開篇：寫作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇醫(yī)院信息安全管理措施，希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友，陪伴您不斷探索和進(jìn)步。

第1篇

關(guān)鍵詞：醫(yī)院；電子信息化建設(shè)；信息安全

醫(yī)院作為社會(huì)重要的服務(wù)機(jī)構(gòu)，其所涉及的數(shù)據(jù)信息數(shù)量更是非常繁多，所以新時(shí)期醫(yī)院建設(shè)改革，已經(jīng)逐漸開始建立完善屬于本院的電子信息化系統(tǒng)，進(jìn)而輔助醫(yī)院更加有效的完成醫(yī)務(wù)數(shù)據(jù)的歸納、整理、分析和儲(chǔ)存工作【1】。然而，受網(wǎng)絡(luò)自身特點(diǎn)以及人為操作和管理因素等影響，當(dāng)前醫(yī)院信息化建設(shè)中存在一定的信息安全風(fēng)險(xiǎn)，亟待探討解決。

一、我國當(dāng)前醫(yī)院電子信息化系統(tǒng)軟件及數(shù)據(jù)方面的安全現(xiàn)狀

（一）局域網(wǎng)

所謂信息安全，主要指的是系統(tǒng)數(shù)據(jù)和軟件不被非法濫用或惡意破壞。而當(dāng)前醫(yī)院一般都是利用局域網(wǎng)來當(dāng)作信息管理系統(tǒng)的整體骨架，所面臨的風(fēng)險(xiǎn)和安全威脅就是用戶未經(jīng)正常授權(quán)而非法連接入網(wǎng)、通過合法或非法工作站對(duì)醫(yī)院正常合法的用戶口令或ID進(jìn)行竊聽盜取，進(jìn)而冒充該用戶進(jìn)行合法系統(tǒng)登錄，修改或竊取醫(yī)院相關(guān)數(shù)據(jù)等。現(xiàn)行措施如下：首先，為有效防止非法入侵或合法用戶隨意訪問其他信息，醫(yī)院設(shè)立了一定的安全管理機(jī)制。用戶在每次登陸系統(tǒng)訪問時(shí)，都要對(duì)其身份和資格進(jìn)行重新驗(yàn)證，傳統(tǒng)驗(yàn)證主要采用的登陸方式是輸入ID+口令的形式。這種驗(yàn)證方式相對(duì)簡單且操作便捷，但是卻容易泄露，相對(duì)安全性能較差。運(yùn)用最新技術(shù)研發(fā)的智能IC卡驗(yàn)證管理技術(shù)，可以較好的彌補(bǔ)傳統(tǒng)訪問驗(yàn)證形式的缺陷。把個(gè)人信息存入個(gè)人智能IC卡內(nèi)，經(jīng)過安全技術(shù)處理后無法被復(fù)制，使用時(shí)只需將此卡插入到指定讀卡器，就能夠?qū)崿F(xiàn)身份驗(yàn)證的目的。且一卡還能實(shí)現(xiàn)多用的功能，所以深受當(dāng)前醫(yī)院管理的歡迎，逐漸得以普及和運(yùn)用。其次，數(shù)據(jù)信息的加密。為了提高信息儲(chǔ)存管理的安全性，一般會(huì)對(duì)文件、數(shù)據(jù)和口令進(jìn)行加密控制處理。常用的加密傳輸技術(shù)有端到端加密、節(jié)點(diǎn)加密和鏈路加密，對(duì)信息數(shù)據(jù)各傳輸環(huán)節(jié)進(jìn)行安全有效的管理。而當(dāng)前醫(yī)院信息傳輸數(shù)據(jù)加密應(yīng)用最為廣泛的一種應(yīng)屬公鑰基礎(chǔ)設(shè)施，它的加密方式和解密方式都不相同。電子信息化系統(tǒng)建設(shè)時(shí)，把醫(yī)院工作人員對(duì)應(yīng)的姓名、身份證號(hào)、職務(wù)以及電話等信息都捆綁在了IC卡內(nèi)，用戶通過網(wǎng)絡(luò)就能實(shí)現(xiàn)系統(tǒng)身份驗(yàn)證，提高了信息傳輸?shù)臏?zhǔn)確性、完整性和安全性，便于遠(yuǎn)程查詢和管理醫(yī)院信息安全。

（二）信息化系統(tǒng)操作

首先，信息化系統(tǒng)操作是醫(yī)院電子信息化建設(shè)實(shí)施后必須進(jìn)行的工作內(nèi)容，但是由于系統(tǒng)操作設(shè)計(jì)到成千上萬的程序，所以因操作不當(dāng)或操作系統(tǒng)故障造成的信息安全隱患也是極大的，決不能忽視。其次，網(wǎng)絡(luò)信息本身就存在極大的安全風(fēng)險(xiǎn)，合法的攔截和竊取是無法被系統(tǒng)自動(dòng)甄別的。如果工作人員綜合職業(yè)素養(yǎng)不足，就會(huì)導(dǎo)致風(fēng)險(xiǎn)的增加。而現(xiàn)實(shí)調(diào)查數(shù)據(jù)顯示，當(dāng)前我國醫(yī)院檔案及資料數(shù)據(jù)管理人員有90%以上都沒有接受過正規(guī)專業(yè)的計(jì)算機(jī)安全管理培訓(xùn)，相關(guān)職業(yè)道德水平還有待提升，所以才導(dǎo)致腐敗和誤操現(xiàn)象頻發(fā)，給醫(yī)院信息化建設(shè)的信息安全管理工作增加了阻礙。

二、提高我國醫(yī)院電子信息化系統(tǒng)建設(shè)中信息安全管理的建議措施

（一）行政方面的措施

首先，制定明確的信息安全管理策略和目標(biāo)。醫(yī)院要根據(jù)自身發(fā)展情況和特點(diǎn)，明確分析當(dāng)前電子信息化建設(shè)中關(guān)于信息安全方面的需求，然后有針對(duì)性的制定符合本院工作管理的信息安全策略和信息安全管理目標(biāo)，為整體安全建設(shè)工作做好指導(dǎo)；其次，招聘真正高水平的計(jì)算機(jī)系統(tǒng)管理人才，組建信息安全管理專門機(jī)構(gòu)，明確管理制度，落實(shí)信息安全管理職責(zé)，即使隸屬于應(yīng)用和行政部門，也要保持好獨(dú)立性；最后，制定詳細(xì)的醫(yī)院信息安全管理制度，為相關(guān)部門開展工作提供依據(jù)和保障，促進(jìn)信息安全管理機(jī)構(gòu)工作職責(zé)和工作目標(biāo)的實(shí)現(xiàn)。

（二）網(wǎng)絡(luò)及數(shù)據(jù)方面的措施

首先，運(yùn)用先進(jìn)的技術(shù)完善網(wǎng)絡(luò)安全管理機(jī)制。例如，采用隔離卡或單主板隔離技術(shù)等，做好內(nèi)外網(wǎng)的隔離工作；運(yùn)用漏洞掃描技術(shù)，及時(shí)發(fā)現(xiàn)入侵漏洞點(diǎn)和病毒，將病毒或故障導(dǎo)致的安全隱患生成安全分析報(bào)告，并及時(shí)預(yù)警處理；運(yùn)用系統(tǒng)入侵檢測技術(shù)，對(duì)系統(tǒng)網(wǎng)絡(luò)內(nèi)的關(guān)鍵信息點(diǎn)進(jìn)行整理分析，將發(fā)現(xiàn)的違反正常安全策略的行為或非法入侵跡象進(jìn)行警報(bào)，以便管理人員能夠及時(shí)制定補(bǔ)救策略；運(yùn)用虛擬網(wǎng)絡(luò)專用技術(shù)，保障數(shù)據(jù)安全傳輸和其他網(wǎng)絡(luò)功能的安全使用。其次，完善公鑰基礎(chǔ)設(shè)施信息加密保護(hù)措施以及數(shù)據(jù)備份恢復(fù)措施。而有效的數(shù)據(jù)備份系統(tǒng)可以很好的防止系統(tǒng)因斷電、驅(qū)動(dòng)磁盤故障、病毒感染以及其他事故造成的數(shù)據(jù)丟失，要選擇不同的存儲(chǔ)介質(zhì)和安全地點(diǎn)進(jìn)行數(shù)據(jù)備份。

（三）管理方面的措施

首先，由于電子信息化建設(shè)中的信息安全問題是無法徹底解決的，所以一定要做好相應(yīng)的應(yīng)急預(yù)案。尤其是對(duì)于醫(yī)院檔案信息來說，有效的應(yīng)急預(yù)案可以最大限度的控制和預(yù)防突發(fā)事件帶來的信息安全危害，為醫(yī)院工作的安全運(yùn)行提供必要依據(jù)；其次，構(gòu)建高水平高素質(zhì)的專業(yè)隊(duì)伍，為醫(yī)院的電子信息化建設(shè)提供人才保障，減少因人為原因造成的信息安全隱患，提高當(dāng)前在職管理人員的信息安全管理防范意識(shí)，增強(qiáng)現(xiàn)代醫(yī)院電子信息化建設(shè)的科學(xué)性和可靠性。

結(jié)語

綜上所述，按照當(dāng)前時(shí)展的特點(diǎn)推算，醫(yī)院電子信息化建設(shè)既是必然發(fā)展趨勢，同時(shí)也是需要持續(xù)建設(shè)和發(fā)展的重要內(nèi)容。從當(dāng)前科技發(fā)展的現(xiàn)狀來說，這種信息安全風(fēng)險(xiǎn)還無法根本杜絕和解決。所以，唯有從管理及制度等方面，綜合全面的進(jìn)行預(yù)防及治理，才能確保將這種風(fēng)險(xiǎn)存在的可能降到最低，從而實(shí)現(xiàn)有效利用現(xiàn)代化信息系統(tǒng)的優(yōu)勢，為醫(yī)院改革發(fā)展做出重大貢獻(xiàn)。

參考文獻(xiàn)：

[1]王麗娜,趙利敏,張東軍.信息安全管理的建設(shè)在醫(yī)院信息化建設(shè)中的作用[J].電腦知識(shí)與技術(shù),2017,(02):41-43.

第2篇

論文關(guān)鍵詞：醫(yī)院信息系統(tǒng)　安全體系　網(wǎng)絡(luò)安　全數(shù)據(jù)安全

論文摘要：分析了目前威脅醫(yī)院網(wǎng)絡(luò)信息安全的各種因素結(jié)合網(wǎng)絡(luò)安全與管理工作的實(shí)踐，探討了構(gòu)建醫(yī)院信息安全防御體系的措施。

中國醫(yī)院信息化建設(shè)經(jīng)過20多年的發(fā)展歷程目前已經(jīng)進(jìn)入了一個(gè)高速發(fā)展時(shí)期。據(jù)2007年衛(wèi)生部統(tǒng)計(jì)信息中心對(duì)全國3765所醫(yī)院(其中：三級(jí)以上663家：三級(jí)以下31o2家)進(jìn)行信息化現(xiàn)狀調(diào)查顯示，超過80％的醫(yī)院建立了信息系統(tǒng)…。隨著信息網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，醫(yī)療和管理工作對(duì)信息系統(tǒng)的依賴性會(huì)越來越強(qiáng)。信息系統(tǒng)所承載的信息和服務(wù)安全性越發(fā)顯得重要。

1醫(yī)院信息安全現(xiàn)狀分析

隨著我們對(duì)信息安全的認(rèn)識(shí)不斷深入，目前醫(yī)院信息安全建設(shè)存在諸多問題。

1．1信息安全策略不明確

醫(yī)院信息化工作的特殊性，對(duì)醫(yī)院信息安全提出了很高的要求。醫(yī)院信息安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程。有些醫(yī)院只注重各種網(wǎng)絡(luò)安全產(chǎn)品的采購沒有制定信息安全的中、長期規(guī)劃，沒有根據(jù)自己的信息安全目標(biāo)制定符合醫(yī)院實(shí)際的安全管理策略，或者沒有根據(jù)網(wǎng)絡(luò)信息安全出現(xiàn)的一些新問題，及時(shí)調(diào)整醫(yī)院的信息安全策略。這些現(xiàn)象的出現(xiàn)，使醫(yī)院信息安全產(chǎn)品不能得到合理的配置和適當(dāng)?shù)膬?yōu)化，不能起到應(yīng)有的作用。

1．2以計(jì)算機(jī)病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生，危害日益嚴(yán)重

病毒泛濫、系統(tǒng)漏洞、黑客攻擊等諸多問題，已經(jīng)直接影響到醫(yī)院的正常運(yùn)營。目前，多數(shù)網(wǎng)絡(luò)安全事件都是由脆弱的用戶終端和“失控”的網(wǎng)絡(luò)使用行為引起的。在醫(yī)院網(wǎng)中，用戶終端不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫的現(xiàn)象普遍存在；私設(shè)服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網(wǎng)絡(luò)，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內(nèi)快速擴(kuò)散。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對(duì)用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制，是保證醫(yī)院網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前醫(yī)院網(wǎng)絡(luò)安全管理急需解決的問題。

1．3安全孤島現(xiàn)象嚴(yán)重

目前，在醫(yī)院網(wǎng)絡(luò)安全建設(shè)中網(wǎng)絡(luò)、應(yīng)用系統(tǒng)防護(hù)上雖然采取了防火墻等安全產(chǎn)品和硬件冗余等安全措施，但安全產(chǎn)品之間無法實(shí)現(xiàn)聯(lián)動(dòng)，安全信息無法挖掘，安全防護(hù)效果低，投資重復(fù)，存在一定程度的安全孤島現(xiàn)象。另外，安全產(chǎn)品部署不均衡，各個(gè)系統(tǒng)部署了多個(gè)安全產(chǎn)品，但在系統(tǒng)邊界存在安全空白，沒有形成縱深的安全防護(hù)。

1．4信息安全意識(shí)不強(qiáng)，安全制度不健全

從許多安全案例來看，很多醫(yī)院要么未制定安全管理制度，要么制定后卻得不到實(shí)施。醫(yī)院內(nèi)部員工計(jì)算機(jī)知識(shí)特別是信息安全知識(shí)和意識(shí)的缺乏是醫(yī)院信息化的一大隱患。加強(qiáng)對(duì)員工安全知識(shí)的培訓(xùn)刻不容緩。

2醫(yī)院信息安全防范措施

醫(yī)院信息安全的任務(wù)是多方面的，根據(jù)當(dāng)前信息安全的現(xiàn)狀，醫(yī)院信息安全應(yīng)該是安全策略、安全技術(shù)和安全管理的完美結(jié)合。

2．1安全策略

醫(yī)院信息系統(tǒng)～旦投入運(yùn)行，其數(shù)據(jù)安全問題就成為系統(tǒng)能否持續(xù)正常運(yùn)行的關(guān)鍵。作為一個(gè)聯(lián)機(jī)事務(wù)系統(tǒng)，一些大中型醫(yī)院要求每天二十四小時(shí)不問斷運(yùn)行，如門診掛號(hào)、收費(fèi)、檢驗(yàn)等系統(tǒng)，不能有太長時(shí)間的中斷，也絕對(duì)不允許數(shù)據(jù)丟失，稍有不慎就會(huì)造成災(zāi)難性后果和巨大損失醫(yī)院信息系統(tǒng)在醫(yī)院各部門的應(yīng)用，使得各類信息越來越集中，構(gòu)成醫(yī)院的數(shù)據(jù)、信息中心，如何合理分配訪問權(quán)限，控制信息泄露以及惡意的破壞等信息的訪問控制尤其重要：pacs系統(tǒng)的應(yīng)用以及電子病歷的應(yīng)用，使得醫(yī)學(xué)數(shù)據(jù)量急劇膨脹，數(shù)據(jù)多樣化，以及數(shù)據(jù)安全性、實(shí)時(shí)性的要求越來越高，要求醫(yī)院信息系統(tǒng)(his)必須具有高可用性，完備可靠的數(shù)據(jù)存儲(chǔ)、備份。醫(yī)院要根據(jù)自身網(wǎng)絡(luò)的實(shí)際情況確定安全管理等級(jí)和安全管理范圍，制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度，制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等，建立適合自身的網(wǎng)絡(luò)安全管理策略。網(wǎng)絡(luò)信息安全是一個(gè)整體的問題，需要從管理與技術(shù)相結(jié)合的高度，制定與時(shí)俱進(jìn)的整體管理策略，并切實(shí)認(rèn)真地實(shí)施這些策略，才能達(dá)到提高網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。

