首页 资料文库 期刊中心 杂志订阅 投稿指南 SCI期刊
美章网 精品范文 医院信息安全管理措施范文

医院信息安全管理措施范文

前言:我们精心挑选了数篇优质医院信息安全管理措施文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。

医院信息安全管理措施

第1篇

    医院档案信息化是指档案管理模式转变的过程,从以档案实体为重心转向以档案信息为重心。在医院档案管理活动中全面应用现代信息技术,加速实现档案管理现代化的进程,医院档案信息化建设就是在医院档案行政管理部门的统一规划和组织下,对医院档案信息资源进行处置、管理和为社会提供服务。

    随着信息社会的到来,档案现代化管理和信息化建设,是医院档案工作发展的必然趋势,医院档案基础业务建设的重心也开始向信息化、现代化转移。为了研究医院档案信息化,必须首先了解什么是档案信息化,才能知道其现在面临的问题,进而找到解决的对策和方法。信息技术在国民经济和社会发展中扮演了越来越重要的角色。

    在这个信息化的时代,在科学发展观的指导下,随着新医改的不断深入,医院经营管理的逐渐市场化,医院的信息化建设也渐渐被管理者所重视,成为医院基础建设的一部分,融入到医院现代化建设经营管理之中。

    而档案管理则成了医院信息化的重要组成部分。通过精心设计版面,内容架构,以及对功能模块的完善,档案信息化成为医院在经营管理和竞争中不可替代的关键部分。

    2 方法

    2.1 医院档案信息的数字化,它是指将纸质文件、声像文件等介质文件和已归档保存的电子档案,利用数据库技术、数据压缩技术、高速扫描技术等技术手段,系统组织成具有有序结构的档案信息库。档案目录信息的数字化、档案全文信息的数字化,是档案信息数字化的内容有两个不同层次。档案信息数字化的原则:规范性原则、安全性原则、效益性原则。

    2.2 档案网站建设,它是指档案网站是档案机构在公共信息服务网站上建立的站点,它一般是以主页方式提供相关档案服务和开展档案宣传。档案网站建设是档案信息化建设的重要步骤,档案网站的功能有:服务功能、宣传功能、交流功能。是医院档案部门联系整个医院及社会的重要窗口。档案工作信息、档案机构信息、档案资源信息、档案利用服务信息是档案网站的主要内容。

    2.3 数字档案建设,它强调的是在数字化档案环境下用户开发利用档案信息资源的便利,它是指利用电子网络远程获取档案文件信息的一种方式。数字档案的主要特点:①功能定位上的特点,以存取为中心;②运行方式上的特点,存取档案信息的网络化;③存在方式上的特点,是一种无形的信息组织与利用环境。

    3 档案信息化的存在问题及解决办法

    3.1 档案升级在加强规范管理方面需要一笔较大支出,要积极扶持医院档案信息化建设以保证档案信息化建设顺利进行。

    3.2 开展业务指导,提高创建技术。医院档案信息化建设涉及很多新情况、新问题,应积极开展医院档案信息化建设业务指导,加强与档案主管部门联系,有的内容专业性较强,通过组织培训、举办讲座、上门辅导等方式,普及创建技术,从而业务技能,传授档案升级方面的专业知识。

    3.3 挖掘内部潜力,增强创建力量。管理档案人员少的矛盾日益突出,再抽调人员从事档案升级工作相当困难。每天需要应付日常工作,很难抽出更多的精力搞创建。应成立创建工作领导小组,保证创建工作稳步推进。

    3.4 强化档案管理,完善创建条件。现有的医院档案管理水平停留在原先省一级标准基础上,对照省特一级标准差距较大,所以要不断更新观念,完善具体操作规程,推进规范化建设,进一步健全归档、保管、鉴定、借阅等各项管理制度;升档案服务水平,为档案管理升级提供基础保证,要及时引进先进档案管理设备。

    3.5 加大宣传力度,提高创建认识。思想认识上的偏差,即使争创档案升级,也是办公室档案人员的事,与己无关,或者对医院档案信息化建设的重要性了解不够,认为这是可有可无的事。应组织大家学习,增强为档案升级工作服务的自觉性、积极性,提高全体人员对档案信息化建设重要性的认识。

    4 结论

    “采用计算机及其配套设备,缩微机及其设备,保护技术现代化”,是管理手段的现代化和保护技术的现代化。档案管理现代化、信息化,其核心是就是它们。主要是档案存储环境控制档案存储载体更新改造的科学化。要抓住机遇,提高工作水平、工作效率,提升服务质量,逐步构建起各地档案信息平台,努力把档案信息化建设作为政府电子政务建设的一个重要内容;要加强领导、提高认识,加快档案信息化建设,认真研究,合理规划,争取支持,加大投入,配备人才;要制定信息化建设的中期规划和短期目标,使档案的管理水平迈上一个新台阶,加大投入,逐渐增配软、硬件设施,争取政府和上级部门的支持,为社会创造更大的经济效益和社会效益。

    参考文献:

    [1]李爱军.档案信息化的现状及对策分析[J].铜陵学院学报,2006,(02).

    [2]金光华.在企业信息化环境中的档案信息化定位研究[J].中国管理信息化,2005,(02).

第2篇

信息时代的到来,不仅深刻的变革人类现有的生活方式,也极大加速医院内部各部门间的信息管理系统的建设进程。当下各大医院之间的核心竞争力之争,业已由传统的医院之间的医疗设备的竞争转变向医疗机构运行系统的便民性、信息化管理,这既是信息技术时代对医院的现实诉求,也是缓解长期以来存在的就医难困境的一个突破点。同时,由于医院的信息管理系统中通常包括病患的个人信息、医院的经济状况等相对隐私的重要信息,保障现行医疗部门中所运行的信息管理系统的安全就显得至关重要。

1、医院信息管理系统的含义

关于医院信息管理系统的含义,多方学者都试图从不同角度和侧重点对其进行诠释。一位美国信息系统的权威学者毛瑞斯克伦就信息化管理对医疗机构的影响力角度,给出这样的定义:“运用互联网技术和通信设备,在整合医疗机构内部人流、物流和资金流的基础之上。为实现满足信息管理系统下全部授权用户的需要,对医疗机构内部各部门中医患的诊疗信息、组织的日常运营的管理数据信息进行的集中采集、处理过程。由于医疗机构本身特有的属性,决定医院的信息管理系统的复杂性和整合难度要远远超过同级别的其他机构。

2、目前医院信息管理系统存在的安全隐患

2.1医院信息管理系统安全意识淡薄

一方面,由于在部分医院中的管理者仍然执行传统的管理方法,没有对信息管理系统安全问题投入足够的重视。使得下面的工作人员也会随波逐流,对于信息管理系统的使用也只是流于形式,对相关信息系统的维护、开发工作做的不足。另一方面,由于大多数的医院对于信息管理系统安全知识的普及工作做的不是很到位,加之部分医院为了缩减人工成本,录用的非专业工作人员素质相对偏低,不能胜任信息系统的正确的使用和维护工作,这无疑会增加信息管理系统的主观安全隐患。

2.2医院普遍缺少信息管理系统安全预案

一方面,由于医院科室相对较多,信息管理系统相对较分散和复杂。而且不同科室信息系统有存在重叠的可能性,这在很大程度上增加制定医院信息管理系统安全预案的难度。加之部分领导忧心制定信息管理系统安全预案的工作繁杂,使得安全预案迟迟不能出现。另一方面,医院信息管理系统中存在部门间和人员间协调性差的问题,加之日常没有相关的信息管理系统是安全规范。对于突发的信息管理系统问题,很难在第一时间有明确的机构或人员做出及时应对。

2.3医院对信息管理系统安全缺乏必要的技术防范

信息管理系统的安全有赖于数据库的安全运行和数据的完整,而由于医院在实际的信息管理系统使用过程中缺少必要的相关技术人员,加上懈怠疏忽的工作态度作祟,缺乏对重要数据的备份保存的工作习惯,使得医院的信息管理系统在受到外界恶意攻击或由于自身工作人员错误操作时,就会造成大量的数据流失,甚至导致医医疗机构的信息管理系统瘫痪。这样不仅使院方蒙受一定程度的经济损失,由于有关病患个人信息的数据的泄露和医院就诊日常工作效率的降低,最终也会导致医院公信力的下降。

3、保障医院信息管理系统安全运行的措施

3.1强化加强对医院信息系统的数据备份和安全审计

数据对整个信息管理系统的重要性不言而喻,为了降低因为信息系统突发故障或者遭受恶意供给而带来的数据丢失现象的出现,医院要适时的对管理信息系统内部的数据建立完备的备份和恢复方案。以能够在最短时间内应对由不明外力而造成服务器瘫痪和相关数据丢失,将不良安全隐患带来的影响降到最低。在提升信息管理系统化软件稳定性的同时,可以考虑二次备份数据库的做法。同时,可以考虑定期对医院信息管理系统进行数据库的网络安全审计与日志分析,从动态角度掌握信息管理系统的实际运行状态,可以对追踪网路恶意攻击和恢复系统数据提供条件。

3.2制定保障医院信息系统安全运行的预案

首先,要强化医疗机构内部工作人员的信息系统安全意识,因为这些人是操作信息系统的主体。相关部门要制定必要的安全规范章程和操作流程标准,例如要求相关系统的操作指令要达到的安全保护程度和使用权限,都要做出明确的规定,从源头上降低由主观失误造成的安全隐患。并通过日常的信息系统安全培训学习使工作人员形成良好的操作习惯。其次,包括对医院信息系统有关的硬件、软件等存在的隐性安全风险和潜在故障的应急措施都应该列入安全预案之中,包括出现问题后应该由哪些具体的部门来处理,大到部门机构,小到具体的负责人员都要做好明确的分工并予以公示,一旦特殊情况出现可以在第一时间将损失降到最低。最后,要根据医院信息管理系统安全隐患的等级划分应对预案,并可以通过设定紧急系统安全状况处理预案和常规系统安全状况处理预案的方式,提升医疗机构应对信息管理系统安全问题和维稳就医秩序的能力。

3.3实施医院信息管理系统的流程再造

第3篇

【关键词】 医院管理信息系统 安全管理 防范措施

医院管理信息系统是指医院在日常运营管理中应用的信息管理、联机操作的计算机应用系统,其几乎包括了医院内部所有的业务及活动项目,医院管理信息系统是提高医院信息化水平的重要手段。

