在超文本传输协议HTTP层和更高设备层的基础上,综合利用增强验证、强化HTTP层防护技术,对虚假终端实施精准识别,防止系统受到外界攻击,强化防护能力,避免密码窃取现象[6]。
(3)强化对数据库的安全防护通常情况下,移动医疗服务器使用的是Windows、Linux操作系统。为了保证服务器和无线终端的安全防护能力,需要安装防病毒软件和防木马软件,并安排专业的网络运维人员对其进行定期的系统升级,及时修补系统补丁、强化对病毒数据库的优化管理,降低软件系统被病毒、木马等侵害的概率;一般情况下,移动医疗使用的是Oracle数据库。为了保障医疗服务器的安全运行,需要提升数据库的稳定性,对数据库中丰富的数据进行安全防护;为了提升数据库的安全防护能力,需要使其系统配置达到标准要求,一般其配置包括双机热备、磁盘容错等,从而提升数据的适用性;为了防止数据丢失,需要对数据库进行实时备份和异地备份,确保数据的完整性[7]。
(4)无线终端安全处理策略要结合实际情况,进一步完善无线终端使用管理制度,并强化管理制度的严格执行,对医院工作人员实施合理的安全技术培训,强化网络安全意识,提高无线终端使用技能,减少无线终端应用风险;采取账号认证的方式对无线终端账号进行保护,并定期对账号密码进行强制更换,可以综合使用多种形式的密码解锁模式,如声音解锁、指纹解锁等,提升其安全性能;强化对无线终端的日常管理,强化无线终端的使用检查,对无线终端的发放和收回信息进行详细的记录,包括使用者的基本信息,发放时间,一旦出现安全问题,方便追根溯源;对无线终端的用途进行严格控制,避免随意应用从而引起病毒、木马的侵入,尤其是不能用于上网或者是打游戏等;要注重在终端工作站安装正版杀毒软件,并对杀毒软件进行定期的系统更新。为了强化其防护效果,可以安装双重杀毒软件;为了进一步提升无线终端的运行稳定性,可以结合实际需求安装第三方软件,实现MAC地址和IP地址的结合;为了保障系统的兼容性,需要使用安卓系统的iPad设备;为了提升无线终端系统的安全防密性,需要强化防篡改、自定义键盘、防窥探等技术的应用[8]。
3结语
购物车(0)