在網(wǎng)絡(luò)安全實(shí)施的策略及步驟上應(yīng)遵循輪回機(jī)制考慮以下五個(gè)方面的內(nèi)容：制定統(tǒng)一的安全策略、購買相應(yīng)的安全產(chǎn)品實(shí)施安全保護(hù)、監(jiān)控網(wǎng)絡(luò)安全狀況(遇攻擊時(shí)可采取安全措施)、主動(dòng)測試網(wǎng)絡(luò)安全隱患、生成網(wǎng)絡(luò)安全總體報(bào)告并改善安全策略。

2．2安全管理

從安全管理上，建立和完善安全管理規(guī)范和機(jī)制，切實(shí)加強(qiáng)和落實(shí)安全管理制度，加強(qiáng)安全培訓(xùn)，增強(qiáng)醫(yī)務(wù)人員的安全防范意識(shí)以及制定網(wǎng)絡(luò)安全應(yīng)急方案等。

2．2．1安全機(jī)構(gòu)建設(shè)。設(shè)立專門的信息安全領(lǐng)導(dǎo)小組，明確主要領(lǐng)導(dǎo)、分管領(lǐng)導(dǎo)和信息科的相應(yīng)責(zé)任職責(zé)，嚴(yán)格落實(shí)信息管理責(zé)任l。領(lǐng)導(dǎo)小組應(yīng)不定期的組織信息安全檢查和應(yīng)急安全演練。

2．2．2安全隊(duì)伍建設(shè)。通過引進(jìn)、培訓(xùn)等渠道，建設(shè)一支高水平、穩(wěn)定的安全管理隊(duì)伍，是醫(yī)院信息系統(tǒng)能夠正常運(yùn)行的保證。

2．2．3安全制度建設(shè)。建立一整套切實(shí)可行的安全制度，包括：物理安全、系統(tǒng)與數(shù)據(jù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、運(yùn)行安全和信息安全等各方面的規(guī)章制度，確保醫(yī)療工作有序進(jìn)行。

2．2．4應(yīng)急預(yù)案的制定與應(yīng)急演練

依據(jù)醫(yī)院業(yè)務(wù)特點(diǎn)，以病人的容忍時(shí)間為衡量指標(biāo)，建立不同層面、不同深度的應(yīng)急演練。定期人為制造“故障點(diǎn)”，進(jìn)行在線的技術(shù)性的分段應(yīng)急演練和集中應(yīng)急演練。同時(shí)信息科定期召開“系統(tǒng)安全分析會(huì)”。從技術(shù)層面上通過數(shù)據(jù)挖掘等手段，分析信息系統(tǒng)的歷史性能數(shù)據(jù)，預(yù)測信息系統(tǒng)的運(yùn)轉(zhuǎn)趨勢，提前優(yōu)化系統(tǒng)結(jié)構(gòu)，從而降低信息系統(tǒng)出現(xiàn)故障的概率；另一方面，不斷總結(jié)信息系統(tǒng)既往故障和處理經(jīng)驗(yàn)，不斷調(diào)整技術(shù)安全策略和團(tuán)隊(duì)?wèi)?yīng)急處理能力，確保應(yīng)急流程的時(shí)效性和可用性。不斷人為制造“故障點(diǎn)”不僅是對(duì)技術(shù)架構(gòu)成熟度的考驗(yàn)，而且還促進(jìn)全員熟悉應(yīng)急流程，提高應(yīng)急處理能力，實(shí)現(xiàn)了技術(shù)和非技術(shù)的完美結(jié)合。

2．3安全技術(shù)

從安全技術(shù)實(shí)施上，要進(jìn)行全面的安全漏洞檢測和分析，針對(duì)檢測和分析的結(jié)果制定防范措施和完整的解決方案。

2．3．1冗余技術(shù)

醫(yī)院信息網(wǎng)絡(luò)由于運(yùn)行整個(gè)醫(yī)院的業(yè)務(wù)系統(tǒng)，需要保證網(wǎng)絡(luò)的正常運(yùn)行，不因網(wǎng)絡(luò)的故障或變化引起醫(yī)院業(yè)務(wù)的瞬間質(zhì)量惡化甚至內(nèi)部業(yè)務(wù)系統(tǒng)的中斷。網(wǎng)絡(luò)作為數(shù)據(jù)處理及轉(zhuǎn)發(fā)中心，應(yīng)充分考慮可靠性。網(wǎng)絡(luò)的可靠性通過冗余技術(shù)實(shí)現(xiàn)，包括電源冗余、處理器冗余、模塊冗余、設(shè)備冗余、鏈路冗余等技術(shù)。

2．3．2建立安全的數(shù)據(jù)中心

醫(yī)療系統(tǒng)的數(shù)據(jù)類型豐富，在不斷的對(duì)數(shù)據(jù)進(jìn)行讀取和存儲(chǔ)的同時(shí)，也帶來了數(shù)據(jù)丟失，數(shù)據(jù)被非法調(diào)用，數(shù)據(jù)遭惡意破壞等安全隱患。為了保證系統(tǒng)數(shù)據(jù)的安全，建立安全可靠的數(shù)據(jù)中心，能夠很有效的杜絕安全隱患，加強(qiáng)醫(yī)療系統(tǒng)的數(shù)據(jù)安全等級(jí)，保證各個(gè)醫(yī)療系統(tǒng)的健康運(yùn)轉(zhuǎn)，確保病患的及時(shí)信息交互。融合的醫(yī)療系統(tǒng)數(shù)據(jù)中心包括了數(shù)據(jù)交換、安全防護(hù)、數(shù)據(jù)庫、存儲(chǔ)、服務(wù)器集群、災(zāi)難備份／恢復(fù)，遠(yuǎn)程優(yōu)化等各個(gè)組件。

2．3．3加強(qiáng)客戶機(jī)管理

醫(yī)院信息的特點(diǎn)是分散處理、高度共享，用戶涉及醫(yī)生、護(hù)士、醫(yī)技人員和行政管理人員，因此需要制定一套統(tǒng)一且便于管理的客戶機(jī)管理方案。通過設(shè)定不同的訪問權(quán)限，加強(qiáng)網(wǎng)絡(luò)訪問控制的安全措施，控制用戶對(duì)特定數(shù)據(jù)的訪問，使每個(gè)用戶在整個(gè)系統(tǒng)中具有唯一的帳號(hào)，限定各用戶一定級(jí)別的訪問權(quán)限，如對(duì)系統(tǒng)盤符讀寫、光驅(qū)訪問、usb口的訪問、更改注冊(cè)表和控制面板的限制等。同時(shí)捆綁客戶機(jī)的ip與mac地址以防用戶隨意更改ip地址和隨意更換網(wǎng)絡(luò)插口等惡意行為，檢查用戶終端是否安裝了信息安全部門規(guī)定的安全軟件、防病毒軟件以及漏洞補(bǔ)丁等，從而阻止非法用戶和非法軟件入網(wǎng)以確保只有符合安全策略規(guī)定的終端才能連入醫(yī)療網(wǎng)絡(luò)。

2．3．4安裝安全監(jiān)控系統(tǒng)

安全監(jiān)控系統(tǒng)可充分利用醫(yī)院現(xiàn)有的網(wǎng)絡(luò)和安全投資，隨時(shí)監(jiān)控和記錄各個(gè)終端以及網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，識(shí)別、隔離被攻擊的組件。與此同時(shí)，它可以強(qiáng)化行為管理，對(duì)各種網(wǎng)絡(luò)行為和操作進(jìn)行實(shí)施監(jiān)控，保持醫(yī)院內(nèi)部安全策略的符合性。

2．3．5物理隔離

根據(jù)物理位置、功能區(qū)域、業(yè)務(wù)應(yīng)用或者管理策略等劃分安全區(qū)域，不同的區(qū)域之間進(jìn)行物理隔離。封閉醫(yī)療網(wǎng)絡(luò)中所有對(duì)外的接口，防止黑客、外部攻擊、避免病毒的侵入。

第3篇

隨著信息安全等級(jí)保護(hù)工作的不斷深化，已延伸到醫(yī)療衛(wèi)生行業(yè)。衛(wèi)計(jì)委要求三級(jí)醫(yī)院核心業(yè)務(wù)系統(tǒng)定級(jí)不低于第三級(jí)。本文結(jié)合醫(yī)院實(shí)際，介紹了醫(yī)院信息安全等級(jí)保護(hù)工作的建設(shè)，闡明了信息系統(tǒng)的定級(jí)、備案、整改、測評(píng)四個(gè)實(shí)施步驟，以供大家探討。

關(guān)鍵詞：

醫(yī)院信息安全；等級(jí)保護(hù)工作；等級(jí)測評(píng)

一、引言

隨著我國信息化建設(shè)的快速發(fā)展與廣泛應(yīng)用，信息安全的重要性愈發(fā)突出。在國家重視信息安全的大背景下，推出了信息安全等級(jí)保護(hù)制度。為統(tǒng)一管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，公安部等四部委聯(lián)合了《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）。隨著等級(jí)保護(hù)工作的深入開展，原衛(wèi)生部制定了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》（衛(wèi)辦發(fā)[2011]85號(hào)），進(jìn)一步規(guī)范和指導(dǎo)了我國醫(yī)療衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作，并對(duì)三級(jí)甲等醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全等級(jí)作了要求，原則上不低于第三級(jí)。從《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》中可知信息安全等級(jí)保護(hù)對(duì)象是國家秘密信息、法人和其他組織以及公民的專有信息和公開信息。對(duì)信息系統(tǒng)及其安全產(chǎn)品進(jìn)行等級(jí)劃分，并按等級(jí)對(duì)信息安全事件響應(yīng)[1]。

二、醫(yī)院信息安全等級(jí)保護(hù)工作實(shí)施步驟

2.1定級(jí)與備案[2]。

根據(jù)公安部信息安全等級(jí)保護(hù)評(píng)估中心編制的《信息安全等級(jí)保護(hù)政策培訓(xùn)教程》，有兩個(gè)定級(jí)要素決定了信息系統(tǒng)的安全保護(hù)等級(jí)，一個(gè)是等級(jí)保護(hù)對(duì)象受到破壞時(shí)所侵害的客體，另外一個(gè)是對(duì)客體造成侵害的程度。對(duì)于三級(jí)醫(yī)院，門診量與床位相對(duì)較多，影響范圍較廣，一旦信息系統(tǒng)遭到破壞，將會(huì)給患者造成生命財(cái)產(chǎn)損失，對(duì)社會(huì)秩序帶來重大影響。因此，從影響范圍和侵害程度來看，我們非常認(rèn)同國家衛(wèi)計(jì)委對(duì)三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全等級(jí)的限制要求。在完成定級(jí)報(bào)告編制工作后，填寫備案表，并按屬地化管理要求到市級(jí)公安機(jī)關(guān)辦理備案手續(xù)，在取得備案回執(zhí)后才算完成定級(jí)備案工作。我院已按照要求向我市公安局網(wǎng)安支隊(duì)，同時(shí)也是我市信息安全等級(jí)保護(hù)工作領(lǐng)導(dǎo)小組辦公室，提交了定級(jí)報(bào)告與備案表。

2.2安全建設(shè)與整改[3]。

在完成定級(jí)備案后，就要結(jié)合醫(yī)院實(shí)際，分析信息安全現(xiàn)狀，進(jìn)行合理規(guī)劃與整改。

2.2.1等保差距分析與風(fēng)險(xiǎn)評(píng)估。

了解等級(jí)保護(hù)基本要求。《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》分別從技術(shù)和管理兩方面提出了基本要求。基本技術(shù)要求包括五個(gè)方面：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全，主要是由在信息系統(tǒng)中使用的網(wǎng)絡(luò)安全產(chǎn)品（包括硬件和軟件）及安全配置來實(shí)現(xiàn)；基本管理要求也包括五個(gè)方面：安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理，主要是根據(jù)相關(guān)政策、制度以及規(guī)范流程等方面對(duì)人員活動(dòng)進(jìn)行約束控制，以期達(dá)到安全管理要求[4]。技術(shù)類安全要求按保護(hù)側(cè)重點(diǎn)進(jìn)一步劃分為三類：業(yè)務(wù)信息安全類（S類）、系統(tǒng)服務(wù)安全類（A類）、通用安全保護(hù)類（G類）。如受條件限制，可以逐步完成三級(jí)等級(jí)保護(hù)，A類和S類有一類滿足即可，但G類必須達(dá)到三級(jí)，最嚴(yán)格的G3S3A3控制項(xiàng)共計(jì)136條[5]。醫(yī)院可以結(jié)合自身建設(shè)情況，選擇其中一個(gè)標(biāo)準(zhǔn)進(jìn)行差距分析。管理方面要求很嚴(yán)格，只有完成所有的154條控制項(xiàng)，達(dá)到管理G3的要求，才能完成三級(jí)等級(jí)保護(hù)要求。這需要我們逐條對(duì)照，發(fā)現(xiàn)醫(yī)院安全管理中的不足與漏洞，找出與管理要求的差距。對(duì)于有條件的三甲醫(yī)院，可以先進(jìn)行風(fēng)險(xiǎn)評(píng)估，通過分析信息系統(tǒng)的資產(chǎn)現(xiàn)狀、安全脆弱性及潛在安全威脅，形成《風(fēng)險(xiǎn)評(píng)估報(bào)告》。經(jīng)過與三級(jí)基本要求對(duì)照，我院還存在一定差距。比如：在物理環(huán)境安全方面，我院機(jī)房雖有滅火器，但沒安裝氣體滅火裝置。當(dāng)前的安全設(shè)備產(chǎn)品較少，不能很好的應(yīng)對(duì)網(wǎng)絡(luò)入侵。在運(yùn)維管理方面，缺乏預(yù)警機(jī)制，無法提前判斷系統(tǒng)潛在威脅等。

2.2.2建設(shè)整改方案。

根據(jù)差距分析情況，結(jié)合醫(yī)院信息系統(tǒng)安全實(shí)際需求和建設(shè)目標(biāo)，著重于保證業(yè)務(wù)的連續(xù)性與數(shù)據(jù)隱私方面，滿足于臨床的實(shí)際需求，避免資金投入的浪費(fèi)、起不到實(shí)際效果。整改方案制訂應(yīng)遵循以下原則：安全技術(shù)和安全管理相結(jié)合，技術(shù)作保障，管理是更好的落實(shí)安全措施；從安全區(qū)域邊界、安全計(jì)算環(huán)境和安全通信網(wǎng)絡(luò)進(jìn)行三維防護(hù)，建立安全管理中心[6]。方案設(shè)計(jì)完成后，應(yīng)組織專家或經(jīng)過第三方測評(píng)機(jī)構(gòu)進(jìn)行評(píng)審，以保證方案的可用性。整改方案實(shí)施。實(shí)施過程中應(yīng)注意技術(shù)與管理相結(jié)合，并根據(jù)實(shí)際情況適當(dāng)調(diào)整安全措施，提高整體保護(hù)水平。我院整改方案是先由醫(yī)院內(nèi)部自查，再邀請(qǐng)等級(jí)測評(píng)公司進(jìn)行預(yù)測評(píng)，結(jié)合醫(yī)院實(shí)際最終形成的方案。網(wǎng)絡(luò)技術(shù)人員熟悉系統(tǒng)現(xiàn)狀，易于發(fā)現(xiàn)潛在安全威脅，所以醫(yī)院要先自查，對(duì)自身安全進(jìn)行全面了解。等級(jí)測評(píng)公司派專業(yè)安全人員進(jìn)駐醫(yī)院，經(jīng)過與醫(yī)院技術(shù)人員溝通，利用安全工具進(jìn)行測試，可以形成初步的整改報(bào)告，對(duì)我院安全整改具有指導(dǎo)意義。