一、医院管理信息系统的不安全因素

具体而言,医院管理信息系统的不安全因素包括以下几个方面:首先,系统漏洞问题。医疗机构广泛应用的网络操作系统包括Windows、Unix、Linux等,无论哪种操作系统均不可避免的存在漏洞,如果操作系统更新不及时、漏洞修补机制不完善,就会为病毒的入侵提供可乘之机,导致计算机反复感染病毒,降低系统的安全性。其次,病毒入侵。病毒会对计算机系统软件、文件、网络资源等产生直接影响,局域网体现出复杂性的特点,是计算机病毒感染的高危地带,严重者可能导致医院局域网的瘫痪,直接影响到医院的日常业务。再次,黑客攻击。医院局域网内存在大量的学术信息、患者的个人隐私信息等,因此成为网络黑客的攻击目标。黑客入侵也会导致医院局域网受到严重影响,甚至数据库中的数据信息都有可能遭到篡改,从而影响到医院的信息管理。最后,网络应用者安全意识薄弱。计算机信息技术的发展日新月异,网络普及速度也越来越迅速,医院的日常办公网络化建设日益完善,网络端口、上网人数也越来越多,但是很多医院内部都缺乏一套可操作性强的、完善的网络安全管理制度,网络操作人员安全意识薄弱,导致医院内部网络扩张速度远远大于网络安全管理的普及度,为医院管理信息系统埋下了安全隐患。

二、加强医院管理信息系统安全管理的策略

2.1加强硬件管理

一方面要为计算机系统的运行提供良好的机房环境,比如机房温度不超过25度、不低于20度,保持相对湿度在50%-65%;日常运行中要求无人员流动、无尘,安装必要的避雷装置及抗磁场干扰装置等。机房要采用两路供电系统,配有不间断电源持续供电,以保证机房供电的稳定性及连续性,同样要设置抗磁场干扰等装置。

另一方面要加强网络硬件设备的维护。网络硬件设备主要包括路由器、交换机、集线器、光纤收发器等,要对上述设备的运行状态进行实时监测,做好设备的除尘保养,检查插头是否有松动等,注意防水。

2.2合理应用网络安全管理技术

医院管理信息系统安全管理中常用的安全技术包括以下几种:

首先,备份技术。所谓备份技术是指在最恶劣的情况下一旦医院信息系统出问题,可以通过备份技术使数据库在最短的时间内恢复运行,保证数据安全。备份技术需要硬件设备与软件系统的配合应用,要根据医院的实际情况制订备份频率、备份时间、恢复时间等备份策略,常用的备份策略包括三种,即只备份数据库、备份数据库及事务日志、增量备份等。

其次,冗余技术。冗余技术是指网络在质量恶化的状态下不会造成系统停机及数据库丢失的保障性技术,冗余技术除了可应用于网络技术中外,还可应用于电源、处理器及相关设备、模块、链路、以太网等等。

再次,防火墙技术。防火墙主要设置于风险区域与内部网络之间,对访客进行管理,形成内部网与外部网之间的隔离保护层,可有效防止黑客入侵及破坏行为,保障系统安全。

最后,加密信息技术。加密技术包括对称加密技术与非对称加密技术两种,其中对称加密技术是指信息的加密与解密使用同一密钥,通过加密工作的简化实现了信息交换双方无需使用专用的加密算法即可读取信息;非对称加密技术则是将密钥分为公开密钥与私有密钥两种,其中加密密钥可作为公开密钥公开,而解密密钥则作为私有密钥保存起来。

2.3增强系统操作人员的安全意识

要采取必要的措施降低人为因素导致的网络故障率,针对技术人员的培训主要包括安全技术、安全策略和风险防范等,操作安全培训由信息科技术人员负责,使操作人员了解计算机管理的必要性和管理流程,对相关人员进行新业务模式和流程教育,对操作人员进行技术培训,要求准确、熟练等。

三、结语

计算机信息技术的应用大大推动了医院信息化发展的进程,但是网络环境的复杂性增加了医院管理信息系统的风险性及不确定性,因此日常工作中要结合医院的实际情况,具体问题具体分析,通过技术、管理等各方面强化信息系统的网络安全性,保证管理信息系统的可靠性及稳定性。

参 考 文 献

[1] 王利辉 . 浅析新医改背景下医院信息系统建设 [J]. 企业改革与管理 .2014(24):45.

第4篇

【关键词】信息安全等级保护 测评实施

1 引言

医院信息化建设快速发展,信息系统应用深入到各个环节,信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LIS系统、检查PACS系统、体检系统等。保障重点信息系统的安全,规范信息安全等级保护,完善信息保护机制,提高信息系统的防护能力和应急水平,有效遏制重大网络与信息安全事件的发生,创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》,卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。

2 确定测评对象与等级

我院是一所二级甲等综合医院,日门诊人次1000人左右,住院日人次400余人。医院信息系统HIS、LIS、PACS、电子病历、体检等50余个系统无缝结合,信息双向交流。按照《信息系统安全等级保护定级指南》定级原理,确定医院信息业务系统的安全保护等级为第2级,其中业务信息安全保护等级为2级,系统服务安全保护等级为2级。

2.1 招标比选测评公司

医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司,简单介绍医院信息化情况,其中有3家公司到现场进行调查,掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。

2.2 测评实施

2.2.1 准备阶段

医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》,确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研,提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的IP地址、网络互连设备的配置、网络安全设备的配置、安全文档等。

2.2.2 测评主要内容

主要针对医院信息系统技术安全和安全管理两方面实施测评,其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5;安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。

2.2.3 测评方式与测评范围

测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈,了解医院业务运作以及网络运行状况;查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务,以及安全管理类测评任务;查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等;测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试,检查系统的安全有效性。

整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。

医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵,终端使用了趋势网络版本防病毒产品,抵御恶意代码。开启系统审计日志,制定和实施有效安全管理制度,加强安全管理,降低系统安全风险。网络进行了有效的区域划分,区域之间通过访问控制列表实现安全控制,与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。

2.2.5 差距分析与测评整改

通过测评,测评公司写出测评报告,提出整改建议。按照《信息系统安全等级保护基本要求》要求6,测评公司人员根据医院当前安全管理需要和管理特点,针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理,从人员、制度、运作、规范等角度,进行全面的建设7,提供技术建设措施,落实等级保护制度的各项要求,就各类人员进行安全培训,提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。

2.2.6 编制报告,成功备案

测评公司编制报告,上报市公安局备案成功,获得二级信息系统备案证书。二级信息系统,每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高,安全保护能力增强,有效保障信息化健康发展。

3 结语

网络安全问题是一个集技术、管理和法规于一体的长期系统工程,始终有其动态性,医院需要不断进行完善,加强管理,持续增加安全设备以保障医院数据安全有效,保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点,分期分批循序建设,保证医院各系统长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求8。

参考文献

[1]卫办发.〔2011〕85号,卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知,2011.

[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志,2005.

[3]王建英,陈文霞,胡雯,张鹏.医院信息安全分析及措施[J].中国病案,2013.

[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息,2013.

[5]韩作为.医院信息安全等级保护三级建设流程与要点[J].中国数字医学,2006.

第5篇

1 引言

 

随着医院的发展和信息化的进步,信息系统渗透到医院的各个角落。医院的医疗业务、教学、研究对信息系统的依赖性是不容置疑的。医院的信息安全不仅是保证医院有效秩序的前提 ,还是保障医院的财务管理等方面巨大的支撑,并且安全的医疗信息数据才能够有效地提高病人的治疗效果、维护病人的权益。因此加强管理和监控,加强医院有关信息安全系统方面的建设 ,是医院良好有序发展的前提以及客观要求[1]。因此对信息安全的认识从方方面面都得到了前所未有的重视。作为走在信息安全研究前列的大国,美、俄、日等国家都已制定自己的信息安全发展战略和计划,确保信息安全沿着正确的方向发展。2000年初美国出台了电脑空间安全计划,旨在加强关键基础设施、计算机系统网络免受威胁的防御能力。2000年7月日本信息技术战略本部及信息安全会拟定了信息安全指导方针。2000年9月俄罗斯批准了《国家信息安全构想》,明确了保护信息安全的措施。

 

我国对信息安全研究起步较晚,目前已初步建成了国家信息安全组织保障体系[2]。我国在1994年颁布了《中华人民共和国计算机信息系统安全保护条例》。在以后的十几年中,国家又出台了多个法律、法规,对信息安全等级保护的具体内容、职责和工作方法做了具体的规定。在2007年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室出台了《信息安全等级保护管理办法》。首都医科大学附属医院北京妇产医院(以下简称“北京妇产医院”)正是借着《信息安全等级保护管理办法》的实行,促进了院信息安全工作的发展,提高了信息安全的水平。从2007年到今天,院信息安全等级保护工作已经走到了第十个年头。这十年信息安全建设大约分为两个阶段。

 

2 第一阶段:夯实制度基础,加强边界防护

 

北京妇产医院于2007年10月根据《信息安全等级保护管理办法》的要求和医院的实际情况,把医院的核心系统HIS和LIS系统定为二级系统。在随后的几年中严格按照等级保护二级系统的规范进行建设。

 

2.1 制定和完善制度,促进安全管理

 

任何技术都只是手段,而人是最重要的因素,能把两者有效的、高效的结合在一起的是管理。管理又是通过制度实现的。参照等级保护的要求,增加制定了网络安全管理制度、计算机病毒防治管理制度、业务网络安全管理规定、信息安全数据使用授权制度和重大信息安全事件报告制度等制度,基本做到了制度完备。通过信息安全管理相关规范的制订与,确立信息安全方针,对信息安全管理体系文档的制订、、修订、评审进行约定,以保证信息安全管理规范文档的严肃性。通过制订全院统一的信息安全策略,有效指导信息安全管理与技术工作的开展,为全院建立了统一的信息安全策略标准。

 

2.2 提高信息安全意识

 

在领导层面,北京妇产医院建立了医院信息系统安全领导小组,明确信息安全工作由院长负责,成员包括信息科、院办、医务科等相关科室领导。在基层层面,根据技术专长和日常工作把工作人员安排为信息安全管理员、安全审计员、系统管理员等。这样不仅使每个人了解信息安全,还要负责信息安全的事,同时也让工作人员时时刻刻有信息安全的意识,还把信息安全内容纳入到每年进修人员和新入职人员培训日程之中。

 

2.3 加强中心机房的安全建设和管理

 

北京妇产医院参照《信息系统安全等级保护基本要求》进行信息化基础设施建设。中心机房配置门禁系统,机房出入口安排专人值守,控制、鉴别和记录进入的人员。外来人员进出机房须获得机房管理员的授权,对人员及设备进出情况进行记录。中心机房内服务器、网络设备均安置在机柜内并固定,对设备与走线进行了标识。中心机房设置防盗报警系统、视频监控系统、自动消防系统、空调周围安装漏水检测报警系统等物理安全设备。目前中心机房物理环境基本达到了等级保护三级系统所要求的物理环境,物理安全防护措施相对完善。

 

2.4 部署了基线网络监控管理系统

 

此系统能够通过SNMP协议获得被监控网络设备、服务器、通讯线路、网段、应用等有关信息,包括系统信息、网络连接、TCP连接、程序运行、 ARP表、路由表以及CPU负荷等。网络管理员可以通过此系统对全网络可以实时的监控。此系统还可以对IP地址的全局使用情况有一个清晰准确的统计,对于 IP地址使用的管理、分配都可以起到很好的辅助作用。