2.3開展等級(jí)保護(hù)測評(píng)[7]。

下一步工作就是開展等級(jí)測評(píng)。在測評(píng)機(jī)構(gòu)的選擇上，首先要查看其是否具有“DICP”認(rèn)證，有沒有在當(dāng)?shù)毓膊块T進(jìn)行備案，還可以到中國信息安全等級(jí)保護(hù)網(wǎng)站進(jìn)行核實(shí)。測評(píng)周期一般為1至2月，其測評(píng)流程如下。

2.3.1測評(píng)準(zhǔn)備階段。

醫(yī)院與測評(píng)機(jī)構(gòu)共同成立項(xiàng)目領(lǐng)導(dǎo)小組，制定工作任務(wù)與測評(píng)計(jì)劃等前期準(zhǔn)備工作。項(xiàng)目啟動(dòng)前，為防止醫(yī)院信息泄露，還需要簽訂保密協(xié)議。項(xiàng)目啟動(dòng)后，測評(píng)機(jī)構(gòu)要進(jìn)行前期調(diào)研，主要是了解醫(yī)院信息系統(tǒng)的拓?fù)浣Y(jié)構(gòu)、設(shè)備運(yùn)行狀況、信息系統(tǒng)應(yīng)用情況及安全管理等情況，然后再選擇相應(yīng)的測評(píng)工具和文檔。在測評(píng)準(zhǔn)備階段，主要是做好組織機(jī)構(gòu)建設(shè)工作，配合等級(jí)測評(píng)公司人員的調(diào)查工作。

2.3.2測評(píng)方案編制階段。

測評(píng)內(nèi)容主要由測評(píng)對(duì)象與測評(píng)指標(biāo)來確定。我院測評(píng)對(duì)象包含三級(jí)的醫(yī)院信息系統(tǒng)、基礎(chǔ)網(wǎng)絡(luò)和二級(jí)的門戶網(wǎng)站。測評(píng)機(jī)構(gòu)要與醫(yī)院溝通，制定工具測試方法與測評(píng)指導(dǎo)書，編制測評(píng)方案。在此階段，主要工作由等級(jí)測評(píng)機(jī)構(gòu)來完成。

2.3.3現(xiàn)場測評(píng)階段。

在經(jīng)過實(shí)施準(zhǔn)備后，測評(píng)機(jī)構(gòu)要對(duì)上述控制項(xiàng)進(jìn)行逐一測評(píng)，大約需要1至2周，需要信息科人員密切配合與注意。為保障醫(yī)院業(yè)務(wù)正常開展，測評(píng)工作應(yīng)盡量減少對(duì)業(yè)務(wù)工作的沖擊。當(dāng)需要占用服務(wù)器和網(wǎng)絡(luò)資源時(shí)應(yīng)避免業(yè)務(wù)高峰期，可以選擇下班時(shí)間或晚上。為避免對(duì)現(xiàn)有業(yè)務(wù)造成影響，測評(píng)工具應(yīng)在接入前進(jìn)行測試，同時(shí)要做好應(yīng)急預(yù)案準(zhǔn)備，一旦影響醫(yī)院業(yè)務(wù)，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案[8]。在對(duì)209條控制項(xiàng)進(jìn)行測評(píng)后應(yīng)進(jìn)行結(jié)果確認(rèn)，并將資料歸還醫(yī)院。該階段是從真實(shí)情況中了解信息系統(tǒng)全面具體的主要工作，也是技術(shù)人員比較辛苦的階段。除了要密切配合測評(píng)，還不能影響醫(yī)院業(yè)務(wù)開展，除非必要，不然安全測試工作必須在夜間進(jìn)行。

2.3.4報(bào)告編制階段。

通過判定測評(píng)單項(xiàng)，測評(píng)機(jī)構(gòu)對(duì)單項(xiàng)測評(píng)結(jié)果進(jìn)行整理，逐項(xiàng)分析，最終得出整體測評(píng)報(bào)告。測評(píng)報(bào)告包含了醫(yī)院信息安全存在的潛在威脅點(diǎn)、整改建議與最終測評(píng)結(jié)果[9]。對(duì)于公安機(jī)關(guān)來講，醫(yī)院能否通過等級(jí)測評(píng)的主要標(biāo)準(zhǔn)就是測評(píng)結(jié)果。因此，測評(píng)報(bào)告的結(jié)果至關(guān)重要。測評(píng)結(jié)果分為：不符合、部分符合、全部符合。有的測評(píng)機(jī)構(gòu)根據(jù)單項(xiàng)測評(píng)結(jié)果進(jìn)行打分，最后給出總分，以分值來判定是否通過測評(píng)。為得到理想測評(píng)結(jié)果，需要醫(yī)院落實(shí)安全整改方案。

2.4安全運(yùn)維。

我們必須清醒地認(rèn)識(shí)到，實(shí)施安全等級(jí)保護(hù)是一項(xiàng)長期工作，它不僅要在信息化建設(shè)規(guī)劃中考慮，還要在日常運(yùn)維管理中重視，是不斷循環(huán)的過程。按照等級(jí)保護(hù)制度要求，信息系統(tǒng)等級(jí)保護(hù)級(jí)別定為三級(jí)的三甲醫(yī)院每年要自查一次，還要邀請(qǐng)測評(píng)機(jī)構(gòu)進(jìn)行測評(píng)并進(jìn)行整改，監(jiān)管部門每年要抽查一次。因此，醫(yī)院要按照PDCA的循環(huán)工作機(jī)制，不斷改進(jìn)安全技術(shù)與管理上，完善安全措施，更好地保障醫(yī)院信息系統(tǒng)持續(xù)穩(wěn)定運(yùn)行[10]。

三、結(jié)語

醫(yī)院信息安全工作是信息化建設(shè)的一部分，是一項(xiàng)長期的系統(tǒng)工程，需要分批分期的循序改建。還要結(jié)合醫(yī)院實(shí)際，考慮安全產(chǎn)品的實(shí)用性，不能盲目的進(jìn)行投資。醫(yī)院通過實(shí)施等級(jí)保護(hù)工作，可以有效增強(qiáng)網(wǎng)絡(luò)與信息系統(tǒng)整體安全性，有力保障醫(yī)院各項(xiàng)業(yè)務(wù)的持續(xù)開展，適應(yīng)醫(yī)院信息化不斷發(fā)展的需求。

作者：王磊 單位：蚌埠醫(yī)學(xué)院第二附屬醫(yī)院

參考文獻(xiàn)

[1]公安部,國家保密局,國家密碼管理局,國務(wù)院信息化辦公室文件.關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見（公通字[2004]66號(hào)）[R],2004-9-15.

[2]GB/T22240-2008．信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南[S],2008-06-19.

[3]GB/T25058-2010．信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南[S],2010-09-02.

[4]GB/T22239-2008．信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求[S],2008-06-19.

[5]魏世杰.醫(yī)院信息安全等級(jí)保護(hù)三級(jí)建設(shè)思路[J].科技傳播,2013,5(99):208-209.

[6]張濱.構(gòu)建醫(yī)院信息安全等級(jí)保護(hù)縱深防護(hù)體系[J].信息通信,2014(141):148-149.

[7]GB/T28449-2012.信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南[S],2012-06-29.

[8]姚紅磊,楊文.三級(jí)系統(tǒng)信息安全等級(jí)保護(hù)測評(píng)指標(biāo)體系研究[J].鐵路計(jì)算機(jī)應(yīng)用,2015,24(2):59-61.

第4篇

[摘要]隨著我國醫(yī)療事業(yè)的快速發(fā)展,醫(yī)院規(guī)模越來越龐大,醫(yī)院管理信息系統(tǒng)在醫(yī)院的日常管理運(yùn)行中,發(fā)揮著越來越重要的作用。醫(yī)院管理信息系統(tǒng)中的信息種類、數(shù)量非常巨大,其中不乏敏感、機(jī)密、實(shí)時(shí)信息,整套網(wǎng)絡(luò)系統(tǒng)一旦發(fā)生人為或意外的故障,就會(huì)造成巨大的損失和社會(huì)影響。筆者分析了醫(yī)院管理信息系統(tǒng)信息安全面臨的挑戰(zhàn)與威脅,從策略層、管理層、技術(shù)層、培訓(xùn)層4個(gè)方面,探討了構(gòu)建醫(yī)院管理信息系統(tǒng)信息安全體系的對(duì)策建議。

[關(guān)鍵詞]醫(yī)院管理;信息系統(tǒng);信息安全醫(yī)院管理信息系統(tǒng)概述醫(yī)院管理信息系統(tǒng)的主要功能

經(jīng)過20多年的發(fā)展,我國的醫(yī)院管理信息系統(tǒng)歷經(jīng)了單機(jī)單任務(wù)、一體化醫(yī)院信息系統(tǒng)。以前各醫(yī)院建立的計(jì)算機(jī)系統(tǒng)主要是MIS系統(tǒng),以財(cái)務(wù)為重點(diǎn),涉及掛號(hào)、收費(fèi)、藥庫等流程。現(xiàn)在醫(yī)院信息化建設(shè)的重點(diǎn)將是臨床管理的信息化,把信息技術(shù)真正應(yīng)用到疾病的診斷和手術(shù)中去,然后在臨床信息系統(tǒng)發(fā)展的基礎(chǔ)上,逐步建立電子病歷,促進(jìn)病歷信息的共享和利用。一般來說,醫(yī)院信息系統(tǒng)的主要功能是為醫(yī)院及其所屬各部門提供患者醫(yī)療信息、財(cái)務(wù)核算分析、行政管理信息和決策分析統(tǒng)計(jì)信息的收集、存貯、處理、提取和數(shù)據(jù)通訊[1]。將門診管理、住院管理、醫(yī)技管理、職能科室管理等各部門通過計(jì)算機(jī)網(wǎng)絡(luò)有機(jī)集成在一起,提高醫(yī)院信息利用率和醫(yī)院整體運(yùn)行效率。加強(qiáng)醫(yī)院管理信息系統(tǒng)信息安全的意義信息化為醫(yī)院帶來了更加科學(xué)、規(guī)范的工作流程,工作效率的明顯提升也產(chǎn)生了巨大的經(jīng)濟(jì)效益,醫(yī)院的核心業(yè)務(wù)也越來越依賴于信息系統(tǒng)穩(wěn)定可靠的運(yùn)行支持。目前,我國約有3萬多所醫(yī)院,5萬多個(gè)防疫站,大多數(shù)醫(yī)院采用的是病床管理和財(cái)務(wù)管理。據(jù)衛(wèi)生部一項(xiàng)統(tǒng)計(jì)顯示,參與調(diào)查的中國6000多家醫(yī)院中,只有31%的醫(yī)院用上了信息管理系統(tǒng)[2]。目前的3萬多家醫(yī)院中有6000家是三甲以上的醫(yī)院,衛(wèi)生部曾強(qiáng)調(diào)“國內(nèi)三甲以上的醫(yī)院都需要實(shí)行信息化管理”,未來幾年,我國將有超過70%的醫(yī)院實(shí)現(xiàn)信息化管理,信息系統(tǒng)所具有的絕對(duì)重要地位和其相對(duì)脆弱的本質(zhì)應(yīng)當(dāng)引起高度重視。建立完善的安全備份系統(tǒng)和管理機(jī)制,對(duì)加強(qiáng)醫(yī)院管理信息系統(tǒng)的信息安全,顯得尤為重要。

醫(yī)院管理信息系統(tǒng)信息安全面臨的挑戰(zhàn)醫(yī)院管理信息系統(tǒng)存在的信息安全隱患由計(jì)算機(jī)和網(wǎng)絡(luò)組成的管理信息系統(tǒng)具有天然的安全脆弱性,表現(xiàn)在包括系統(tǒng)體系、安全模型、安全問題判斷和安全管理環(huán)節(jié)在內(nèi)的多個(gè)方面。對(duì)于醫(yī)院管理信息系統(tǒng)來說,信息系統(tǒng)的開放體制與信息系統(tǒng)的安全保密存在很大的制約。操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫管理系統(tǒng)、用戶系統(tǒng)和安全策略等各個(gè)級(jí)別和層面都存在安全問題。醫(yī)院信息系統(tǒng)的安全性問題日益突出。醫(yī)院管理信息系統(tǒng)面臨包括詐騙、間諜、蓄意破壞行為、火災(zāi)、水災(zāi)等大范圍的安全威脅,諸如信息被竊取、計(jì)算機(jī)病毒、服務(wù)器的非法入侵破壞等信息安全隱患越來越普遍和復(fù)雜,危害越來越大,醫(yī)院管理信息系統(tǒng)的信息安全風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的全過程。在這個(gè)過程中,通過主動(dòng)、系統(tǒng)地對(duì)風(fēng)險(xiǎn)進(jìn)行全過程識(shí)別、評(píng)估及監(jiān)控,以達(dá)到降低系統(tǒng)風(fēng)險(xiǎn),減少風(fēng)險(xiǎn)損失,甚至化險(xiǎn)為夷,變不利為有利的目的[3]。對(duì)于醫(yī)院管理信息系統(tǒng)來說,信息安全風(fēng)險(xiǎn)管理就是識(shí)別、評(píng)價(jià)各種信息安全風(fēng)險(xiǎn)因素帶來的損失風(fēng)險(xiǎn),對(duì)風(fēng)險(xiǎn)進(jìn)行控制,減輕風(fēng)險(xiǎn)可能帶來的負(fù)面影響,從而將損失降到最低。從目前醫(yī)院信息系統(tǒng)的發(fā)展?fàn)顩r以及對(duì)醫(yī)療信息系統(tǒng)數(shù)據(jù)的安全性要求來看,要加強(qiáng)信息安全的風(fēng)險(xiǎn)管理,就是要做到從物理、網(wǎng)絡(luò)、系統(tǒng)、主機(jī)以及應(yīng)用層面來確保系統(tǒng)中各種信息的保密性、完整性、可用性,提高整體防護(hù)能力,規(guī)范安全管理流程,保障信息系統(tǒng)的平穩(wěn)運(yùn)行,這是保證醫(yī)院信息系統(tǒng)安全的關(guān)鍵所在。構(gòu)建醫(yī)院管理信息系統(tǒng)信息安全體系的對(duì)策建議針對(duì)當(dāng)前醫(yī)院管理信息系統(tǒng)存在的信息安全隱患,為構(gòu)建行之有效的醫(yī)院信息安全體系,筆者從以下4個(gè)方面提出對(duì)策建議。

信息安全體系的策略層信息安全策略的制定需要根據(jù)各個(gè)醫(yī)院的實(shí)際情況制定,為信息安全提供管理指導(dǎo)和支持。安全策略是整個(gè)信息安全系統(tǒng)要實(shí)現(xiàn)的目標(biāo),所以在制訂時(shí)要非常慎重,必須把醫(yī)院的實(shí)際情況和未來的發(fā)展戰(zhàn)略緊密聯(lián)系起來,運(yùn)用動(dòng)態(tài)循環(huán)的方法來完成這個(gè)過程。具體來說,醫(yī)院信息安全體系的指導(dǎo)策略就是要實(shí)現(xiàn)“進(jìn)不來、拿不走、看不懂、改不了、逃不掉”的目標(biāo)[4]。所謂“進(jìn)不來”,是指在訪問控制機(jī)制方面,盡量做到不允許外來的計(jì)算機(jī)、內(nèi)容等進(jìn)來;“拿不走”,是指在授權(quán)機(jī)制方面,做到不該拿走的敏感信息和內(nèi)容拿不走;“看不懂”,是指對(duì)關(guān)系到醫(yī)院重大發(fā)展的機(jī)密文件進(jìn)行加密處理,做到即使拿走也看不懂;“改不了”,是指在數(shù)據(jù)完整性方面,信息安全系統(tǒng)要做到重要數(shù)據(jù)修改不了;“逃不掉”,是指在審計(jì)、監(jiān)控、簽名機(jī)制方面,實(shí)現(xiàn)在信息系統(tǒng)中做了不該做的事情逃不掉。信息安全體系的管理層醫(yī)院的日常工作都要在管理制度指導(dǎo)下進(jìn)行,這樣才能在管理層上減少安全隱患,避免發(fā)生不必要的安全事件,給醫(yī)院帶來損失。要制訂嚴(yán)格的系統(tǒng)操作規(guī)程操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則,各負(fù)其責(zé),不能超越自己的管轄范圍。要制訂完備的系統(tǒng)維護(hù)制度對(duì)醫(yī)院管理信息系統(tǒng)進(jìn)行維護(hù)時(shí),應(yīng)采取數(shù)據(jù)保護(hù)措施,如數(shù)據(jù)備份等。

維護(hù)時(shí)要有安全管理人員在場,故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄。要制訂應(yīng)急預(yù)案,明確應(yīng)急措施要制訂系統(tǒng)在緊急情況下,如何盡快恢復(fù)的應(yīng)急措施,使損失減至最小。信息安全體系的技術(shù)層在醫(yī)院管理信息系統(tǒng)的技術(shù)層,防病毒、防黑客、雙重備份是常用的保護(hù)手段。為防止外來的黑客、病毒及各種蠕蟲的攻擊,拆除各工作站的軟驅(qū)與光驅(qū),封閉USB口,各工作站不準(zhǔn)使用外來的軟盤、網(wǎng)絡(luò)設(shè)備和工作站安裝病毒防火墻,網(wǎng)絡(luò)控制中心定期用殺毒軟件進(jìn)行檢測等。為加強(qiáng)管理信息系統(tǒng)的安全性和穩(wěn)定性,還可以采用數(shù)據(jù)庫級(jí)用戶權(quán)限和應(yīng)用程序級(jí)運(yùn)行權(quán)限的雙重控制機(jī)制,提供統(tǒng)一的基于角色的用戶管理手段。工作人員登陸入網(wǎng)時(shí),嚴(yán)格按照本人的登錄號(hào)及操作權(quán)限工作,使之具有完善的系統(tǒng)和數(shù)據(jù)安全的保障體系。為防自然損壞,應(yīng)安裝備份服務(wù)器,做好主服務(wù)器向備份服務(wù)器每日數(shù)據(jù)的備份和恢復(fù)。還要為重要設(shè)備提供UPS電源,保障系統(tǒng)安全用電,防止突然斷電造成數(shù)據(jù)損失。信息安全體系的培訓(xùn)層人員培訓(xùn)是建好、用好、管好醫(yī)院管理信息系統(tǒng)和網(wǎng)絡(luò)的基礎(chǔ),必須高度重視信息安全體系的培訓(xùn)層,把人員培訓(xùn)看成與設(shè)備、功能、信息同等重要。組建高素質(zhì)的專業(yè)人才隊(duì)伍要大力引進(jìn)計(jì)算機(jī)方面的專業(yè)人才,參加系統(tǒng)分析與軟件開發(fā)、程序測試、實(shí)施、評(píng)估與驗(yàn)收等工作,使他們熟悉醫(yī)院業(yè)務(wù)與工作流程,理順醫(yī)院信息系統(tǒng)各功能模塊之間的關(guān)系,在準(zhǔn)確判斷、評(píng)估系統(tǒng)建設(shè)質(zhì)量方面發(fā)揮關(guān)鍵作用。培育高水平的網(wǎng)絡(luò)管理員網(wǎng)管員負(fù)責(zé)醫(yī)院信息網(wǎng)絡(luò)資源的有效組織、提供與維護(hù)網(wǎng)絡(luò)基本服務(wù),優(yōu)化網(wǎng)絡(luò)性能,同時(shí)診斷排除網(wǎng)絡(luò)故障。對(duì)醫(yī)院網(wǎng)管員進(jìn)行培訓(xùn),可以提高網(wǎng)管員隊(duì)伍素質(zhì)水平,促進(jìn)醫(yī)院網(wǎng)絡(luò)持續(xù)健康發(fā)展。培訓(xùn)熟練的系統(tǒng)操作員要對(duì)全院工作人員進(jìn)行分期分批培訓(xùn),講解與工作相關(guān)的微機(jī)操作流程,講授日常保養(yǎng)、注意事項(xiàng)、常見故障排除等內(nèi)容的基礎(chǔ)知識(shí),這不但有利于管理信息系統(tǒng)的穩(wěn)定。

第5篇

1.1來自醫(yī)院內(nèi)部的信息系統(tǒng)安全威脅

一個(gè)是來自工作人員的威脅，例如有的工作人員胡亂操作系統(tǒng)，訪問來源不明的網(wǎng)站，將感染有病毒的U盤插入接入醫(yī)院信息系統(tǒng)的計(jì)算機(jī)，在不具有權(quán)限的情況下，采用欺騙或是技術(shù)手段訪問醫(yī)院信息系統(tǒng)數(shù)據(jù)庫等等，都會(huì)給醫(yī)院的信息系統(tǒng)帶來安全問題；另一個(gè)是設(shè)備軟硬件故障，醫(yī)院信息系統(tǒng)需要7*24小時(shí)不間斷運(yùn)行，例如存儲(chǔ)設(shè)備故障、網(wǎng)絡(luò)系統(tǒng)故障、服務(wù)器故障等，都會(huì)對(duì)信息系統(tǒng)的運(yùn)行效率與安全造成威脅。

1.2來自醫(yī)院外部的信息系統(tǒng)安全威脅

來自醫(yī)院外部的信息系統(tǒng)安全威脅主要是指黑客的攻擊，病毒、木馬的入侵等等，這可能會(huì)導(dǎo)致醫(yī)院信息系統(tǒng)崩潰，患者的病歷資料信息被竊取、篡改等等。

2數(shù)字化時(shí)代下醫(yī)院信息安全建設(shè)措施

醫(yī)院信息安全的建設(shè)，應(yīng)當(dāng)分為兩個(gè)層面進(jìn)行，一個(gè)是管理層面的建設(shè)措施，另一個(gè)是技術(shù)層面的建設(shè)措施。

2.1管理措施

第一，提高醫(yī)院整體對(duì)信息安全的重視力度。加強(qiáng)宣傳，讓每個(gè)工作人員都知道在當(dāng)前的數(shù)字化時(shí)代下，醫(yī)院臨床工作的開展，各部門、各系統(tǒng)的管理，患者信息資料的存儲(chǔ)、查閱、分析，都必須要依靠信息系統(tǒng)，如果出現(xiàn)了信息安全問題，就會(huì)對(duì)整個(gè)醫(yī)院系統(tǒng)造成影響，降低醫(yī)院運(yùn)轉(zhuǎn)效率，還可能會(huì)導(dǎo)致患者的隱私泄露，使患者對(duì)醫(yī)院的可靠性產(chǎn)生質(zhì)疑，不利于醫(yī)院的發(fā)展。同時(shí)，還要加強(qiáng)對(duì)所有醫(yī)務(wù)人員的信息安全培訓(xùn)教育，讓他們熟練掌握相關(guān)的信息安全技術(shù)技巧，防止由于操作方面的失誤，對(duì)信息系統(tǒng)安全造成威脅。第二，健全完善信息系統(tǒng)安全管理制度。要針對(duì)醫(yī)院信息系統(tǒng)的特點(diǎn)，制定總體安全方針與安全策略，將醫(yī)院信息安全的基本原則、范圍、目標(biāo)明確下來，對(duì)管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程，并在實(shí)踐中總結(jié)經(jīng)驗(yàn)，針對(duì)信息系統(tǒng)操作應(yīng)用中所遇到的實(shí)際情況，不斷完善規(guī)程，以制度化的途徑推進(jìn)醫(yī)院信息安全建設(shè)。第三，推行信息安全等級(jí)保護(hù)。醫(yī)院應(yīng)結(jié)合自身信息系統(tǒng)的特點(diǎn)，以國家頒布的信息安全等級(jí)保護(hù)相關(guān)文件為標(biāo)準(zhǔn)，逐步開展信息安全等級(jí)保護(hù)工作。建設(shè)過程中要優(yōu)先保護(hù)重要信息系統(tǒng)，優(yōu)先滿足重點(diǎn)信息安全的需求。在重點(diǎn)建設(shè)的基礎(chǔ)上，全面推行醫(yī)院信息安全等級(jí)保護(hù)的實(shí)施。對(duì)于新建、改建、擴(kuò)建的信息系統(tǒng)，嚴(yán)格按照信息安全等級(jí)保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行規(guī)劃設(shè)計(jì)、建設(shè)施工.要通過建立管理制度，落實(shí)管理措施，完善保護(hù)設(shè)施這一系列舉措，形成信息安全技術(shù)防護(hù)體系與管理體系，有效保障醫(yī)院信息系統(tǒng)安全。醫(yī)院在信息安全等級(jí)保護(hù)建設(shè)工作中應(yīng)科學(xué)規(guī)劃，嚴(yán)格以國家相關(guān)標(biāo)準(zhǔn)為依據(jù)，遵循自主保護(hù)、重點(diǎn)保護(hù)、同步建設(shè)、動(dòng)態(tài)調(diào)整等基本原則，穩(wěn)步地開展信息安全等級(jí)建設(shè)。第四，完善信息安全應(yīng)急預(yù)案。為提高醫(yī)院信息系統(tǒng)的安全穩(wěn)定運(yùn)行和處置突發(fā)事件的能力，最大程度地預(yù)防和減少因?yàn)樾畔⑾到y(tǒng)突發(fā)事件使醫(yī)院正常工作中斷而造成的嚴(yán)重后果，保障信息系統(tǒng)對(duì)醫(yī)療系統(tǒng)的平穩(wěn)支撐，需根據(jù)實(shí)際情況不斷完善應(yīng)急預(yù)案管理制度。

2.2技術(shù)措施

第一，改善環(huán)境安全。在信息安全等級(jí)保護(hù)規(guī)定中，機(jī)房屬于物理部分，每個(gè)醫(yī)院都有一個(gè)或數(shù)個(gè)用于存放主要信息系統(tǒng)硬件設(shè)備的機(jī)房，是醫(yī)院信息系統(tǒng)的核心物理區(qū)域。信息系統(tǒng)的安全在很大程度上受著機(jī)房環(huán)境條件的影響，因此必須要通過加強(qiáng)環(huán)境安全建設(shè)，來確保信息系統(tǒng)的安全。機(jī)房的建設(shè)規(guī)劃最好是采用“異地雙機(jī)房模式”，并且要避免將機(jī)房安置在地下室或建筑高層，機(jī)房隔壁或上層最好不要有大型的供水、用水設(shè)備，且要具有良好的防水能力、防震能力。為確保信息系統(tǒng)的持續(xù)高效運(yùn)轉(zhuǎn)，應(yīng)當(dāng)配備不間斷的冗余電源，機(jī)房室內(nèi)安裝可調(diào)節(jié)空氣溫度與濕度的設(shè)備，在進(jìn)出和主要的區(qū)域安裝攝像頭，基本的防火、防盜保護(hù)要做到位。第二，加強(qiáng)設(shè)備安全管理。設(shè)備安全包括服務(wù)器、交換機(jī)、存儲(chǔ)、終端主機(jī)等設(shè)備的安全。醫(yī)院信息系統(tǒng)中的重要設(shè)備需盡可能的采用冗余方式配置，以提高系統(tǒng)的穩(wěn)定性。同時(shí)服務(wù)器應(yīng)嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限。及時(shí)刪除多余的、過期的賬戶，避免共享賬戶的存在。依據(jù)安全策略嚴(yán)格控制用戶對(duì)有敏感標(biāo)記重要信息資源的操作，啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問。根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離。另外，所有服務(wù)器均需開啟全部安全審核策略，所有數(shù)據(jù)庫開啟C2審核跟蹤，同時(shí)安裝主機(jī)入侵防御系統(tǒng)及最新操作系統(tǒng)補(bǔ)丁。服務(wù)器還應(yīng)安裝統(tǒng)一的防病毒軟件。在終端主機(jī)方面，利用桌面管理軟件對(duì)設(shè)備接口進(jìn)行管理和控制，例如USB接口管理，禁止外來移動(dòng)存儲(chǔ)隨意接入電腦，防止病毒感染。終端電腦除了及時(shí)安裝系統(tǒng)補(bǔ)丁和更新防病毒軟件外，還需加強(qiáng)密碼復(fù)雜度和開啟賬戶鎖定策略。人員離開后，一定時(shí)間內(nèi)自動(dòng)退出和鎖定。第三，嚴(yán)防網(wǎng)絡(luò)威脅。在現(xiàn)代網(wǎng)絡(luò)的作用下，不論是醫(yī)院內(nèi)部各科室、各部門，還是醫(yī)院外部的任何機(jī)構(gòu)單位，都可以進(jìn)行高效率的溝通交流與信息共享，這在很大程度上提高了醫(yī)院的業(yè)務(wù)處理能力。但由于目前的網(wǎng)絡(luò)缺少強(qiáng)有力的監(jiān)管，所以有大量的不安全因素活躍在網(wǎng)絡(luò)中，例如上面所提到的病毒、木馬以及黑客等，這對(duì)醫(yī)院的信息安全造成了極大的威脅。所以，醫(yī)院應(yīng)當(dāng)建立信息系統(tǒng)網(wǎng)絡(luò)安全訪問路徑，采用路由控制的方式，來確保客戶端與服務(wù)器之間的安全連接。對(duì)不同醫(yī)療部門根據(jù)工作職能、重要程度和信息敏感性等要素劃分不同的網(wǎng)段，并對(duì)不同網(wǎng)段按照重要程度劃分安全域，對(duì)信息敏感、重要性程度高的網(wǎng)段，應(yīng)進(jìn)行IP與MAC綁定，避免遭到ARP欺騙攻擊。在信息系統(tǒng)的網(wǎng)絡(luò)邊界，應(yīng)當(dāng)安裝防火墻，部署入侵檢測系統(tǒng)，對(duì)蠕蟲攻擊、緩沖區(qū)溢出攻擊、木馬攻擊、端口掃描等惡意操作進(jìn)行監(jiān)測，將攻擊發(fā)生的時(shí)間、類型以及攻擊源IP等信息詳細(xì)的記錄下來，提供給網(wǎng)絡(luò)安全部門。第四，保障數(shù)據(jù)安全。在醫(yī)院的信息系統(tǒng)當(dāng)中，存儲(chǔ)著大量的數(shù)據(jù)，這些數(shù)據(jù)既包括患者的個(gè)人隱私資料，也包括醫(yī)院自身運(yùn)轉(zhuǎn)所需的各種基礎(chǔ)信息，這些信息的準(zhǔn)確性對(duì)臨床工作的開展來說，具有非常大的影響。為了保障信息系統(tǒng)的數(shù)據(jù)安全，數(shù)據(jù)庫管理賬戶的登錄方式應(yīng)當(dāng)設(shè)置為KEY+口令的方式，且口令的設(shè)置要負(fù)責(zé)、隨機(jī)，并且要定時(shí)更換。不同崗位對(duì)數(shù)據(jù)庫的訪問權(quán)限應(yīng)當(dāng)進(jìn)行合理的劃分，僅需要確保人員能夠獲得開展工作所需的數(shù)據(jù)即可。采用數(shù)據(jù)庫審計(jì)設(shè)備對(duì)各個(gè)賬戶的行為進(jìn)行監(jiān)控、記錄，如果發(fā)現(xiàn)有違規(guī)操作，應(yīng)當(dāng)及時(shí)通報(bào)并查明原因。為了確保信息系統(tǒng)數(shù)據(jù)的可用性與完整性，在傳輸醫(yī)療數(shù)據(jù)的時(shí)候，必須要進(jìn)行完整性檢測，如果發(fā)現(xiàn)數(shù)據(jù)破壞，應(yīng)重新傳輸數(shù)據(jù)或是進(jìn)行數(shù)據(jù)修復(fù)。所有的數(shù)據(jù)信息都應(yīng)當(dāng)進(jìn)行定時(shí)備份，最好是異地備份，防止數(shù)據(jù)庫服務(wù)器受到外力破壞，例如水淹、火燒，導(dǎo)致原始數(shù)據(jù)和備份數(shù)據(jù)一同丟失。