 

2.5 部署了桌面管理系统

 

此系统能够远程维护、远程控制为网络的管理、维护与故障诊断提供了全方位的平台。在管理、维护或故障排除需要时,网络管理员可以通过本功能远程登录客户机,当服务器显示客户机桌面后,即可以对其进行相应的操作。通过桌面管理系统可以管理外部设备,我院业务网禁用了U盘、软驱、光驱、UBS等各种各样的外部存储设备,减少病毒通过外部存储设备进入到业务网中的可能。通过桌面管理系统指定部分关键终端进行IP地址绑定,进一步提升了业务网的安全性。桌面管理系统还不断地进行更新、升级,以提升网络的防护水平。

 

北京妇产医院通过信息系统的等级保护定级工作,对医院的信息安全状况进行了一次较为全面的摸底,认识到自身信息安全水平和问题所在。针对信息安全投入了相当的力量,通过以上和其他措施加强了防篡改、防病毒、防泄密等方面的安全,提升了业务网的边界防护能力,使其处于基本安全的环境中。

 

3 第二阶段:持续性推进,再上台阶

 

2007年至2012年,北京妇产医院年门诊量从7万人次增长11万人次;年出院人次从2.5万人次增长到约3万人次;病房手术人次从1.9 万人次增长到2.5万人次。HIS系统的主要用户医生、护士、医技人员也从500余个增加到约1200余个。HIS系统的应用大大提高了医院工作效率,使医院的资源得到了更合理的优化配置。但是同时对信息系统的依赖性越高,也就对信息系统的安全有了更高的要求。在2012年《北京地区卫生行业信息安全等级保护工作实施细则》中提出:“三级甲等医院的核心业务信息系统的安全保护等级原则上不低于第三级”。针对过去的问题和三级的要求,积极进行整改和推动信息安全工作,在2014年将核心系统 - HIS系统原定级2级提升为3级系统。

 

3.1 确定保护对象及其区域边界,打好建设基础。

 

根据北京妇产医院业务的发展需要,原有的内、外网物理的隔离的网络拓扑将随着区域卫生平台、网上预约挂号等业务的推进而发生结构性的改变。如图1所示。

 

因此,医院原有相对独立的业务网将会受到来自互联网以及其他第三方网络威胁源的攻击。北京妇产医院与时俱进,根据《信息系统安全等级保护基本要求》首先确定了保护对象及其区域边界。根据医院信息系统的计算环境划分情况,围绕信息系统确定出区域边界:

 

(1)东院业务域计算环境区域边界;

 

(2)西院业务域计算环境区域边界;

 

(3)东院终端控制域计算环境区域边界;

 

(4)外网业务应用域计算环境区域边界;

 

(5)内网数据交换前置域计算环境区域边界;

 

(6)外网无线网络域边界;

 

(7)安全管理域计算环境区域边界;

 

(8)内网办公终端域计算环境区域边界;

 

(9)外网办公终端域计算环境区域边界。

 

保护对象及其区域边界的确定,为以后的计算环境、区域边界、通信网络等安全保护设计和实施奠定了坚实地基础。

 

3.2 完善日常安全管理,切实落实安全制度

 

北京妇产医院以前更多地关注技术的提升,有了等级保护要求之后,使得大家能全方位来看待信息安全。从安全管理平台角度来看,技术安全和管理安全同等重要,而在实际工作中,网络维护人员常常忽视管理层面的安全防护,如安全制度的建立和长期执行,机房登记制度等[3]。

 

北京妇产医院的信息安全制度根据实际情况进行不定期修改,使其具有科学性和可操作性。为保证信息安全制度及各种安全管理手段与技术的落实,信息科制定了完善的巡检制度。巡检人员按规定时间、内容及技术路线对设备进行巡回检查,巡检的内容涵盖了全院。硬件包括中心机房的服务器、交换机;门诊大厅的自助打印机、排号机;中心机房和各个楼层设备间的环境监控和消防等,软件包括数据库监控、病毒监控和移动存储设备的监控;磁盘空间容量、系统运行情况等。巡检人员每日巡检项目11大类504小项,巡检内容还要及时向上级进行反馈,以保证各种安全隐患的得到及时处理。同时还记录每天的程序改动、软件问题等信息,便于事后追溯。

 

3.3 提高数据备份与恢复能力,降低安全事件带来影响和损失

 

北京妇产医院原有利用东、西两院区各自独立的机房,采用了后台磁盘阵列之间的远程镜像技术,实现东、西两院区数据同步和远程容灾。通过存储在不同存储设施上的镜像数据,可以实现医院内部关键业务数据的备份与快速恢复。医院对数据保护的方式主要是采用双机高可用和备份系统。但是,双机热备系统也只能避免由于网络故障、服务器故障、物理硬盘故障造成的系统停机问题,如果应用数据受到病毒感染、人为误删除、黑客攻击、甚至是共享磁盘阵列故障,应用系统也是无法运行的。

 

随着等保工作和信息化建设的推进,医院又配置了CDP保护设备,实现重要数据实时保护;1-3分钟内找回丢失的数据,同时可以恢复到毫秒级的数据版本状态,保障核心业务数据的完整性、一致性、可用性,从而保证核心业务系统正常、稳定、连续运行;数据恢复过程简单方便;后端重建系统,无停机时间;仅复制上次复制后已更改的增量数据,进行有效的系统及数据备份;大大缩短恢复过程,从而减少停机时间并保持生产力;如果出现应用程序故障或硬盘崩溃,可以可靠地捕捉启动应用程序服务器所需的数据。CDP设备部署如2图所示。

 

CDP设备不仅能够轻而易举的实现本地的应用系统保护和恢复,而且能够很轻松的将保护延伸到远程,建立起更为强大的异地容灾系统。

 

4 结束语

 

信息安全是动态的,随着技术的发展而变化。信息安全防护没有完全单一而又绝对保险的安全措施[4]。如果墨守成规,止步不前,必然会影响信息安全的整体水平。每年按照等级保护的要求进行自查,可以让医院查缺补漏,对医院的信息安全是很好的督促。医院在等级保护制度的指导下,持续性的推进信息安全工作,必然会明显地降低信息安全的风险。等级保护制度还促进了卫生行业信息安全建设的标准化和规范化。我们有理由认为信息安全等级保护制度对医院信息安全的建设、管理等方方面面都有极大的促进作用。

第6篇

随着医疗行业的信息化发展水平的逐步发展,信息系统的安全风险越明显,本文就天津市医院核心业务信息系统等级保护建设工作的管理体系建设提供一些基本的思路、方法和步骤。

关键词:

医院;安全等级;管理体系建设

一、引言

根据上级部门三级甲等要求,为了促进和规范天津市医院信息化建设我院于2014年启动了围绕医院核心业务系统:门诊信息系统、住院信息系统、HIS信息系统,深入开展信息安全等级和统计管理系统,为后续各兄弟医院等级保护建设工作提供一些基本建设和方法。

二、医院信息化建设存在的安全现状分析

大型综合性医院信息系统的安全保障体系建设是一个极为复杂的工程,医院的信息系统应用众多,结构复杂,覆盖广泛,涉及的部门和人员众多,医院信息系统的角色越来越重要。信息系统任何风险都有可能带来巨大的损失。医院信息系统故障,会造成门诊大量排队,业务科室投诉,临床业务停顿,每次引发的问题都给医院管理人员造成巨大压力,社会舆论和声音受到严重影响,不同程度也给医院造成了较大经济损失。医院信息系统面临极大的安全风险。具体有以下几点:

(一)物理环境安全风险

医院的物理安全具备环境安全、设备安全及介质安全等物理支撑环境,保护网络设备、设施、介质和信息免受大自然,环境事故以及误操作导致的破坏和丢失。

(二)网络安全风险

医院的临床、财务系统和物流已经全部纳入IT系统,业务网中各业务应用是其信息系统的核心,同时也需要与外部发生业务联系。因此业务应用面临的任何风险,都会产生严重后果。

(三)管理层安全风险

对医院信息系统的管理尤为重要,责任不明,管理混乱,安全管理制度不健全等都有可能引起管理安全风险。

三、信息安全管理体系建立的作用

信息安全管理体系必须满足等级保护标准,同时也要满足政策的要求,还要贯彻执行,不断进步。一个健全的、正常运行的医疗信息安全管理体系的主要作用体现在以下方面;(1)能够有效增强行政和技术上的安全管理,将解决网络设计缺陷,威胁网络安全的问题,制定出信息系统规范和安全标准。(2)信息安全管理体系的建设,更加重视和执行对安全知识、法规、标准的宣传和培训,考核实现了信息安全的动态管理过程。(3)全方位的保护医院的核心业务系统,在核心数据和信息受到袭击时,要确保各项工作正常开展,并尽量把损失降到最低。(4)满足医疗行业和监督机构要求,保护国家或区域医疗信息安全,维护社会医疗秩序稳定。

四、安全保管体系建设的主要思路

我院从安全管理机构、安全管理制度、系统建设管理、系统运维管理及人员安全管理等五个方面着手开展安全等级保护建设。

(一)安全管理机构的设立

组建安全管理领导团队,由院领导和各科室骨干出任第一责任人,把具体的办公地点设定在信息所。

(二)安全管理制度

根据《公安信息安全等级保护基本要求》,制定《网络安全息安全管理制度》,等9个信息安全管理制度,定期进行内部检查和管理评定,不断优化和持续改进。我院在实施安全等管理体系建设工作中,采取分级、分类、分阶段的策略,根据我院各系统的不同特点,采取不同的安全等级。

(三)系统运维管理

根据最高等级的保护要求,制定多种信息安全方法:一是机房定时巡查,二是增加视频监控,减少视频盲区,三是建立智能监控系统,对全院网络运维情况监控,减低网络故障。

(四)人员安全管理

我院坚持在风险评估的基础上,采取适当和管用、足够的措施来加强信息安全,大大降低系统故障。

五、安全等保的实施过程

实现等级保护,应该采取分级,分类,分阶段的策略坚持分级实施保护,加强安全,突出关注重点,要害部位,根据信息化发展阶段的不平衡,须根据信息资产的规模大小,依赖程度的深浅,按阶段分步骤逐步实现等级保护的各项要求。(1)信息安全管理体系第一阶段主要是做好建立信息安全管理系统的前期工作及安全管理人力资源配置。(2)信息安全工作团队结合等级保护的基本要求,对HIS,LIS,RACS等核心业务信息系统进行处理,对在传输和存储的过程中,信息的机密性,完整性等重要特性进行调研和评价,结合等级保护基本要求差距项汇总,分析差距项目涉及的安全事件一旦发生对医院信息系统造成的影响。(3)制定安全管理策略、安全管理制度和信息安全管理体系等各方位保护措施,计划和建成符合三级等保系统基本要求的信息安全管理框架。(4)落实安全管理制度,根据安全管理体系的具体要求,进行全面的信息安全牢固与整改工作,充分发挥安全体系的各项功能。(5)自查和调整。深入分析问题,找出问题根源,查出不完善的过程记录文件并进行完善,调整不合理管理流程,进一步完善信息安全管理体系。