3結(jié)語

第6篇

【關(guān)鍵詞】醫(yī)院；病案檔案；信息安全；防護(hù)策略

病案檔案主要指的是醫(yī)院在開展醫(yī)療活動(dòng)中，醫(yī)務(wù)人員對(duì)患者疾病做出判斷、診治以及決策的過程，是對(duì)患者實(shí)施醫(yī)療活動(dòng)的重要依據(jù)，也是回顧患者診治過程以及開展醫(yī)學(xué)研究的重要資料，還是進(jìn)行工傷職業(yè)病鑒定、司法、保險(xiǎn)理賠以及解決醫(yī)患糾紛等的重要證據(jù)。但是因各種因素，醫(yī)院病案檔案信息還存在很多安全隱患，因此分析醫(yī)院病案檔案信息安全防護(hù)策略具有重大意義。

一、醫(yī)院病案檔案信息安全現(xiàn)狀

（一）管理不善。近年來，各大醫(yī)院中因?yàn)槿藶槠茐暮蜋n案管理人員惡意違規(guī)或者不按操作流程等導(dǎo)致病案檔案信息安全受到威脅的案例頗多，該問題已經(jīng)得到醫(yī)院乃至社會(huì)各界的高度重視。按照目的和性質(zhì)的差異又可以被劃分為病毒和惡意軟件破壞、惡意竊取以及內(nèi)部人員不經(jīng)意流失三種情形。刨根究底，導(dǎo)致這些現(xiàn)象的根本原因?yàn)楣芾聿簧疲蚬芾聿簧朴绊懖“笝n案安全信息主要是因?yàn)閺氖聶n案管理工作的人員自身缺乏安全意識(shí)，操作不規(guī)范等導(dǎo)致病案檔案中的機(jī)密數(shù)據(jù)和文件被泄露甚至損壞，甚至還有個(gè)別管理人員惡意破壞信息系統(tǒng)正常運(yùn)行，對(duì)醫(yī)院造成嚴(yán)重?fù)p失。

（二）病案檔案信息安全管理制度不健全。當(dāng)前大多數(shù)醫(yī)院實(shí)現(xiàn)了病案檔案的信息化管理，跟傳統(tǒng)的紙質(zhì)檔案管理相比，雖然該管理方式存在很大的優(yōu)越性，但與此同時(shí)也存在不可忽視的缺陷。現(xiàn)目前還有很多醫(yī)院的病案檔案信息管理缺乏健全的安全制度，忽視了檔案信息安全，再加上個(gè)別檔案管理人員的網(wǎng)絡(luò)安全意識(shí)欠缺，如此便給一些病毒和黑客創(chuàng)造了可乘之機(jī)，無法保證病案檔案的信息安全。

（三）醫(yī)院病案檔案保管的環(huán)境存在安全隱患。就目前個(gè)別醫(yī)院的病案檔案庫房來看，特別是一些基層醫(yī)院，主要存在著庫房面積過小，自然通風(fēng)差，光線不足，庫房的濕度溫度無法滿足相關(guān)規(guī)定，甚至還有個(gè)別醫(yī)院的病案庫房必須的防蟲、防塵、防潮設(shè)施都不具備，這些都嚴(yán)重威脅病案檔案的信息安全。

（四）網(wǎng)絡(luò)環(huán)境有待改善。影響醫(yī)院病案檔案信息安全的因素中最重要的因素便是網(wǎng)絡(luò)環(huán)境帶來的黑客攻擊、各種計(jì)算機(jī)病毒以及系統(tǒng)故障等，除此之外，當(dāng)系統(tǒng)和硬件發(fā)生故障時(shí)也會(huì)威脅病案檔案的安全性，從而無法保障病案檔案信息的原始性、完整性以及保密性。

二、醫(yī)院病案檔案信息安全防護(hù)策略

（一）提高病案檔案管理人員的整體素質(zhì)。近年來，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，在網(wǎng)絡(luò)時(shí)代下，加強(qiáng)醫(yī)院病案檔案信息安全防護(hù)必然少不了一批整體素質(zhì)較高的管理人員作保障。作為病案檔案管理人員，其自身必須摒棄傳統(tǒng)的工作意識(shí)，樹立較強(qiáng)的信息安全意識(shí)和責(zé)任意識(shí)，作為醫(yī)院，要積極加大對(duì)網(wǎng)絡(luò)安全知識(shí)的宣傳和教育工作，定期組織病案檔案管理人員參與培訓(xùn)，經(jīng)常跟計(jì)算機(jī)專業(yè)方面的人員進(jìn)行交流和合作，爭取在提高病案檔案管理人員信息安全防護(hù)意識(shí)的基礎(chǔ)上提高其信息安全防護(hù)能力，并將所學(xué)的信息技術(shù)運(yùn)用到病案檔案信息安全防護(hù)中，確保病案檔案在存儲(chǔ)、傳輸過程中的安全性，防止各種非法訪問和隨意篡改信息內(nèi)容，全面保證病案檔案信息的安全。

（二）建立健全病案檔案信息安全管理制度。醫(yī)院相關(guān)部門要根據(jù)病歷管理的相關(guān)法律和法規(guī)，結(jié)合自身病案檔案管理的實(shí)際重新修訂《病案檔案管理制度》《病案借閱制度》等制度，在這些制度中要明確指出病案檔案管理人員的職責(zé)，做好相關(guān)責(zé)任人的分工，要求所有病案檔案的管理人員均嚴(yán)格依法管理病案，所有病案檔案在經(jīng)過整理—登記—編目—分類歸檔之后，任何人均不得偽造、涂改、銷毀、竊取、隱匿、搶奪病案檔案，一旦發(fā)現(xiàn)要立即給予嚴(yán)厲處罰。另外，進(jìn)一步規(guī)范借閱和復(fù)印病歷人員的范圍和程序，只要不違背相關(guān)法律、法規(guī)和制度，要主動(dòng)為需求者提供服務(wù)，相反，針對(duì)一些違反規(guī)定的要求，病案檔案管理人員要盡可能耐心解釋，爭取得到需求者的理解和支持，充分保證病案檔案信息的安全。

（三）加強(qiáng)病案檔案庫房建設(shè)。醫(yī)院在不斷發(fā)展和壯大過程中，必然會(huì)有一些閑置的空房，因此要充分將這些閑置空房利用起來作為病案檔案的庫房，庫房的建設(shè)必須嚴(yán)格按照國家相關(guān)部門提出的病案庫房的設(shè)計(jì)要求和規(guī)范進(jìn)行建設(shè)，確保建成的庫房能夠達(dá)到防水、防潮的標(biāo)準(zhǔn)，除此之外，在庫房中還必須配備防塵、防潮措施，定期清潔庫房，讓其符合病案檔案管理工作流程。

（四）加強(qiáng)網(wǎng)絡(luò)環(huán)境建設(shè)。網(wǎng)絡(luò)環(huán)境的建設(shè)是保證病案檔案信息安全管理的基本前提和基礎(chǔ)，因此要盡可能選擇質(zhì)量過硬、符合標(biāo)準(zhǔn)的硬件設(shè)備，以此減少因?yàn)橛布l(fā)生故障帶來的不完全因素。考慮到病案檔案信息的特殊性，要盡可能選擇符合實(shí)際的存儲(chǔ)介質(zhì)，并且高度重視備份，通過備份來開展病案檔案的異地儲(chǔ)存和災(zāi)難性恢復(fù)等工作，以此保證病案檔案信息的安全。除此之外，還應(yīng)該高度重視對(duì)病案檔案信息傳輸設(shè)備的管理工作，要安排專業(yè)人員定期對(duì)這些設(shè)備進(jìn)行檢修和維護(hù)，全面保證病案檔案信息的安全。

三、結(jié)語

綜上所述，醫(yī)院病案檔案信息的安全防護(hù)本身是一項(xiàng)全方位、動(dòng)態(tài)且持續(xù)的過程，確保醫(yī)院病案檔案信息的安全對(duì)醫(yī)院來說至關(guān)重要，雖然當(dāng)前我國病案檔案信息安全還存在很多安全隱患，但是筆者堅(jiān)信，只要找準(zhǔn)問題，積極采取解決措施，便能夠構(gòu)建起健全的病案檔案信息安全保障體系，將病案檔案的作用更好地發(fā)揮出來。

【參考文獻(xiàn)】

[1]王豹.新時(shí)期醫(yī)院病案檔案管理的對(duì)策分析[J].辦公室業(yè)務(wù),2014（11）:179-180.

第7篇

1.1技術(shù)方面

任何計(jì)算機(jī)網(wǎng)絡(luò)自身從設(shè)計(jì)上就存在被攻擊的缺點(diǎn)。特別是在一個(gè)互聯(lián)網(wǎng)上的網(wǎng)絡(luò),IP劫持和病毒攻擊就成了破壞網(wǎng)絡(luò)的主要?dú)⑹帧Ｆ淅镁W(wǎng)絡(luò)TCP/IP協(xié)議,通過偽造主機(jī)IP向相連計(jì)算機(jī)發(fā)送欺騙性的數(shù)據(jù)包,造成主機(jī)和網(wǎng)絡(luò)的癱瘓。雖然這些病毒不會(huì)對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)造成太大破壞,但其會(huì)造成計(jì)算機(jī)“罷工”并會(huì)大量占用網(wǎng)絡(luò),導(dǎo)致正常流量發(fā)生阻滯,為醫(yī)院正常工作帶來很大影響,導(dǎo)致各個(gè)科室網(wǎng)絡(luò)的癱瘓。借助路由協(xié)議缺陷的攻擊是引起網(wǎng)絡(luò)癱瘓甚至醫(yī)療信息外泄的另一個(gè)殺手。通過對(duì)路由協(xié)議缺陷的利用,入侵者能夠通過以偽裝為目的主機(jī)而監(jiān)聽和盜取所有目的主機(jī)的數(shù)據(jù)包,不僅會(huì)對(duì)醫(yī)院正常工作造成影響,還很容易造成醫(yī)療信息外泄。

1.2計(jì)算機(jī)系統(tǒng)本身

計(jì)算機(jī)一般是有硬件和軟件共同組成的。因此,網(wǎng)絡(luò)的安全既包括軟件方面的安全,也包括硬件方面的安全。大多數(shù)醫(yī)院服務(wù)器和工作站的操作系統(tǒng)多采用微軟的Windows系列操作系統(tǒng),但這也要求對(duì)計(jì)算的的使用賬號(hào)、用戶權(quán)限、網(wǎng)絡(luò)訪問等進(jìn)行嚴(yán)格的控制和管理,特別是運(yùn)用計(jì)算機(jī)進(jìn)行各類違規(guī)訪問或通過外來U盤、光盤等使導(dǎo)致計(jì)算機(jī)本身數(shù)據(jù)庫發(fā)生故障,從而引起整個(gè)系統(tǒng)的停運(yùn)。因此,在運(yùn)用計(jì)算機(jī)開發(fā)系統(tǒng)時(shí),數(shù)據(jù)庫的選擇至關(guān)重要,但醫(yī)院的數(shù)據(jù)庫時(shí)刻都處于動(dòng)態(tài)變化中,如果系統(tǒng)本身發(fā)生崩潰,也會(huì)導(dǎo)致數(shù)據(jù)的丟失。

1.3人為因素

據(jù)不完全統(tǒng)計(jì),某醫(yī)院三年內(nèi)局部網(wǎng)絡(luò)設(shè)備非正常斷電所引起的故障中96.8%都是人為因素導(dǎo)致,有130起為醫(yī)務(wù)人員不小心碰斷HUB電源導(dǎo)致計(jì)算機(jī)不能聯(lián)網(wǎng)。這一結(jié)果表明,人為因素是造成醫(yī)院網(wǎng)絡(luò)安全的重要原因。特別對(duì)于收費(fèi)、藥房等科室,一旦因人為因素造成計(jì)算機(jī)無法工作,將使整個(gè)醫(yī)院的運(yùn)行處于癱瘓狀態(tài),為醫(yī)院和患者帶來巨大損失。操作人員因操作失誤或安全意識(shí)不強(qiáng)、將自己賬號(hào)隨意轉(zhuǎn)借他人或與他人共享等可影響網(wǎng)絡(luò)安全,但對(duì)醫(yī)院構(gòu)不成較大的威脅;而人為惡意攻擊是醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,它可有選擇地破壞任意信息的有效性和完整性或在不影響正常工作情況下截獲、竊取信息,導(dǎo)致醫(yī)院信息被篡改、丟失,對(duì)醫(yī)院的利益產(chǎn)生影響。

2加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)安全與維護(hù),保證醫(yī)院工作順利開展,提高醫(yī)院效益和質(zhì)量

2.1加強(qiáng)計(jì)算機(jī)技術(shù)管理,提高網(wǎng)絡(luò)安全性

加強(qiáng)計(jì)算機(jī)技術(shù)管理和維護(hù),首先要建立網(wǎng)絡(luò)安全管理制度,保證各科室人員在制度規(guī)定的范圍內(nèi)進(jìn)行各項(xiàng)操作和數(shù)據(jù)錄入,并由網(wǎng)管人員進(jìn)行實(shí)時(shí)監(jiān)測技術(shù)、防火墻、完整性檢驗(yàn)保護(hù)技術(shù)、病毒情況分析報(bào)告技術(shù)和系統(tǒng)安全管理。特別是網(wǎng)絡(luò)訪問控制應(yīng)設(shè)定密碼和設(shè)置訪問權(quán)限,安裝病毒防火墻,對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測,并加強(qiáng)網(wǎng)絡(luò)目錄和文件訪問權(quán)限的設(shè)置,以提高網(wǎng)絡(luò)安全性;對(duì)數(shù)據(jù)庫進(jìn)行備份與恢復(fù)以維護(hù)數(shù)據(jù)安全性和完整性,在用硬盤和軟盤進(jìn)行備份時(shí),應(yīng)對(duì)其和計(jì)算機(jī)進(jìn)行徹底殺毒,以防止感染計(jì)算機(jī)使其發(fā)生故障。

2.2建立安全網(wǎng)絡(luò)維護(hù)管理,保證系統(tǒng)正常運(yùn)行

網(wǎng)管人員應(yīng)定期對(duì)服務(wù)器和網(wǎng)絡(luò)環(huán)境進(jìn)行檢測升級(jí),如對(duì)操作系統(tǒng)漏洞的檢測、對(duì)應(yīng)用軟件漏洞的檢測、對(duì)系統(tǒng)和應(yīng)用軟件升級(jí)和網(wǎng)絡(luò)維護(hù)等,對(duì)重要文件和系統(tǒng)增加防火墻和入侵檢測設(shè)備,進(jìn)行定期安全維護(hù)。按醫(yī)院規(guī)定使用網(wǎng)絡(luò),定期對(duì)醫(yī)院人員開展網(wǎng)絡(luò)與信息安全知識(shí)的學(xué)習(xí),增強(qiáng)網(wǎng)絡(luò)安全與信息保密意識(shí),以確保網(wǎng)絡(luò)暢通和信息內(nèi)容安全。

2.3加強(qiáng)計(jì)算機(jī)內(nèi)部人員管理,提高人員安全意識(shí)

第8篇

【關(guān)鍵詞】醫(yī)院，信息系統(tǒng)，安全管理

中圖分類號(hào)： TU714 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)：

一、前言

隨著現(xiàn)在科學(xué)技術(shù)的發(fā)展，醫(yī)院的管理也變得更加的信息化和系統(tǒng)化，這給醫(yī)院的管理和醫(yī)療活動(dòng)的進(jìn)行帶來了很大的方便。但是，在醫(yī)院的網(wǎng)絡(luò)信息系統(tǒng)中，還存在很多的不安全因素。因此，我們要加強(qiáng)醫(yī)院的信息系統(tǒng)的安全管理工作。

二、醫(yī)院信息系統(tǒng)中存在的安全問題

目前醫(yī)院信息系統(tǒng)(HIS)硬件和系統(tǒng)軟件的配置已具有較高的安全級(jí)別，但是筆者認(rèn)為信息系統(tǒng)還存在著以下一些安全問題需要解決。