六、结束语

至2014年初,在我院领导的直接关心和指导下,通过各部门通力合作使信息安全通过了等级保护测评的三甲医院,为地区三甲医院信息安全等级保护建设工作开启良好的开端,展现了我院信息化建设的先进成果。

作者:杨静 单位:天津市中心妇产科医院行政楼

参考文献:

[1]王升宝.信息安全等级保护体系研究及应用[J].通信技术,2009

第7篇

关键词:医院信息化建设;信息安全管理;作用

DOI:10.12249/j.issn.1005-4669.2020.26.316

当前,医院在很多方面都应用了网络技术,其对信息系统的使用越来越依赖,随着而来的风险也越来越高,特别近些年来的勒索病毒,更是给医院的信息系统安全敲响了警钟。因此必须要加医院信息的安全管理,保证医院信息系统运行正常。

1加强医院信息安全管理的意义

随着医院的信息化建设不断进步,医院的信息系统很容易受到病毒的侵入以及不法分子的入侵,有资料显示,当前一些医院出现医院患者资料信息出现泄漏及勒索病毒入侵等事件,出现这些问题的原因都是没有重视信息的安全管理[1]。

2医院信息安全管理的基本内容

医院信息安全管理主要包括:1)机房管理:机房管理主要是断电、设备损坏等现象。2)网络安全:将内、外网完全隔离,设置防火墙以及配置访问,保障网络的安全。3)服务器安全:是对服务器的运行进行检查,看是否存在种种弊端以及影响系统运行的因素,一般意义都是采用两台服务器(一台运行,一台容灾)进行运作,主服务器受损后可以在短时间内用另一台服務器进行运作,在很大的程度上保证系统的正常运行。4)客户端管理:用户根据不同的人(患者或医生)有不同的访问权限。5)病毒防护:随着病毒及木马种类的不断增多,这些病毒对信息系统的危害是不容小觑的[2]。

3目前医院信息安全管理存在的问题

3.1管理意识观念不强

就目前医院信息安全管理的现象来看,医院领导的工作重心着重体现在医疗事物以及研究领域,忽略了信息安全管理的工作,普遍存在“重业务、轻安全”的现场,导致信息安全管理出现多种问题。

3.2网络安全问题日益严重

在网络时代的背景下,医院信息管理系统正在逐步走向信息化,利用互联网的特点使得信息传播的速度变得越来越快。一些病毒、木马等对信息系统的侵害日益严重,另外一些不法分子对信息系统进行入侵,例如,2011年福州某医院处方事件、2018年江苏某医院的勒索病毒事件。

3.3从业人员的专业水平以及安全意识不强

医院信息化建设过程之中,信息设备以及人才方面的投入不足,缺乏相关专业的技术人才,导致医院信息化建设很难推进。

3.4数据库的安全性不足

医院信息化建设的数据库都是用大中型数据管理工具进行管理数据,这些数据库的安全机制并不是很好,大量的信息未经加密就储存在数据库中,一经泄露就会造成恶劣的影响[3]。

4威胁医院信息安全的主要因素

由于医院的信息系统关系着患者以及医院自身的相关数据,这些数据都是非常重要的。但是由于医院的信息化建设安全防护工作不到位,就会发生安全隐患。目前威胁医院信息安全的主要因素有两类。

4.1内部因素

可以分为:人为故意和人为无意。人为无意:相关人员的操作失误造成的信息安全出现问题,比如,在访问登录页面时,操作失误造成安全漏洞。人为故意:医院内部人员为了个人的利益,监守自盗,私自入侵系统篡改患者信息,或者泄露患者以及医疗机密的相关资料。

4.2外部因素

第一种就是木马、病毒的入侵。由外部环境的产生的网络病毒传播到医院的安全系统内部,造成损害。第二种就是非法入侵,对系统的相关资料进行下载者篡改,为医院以及患者造成极大的损失[4]。

5医院信息安全管理优化建议

5.1加强医院信息安全管理意识

在医院信息化建设的过程中,医院的领导要重视这项工作,要认识到信息系统存在的安全隐患,增强管理者以及医院工作人员的信息安全管理的意识。

5.2建立并完善信息安全管理制度

首先是人员方面的管理:未经允许,不得私自添加或者删除相关的软件;不得对医院网络功能进行修改、添加或者删除等等。在设备方面,要拒绝使用质量不合格的设备设施,不得使用假冒伪劣产品等。网络:建立防火墙,相关的杀毒软件,工作人员要定期地对网络进行安全隐患的检测。

5.3提高相关人员的技术水平以及安全意识

医院要引进相关的技术人才,管理人员不仅要熟练的掌握计算机和网络的相关技术,还要对医院的相关制度以及组织框架要有一定的了解,并对医院其他的工作人员进行信息安全管理方面的培训,让全体人员加强安全防护意识。这样才能提高医院信息安全管理的水平。

5.4建立数据库的备份与恢复工作

由于医院的信息数据非常重要,在医院信息化建设的完善和实施的过程中,数据库的信息难免会出现泄露以及丢失,所以就要做好数据库的备份与恢复工作。

5.5引进先进的设备设施

医院应该引进先进的设备设施来加强安全信息的防护。利用先进的设备可以稳定的保证信息安全系统的运行,同时制定一套比较先进的安全管理模式,在服务器比较先进的情况下,可以设置一些基本的病毒防护措施,让一般的病毒不易入侵到系统中[5]。

第8篇

关键词:医院网络信息安全管理;VLAN策略;应用

中图分类号:TP393.08

医院网络信息安全管理关系重大,不仅是贯穿医院网络工程建设的关键步骤,同时也是保证医院各类信息高效流通的基本方式。该项管理工作具有一定系统性,结合当前VLAN技术的广泛应用特征,将其在管理策略上所发挥的优势与医院网络信息建设实现对接,可为医院现代化发展提供坚实的技术保障。

VLAN(VirtualLocalAreaNetwork)技术。VLAN又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN是建立在物理网络基础上的一种逻辑子网,将网络分段成几个不同的广播组,从而有效的控制大的网络广播风暴的产生。建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备。

1 医院网络信息安全管理采用VLAN技术的重要性

VLAN技术是指虚拟局域网技术,它的运行基础是交换技术,在应用中把局域网中的不同机器设备在逻辑层面上划分为不同网段,利用软件形式达到逻辑工作组的划分与管理目的。VLAN可以使同局域网中的各个成员之间实现信息无阻碍化交流,不同的VLAN之间的信息无法直接实现对接,如果要通讯就必需使用相关路由设备。在医院网络信息沟通与交流中应用VLAN技术则可以实现同一网络系统之间的信息交流,与此同时,信息的安全性也成为首要关注的对象,依据VLAN不同的划分策略,安全管理方式也具有针对性。

基于端口的VLAN划分方式是最为普遍的系统划分与运行方案,这是基于交换机上的网络设备类型来区别不同的网络区域,根据端口划分也是定义VLAN技术最为便捷的方法之一,具有网络成员的确定较为简单快捷的特点,只需要在全部端口进行统一指定即可。但是这种划分方式也具有明显的不足之处,即用户不能灵活选择端口,一旦确定后就不能改变,如果换到了另一个网络设备端口中,则需要重新对VLAN进行定义。基于MAC地址对VLAN进行划分主要依据和交换机主机相互联系的MAC地址,主机所在的VLAN与端口并没有关系,与IP地址也没有关系,该种划分方式便于用户的随时接入,在接入时无需重新定义就可以实现信息的管理,它的不足之处是最初系统的配置量非常大,需要对局域网系统中的每一台主机都实现一对一的VLAN技术配置,给网络系统安全维护的管理人员带来非常繁重的任务量。基于协议的VLAN技术划分主要依据网络主机运行中采用的网络协议类型,针对不同信息广播区域的网络地址,将事先定义好的信息分门别类归入具体VLAN中,接着依据生成树算法再将各种信息数据进行即时交换。该种划分方式和路由的操作没有直接的联系,当用户的物理位置变化时也不需要重新定义VLAN,但是该种方式总体操作效率比较低,对网络运行速度具有高要求的局域网络一般很少采用。

现阶段医院采用VLAN技术具有诸多的便利性。医院网络系统的管理员可以在VLAN技术平台上轻松进行各种网络活动的管理,并可以根据工作的需求,灵活而快捷地构建不同类型虚拟工作组,便于进行下一步的管理。采用VLAN将不同的用户划分到需要的工作组中,同一用户也可以不受具体时空范围的限制,将互相通信比较频繁的用户划分到一个工作组中,还可以提高信息传输与交流的效率,同时也可以防止同一VLAN中的广播风暴不会波及到其余系统中,这样整个网络系统的安全性就得以大幅度提升,而在日常工作中,网络子系统的构建与运行维护工作的便利性更加突出,大大提高了网络管理员的工作效率。

2 医院网络信息安全管理应用的具体策略

医院网络信息系统安全性建设服务体系的实践应用主要包括主干系统、医保服务器、办公楼、住院楼、门诊楼等系统的组合,这些组成部分运行的首要目的是为网络系统的正常使用建立一个可靠的外部环境,保证信息沟通与交流的及时性和准确性,为信息资料的使用者提供更为便捷的搜寻服务。当前很多医院都已经认识到网络信息安全管理的重要性,因此普遍增强了管理力度,具体策略包括以下几点:

一是成立网络信息安全保密管理委员会,具体工作实践中,以院长为中心,建立专门的管理机构,将网络信息安全的各项原则和方案贯彻到工作中来,保证信息使用和传递的安全。

二是不断完善现有的安全管理制度,总结经验教训,提高网络信息安全管理效率。医院各种网络设备和设施在应用过程中,每一环节都要建立相应的管理措施和制度,包括后期维护方面,并且要对服务器实行定期检查与不定期抽查结合的管理办法。网络信息系统运行过程中难免遇到停电或者运行障碍,事先要做好应急准备,以便在各种突发事件中确保信息安全和医院日常工作的进行,例如可以同时完善挂号、收费以及取药等的人工操作管理流程,在网络信息系统暂停服务时依然确保医院的正常运营秩序。

三是不断增强网络信息系统的硬件水平和软件水平,对系统进行维护时要选择品质较高的软件与硬件,可通过安装防火墙、病毒防治软件以及使用外来信息入侵监测设备进行系统的全面保护与管理。

四是提高医院全体成员网络信息系统操作与管理安全性教育水平。现阶段,医院普遍出现的信息安全事故都源于内部管理不善,例如各类移动硬盘随意接入医院的网络系统,导致信息网络受到病毒的入侵,或者在利用计算机系统进行现代化办公与管理过程中,导致用户信息的泄漏,这些安全意识方面的问题,不是仅仅通过使用高级网络安全管理硬件或软件就能彻底解决的,还需要各方成员的共同努力,从思想意识里树立牢固的安全意识,同时医院要定期组织安全教育和相关知识的考核,将安全管理策略落到实处,确保信息安全化水平更上一层楼。

3 结束语

综上所述,信息传输安全性一直为人们所关注,提高网络信息交流和应用的安全性,可以同时提高信息存储的完整性和保密性,为医院信息传输的高效性增添更多的便利。在实践管理中,利用VLAN技术能够实现信息的及时化管理操作,进一步推动医院网络信息安全管理的发展。

参考文献:

[1]吕晓娟.运用虚拟局域网技术加强医院网络安全建设[J].医学信息(中旬刊),2011(15).

[2]宋恒球.基于医院网络安全管理的分析[J].数字化用户,2013(06).

[3]王蕾,朱刘松,孙瑛.军队医院网络安全管理[J].医疗卫生装备,2013(15).

[4]李飞.浅谈医院网络信息的不安全因素及防护措施[J].电子技术与软件工程,2014(15).

第9篇

关键词:高效便捷;医院计算机;安全问题;防御结构

前言

随着网络时代的到来,各项科技技术获得了极大的突破,也在实际生活中得以应用。而在现代医院运行管理中,计算机网络信息技术的综合运用便是极为明显的可靠实例。通过加强改进医院计算机系统管理与风险控制,改善医疗整体服务质量与业务能力。通过对现代医院计算机信息系统重要性分析阐述,并对其风险控制方法提出建议。

1医院计算机信息网络系统建立的重要性

由于网络技术的飞速发展,已经对现代社会,生活,政治,经济等各方面产生深远影响,深入渗透。尤其在医院现代化管理中,医院信息网络化管理,资源数据化带来了非常大的便利,也是现代化医院建立的必要条件。借助计算机网络工具,提高服务质量,医疗水平,促进医疗事业的发展。通过信息网络管理后,使医院运营得更加规范科学。不仅推动了医院现代化改革,也对整个医疗事业的发展提供了助力,其意义与作用不言而喻。传统的医院管理中,由于缺乏网络信息,往往花费大量的财力物力人力对进行日常维护。随着医院计算机信息系统的引入,不断地智能化科学化,在很大程度上对医院的资源配置进行合理优化,提高了整体的医疗竞争力。而在信息分析处理中,因为计算机的决策整合,使得最终处理结果更加合理精确。例如在对患者病情记录分析中,职员考察考核等等,都可以高速便捷的展开研究。

2计算机软件信息安全维护

在医院计算机使用过程中,要做到医院计算机自身终端完全不受干扰破坏是不可能的,只有通过提高免疫防御能力,才能减少被感染可能性。但是由于有的高危病毒,传播速度惊人,破坏力极大,并且顽固复杂,难以彻底清除,在短时间内就能造成大量客户计算机无法工作,对医院日常的工作带来了极大的影响。应用系统在数据交换过程中可以对其进行审计,其中记录的事件内容,可能包括客户机地址,具体操作时间,与其他用户结果信息数据。在日常维护处理中,就可以对报告结果导出分析。对于用户私人数据,也应该建立严格的保护机制,安全性,只有通过权限授予才能访问读取相关的信息数据。同时为了保证关联性,可以对用户设置多个角色。系统根据角色类别进行权限操作限制,不仅可以越权操作,还可以设置角色属性限制期的功能,权限的多样化和灵活性大大保证了医院计算机信息系统的安全性。

3计算机信息安全管理制度建立

在安全管理中,可以实施责任制度。例如成立医院信息安全管理组,医院相关负责人,以职能为参考标准,负责安全线的各项工作,定期安排任务与会议总结,发现问题,总结问题,进而深化部署医院计算机信息安全管理工作。在制度的建立中,可以参考服务器,网络设备,技术人员,数据文档相关系列的安全管理制度体系。指定人员定期维护,保存记录,做好应急预案与应急措施,做到日志化管理。对于信息安全操作规范,也需要加强管理。指定系统软件,数据操作规范流程,没有授权不能进行文件复制,数据共享,系统的修改增删。定期维护服务器状态检查,分析日志,并且观测数据是否存在问题,及时发现异常点,做好日志记录,保证完整性与可靠性。可以制定培训计划,在整个培训中,目标,流程,结果应该清晰有效,如果信息安全管理小组发生变化可以及时跟进培训配合,建立独立操作局域网,模拟真实的信息系统环境,帮助相关人员快速准确掌握方法。

4信息系统安全管理控制升级

4.1信息安全细节化设计

医院网络安全数字化是一个长期整体的系统工程,主要围绕防护警示,检测检查,修改恢复这一过程循环运行。如果这一程序链中出现错误,某个环节没有按照预定设置完成,将会产生诸多负面影响。控制好每一个环节的处理,并且严格落实,通过一系列的管理制度与措施,监督责任到位,确保整个信息安全系统安全高效,持续稳定的工作。由于网络技术的不断发展,漏洞与不足暴露得越来越多,对于新应用新技术推广的同时,还需要加强培训,以满足业务工作需要。就信息网络系统自身而言,采用符合实际操作情况与工作状态的结构系统,安全等级与维护难度都将能够降低难度,易于操作。构建多层次,体系化的设计使用户角色等级,权限操作,优先等级分布到更多层次,更多日志记录。那么后续维护,控制分配也将更加灵敏。结合具体的业务情况,在可用性与安全性之间寻找平衡点,在符合安全的大前提下,开拓业务,提升服务质量。

4.2医院计算机信息安全风险控制升级

在某些医院中,计算机网络防御等级较低,需要通过加强安全性对整个系统进行升级。首先需要确保医院计算机信息网络服务器保持正常。要确定系统的长期安全。注意机房服务供电情况,布线合理,温度湿度,雷电预防等问题。保证医院服务器不间断供电,保持电源线路通畅。同时主要设备与核心设备固定器维护与检查,及时发现问题与前兆,快速有效处理。保证计算机中心温控与散热条件良好,使得整个服务器中心环境到达理想状态。保持清洁,除尘保洁,重视物理环境的维护,并且确保数据的及时正确备份。另外,对于医院计算机信息主要管理人员的素质,仍然需要加强,明确权力责任,落实到点。这也关系到医院信息安全工作能否安全运行。对于网络用户也应该严格限制管理,分清患者、医务职员、管理人员的角色职能。对用户和密码加强管理,这样可以有效的避免危险数据与不明软件对服务器的攻击与伤害。同时重视日常计算机系统相关记录数据。在常规服务日志的检测基础上,加以分析预判,进而实施下一步相关措施。例如服务器启动停止,异常运行数等等,都可以有助于信息系统管理者对医院计算机信息系统的全面了解,从而进行评估,得出相关结论。依托数据对系统的安全等级展开定级,制定有效制度措施防范解决问题,确保整个信息系统的安全和高效,达到风险管理控制的目的。

5结束语

提高安全防范意识,完善制度,对于医院计算机信息安全风险管理控制方法不仅仅需要从技术角度入手,自身也需要意识到它的重要性。这不仅关系到医院的整体协作与工作效率,还影响所有部门员工统一性。需要全面了解当前信息系统中的安全问题,并积极应对。因此在提高技术的同时,依靠建立制度对员工进行规范管理,提高防范意识,确保医院计算机信息系统安全。

参考文献

[1]冯成志.浅谈现代医院计算机网络的安全与可靠性[J].科技与创新,2014(7):143-144.

[2]燕磊.浅谈医院计算机网络安全策略[J].网友世界,2014(2):10.

第10篇

【关键词】信息安全;数据库;网络应用;安全体系

1信息安全现状

1.1目前医院信息安全存在的问题根据卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知,三级甲等医院的核心业务信息系统不得低于国家安全信息保护等级三级。据此我们对信息系统的各个方面进行了安全评估,发现主要有如下的问题:

(1)物理安全:机房管理混乱问题;机房场地效用不明确;机房人员访问控制问题;

(2)网络设备安全:访问控制问题;网络设备安全漏洞;设备配置安全;

(3)系统安全:补丁问题;运行服务问题;安全策略问题;访问控制问题;默认共享问题;防病毒情况;

(4)数据安全:数据库补丁问题;SQL数据库默认账号问题;SQL数据库弱口令问题;SQL数据库默认配置问题;(5)网络区域安全:医院内网安全措施完善;医院内网的访问控制问题;医院内外网互访控制问题;

(6)安全管理:没有建立安全管理组织;没有制定总体的安全策略;没有落实各个部门信息安全的责任人;缺少安全管理文档。

1.2当前医院信息安全存在的问题,主要表现在如下的几个方面

(1)机房所处环境不合格,场地效用不明确,人员访问控制不足,管理混乱。

(2)在办公外网中,医院建立了基本的安全体系,但是还需要进一步的完善,例如办公外网总出口有单点故障的隐患、门户网站有被撰改的隐患。

(3)在医院内网中,内网与办公外网之间没有做访问控制,存在蠕虫病毒相互扩散的可能。

(4)没有成立安全应急小组,虽然有相应的应急事件预案,但缺少安全预案的应急演练;缺少安全事件应急处理流程与规范,也没有对安全事件的处理过程做记录归档。

(5)没有建立数据备份与恢复制度;缺少对备份的数据做恢复演练,保证备份数据的有效性和可用性,在出现数据故障的时候能够及时的进行恢复操作。

2医院信息安全总体规划

2.1设计目标、依据及原则

2.1.1设计目标

信息系统是医院日常工作的重要应用,存储着重要的数据资源,是医院正常运行必不可少的组成部分,所以必须从硬件设施、软件系统、安全管理等方面,加强安全保障体系的建设,为医院工作应用提供安全可靠的运行环境。

2.1.2设计依据

(1)《信息安全等级保护管理办法》;

(2)《信息技术安全技术信息技术安全性评估准则》;

(3)《卫生部卫生行业信息安全等级保护工作的指导意见》;

(4)《电子计算机场地通用规范》。

2.1.3设计原则

医院信息安全系统在整体设计过程中应遵循如下的原则:分级保护原则:以应用为主导,科学划分网络安全防护与业务安全保护的安全等级,并依据安全等级进行安全建设和管理,保证服务的有效性和快捷性。最小特权原则:整个系统中的任何主体和客体不应具有超出执行任务所需权力以外的权力。标准化与一致性原则:医院信息系统是一个庞大的系统工程,其安全保障体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个医院信息系统安全地互联互通、信息共享。多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。适应性及灵活性原则:安全措施必须能随着系统性能及安全需求的变化而变化,要容易适应、容易修改和升级。

2.2总体信息安全规划方案

2.2.1基础保障体系

建设信息安全基础保障体系,是一项复杂的、综合的系统工程,是坚持积极防御、综合防范方针的具体体现。目前医院基础保障体系已经初具规模,但是还存在个别问题,需要进一步的完善。

2.2.2监控审计体系

监控审计体系设计的实现,能完成对医院内网所有网上行为的监控。通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等有较全面的了解。

2.2.3应急响应体系

应急响应体系的主要功能是采取足够的主动措施解决各类安全事件。安全事件可以被许多不同的事件触发并破坏单个系统或整个网络的可用性,完整性、数据的保密性。引发或可能引发本地小范围破坏的安全问题应该就地解决,以避免加重整个医院信息网络的安全风险。

2.2.4灾难备份与恢复体系

为了保证医院信息系统的正常运行,抵抗包括地震、火灾、水灾等自然灾难,以及战争、网络攻击、设备系统故障和人为破坏等无法预料的突发事件造成的损害,应该建立一个灾难备份与恢复体系。在这个体系里主要包括下面三个部分:政务内网线路的冗余备份、主机服务器的系统备份与恢复、数据库系统的备份与恢复。

3结论

通过对医院的信息安全风险评估,我们发现了大量关于物理安全、操作系统、数据库系统、网络设备、应用系统等等方面的漏洞。为了达到对安全风险的长期有效的管理,我们进行了具有体系性和原则性并能够符合医院实际需求的规划。

参考文献

[1]王立,史明磊.医院信息系统的建设与维护[J].医学信息,2007,20(3).