1．訪問口令限制不嚴(yán)

現(xiàn)有HIS一般采取用戶連接信息簡單加密的方式以限制其他非法用戶獲取數(shù)據(jù)庫口令。但是在C／S模式下的客戶端仍然存放著直接訪問數(shù)據(jù)庫的用戶名和密碼，可以被簡單破解或偵聽。

2．網(wǎng)絡(luò)訪問隨意性大

醫(yī)院網(wǎng)絡(luò)可隨意互訪，信息流通和共享暢通無阻，在任何一個(gè)工作站點(diǎn)，均可隨意訪問整個(gè)網(wǎng)絡(luò)的資源，數(shù)據(jù)很易被非法竊取。

3．?dāng)?shù)據(jù)庫訪問無監(jiān)測

現(xiàn)有HIS中很少有對(duì)數(shù)據(jù)庫訪問的用戶進(jìn)行監(jiān)測、存檔和登記工作，即使數(shù)據(jù)庫的關(guān)鍵數(shù)據(jù)被竊取或破壞時(shí)，也無從查起。

4．客戶端硬件訪問無封鎖

現(xiàn)有的客戶端均帶有USB等硬件接口，可隨意接入移動(dòng)硬盤等外部設(shè)備，將危害信息安全的軟件流入醫(yī)院的內(nèi)部網(wǎng)絡(luò)。

5．?dāng)?shù)據(jù)庫用戶控制不嚴(yán)

目前很多HIS在數(shù)據(jù)庫用戶上沒有做嚴(yán)格的權(quán)限區(qū)分，往往只設(shè)1～2個(gè)用戶便可以訪問整個(gè)數(shù)據(jù)庫所有信息，這對(duì)信息安全是很不利的。

6．普通辦公PC機(jī)可以瀏覽到關(guān)鍵業(yè)務(wù)用機(jī)

普通用戶可以進(jìn)入重要的數(shù)據(jù)服務(wù)器系統(tǒng)；外來人員用便攜式電腦可接入醫(yī)院內(nèi)部局域網(wǎng)絡(luò)對(duì)服務(wù)器進(jìn)行攻擊或?qū)?shù)據(jù)進(jìn)行竊取等。

7．?dāng)?shù)據(jù)安全備份缺乏相對(duì)完整的數(shù)據(jù)備份計(jì)劃和檢查落實(shí)，容易引起數(shù)據(jù)丟失。

8．病毒的防范能力弱

體現(xiàn)在內(nèi)外網(wǎng)互連、非安全設(shè)備的接入，又沒有部署病毒防護(hù)軟件。

9．機(jī)房建設(shè)、綜合布線缺乏全面的規(guī)劃、建設(shè)不規(guī)范，存在安全隱患；沒有必要的設(shè)備冗余，難以應(yīng)對(duì)突況。

三、醫(yī)院信息系統(tǒng)中的安全管理措施

1.硬件安全

系統(tǒng)安全的硬指標(biāo)考慮的問題是多方面的，主要包括：

（一）硬件設(shè)備的預(yù)防性維護(hù)是確保信息系統(tǒng)正常運(yùn)行的行之有效的好辦法

設(shè)備工作時(shí)產(chǎn)生靜電極易吸附灰塵，大量的灰塵存積不但會(huì)縮短機(jī)器的使用壽命，而且還可能導(dǎo)致元器件短路，使機(jī)器過早的損壞。定期對(duì)主機(jī)、顯示器、打印機(jī)等設(shè)備內(nèi)部除塵，更換達(dá)到老化程度的零部件。定期運(yùn)行磁盤碎片整理程序、磁盤清理程序，優(yōu)化硬盤設(shè)置，優(yōu)化每個(gè)工作站子系統(tǒng)，確保系統(tǒng)運(yùn)行環(huán)境的安全。

（二）服務(wù)器、核心交換機(jī)等機(jī)房設(shè)備安全

雙機(jī)備份技術(shù)使服務(wù)器連續(xù)可靠運(yùn)行的重要保證，簡單地說是兩臺(tái)服務(wù)器同時(shí)處于工作狀態(tài)，當(dāng)一臺(tái)機(jī)器出現(xiàn)問題后另一臺(tái)機(jī)器能快速接替主服務(wù)器的工作；核心交換機(jī)采用雙冗余進(jìn)行備份，確保該交換機(jī)出現(xiàn)故障后備份交換機(jī)能迅速接替工作；磁盤陣列進(jìn)行冗余配置，采用RAID技術(shù)保證數(shù)據(jù)庫的可靠性，保證在硬盤損壞時(shí)數(shù)據(jù)不丟失。

（三）中心機(jī)房的工作環(huán)境是保證系統(tǒng)正常工作的一個(gè)重要條件

自然環(huán)境一般包括雷電、靜電、溫度、濕度、潔凈度、周圍空間的電磁輻射和供電電源的不穩(wěn)定等。在設(shè)計(jì)機(jī)房時(shí)，按《計(jì)算機(jī)場地技術(shù)條件))要求，安裝避雷設(shè)備、機(jī)房鋪設(shè)活動(dòng)抗靜電地板、安裝標(biāo)準(zhǔn)接地線、定期測試接地電阻值是否合格。安裝適合機(jī)房面積的空調(diào)，安裝恒溫恒濕設(shè)備。機(jī)房要遠(yuǎn)離強(qiáng)磁干擾和有害氣體。采用專線供電和大容量長延時(shí)在線式UPS，有條件的要準(zhǔn)備冗余UPS。注意防火、防盜、防塵。保證服務(wù)器、交換機(jī)、工作站、打印機(jī)等硬件免受自然災(zāi)害、人為破壞和攻擊，確保網(wǎng)絡(luò)設(shè)備有良好的工作環(huán)境。

2.軟件系統(tǒng)的安全管理

（一）操作系統(tǒng)，數(shù)據(jù)庫系統(tǒng)應(yīng)選擇正版的安全漏洞較少的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)，并時(shí)常更新漏洞補(bǔ)丁，對(duì)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行合理的安全策略配置，管理好超級(jí)用戶并定期更換其密碼是非常重要的。對(duì)操作系統(tǒng)、數(shù)據(jù)庫的關(guān)鍵操作應(yīng)開啟審計(jì)，并記錄用戶的誤操作或惡意行為，以便事后跟蹤及管理。同時(shí)也要加強(qiáng)對(duì)數(shù)據(jù)的冗余備份與恢復(fù)工作。

（二）應(yīng)用程序

HIS系統(tǒng)的特點(diǎn)是涉及部門多，系統(tǒng)復(fù)雜。醫(yī)院信息系統(tǒng)的外包依賴程度比其他行業(yè)系統(tǒng)明顯偏高，使得醫(yī)院的核心業(yè)務(wù)程序或數(shù)據(jù)火量暴露在外部不可控的專業(yè)人員面前，一旦這些外部人員有惡意動(dòng)機(jī)，將對(duì)醫(yī)院造成巨大的安全損失。因此，醫(yī)院在建設(shè)HIS系統(tǒng)時(shí)一定要選擇技術(shù)力量雄厚、信譽(yù)良好的公司的產(chǎn)品，以保證數(shù)據(jù)安全和良好的后期服務(wù)。

（三）病毒防治

醫(yī)院網(wǎng)絡(luò)同樣也是連接在互聯(lián)網(wǎng)的一個(gè)網(wǎng)絡(luò)，不可避免的要遭到這樣或者那樣的病毒的攻擊。這些病毒有些是普通沒有太大破壞的，而有些卻是能造成系統(tǒng)崩潰的高危險(xiǎn)病毒。病毒一方面會(huì)感染大量的機(jī)器，造成機(jī)器“罷工”并感染別的機(jī)器，會(huì)大量占用網(wǎng)絡(luò)帶寬，阻塞正常流量，形成拒絕服務(wù)攻擊。防病毒產(chǎn)品要定期更新升級(jí)，定期掃描。在不影響業(yè)務(wù)的前提下，關(guān)閉系統(tǒng)本身的弱點(diǎn)及漏洞并及時(shí)打上最新的安全補(bǔ)丁。防毒除了通常的工作站防毒外，e-mail防毒和網(wǎng)關(guān)式防毒己經(jīng)越來越成為消除病毒源的關(guān)鍵。為保證HIS系統(tǒng)安全，采取軟件和硬件相結(jié)合的病毒防治方案，經(jīng)常升級(jí)安全補(bǔ)丁和病毒庫。

3.制定機(jī)房管理規(guī)章制度和明確工作人員職責(zé)

根據(jù)實(shí)際情況建立信息系統(tǒng)服務(wù)器機(jī)房安全管理制度、操作權(quán)限管理制度等相關(guān)規(guī)章制度，規(guī)范機(jī)房管理。建立信息系統(tǒng)操作流程、網(wǎng)絡(luò)安全管理制度等相關(guān)的規(guī)章制度，所有人員必須按照規(guī)章制度、操作權(quán)限和操作規(guī)程進(jìn)行操作。明確人員職責(zé)，機(jī)房、服務(wù)器的管理由專人負(fù)責(zé)，其他人員不得越權(quán)訪問服務(wù)器，以免造成數(shù)據(jù)丟失。服務(wù)器專管人員應(yīng)定期更換操作口令，嚴(yán)禁任何人泄露操作口令。定期檢查系統(tǒng)日志文件以及關(guān)鍵配置文件，建立安全事故的報(bào)告與響應(yīng)制度并嚴(yán)格實(shí)施。同時(shí)建立完整的設(shè)備故障及處理記錄。

4.數(shù)據(jù)的安全管理

醫(yī)院在運(yùn)行過程中所產(chǎn)生的數(shù)據(jù)是醫(yī)院賴以生存的寶貴財(cái)富，既包含與病人相關(guān)的數(shù)據(jù)，又包含經(jīng)濟(jì)方面的數(shù)據(jù)。計(jì)算機(jī)聯(lián)網(wǎng)后，數(shù)據(jù)如果遭到破壞或丟失，就會(huì)給醫(yī)院的建設(shè)帶來不可估量的損失。因此，為保證醫(yī)院信息系統(tǒng)的正常運(yùn)行及數(shù)據(jù)安全，必須建立一套完整可靠的數(shù)據(jù)備份及恢復(fù)方案。

（一）備份醫(yī)院信息系統(tǒng)的數(shù)據(jù)對(duì)醫(yī)院非常重要，數(shù)據(jù)丟失造成的損失不可估量。為確保醫(yī)院信息系統(tǒng)數(shù)據(jù)安全，必須定期備份數(shù)據(jù)，既可保留以往數(shù)據(jù)便于查找，保證服務(wù)器硬盤空間充足；又可在原始數(shù)據(jù)丟失或遭到破壞時(shí)，利用備份數(shù)據(jù)將原始數(shù)據(jù)恢復(fù)，盡快使系統(tǒng)正常工作，確保數(shù)據(jù)更加安全。

（二）應(yīng)急措施備份可使系統(tǒng)數(shù)據(jù)得到保存和恢復(fù)，但系統(tǒng)出現(xiàn)故障時(shí)，醫(yī)院的正常診療不能停止，這就要求信息系統(tǒng)必須提供必要的應(yīng)急措施。根據(jù)醫(yī)院特點(diǎn)，應(yīng)急方案可分為門診和住院兩部分，門診部分可通過單機(jī)收費(fèi)方案進(jìn)行應(yīng)急，住院部分可通過單機(jī)錄人醫(yī)囑確保住院病人得到及時(shí)治療。

（三）災(zāi)難恢復(fù)有了完善的備份措施，才能夠保證災(zāi)難恢復(fù)順利進(jìn)行。要保證災(zāi)難恢復(fù)的可靠性，僅進(jìn)行備份是不夠的，需制定詳細(xì)的災(zāi)難恢復(fù)措施，以保證信息系統(tǒng)的順利運(yùn)行。

四、結(jié)語

在對(duì)醫(yī)院的信息系統(tǒng)進(jìn)行管理的過程中，我們要盡量考慮到那些不安全因素的影響，并且采取一定的措施進(jìn)行防范，建立完善的管理制度，從而保證醫(yī)院信息系統(tǒng)的安全和穩(wěn)定。

參考文獻(xiàn)

[1]許同來 谷敏 淺談醫(yī)院無線網(wǎng)絡(luò)的安全管理[J]《中國醫(yī)療器械信息》2012年5期

[2]孟一清 淺談醫(yī)院信息安全管理 [J]《中國衛(wèi)生產(chǎn)業(yè)》 2011年34期

第9篇

［關(guān)鍵詞］ 桌面安全；大型企業(yè)；中國石油

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 14. 034

［中圖分類號(hào)］ F272.7 ［文獻(xiàn)標(biāo)識(shí)碼］ A ［文章編號(hào)］ 1673 - 0194（2012）14- 0058- 02

1 引 言

經(jīng)過數(shù)十年的信息安全建設(shè)，國內(nèi)大型企業(yè)的網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的安全防護(hù)能力已經(jīng)達(dá)到一定水平。但是信息安全故障并沒有隨著信息安全投入的增加而下降。經(jīng)過統(tǒng)計(jì)發(fā)現(xiàn)，內(nèi)部網(wǎng)絡(luò)和應(yīng)用系統(tǒng)發(fā)生故障的原因少部分是由于網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)自身的問題所引起，更多的是因?yàn)閮?nèi)網(wǎng)的其他安全因素導(dǎo)致，如病毒爆發(fā)、資源濫用、惡意接入、用戶誤操作等。而這些安全因素，大多來源于用戶桌面計(jì)算機(jī)，桌面安全管理已經(jīng)是各個(gè)企業(yè)迫在眉睫的安全建設(shè)內(nèi)容。

2 影響桌面安全的因素

2.1 企業(yè)安全組織體系不健全，專職人員缺失

大型企業(yè)的業(yè)務(wù)跨度大，地域分布廣。各個(gè)二級(jí)單位的信息安全水平發(fā)展不一。有的二級(jí)單位信息部門職工上千名，有的單位卻沒有獨(dú)立的信息部門。但所有的二級(jí)單位都統(tǒng)一在企業(yè)內(nèi)網(wǎng)中運(yùn)行，各類統(tǒng)建系統(tǒng)在所有二級(jí)單位中運(yùn)行。對(duì)于沒有沒有獨(dú)立的信息部門的二級(jí)單位 ，更沒有負(fù)責(zé)安全體系建設(shè)、運(yùn)行和管理的專職機(jī)構(gòu)及人員，兼職安全管理員有責(zé)無權(quán)的現(xiàn)象普遍存在，依據(jù)“短板”理論，極易從信息安全力量較弱的單位為突破口，進(jìn)而影響到整個(gè)企業(yè)信息安全。特別是信息安全技術(shù)的快速發(fā)展，信息安全人員需不斷提升自身素質(zhì)，加強(qiáng)業(yè)務(wù)水平，才能保證桌面安全運(yùn)行。

2.2 企業(yè)職工計(jì)算機(jī)缺乏安全加固手段

盡管多數(shù)大型企業(yè)對(duì)桌面計(jì)算機(jī)的安全加固已經(jīng)采取了部分安全措施，如安裝防病毒軟件和個(gè)人防火墻軟件，甚至部署了漏洞掃描系統(tǒng)定期對(duì)桌面計(jì)算機(jī)進(jìn)行漏洞掃描，督促用戶及時(shí)更新操作系統(tǒng)補(bǔ)丁。但是，首先由于企業(yè)規(guī)模較大，管理者無法保證所有的終端用戶都安裝了防病毒軟件和防火墻軟件。其次，即便安裝了這些防護(hù)軟件，用戶也常常因?yàn)楦鞣N原因無法及時(shí)更新病毒庫。另外，系統(tǒng)漏洞掃描雖然可以獲得桌面計(jì)算機(jī)的補(bǔ)丁缺失情況，但是卻缺乏有效的補(bǔ)丁安裝手段。所有這些因素，均導(dǎo)致桌面計(jì)算機(jī)的安全無法得到有效的保障。