[2]王洪萍,程涛.医院信息系统安全技术分析[J].医院管理杂志,2011,18(11).

[3]尚邦治.医院信息系统安全问题[J].医疗设备信息,2004,19(9).

第11篇

关键词数字化环境;医院信息;安全建设

1数字化医院信息安全建设与管理存在问题及分析

1.1信息安全建设投入成本有限

数字化医院信息安全建设与管理并不是一朝一夕就能完成的,它在整体建设上非常繁杂的,需要专业的、系统的筹备才能完成的。在网络信息技术数字化的时代下,要想充分保障信息的安全性,足够快的更新换代医院的新设备,就需要大量的资金投入,才能保证。然而很多时候,由于发展的限制,医院在资金的投入使用中都有很大的限制,这就意味着信息安全建设和管理维护工作的投入资金过低,并不能更优先的发展[1]。

1.2信息安全管理体系尚未成熟

医院的信息安全管理体系是在应用风险管控的方式管理医疗数据的基础上进行改进的工作体系。但是,部分数字化医院仍然没有成熟的信息安全管理体系,在安全防范方面能力较为薄弱。

1.3操作方面的因素

在医院信息系统的应用过程中,由于操作人员主观失误、不按规定操作等行为都会出现数据输入输出错误等现象,或者泄露了本应该保密的口令,进而影响到系统运行的稳定性。

1.4系统管理方面的因素

数字化医院信息管理系统还处于不断完善的过程中,相关的安全管理制度建立不够完善,管理人员的技术水平也没有达到相关的标准。而且在安全事故预案建设方面也不够完善,导致安全事故发生之后无法高效地应对。

2数字化下医院信息安全建设的策略

2.1完善信息安全体系

首先要加强人员对信息安全的重视度。医院应对全体医务人员进行培训,并在医院各个工作环节加强信息安全系统管理。各科室要有专业信息技术人员来执行信息安全系统的维护工作[2]。根据《网络安全法》规定:“网络产品、服务具有收集用户信息功能的,其提供者应向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息。”医院信息安全等级保护制度中关于用户管理制度中提到信息科对员工的账号与密码不得向任何人透露,具体规定如下:①信息科对新员工配置账号与密码;在其离院时账号与密码均应注销;人事科凭借‘已注销账号和密码’为依据批准员工离院并支付其相关费用。②员工不得将自己的账号与密码告知他人,定期修改密码。③任何人员不可以登录他人的账号与密码,在未得到授权的情况下不得将任何数据告知他人。④密码应是字母与数字的组合。信息技术人员充分的了解医院信息安全系统后,应制定科学、合理的安全管理制度,对相关的工作人员进行培训,确保其能够按照医院信息安全等级保护制度以及操作规范,并对实践中出现的问题进行总结与改进,将信息安全管理制度落实到位[3]。

2.2对基础的软硬件设备进行优化配置

数字化医院信息安全系統是医院信息系统管理的重要方式,对基础的硬件与软件设备进行优化,是建设数字化医院信息安全系统的本质所在,以此来保证系统运行的高效性与稳定性。首先,基础软件层的建设。在购买操作类与数据库类的软件上必须要进行综合地考虑。其次,在终端设备层上。在采购方面也要进行全方面的分析与考虑,在能够满足基本的业务需求的基础上,还要考虑到系统自身的升级问题,以此来确保设备的使用性能。再次,在服务层上。服务是整个系统的核心,直接地影响着系统的总能。所以要根据所应用系统的特性设备与之相匹配的服务器。而在存储上也要达到一定的要求。最后,在网络设备层上。要利用星型拓扑结构进行处理。核心层要与不同的楼宇进行连接,这样能够提高路由的交换效率。汇聚层也可以与接入层的设备进行网络直连,以此来对虚拟的局域网进行划分,避免出现网络风暴等现象,促进实际工作效率的提升。

2.3信息安全人才管理体系建设

数字化医院信息安全建设与管理说到底就是人才的建设,人与人之间的管理。信息技术本身就是服务于信息安全建设与管理的,所以医院要做到来制定符合医院具体情况的信息安全,建立一支专业的、负责任的信息安全队伍,长期规划,制定战略实施目标,根据医院的具体网络安全事态来调整原本的信息安全策略措施。在空余时间举办培训班,引进先进的人才为战略目标,加强内部员工的信息安全意识和信息安全教育的培养与提高[4]。

2.4加强数字化医院信息安全技术

首先应对信息安全系统的环境进行改善,中心机房避免建设在地下室、存在大型供电、供水设备的隔壁,机房应具有防水、防震的能力。其次,在安装设备时,要确保其安全性与稳定性,对设备要进行有效的安全管理。第三,应加强防范网络威胁,建立安全性较高的访问路径,当医院网络出现病毒、黑客入侵等不安全因素时,能够及时对服务器与客户端进行安全连接,提高信息系统的安全性。

第12篇

【关键词】医院;网络信息;安全因素;防护

【中图分类号】R197.324【文献标识码】A【文章编号】1006-4222(2016)01-0048-01

引言

在我国,信息化建设起步较晚,这无疑就造成了我国计算机网络信息安全技术的相对落后,安全措施方面的局限性也是暴漏无疑。好在随着全球化网络安全技术的不断发展,我国的网络安全技术也随之得到一定的提高,再加上新的医改方案的落实实施,更是使医院的信息化管理得到了巨大的发展,这不仅在很大程度上提高了广大医护人员的工作效率,也在一定程度上给医院的管理带来了极大的方便,更是使医院的各项工作顺以有序的进行。现阶段医院的各项工作都依赖于网络信息系统的正常运转,其安全性在很大程度上直接关系到医院工作的正常运行,因此确保医院网络系统的安全工作势在必行。

1网络安全概述

网络安全是指系统中的数据受到保护,不论是网络系统的硬件、软件还是其系统中的数据都不因任何原因被恶意更改,也不因偶然的原因而遭受到重大的破坏,甚至泄露;网络安全还要求网络系统能够连续可靠的正常运行,不出现网络服务中断的现象。网络安全顾名思义究其本质上来讲就是指网络上的信息安全。但从广义来说,任何涉及到网络上信息的保密性,或是其完整性和可用性,亦或是其真实性和可控性的相关技术及其理论都在网络安全的研究范畴。

2医院网络信息的不安全因素

2.1管理因素

管理在网络安全中扮演着至关重要的角色,其地位不容动摇。安全管理中的责权不明,会给安全管理工作带来混乱的局面,当然不健全的安全管理制度以及缺乏可操作性的管理制度都可能在不同程度上引起管理安全的风险。

2.2硬件因素

硬件安全是网络信息安全工作中的重要组成部分,其主要是指信息系统中的硬件设备的相关性能,如果其硬件性能不能够稳定的工作或者存在这样那样的故障问题:①就会使医院的各项工作受到不同程度的影响;②还会使整个网络信息系统的服务器出现问题,紧接着交换机等设备也会相继出现这样那样的问题,严重时导致医院整个网络处于瘫痪状态也是不无可能。

2.3软件因素

软件安全也是网络安全中不可或缺的因素。其主要是指计算机病毒或是黑客的侵入。在过去一段时间,医院的网络信息系统大多都采用封闭式的局域网,这样虽然避免了外来病毒以及黑客的侵入,但是就医院整体而言在很大程度上还是有局限性。现如今,现代医院网络信息系统不再使用以前封闭式的局域网,而是采用开放式的互联网网络,这样一来虽然医院的工作效率得到了明显提高,但是很容易受到外来病毒或者是黑客的侵入,致使医院网络信息系统的不安全性大大提高。

3医院网络信息的有效防护措施

3.1安全管理制度

不断完善医院网络安全管理制度是确保医院网络信息安全的有效措施之一。在执行安全策略时要制度化,确保信息化设备及系统各项工作过程中的相关管理制度的落实,并严格实施与执行。

3.2硬件安全措施

在硬件安全方面,服务器是医院网络信息系统的中心,所以加强服务器的安全管理工作十分重要。为进一步确保服务器的安全运行,需要在服务器以及安全性要求较高的设备上安装入侵检测系统,这样就能在很大程度上避免病毒的侵入。此外,外在环境也能在一定程度上对医院网络信息的安全造成一定的影响,因此就要求我们控制好设备运行的环境、湿度、温度等外在环境,从而达到确保医院网络系统安全运行的目的。

3.3软件安全措施

在软件安全方面,数据库在安全管理工作中扮演着核心角色,因此对于数据库的选择也是至关重要,目前现有医院计算机网络系统中常见的数据库有SQLSERVER、ORACLE数据库。在数据库的管理工作中严格操作以及规范管理是最基本的要求,对数据库进行及时的备份才是数据库管理工作的重中之重,备份能够有效的预防数据的丢失,确保数据库的整体完整。目前在医院中常用的数据备份方法有以下几种;双机热备、异地备份和磁带备份。双机热备是指书库从主服务器备份到备份服务器上,能够实时有效的进行,另外其每天进行三次将数据分别备份在主服务器和备份服务器上,这样一来即使其中的一台服务器出现了故障,启动另一台服务器就能保证系统的正常运转,数据的完整性也不会遭到破坏。磁带备份也是较常用的备份方式,高容量、易携带以及易保存是其较为显著的特点,在数据的异地保存中工作中具有很大的灵活性和可靠性,能够有效的预防医院中心机房发生灾难性的事故,使丢失的恢复完整。

4结语

综上所述,为了确保医院各项工作顺利有序的进行,提高医院各项工作的工作效率,就要做好医院网络信息安全的防护工作,提高医院网络信息的安全性及稳定性。

参考文献

[1]王淑梅,朱芮颖.电子文件管理中的不安全因素及防护措施[J].黑龙江档案,2002,06:47.

[2]宋颖杰,于明臻.医院信息系统的网络安全管理与维护[J].中国现代医生,2007,17:104+110.

第13篇

医院网络信息安全与医疗卫生服务质量、效率息息相关,因此做好网络信息安全防护体系建设有助于确保医疗信息安全与信息服务平台应用,对于进一步提升医疗服务质量至关重要。文章分析了我国医院网络信息安全防护体系现状,并对医院网络信息安全防护体系的设计与应用进行了探讨,希望能为医疗信息服务改革与创新提供参考。

关键词:

医院;信息安全;防护体系;设计

医院作为提供医疗卫生服务的主体,本身的发展关键在于做好综合管理,信息平台作为进行医疗服务、医学研究、教学、对外交流宣传等工作的主要阵地,建设与服务情况直接关系到医院工作质量与效率,因此建立完善的信息安全防护体系不仅可有效保障信息平台运作的有效性,同时也可及时消除信息服务过程中出现的各类故障与问题,确保医院工作顺利进行。

1我国医院网络信息安全防护体系现状分析

(1)安全需求。医院信息网络安全防护涉及计算机、通信安全、信息安全、密码、信息论、数论等多种专业知识与技术,计算机信息系统平台的防护要做好到不因偶然或者故意的外界因素影响系统运行,保障信息的安全,减少信息丢失、受损、更改、泄露等,确保信息提供服务医疗工作的延续性、长期性、可用性与高效性,提升系统运行安全性与可靠性。结合我国信息安全防护规范与医院医疗信息工作防护需求来看,技术层面上医院网络信息安全主要分为三个层次,一是硬件设施安全,包括计算机、网络交换机、机房、线路、电源等物理设备在内的设备安全,二是数据或应用安全,即软件安全,保证信息系统相关软件、程序、数据库等操作的访问安全,三是网络与系统安全,即包括网络通信、信息交换、信息应用、信息备份、计算机系统等在内的系统平台免受系统入侵、攻击等影响。

(2)安全防护现状。目前国内经济发达地区的二级医院与三级医院基本上已经建立起了HIS系统与局域网,通过与因特网连接构建服务院内医疗工作的信息平台,信息网络运行遵照内外网物理隔离形式,因此相对而言运行风险减小,在安全防护方面投入比例相对较低,不过面对越来越进步的医疗需求,实现内外网合一成为必然,有助于构建更为高效的医疗信息共享模式、预防传染疾病、建立大范围医疗服务体系等,但是内外网合一将会面临更多的安全风险与漏洞,因此加强安全防护体系建设迫在眉睫,是保证医疗信息安全与高效管理的必然举措。医院信息安全防护体系的建设面临着来自安全管理、硬件软件等多方面的风险,目前防护体系建设主要是通过升级硬件、软件防护确保信息安全,通过加强人员管理与安全管理降低安全风险威胁,对于医院医疗系统而言,随着越来越多的信息化医疗设备、仪器、就医人员等介入信息平台,安全防护体系建设所面临的风险与需求也将会越来越大,因此针对医疗信息安全需求做好防护体系的建设与推广应用是目前进步发展的关键。

(3)信息安全建设问题。当前医院网络信息安全问题已经成为困扰信息系统平台运行、应用的瓶颈,为了应对信息网络时代频繁的网络攻击与信息安全威胁,杀毒软件、防火墙、入侵检测技术、信息备份技术、数据库安全技术等广泛应用于医院网络信息安全建设。上述技术虽然在确保网络信息安全方面发挥了一定作用,但是同时也存在不足之处,就目前来看,我国医院网络信息安全防护体系还存在不少问题。医院网络信息安全防护系统使用的硬件、软件产品因不属于同一企业,在整合、规划、管理中容易存在漏洞导致重复建设或者潜在安全风险等问题,影响信息系统安全。信息平台的构造与使用专业性要求较高,并且设备、软件需进行专业整合,院内桌面终端的分散与多边、医护人员水平高低、使用情况等都直接增加了信息安全防护的难度。目前医院网络信息安全防护系统的建设与应用缺乏统一的技术标准与规范,不利于信息技术的整合和信息平台潜力的挖掘,一定程度上增加安全防护系统构建与应用的难度。网络信息技术的发展与安全防护本身处于此消彼长的态势,在制定安全防护策略、构建防护体系时必须做好与时俱进,最大限度的在降低经济成本的同时提升技术应用效率与效益。

2医院网络信息安全防护体系的设计与应用

(1)硬件设施建设。医院安全防护系统硬件设施建设关键要做好核心服务器、交换机、应用计算机、网络设备等建设,硬件建设优劣直接决定信息服务效果与质量,是确保医院信息平台顺利运行的关键物质基础,因此为提升防护稳定性与可靠性,加强硬件设施建设势在必行。硬件设施建设要从设备型号、性能等入手,配合网络布局规划、服务需求制定最佳建设方案。以机房设计为例,作为安全防护信息系统的神经中枢,医院至少要建立两个A级标准机房作为主机房与备用机房,并对监控间、设备间、空调电源间做好设计,比如空调电源间要做好精密控温、恒温恒湿、备用UPS电源等建设,并留有充足的后续设备空间,另外要着重做好消防安全工作。监控间要应用专业的设备环境监控系统及时掌握主机房环境变化,以便在意外发生时做到准确应对。硬件配备方面为满足医院工作网络信息安全防护需求,要配备优质的设备以保证数据访问效率,利用HIS服务器、PACS服务器等为实现办公自动化、电子病历、信息安全管理提供强劲动力;应用混合光纤磁盘阵列、近线存储等完成海量数据的存储、交换与备份,并采用核心交换机、光纤宽带等构件高性能网络平台,并在医院内部配备优质计算机服务终端。网络布局方面,根据医院性质做好军网、医保专网、内网、外网的联合建设,内网建设是关键部分,要着重加强安全防护建设,并留有网站备份与未来拓展空间,为医院信息安全管理提供支持与保障。

(2)网络系统安全建设。医院信息网络系统安全威胁主要来自于外部攻击入侵或者网络本身缺陷所导致的运行失误、效率下降、系统崩溃等问题,攻击入侵包括木马病毒攻击、系统漏洞等,因此要着重做好网络安全防护与系统安全防护。网络安全防护要根据医院网络性质做好内外网融合与统一,保证专网、军网等介入内网时受到物理防火墙、网闸的有效保护,屏蔽内网信息、运行情况及结构,有效预防、制止非法入侵及破坏行为,并且为了提升防护效果,要尽量配合网络运行监控系统以达到理想防护效果。系统安全防护需要建立完善的病毒防护体系,处理好系统终端计算机内的病毒、木马等,建立有效权限制度以达到保护信息、防护内外入侵等行为,可通过采购企业版病毒防护软件定期更新病毒库达到自动杀毒维护安全效果;系统内部防护安全与计算机个人网络终端关系密切,因此要在院内移动终端上增加桌面控制软件以实施全面安全管理,通过系统补丁分发、端口访问、安全准入等机制实现防护。

(3)数据应用安全。数据应用安全关键要做好数据存储、访问、应用安全及信息系统软件运行安全。数据存储安全与系统环境、硬件设备、数据库安全密切相关,因系统漏洞、硬件损毁、数据库错误等造成数据毁坏要通过采取备份、恢复、数据容错等举措解决。为保证数据安全性与完整性,要建立数据库本机与多机备份机制,尤其是核心数据库要分别建立主、备用服务器,一旦其中之一发生意外立即采取补救措施实现自动切换,尤其是电子病历要进行专业备份及归档,确保数据完整性与可用性。数据访问安全问题主要以非法用户访问、非法篡改数据为主要表现,要完善医院内部访问权限与身份准入系统,实现统一授权管理,以减少信息丢失、错误等情况。要对数据库安全环境建设、应用软件环境建设倍加关注,如lP±IE址的设置、数据库配置、环境变量设置等,实现统一运行环境与地址绑定,降低安全运行风险。

(4)安全管理制度。医院内部要做好信息安全管理制度的完善与执行,根据国家政策、行业法规、院内需求积极完善系统及数据应用,确保网络信息安全防护系统始终维持良性运行状态,为医院安全建设奠定基石。要加强网络安全值班制度建设,配备专业人员监督网络系统运行,并配备专业监控系统及时处理各类问题与意外,对于问题严重者要及时通报技术科室进行维修养护,确保医院信息系统始终处于24小时监控维护下。值班管理中,要做好系统运行情况记录,并进行数据备份,确保值班日记连贯、完整,为安全管理提供帮助。院内用户管理是安全管理另一重点,权限管理中要严格管理员权限准入机制,做好院内计算机终端设备的改造,做好院内工作人员专业培训,以便实现用户合法、合规访问系统,减少系统运行与访问风险,保证信息数据的安全性。

(5)应用实践。为了确保医院网络安全信息防护系统得到有效运行,在实际运营中要增加相应的运维管理系统与安全防护系统达到理想防护效果。比如在主机房设置机房动力与环境监控系统,对机房准入权限、电源供应、通风、控温、消防等情况进行监控,确保机房始终维持在理想的恒温、恒湿现状,电压、电流、频率满足需求,并将变化做好数据记录监控,为机房高效管理提供保障;在医院内网设置专门的安全防护系统,以规范约束院内终端用户操作与应用,避免非法访问与数据篡改,该系统与院内身份认证系统合作,通过灵活的安全策略实现对内网用户、终端计算机的安全管理,充分践行事前预防、事中控制、事后审计的原则,实现安全行为管理;针对电子病历管理,要建立专门的VERITAS存储管理系统对病例数据进行存储、备份与恢复,并根据备份策略做好病程文件的保护与恢复,以确保医疗工作的顺利进行。

3结语

综上所述,医院网络安全防护体系的建设与应用有助于降低医院信息安全风险,提升信息系统可靠性、可用性与安全性,对于提升医院医疗服务质量与效果有积极意义,可有效减少院内信息系统安全故障、降低安全运行风险,提升系统运行服务质量,对于国内医疗改革进步、创新有重要实用价值。

参考文献:

[1]胡祎.医院信息网络建设中的安全技术体系[J].网络安全技术与应用,2013(10):59

[2]刘夏娥.医院信息系统网络安全体系构造[J].计算机光盘软件与应用,2013(1):51

第14篇

关键词:医院;信息安全;处理对策

信息化办公模式在现代医院管理中具有非常显著优势,可极大提高医院工作效率以及患者相关资料的储存和使用率[1]。另外一方面,从经济角度分析,通过计算机网络可以规范医院收费行为,避免个别医院出现乱收费的现象,减轻当地患者负担;同样,通过计算机网络的应用,可以使医务人员收入发放更为透明,避免拿回扣的现象出现。因此,医院信息系统安全重要性不言而喻,如果医院网络因维护不当而突然瘫痪或数据丢失,将会给医院和患者带来无法弥补的损失。