2.3 企業(yè)職工計(jì)算機(jī)缺少有效的接入控制手段

對(duì)于大型企業(yè)，內(nèi)網(wǎng)計(jì)算機(jī)數(shù)量眾多且分布地域廣闊。網(wǎng)絡(luò)管理人員很難統(tǒng)計(jì)內(nèi)網(wǎng)計(jì)算機(jī)的確切數(shù)量，也無法區(qū)分哪些是內(nèi)網(wǎng)授權(quán)使用的計(jì)算機(jī)，哪些是外來的非授權(quán)使用的計(jì)算機(jī)。這種狀況下，很難控制外來人員隨意的計(jì)算機(jī)接入。很容易導(dǎo)致企業(yè)內(nèi)網(wǎng)機(jī)密信息的泄漏，往往等泄密事件發(fā)生了，卻還無法判斷到底是哪一個(gè)環(huán)節(jié)出了差錯(cuò)。另外，對(duì)于內(nèi)網(wǎng)授權(quán)使用的計(jì)算機(jī)，任何一臺(tái)感染了病毒和木馬，網(wǎng)絡(luò)管理人員也無法及時(shí)定位和自動(dòng)阻斷該計(jì)算機(jī)的破壞行為。往往需要花費(fèi)很長的時(shí)間才能判斷和定位該計(jì)算機(jī)，然后再通過手動(dòng)的方式斷網(wǎng)。對(duì)安全強(qiáng)度差的桌面計(jì)算機(jī)缺乏有效的安全狀態(tài)檢測和內(nèi)網(wǎng)接入控制，是導(dǎo)致內(nèi)網(wǎng)安全事件不斷發(fā)生的重要原因之一。

3 大型企業(yè)桌面安全管理建設(shè)

中國石油信息化建設(shè)處于我國大型企業(yè)領(lǐng)先地位，在國資委歷年信息化評(píng)比中都名列前茅，“十一五”期間，將企業(yè)信息安全保障體系建設(shè)列入信息化整體規(guī)劃中，并逐步實(shí)施，其中桌面安全管理建設(shè)是信息安全保障體系建設(shè)的重點(diǎn)工作，從組織、管理及技術(shù)3個(gè)方面進(jìn)行全面建設(shè)。

3.1 完善安全組織體系建設(shè)

中國石油建立三級(jí)的終端安全組織架構(gòu)，分別為石油總部、地區(qū)公司、地區(qū)二級(jí)單位。終端安全組織在每一級(jí)設(shè)立專門的組織，明確主管領(lǐng)導(dǎo)，確定組織責(zé)任，設(shè)置相應(yīng)崗位，配備必要人員。其中集團(tuán)信息化領(lǐng)導(dǎo)小組是信息系統(tǒng)安全工作的最高決策機(jī)構(gòu)，信息管理部是集團(tuán)公司信息系統(tǒng)安全的歸口管理部門，負(fù)責(zé)落實(shí)信息化工作領(lǐng)導(dǎo)小組的各項(xiàng)決策。企事業(yè)單位信息部門負(fù)責(zé)本單位信息系統(tǒng)安全的管理，并設(shè)立信息系統(tǒng)安全管理、審計(jì)、技術(shù)崗位，包括信息系統(tǒng)安全、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)等負(fù)責(zé)人和管理員，重要崗位設(shè)置兩名員工互為備份。

3.2 強(qiáng)化安全管理體系建設(shè)

安全管理體系從管理制度、培訓(xùn)教育、運(yùn)行管理及檢查考核4方面進(jìn)行強(qiáng)化。①管理制度。根據(jù)中國石油信息安全的需求，分階段逐步制定并完善信息系統(tǒng)安全管理的規(guī)章制度，加大整個(gè)信息安全制度體系的貫徹執(zhí)行力度，才能使安全防護(hù)能力得到不斷的提高，整體信息安全才能落到實(shí)處。②培訓(xùn)教育。信息安全培訓(xùn)涉及信息安全法律法規(guī)、信息安全事件案例等多方面，通過培訓(xùn)一方面提高企業(yè)員工的安全意識(shí)，使員工自覺約束自我行為，遵守各項(xiàng)信息安全規(guī)章制度、標(biāo)準(zhǔn)規(guī)范；另一方面及時(shí)掌握必要的信息安全技術(shù)知識(shí)和技能，在實(shí)際工作中充分利用技術(shù)手段保障信息安全。③運(yùn)行管理。 通過統(tǒng)一設(shè)計(jì)、統(tǒng)一平臺(tái)，統(tǒng)一硬件體系架構(gòu)，建立中石油桌面運(yùn)行管理系統(tǒng)。采用三級(jí)架構(gòu)，分別在總部、區(qū)域數(shù)據(jù)中心部署服務(wù)器和管理軟件，各企事業(yè)單位的桌面計(jì)算機(jī)安裝客戶端軟件，整個(gè)運(yùn)行管理由防病毒子系統(tǒng)、補(bǔ)丁分發(fā)子系統(tǒng)、端點(diǎn)準(zhǔn)入子系統(tǒng)、電子文檔保護(hù)子系統(tǒng)、后臺(tái)管理子系統(tǒng)組成。其中通過端點(diǎn)準(zhǔn)入防御系統(tǒng)，只有符合安全要求且通過用戶認(rèn)證的計(jì)算機(jī)才能接入內(nèi)部網(wǎng)絡(luò)使用，防止“危險(xiǎn)”、“易感”終端接入網(wǎng)絡(luò)，控制病毒、蠕蟲的蔓延。補(bǔ)丁管理系統(tǒng)與防病毒系統(tǒng)相結(jié)合，實(shí)時(shí)監(jiān)測和殺除病毒，實(shí)現(xiàn)對(duì)漏洞、病毒及惡意代碼的管理和控制，電子文檔保護(hù)子系統(tǒng)、后臺(tái)管理子系統(tǒng)增強(qiáng)系統(tǒng)及電腦文檔的安全性。④檢查考核。信息管理部門定期進(jìn)行信息系統(tǒng)安全檢查與考核，包括信息系統(tǒng)安全政策與標(biāo)準(zhǔn)的培訓(xùn)與執(zhí)行情況、重大信息系統(tǒng)安全事件及整改措施落實(shí)情況、現(xiàn)有信息系統(tǒng)安全措施的有效性、信息系統(tǒng)安全技術(shù)指標(biāo)的完成情況。各企事業(yè)單位信息部門按照本辦法和《集團(tuán)公司信息系統(tǒng)運(yùn)行維護(hù)管理辦法》進(jìn)行信息系統(tǒng)安全自我考核，信息管理部進(jìn)行綜合評(píng)價(jià)，形成年度考核報(bào)告，報(bào)信息主管領(lǐng)導(dǎo)。

3.3 增強(qiáng)桌面安全技術(shù)建設(shè)

桌面安全技術(shù)指物理安全、邏輯安全及運(yùn)行安全三大模塊，通過與企業(yè)內(nèi)控管理進(jìn)行有機(jī)結(jié)合，依據(jù)《中國石油天然氣集團(tuán)公司信息系統(tǒng)總體控制實(shí)施要求》，嚴(yán)格執(zhí)行相關(guān)操作規(guī)范，其中物理安全指進(jìn)入機(jī)房的物理安全訪問控制機(jī)制、設(shè)備的物理安全管理、敏感的紙質(zhì)系統(tǒng)文件管理。邏輯安全包括系統(tǒng)登錄身份驗(yàn)證、用戶賬號(hào)及特權(quán)用戶賬戶管理、密碼管理、用戶權(quán)限管理、終端合規(guī)性管理等。運(yùn)行安全包括病毒防護(hù)及病毒事件的處理、安全系統(tǒng)的備份與恢復(fù)、應(yīng)急事件的處理。

4 結(jié)束語

隨著信息技術(shù)應(yīng)用的不斷深入，國內(nèi)大型企業(yè)信息系統(tǒng)集中程度不斷提高，業(yè)務(wù)對(duì)信息系統(tǒng)依賴程度的不斷加大，迫切需要建立與業(yè)務(wù)發(fā)展和信息化水平相適應(yīng)的信息安全體系。與此同時(shí)，國家了一系列相關(guān)文件，提出對(duì)涉及國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重點(diǎn)行業(yè)、企業(yè)的關(guān)鍵信息系統(tǒng)實(shí)施信息安全等級(jí)保護(hù)等要求。桌面安全責(zé)任也日益增大。只有通過從組織、管理、技術(shù)全面建設(shè)，才能有效提升桌面計(jì)算機(jī)抵御安全威脅的能力，提高桌面安全管理水平，達(dá)到桌面計(jì)算機(jī)有防護(hù)、有檢測、可控制、可審計(jì)，建設(shè)統(tǒng)一桌面安全管理系統(tǒng)，中石油通過兩年的桌面安全建設(shè)，取得了良好效果。

主要參考文獻(xiàn)

［1］孫海.醫(yī)院桌面終端信息安全管理思考 ［J］．現(xiàn)代醫(yī)院，2011（5）.

第10篇

關(guān)鍵詞：醫(yī)院信息系統(tǒng)；網(wǎng)絡(luò)安全控制系統(tǒng)

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2012)11-2470-02

A Hospital Network Security Solutions

LIU Chang-sheng，SHI Wei

(Information Department of No.105 Hospital of PLA, Heifei 230031, China)

Abstract: With the development of hospital information systems, network and information security issues become increasingly prominent, and how to ensure the running of medical information in a safe and stable state, became the new issue of the hospital information. The article introduces the security status of the hospital information system and analyzed make a positive contribution with safe and stable operation of the hospital network after using a corporate network security control system.

Key words: hospital information system; network security control system

1醫(yī)院信息系統(tǒng)安全現(xiàn)狀

隨著計(jì)算機(jī)技術(shù)的迅速發(fā)展以及廣泛應(yīng)用，計(jì)算機(jī)在醫(yī)學(xué)領(lǐng)域的使用也得到廣泛的運(yùn)用。醫(yī)院信息系統(tǒng)是誕生于20世紀(jì)初的產(chǎn)物，當(dāng)時(shí)單機(jī)版的收費(fèi)系統(tǒng)代替了傳統(tǒng)的手工收費(fèi)，隨著技術(shù)的不斷發(fā)展，院內(nèi)局域網(wǎng)模式的醫(yī)院信息系統(tǒng)在全國醫(yī)院如雨后春筍般的出現(xiàn)，同時(shí)隨著國家醫(yī)療保險(xiǎn)政策的不斷完善，醫(yī)院信息系統(tǒng)已經(jīng)由院內(nèi)局域網(wǎng)模式逐步走向全市、全省乃至全國聯(lián)網(wǎng)的發(fā)展模式。醫(yī)院信息系統(tǒng)正在變成醫(yī)療體系結(jié)構(gòu)中不可或缺的基礎(chǔ)架構(gòu),然而在計(jì)算機(jī)和互聯(lián)網(wǎng)快速發(fā)展的今天,其安全問題也逐漸突顯出來阻礙信息化的進(jìn)一步發(fā)展[1]。

我院醫(yī)院信息系統(tǒng)（HIS系統(tǒng)）目前采用C/S架構(gòu)模式，各種服務(wù)器20余臺(tái)，HIS終端近600臺(tái)，與合肥市、安徽省各縣市實(shí)現(xiàn)了醫(yī)保聯(lián)網(wǎng)，醫(yī)院網(wǎng)絡(luò)已經(jīng)由封閉走向了開放的模式。醫(yī)院網(wǎng)絡(luò)環(huán)境的復(fù)雜使得網(wǎng)絡(luò)面臨了重大的安全隱患，既要保證醫(yī)院合法用戶對(duì)信息訪問，又要對(duì)其進(jìn)行相應(yīng)的權(quán)限控制；既要保證內(nèi)網(wǎng)與外網(wǎng)信息的傳輸通暢，又要保證內(nèi)網(wǎng)的信息安全。因此，如何管理網(wǎng)絡(luò)中數(shù)量龐大、安全脆弱的電腦終端，如何保障機(jī)密數(shù)據(jù)不被泄露、篡改和非法訪問，如何持續(xù)監(jiān)控支持關(guān)鍵業(yè)務(wù)的各種軟件、硬件系統(tǒng)是否在正常運(yùn)行，如何讓IT維護(hù)人員由疲于奔命的“救火隊(duì)員”變?yōu)椤胺阑痍?duì)員”，這些成了現(xiàn)今網(wǎng)絡(luò)安全管理的重大問題。

2醫(yī)院信息系統(tǒng)安全處理措施

針對(duì)網(wǎng)絡(luò)環(huán)境的復(fù)雜性，網(wǎng)絡(luò)安全管理必須要做到以下幾點(diǎn)：1）主動(dòng)性：要能自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)上的所有終端，并能準(zhǔn)確掌握每臺(tái)終端的管理狀態(tài)；2）可控性：未經(jīng)許可的終端非法接入要禁止其訪問內(nèi)部資源；3）方便性：安全管理要方便IT維護(hù)人員。我院主要采用某公司的安全管理控制系統(tǒng)實(shí)行對(duì)全院網(wǎng)絡(luò)安全運(yùn)行的監(jiān)管。其功能主要具備四大部分：準(zhǔn)入控制、系統(tǒng)安全、信息安全、桌面安全管理。

2.1準(zhǔn)入控制

醫(yī)院網(wǎng)絡(luò)處于高度開放的狀態(tài)，網(wǎng)路接入點(diǎn)遍布醫(yī)院各角落，只要具備一定的網(wǎng)絡(luò)基礎(chǔ)知識(shí)就可以通過設(shè)備非法接入醫(yī)院網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)安全造成極大地危害。通過控制系統(tǒng)的準(zhǔn)入控制功能實(shí)現(xiàn)對(duì)局域網(wǎng)中的各種設(shè)備的接入進(jìn)行控制，禁止設(shè)備的非法接入，通過與智能交換機(jī)的結(jié)合使得只有安裝了控制系統(tǒng)的設(shè)備才允許訪問網(wǎng)絡(luò)，同時(shí)可以監(jiān)測接入網(wǎng)絡(luò)的設(shè)備是否已經(jīng)安裝了該控制系統(tǒng)，對(duì)于沒有安裝該系統(tǒng)的設(shè)備禁止其訪問網(wǎng)絡(luò)，保證了對(duì)網(wǎng)絡(luò)訪問的安全性。而且控制系統(tǒng)還能根據(jù)設(shè)備的IP、MAC等信息找到設(shè)備的物理位置，準(zhǔn)確找到非法用戶的存在。

2.2系統(tǒng)安全

即使合法接入醫(yī)院網(wǎng)絡(luò)的設(shè)備同樣也存在著眾多安全隱患，控制系統(tǒng)提供了詳細(xì)的系統(tǒng)安全管理方案。包括防病毒管理、上網(wǎng)行為管理、網(wǎng)絡(luò)異常分析、軟件進(jìn)程的管理等功能。通過系統(tǒng)定義的各種符合醫(yī)院實(shí)際的策略實(shí)施到各客戶端，可以有效的對(duì)各客戶端進(jìn)行管理，策略內(nèi)的操作可以正常使用，一旦操作超過策略以外，就會(huì)提示用戶沒有權(quán)限使用此功能，可以有效的避免了操作員的誤操作對(duì)系統(tǒng)造成的破壞。由于醫(yī)院通過電信光纖接入省市醫(yī)保中心，所以使用外網(wǎng)的權(quán)限要得到有效的控制，否則將對(duì)醫(yī)院的網(wǎng)絡(luò)安全造成極大地威脅。通過控制系統(tǒng)的上網(wǎng)策略限制只有某些有權(quán)限的用戶可以使用外網(wǎng)功能，即使其他用戶將計(jì)算機(jī)脫離院內(nèi)局域網(wǎng)也無法使用互聯(lián)網(wǎng)功能。

2.3信息安全

防信息泄露作為安全管理套件的核心子系統(tǒng)，將基于文件驅(qū)動(dòng)的透明加解密技術(shù)和網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)有效結(jié)合，全面徹底地解決了文檔泄密和數(shù)據(jù)庫泄密問題。