1 医院信息安全存在的主要问题

医院信息网络主要是指医院信息管理系统,分为内网和外网两部分,内网主要用于实现医院内部办公室自动化、信息共享、数据统一管理等作用,可帮助医院内部各科室之间建立良好的沟通桥梁。另外,外网部分,为了加强医院与外部信息进行连接,便于医院访问外部的各种资料、数据,大部分医院会在内网的基础上设计因特网接入部分,可进一步促进医院服务更趋完善,既可以提高医院社会效益,还可以提高医院经济效益。但医院在享受信息时代所带来的方便快捷的同时,信息安全问题不可回避。

1.1 TCP/IP协议的风险 TCP/IP是指互联网协议,具有有简单、可扩展、等设计等优点,协议使用用户带来极为方便的互连环境[2]。但TCP/I协议极易受到IP劫持或者Smurf攻击。IP劫持是指入侵者可通过TCP序列号预测方法去预测一个正在进行的正常连接中的TCP序列号的变化过程,从而达到随时破坏或窃取数据的目的。而Smurf攻击是指利用IP地址欺诈行为隐藏自己的踪迹,利用路由的特性向数以千计的机器发出一串数据包,可导致大部分收到数据包的主机瘫痪或者是网络崩溃。

1.2 DNS安全问题 DNS提供了解析域名等多种服务,它存在着多种安全隐患。域名的假冒性攻击:对于R类服务。入侵者通过假冒域名服务器,从而导致目标主机设入侵者为信任主机,从而达到监听或窃取数据的目的。

1.3路由协议缺陷 利用路由协议的缺陷进行网络攻击,包括伪造ARP包、0SPF的攻击以及RIP的攻击等[3-5]。伪造ARP包是指发送ARP包使目标主机成为另一种IP spoof,入侵者通过不断发送spoof ARP包使目的主机处于被监听状态。

2 医院信息安全问题处理对策

随着医院信息化管理对网络要求越来越高,原来以封闭运行的医院局域网逐步被放开,通过公网进行数据共享,为了保证系统的安全性,实施信息安全管理刻不容缓。安全管理是企事业单位管理的一个重要组成部分。从网络安全管理的角度看.安全管理涉及到策略与规程,安全缺陷以及保护所需的资源,防火墙,密码加密问题,鉴别与授权,客户机/服务器认证系统,报文传输安全以及对病毒攻击的保护等。以下为笔者针对医院信息安全问题所拟处理对策。

2.1防火墙技术 防火墙是网络安全非常重要的屏障,配置防火墙是保证网络安全最基本且最有效的手段[4]。防火墙主要通过软件和硬件设备组合而成,存在于企业或网络群体计算机与外界通道之间,可最大限度限制外界用户对内部网络访问,同时可加强管理内部用户在访问外界网络时的权限,防火墙的设置既可以极大提高内部网络安全,同时还可通过过滤不安全的服务而降低风险。

2.2入侵检测技术 入侵检测系统(IDS)是指通过在多种计算机系统及网络系统中收集相关信息,再使用相关技术分析所收集信息入侵特征的一种网络安全系统。IDS是公认防火墙之后最为安全的闸门之一,可进一步保证医院信息安全,自动规避入侵威胁。IDS所具备的入侵检测作用主要包括威慑、检测、响应、损失情况评估、攻击预测和支持等。

2.3防病毒技术 近年来,计算机技术发展有了质的飞越,与此同时,计算机病毒也日趋演变得复杂和高级,计算机病毒对对计算机信息系统所构成的威胁是具有摧毁性的,可在瞬间导致整个信息管理系统瘫痪,并且丢失所有数据。而防病毒技术目前主要体现在防病毒软件的使用,包括金山、360等,针对医院信息管理系统,可以分为网络防病毒软件和单机防病毒软件两大类进行实施使用,一方面针对整个网络进行病毒预防,另一方面针对每一台工作单机进行病毒预防。

2.4安全管理队伍的建设 信息安全管理系统日常维护也是解决问题的重要环节,因此,医院应着重培养和引进相关人才,用于日常信息安全管理和维护工作,进一步保证信息管理系统日常工作运行正常化。

3 小结

医院信息涉及很多数据,包括患者的隐私、医院的概况以及医护工作者的相关信息,只有保护好医院信息的安全,才能进一步保证患者与医护工作者的信息隐私不被泄露。而现在的信息时代,往往医院在保存信息的主要方式就是通过网络。信息安全是医院信息管理系统的重要环节,只要确保网络安全,才能保证医院信息数据的安全和完整性,也只有加强信息安全管理,才能保证医院信息系统可靠运行,更好地为人民服务。

参考文献:

[1]刘莉.医院信息网络系统的安全维护明[J].中国医疗设备,2011,8(02):32.

[2]王保中,庄军,王勇敢,等.军队医院网络安全保密现状及对策[J].医院管理杂志,2010,07(11):169-171.

[3]马睿,杨孝光,刘媛媛,等.浅谈医院网络安全隐患及防护措施[J].西南军医,2009,01(7):339-341.

第15篇

关键词:网络安全

中图分类号:R197.324 文献标识码:A 文章编号:1007-9416(2012)11-0197-01

随着医院信息系统的建设普及,我国大多数的医院都建设了自己的网络系统,这大大提升了医院的计算机管理水平。医院的信息系统如果出现问题或者瘫痪,不仅会对医院的日常工作造成的严重影响,而且会对医院形象,甚至医院的服务质量造成巨大损失。因此,保证医院信息系统的安全与稳定这项工作就显得尤为重要,这是每家医院都应该认真考虑和重视的问题。本文着重从加强医院网络安全方面入手,结合本院计算机网络安全管理经验,与大家共同探讨。

1、医院计算机网络安全存在的问题

随着医院计算机网络的全面应用,医院计算机网络安全方面存在的问题日益突出,网络安全威胁既有来自意外事故、自然灾害方面的因素,又有来自计算机病毒、黑客攻击等人为的攻击威胁。

1.1 计算机病毒、恶意程序的威胁日益严重

软件漏洞:任何一个操作系统或者计算机软件都不是无缺陷和没有漏洞的。

病毒:威胁数据安全的最大敌人就是病毒,编制病毒者在程序中插入影响计算机软硬件正常运行、破坏计算机功能或者数据的计算机指令或程序代码,它能够自我复制。所以它具有传染性、隐蔽性、寄生性、破坏性等特点。安全配置不当:易造成安全漏洞。如防火墙配置不当,起不到任何作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。电脑黑客:利用系统中的漏洞非法进入他人系统。从某种意义上讲,黑客对信息安全的危害比一般的电脑病毒显得更为严重。

1.2 没有明确的信息安全策略和健全的安全制度

一些医院没有对医院计算机网络安全防护提出严格的要求,没有科学制定计算机网络安全管理制度。很多医院只对网络安全产品的采购比较重视,而没有系统的制定医院计算机网络安全的中长期规划。对于医院计算机网络出现的一些新的网络安全方面的问题,没有及时进行防护策略调整。

1.3 信息安全意识性不高

从很多安全案例可以看出,有些医院制定了网络安全管理制度但是却很难实施。医院内部员工的计算机网络安全意识缺乏和信息安全知识缺乏是网络安全的一大隐患。

2、针对存在的问题可采取的措施

2.1 安全管理制度建设

(1)医院内部的日常安全管理。要建立安全管理制度,完善现有的安全管理机制,要加强责任意识,对上外网科室加强绿色上网宣传教育和网络畅通与安全保密意识。制定网络安全应急预案,并对医务人员进行安全培训,从而提高他们的安全防范意识和技能。(2)医院内部的机构建设方面。要加强安全机构的建设,设立专门的领导小组,明确各人的工作职责,切实落实到每个人身上,要定期进行故障演练和安全排查。(3)安全预案的制定和应急故障演练。医院设立的安全小组可人为制造出一些“计算机系统故障点”,由网络工程师对故障进行分析,并提出相应的对策。最后,要依据医院行业的信息特点和患者的容忍时间来对每次的故障演练作出评分总结,这样可以提高医院网络安全工作人员的应急处理能力。

2.2 安全漏洞的扫描

漏洞扫描是自动检测远端或本地主机安全的技术,它查询 TCP/IP各种服务的端口,并记录目标主机的响应,收集关于某些特定项目的有用信息。这项技术的具体实现就是安全扫描程序。扫描程序可以在很短的时间内查出现存的安全脆弱点。

2.3 通过访问控制、身份验证策略

访问控制是拒绝非授权用户访问网络资源,同时又要保证授权用户可以安全地访问网络资源。访问控制是医院内部网络安全的重要决策,主要包括风险分析、控制类型、权限控制、数据标识、人员限制。身份验证是访问者向计算机网络发送请求,计算机网络对访问者身份进行确认,也就是向计算机网络表面身份的一种方法。一般有生物学特征点的身份验证、公开密钥的身份验证、共享密钥的身份验证。无论是访问控制还是身份验证都是为了防止非法人员入侵,保证合法用户能够正常访问网络资源,也是保证和维护医院计算机网络安全的重要措施。

2.4 加强防火墙技术管理

防火墙技术是在网络安全中是应用较普遍的,作用也是比较明显的。它是一种对内外网通信强制实施访问控制的安全应用措施。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。

防火墙是实现网络安全最有效、最经济、最基本的安全措施之一,可以不对原有医院计算机网络应用系统进行修改的情况下,符合安全要求。

2.5 对数据的备份

应在对数据进行备份之前,应该对每次备份的条件和环境进行系统考虑,制定出数据备份计划,这就需要从多个方面入手:(1)数据备份的频率要有计划性;(2)将数据存储的地址,也要做记录;(3)执行数据备份的人员,也要有所记录,还有出现意外,谁来负责等;(4)服务器多久备份一次也要明确。综上所述,只针对联网的计算机做安全防护是远远不够的,种种举措都要落实到位。我院信息安全工作人员为了防止病毒会定期对杀毒软件进行升级更新。关键的是,要健全医院的网络安全管理制度,对医院员工进行网络安全知识的培训。网络环境中,加强医院计算机信息系统需要在科学的指导原则和指导思想指导下,优化网络系统建设结构,创新网络技术,强化安全管理,从而保障信息系统的可靠性和安全性。

参考文献

[1]李军义.计算机网络技术与应用[M].北方交通大学出版社,2006.7.

[2]蔡立军.计算机网络安全技术[M].北京:中国水利水电出版社,2005.

[3]李刚荣,方明金.数字化医院建设的思路与实践[M].北京:人民卫生出版社,2000.

扩展阅读
推荐期刊
精品推荐
友情链接