傳統(tǒng)的防止數(shù)據(jù)庫泄密問題是通過審計(jì)手段即通過主機(jī)上的日志審計(jì)和基于網(wǎng)絡(luò)監(jiān)聽的數(shù)據(jù)包審計(jì)實(shí)現(xiàn)，此種方法只能用于事后追查，無法做到事前防范。安全管理控制系統(tǒng)通過強(qiáng)制手段解決信息泄密防護(hù)問題，變事后審計(jì)為事前防范，防止內(nèi)部用戶泄露數(shù)據(jù)庫信息內(nèi)容。

文檔信息防泄密通過多種加密算法對(duì)文檔進(jìn)行加密，采用基于PKI體系的文檔權(quán)限管理控制，支持文件證書、UKEY等。同時(shí)對(duì)設(shè)備U盤等移動(dòng)存儲(chǔ)介質(zhì)實(shí)行全面管控，禁止非授權(quán)移動(dòng)存儲(chǔ)介質(zhì)在內(nèi)網(wǎng)使用，防止內(nèi)部移動(dòng)存儲(chǔ)介質(zhì)在外部非法使用，這樣大大降低介質(zhì)丟失后泄密的安全風(fēng)險(xiǎn)，同時(shí)也可以保證內(nèi)外網(wǎng)數(shù)據(jù)交換安全、方便。

2.4桌面安全管理

醫(yī)院現(xiàn)有各種設(shè)備終端近600余臺(tái)，設(shè)備的日常維護(hù)需要很大的工作量。當(dāng)遇到需要現(xiàn)場操作的時(shí)候，維護(hù)人員就會(huì)出現(xiàn)滿院跑的現(xiàn)象，浪費(fèi)時(shí)間精力。控制軟件的桌面管理功能提供了補(bǔ)丁管理、軟件分發(fā)、資產(chǎn)管理、遠(yuǎn)程協(xié)助和管理、拓?fù)涔芾淼裙δ堋？梢宰詣?dòng)從系統(tǒng)廠商下載補(bǔ)丁，自動(dòng)檢查客戶端需要安裝的補(bǔ)丁、已經(jīng)安裝的補(bǔ)丁和未安裝的補(bǔ)丁。統(tǒng)一制定策略定時(shí)/即時(shí)和自動(dòng)/手動(dòng)安裝需要的補(bǔ)丁。可對(duì)數(shù)量龐大的桌面電腦做統(tǒng)一的軟件自動(dòng)分發(fā)和安裝，將安裝包準(zhǔn)確地分發(fā)到目標(biāo)桌面電腦，支持中繼方式進(jìn)行軟件包分發(fā)，能自動(dòng)緘默安裝、自動(dòng)彈出界面強(qiáng)制安裝、提示用戶手工安裝等。支持對(duì)Windows98、2000、XP等系統(tǒng)的桌面遠(yuǎn)程控制。

3總結(jié)

醫(yī)院信息系統(tǒng)牽涉面廣，要保證網(wǎng)絡(luò)的安全，不僅保證服務(wù)器、網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路以及數(shù)據(jù)庫的安全穩(wěn)定運(yùn)行，還要依靠安全控制系統(tǒng)對(duì)醫(yī)院網(wǎng)絡(luò)實(shí)行有效的監(jiān)管和控制，讓網(wǎng)絡(luò)處于可控范圍內(nèi)，這樣才能保證網(wǎng)絡(luò)一直處于安全穩(wěn)定的運(yùn)行狀態(tài)。[2]

參考文獻(xiàn):

第11篇

關(guān)鍵詞：醫(yī)院；網(wǎng)絡(luò)安全；防控

中圖分類號(hào)：R197.324文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2012) 02-0000-02

Hospital Network Security Status and Prevention Control Measures

Wen Zhigang

(Liling Chinese Medical Hospital,Liling412200,China)

Abstract:With the development of information society,the hospital's degree of information technology further,the rapid development of the network medium for the hospital industry in China has brought scientific management mode,which makes the administration of the hospital,medical management step into a standardized,embarked on a path of sustainable development.Hospital network system security there is some insecurity out of these factors may lead to the hospital network system came to a standstill,so the hospital the day-to-day operation chaos.This paper analyzes China Hospital widespread network security risks,positive and effective prevention and control measures, and how to establish a secure hospital network,enhance network security management,help to further standardize the order of the hospital network management,information technology for China's medical cause the steady development of the building provide a strong guarantee.

Keywords:Hospital;Network security;Prevention and control

醫(yī)院管理涉及到醫(yī)療、護(hù)理、藥劑、設(shè)備、科研教學(xué)等綜合管理各個(gè)方面，醫(yī)院管理是一項(xiàng)系統(tǒng)工程。醫(yī)院內(nèi)部的信息交流非常復(fù)雜，管理任務(wù)也是很繁重。隨著全球信息網(wǎng)絡(luò)數(shù)字化發(fā)展進(jìn)程的加快，醫(yī)院現(xiàn)代化建設(shè)也在加速，傳統(tǒng)醫(yī)院體制已經(jīng)無法適應(yīng)市場競爭，而醫(yī)院衛(wèi)生事業(yè)改革步伐正在加快，求生存、謀發(fā)展也是醫(yī)院面臨的首要問題，要解決這個(gè)問題，就要全面建設(shè)醫(yī)院信息管理電子計(jì)算機(jī)系統(tǒng)，將醫(yī)院衛(wèi)生信息資源充分利用起來，努力提高醫(yī)院管理水平。從醫(yī)院的醫(yī)療衛(wèi)生到醫(yī)院的各項(xiàng)行政事業(yè)，都是網(wǎng)絡(luò)信息的集成與全面的共享化管理結(jié)合的成果，最終實(shí)現(xiàn)醫(yī)院自動(dòng)化管理。醫(yī)院決策者一定要重視這種管理技術(shù)，為實(shí)現(xiàn)的長遠(yuǎn)目標(biāo)，要加大對(duì)網(wǎng)絡(luò)安全管理的投入，通過全員的努力與實(shí)踐，使醫(yī)院向著信息共享化的方向穩(wěn)定發(fā)展。

一、信息系統(tǒng)存在的隱患

（一）醫(yī)院局域網(wǎng)內(nèi)缺少網(wǎng)絡(luò)安全設(shè)備，網(wǎng)絡(luò)入侵偵測系統(tǒng)使得外部網(wǎng)站和局域網(wǎng)都暴露在黑客的面前，這樣黑客就很容易侵入到外部網(wǎng)站和局域網(wǎng)內(nèi)部，攻擊或并竊取信息。而且對(duì)于網(wǎng)絡(luò)內(nèi)部和外部用戶的錯(cuò)誤操作、資源濫用等惡意行為都不能有效阻止，并及時(shí)報(bào)警，即使網(wǎng)絡(luò)系統(tǒng)裝有防火墻或殺毒軟件，也不能阻止問題的發(fā)生。病毒對(duì)系統(tǒng)安全威脅較大，病毒感染呈現(xiàn)出網(wǎng)絡(luò)化傳播迅速、隱蔽性強(qiáng)、危害多樣化等特點(diǎn)。由于一些人為或者非人為的因素，使得系統(tǒng)會(huì)多次遭受病毒的感染或者入侵。但是，醫(yī)院對(duì)網(wǎng)絡(luò)安全的解決方案并不能徹底改變現(xiàn)狀，網(wǎng)絡(luò)管理者的任何一次疏忽，都可能造成系統(tǒng)癱瘓，導(dǎo)致致命的錯(cuò)誤出現(xiàn)[1]。

（二）醫(yī)院網(wǎng)絡(luò)工作環(huán)境隱患，如門診、急診等網(wǎng)絡(luò)安全出現(xiàn)故障，造成門診收費(fèi)中斷，可能會(huì)由于搶修時(shí)間過長，造成病人排隊(duì)，耽誤病人及時(shí)就診時(shí)機(jī)；也可能由于醫(yī)院里有些舊的建筑物，年已失修，防雷措施不到位，時(shí)間長了，防雷系統(tǒng)中存在漏洞，出現(xiàn)交換機(jī)被雷打壞的情況，對(duì)系統(tǒng)和設(shè)備都造成了不小的損失。雖然已經(jīng)在每座建筑物設(shè)置交換設(shè)備的地方做了防雷擊措施。網(wǎng)絡(luò)安全聯(lián)系到醫(yī)院的各個(gè)部門，滲入到醫(yī)院的各個(gè)系統(tǒng)中，它的差錯(cuò)會(huì)導(dǎo)致醫(yī)院的各項(xiàng)流程中斷，使患者陷入不利的境地，同時(shí)醫(yī)院的各項(xiàng)工作也無法銜接。

（三）醫(yī)院的硬件設(shè)備故障。醫(yī)院的服務(wù)器中容易受損的部件是硬盤。服務(wù)器中硬盤的損壞會(huì)造成系統(tǒng)癱瘓，數(shù)據(jù)丟失，這種危害性很大，以致影響到全院的信息系統(tǒng)正常運(yùn)行。同時(shí)由于醫(yī)院缺乏計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識(shí)，近些年來，計(jì)算機(jī)信息技術(shù)高速發(fā)展，計(jì)算機(jī)在信息安全策略和技術(shù)方面取得很大的進(jìn)展與成績。醫(yī)院在網(wǎng)絡(luò)化的普及和應(yīng)用方面，對(duì)信息安全的認(rèn)識(shí)距離實(shí)際需要差距較大，對(duì)于新出現(xiàn)的信息安全問題，相關(guān)負(fù)責(zé)人認(rèn)識(shí)不足，醫(yī)院雖然對(duì)網(wǎng)絡(luò)安全一直非常重視，但由于各種原因，還沒有一套統(tǒng)一、完善的計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范，以此能夠指導(dǎo)整個(gè)醫(yī)院系統(tǒng)，由于缺乏統(tǒng)一的信息安全管理規(guī)范，網(wǎng)絡(luò)建設(shè)一直停步不前[2]。

（四）醫(yī)院沒有與信息系統(tǒng)特點(diǎn)相適應(yīng)的計(jì)算機(jī)信息安全體系。近幾年來，醫(yī)院里只有部分是針對(duì)工作站機(jī)器安全的管理辦法。目前，在整個(gè)醫(yī)院計(jì)算機(jī)的各個(gè)領(lǐng)域應(yīng)用越來越多。但醫(yī)院在計(jì)算機(jī)安全策略、安全技術(shù)、和安全措施等方面，欠缺投入，不能保證系統(tǒng)安全、穩(wěn)定、高效運(yùn)行。

二、醫(yī)院信息系統(tǒng)安全的影響因素

（一）醫(yī)院信息系統(tǒng)安全有人為不當(dāng)操作的因素存在。醫(yī)院信息系統(tǒng)的操作員對(duì)安全配置處理不當(dāng)，最終造成醫(yī)院網(wǎng)絡(luò)系統(tǒng)有安全漏洞，還有一些用戶安全意識(shí)不強(qiáng)；友誼操作員違規(guī)操作，處理不慎；用戶將自己的賬號(hào)轉(zhuǎn)借他人或與別人共享等都給醫(yī)院網(wǎng)絡(luò)安全帶來威脅。

（二）醫(yī)院信息系統(tǒng)安全受到病毒的攻擊。由于醫(yī)院的業(yè)務(wù)繁多，必須要和各醫(yī)保中心、農(nóng)村合作醫(yī)療等醫(yī)療保險(xiǎn)有業(yè)務(wù)往來，這就致使醫(yī)院的網(wǎng)絡(luò)和外界網(wǎng)絡(luò)有連接， 這是不可避免的，這樣的鏈接很有可能使醫(yī)院遭到這樣或者那樣的病毒的攻擊。一些病毒攻擊性較小，對(duì)醫(yī)院的網(wǎng)絡(luò)安全危害性不大，不會(huì)導(dǎo)致系統(tǒng)正常運(yùn)作；而有些高危險(xiǎn)病毒卻能造成系統(tǒng)崩潰，這樣的高危險(xiǎn)病毒會(huì)感染大量的機(jī)器，造成醫(yī)院里的計(jì)算機(jī)出現(xiàn)故障，阻塞正常網(wǎng)絡(luò)的流量[3]。

（三）醫(yī)院信息系統(tǒng)軟件存在漏洞。任何的系統(tǒng)軟件和應(yīng)用軟件都是有缺陷和有漏洞的，非法用戶、黑客會(huì)抓住這些缺陷和漏洞，進(jìn)行竊取機(jī)密信息和破壞信息，做不到針對(duì)特有的安全漏洞進(jìn)行相應(yīng)的攻擊。

三、醫(yī)院網(wǎng)絡(luò)安全防范的措施

（一）醫(yī)院網(wǎng)絡(luò)安全要采取病毒防護(hù)措施。醫(yī)院可以在外網(wǎng)安裝硬件防火墻和防病毒軟件，在內(nèi)網(wǎng)上安裝防病毒軟件。為防范計(jì)算機(jī)病毒的入侵，可以安裝網(wǎng)絡(luò)防毒軟件對(duì)整個(gè)系統(tǒng)進(jìn)行自動(dòng)監(jiān)控，加強(qiáng)病毒防止工作制度，醫(yī)院充分調(diào)配崗位責(zé)任人，使醫(yī)院與信息化工作相關(guān)人員對(duì)信息安全有個(gè)全面、系統(tǒng)的了解，使他們認(rèn)識(shí)到病毒的危害性，增強(qiáng)危機(jī)感和自我防范意識(shí)，建立崗位責(zé)任制，以防止新病毒的出現(xiàn)和傳播。同時(shí)醫(yī)院還要做好信息系統(tǒng)應(yīng)急預(yù)案，幫助相關(guān)人員理解和執(zhí)行應(yīng)急預(yù)案，為防止出現(xiàn)病毒不能控制，因此，以便及時(shí)解決，要將損失減小到最低。

（二）醫(yī)院要保障網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)數(shù)據(jù)的安全。數(shù)據(jù)備份是保證數(shù)據(jù)的安全性和可靠性的一項(xiàng)重要措施。網(wǎng)絡(luò)設(shè)備備份是一種有效的避免網(wǎng)絡(luò)設(shè)備損壞的方法，網(wǎng)絡(luò)的備份包括整機(jī)備份和部分備份，這樣就可以保證非授權(quán)用戶不能訪問任何網(wǎng)絡(luò)設(shè)備數(shù)據(jù)備份要有多重備份；異地?cái)?shù)據(jù)備份也要對(duì)其進(jìn)行檢查，保證其有效性和完整性[4]。

（三）醫(yī)院網(wǎng)絡(luò)數(shù)據(jù)庫權(quán)限要得到控制。數(shù)據(jù)庫失控，將會(huì)造成嚴(yán)重的后果，

導(dǎo)致黑客通過客戶端，直接進(jìn)入數(shù)據(jù)庫，破壞數(shù)據(jù)。一般來說，數(shù)據(jù)庫的登錄需要采用兩級(jí)的安全保障機(jī)制。網(wǎng)絡(luò)有嚴(yán)格的數(shù)據(jù)保存程序，這個(gè)程序是需要用一個(gè)公用連接信息登錄到權(quán)限管理庫中，再根據(jù)權(quán)限庫中的加密信息，得到登錄用戶數(shù)據(jù)庫的用戶名與密碼，這樣，可以保證黑客無法得到登錄用戶數(shù)據(jù)庫的用戶名和密碼。

（四）醫(yī)院工作站要得以安全保障。醫(yī)院工作站在低權(quán)限下是不能安裝像移動(dòng)硬盤、U盤等類似的存儲(chǔ)設(shè)備，這樣可以防止這些存儲(chǔ)設(shè)備攜帶病毒，破壞醫(yī)院網(wǎng)絡(luò)系統(tǒng)，還可以避免醫(yī)院相關(guān)資料被拷貝的可能性。對(duì)于一般的醫(yī)護(hù)人員，醫(yī)院只提供權(quán)限很低的全院工作站用戶名，使所有工作人員和患者都可以用戶登錄[5]。

四、結(jié)語

醫(yī)院信息系統(tǒng)的安全程度要能確保網(wǎng)絡(luò)及數(shù)據(jù)的安全，醫(yī)院信息系統(tǒng)的安全已成為醫(yī)院信息化工作的一個(gè)重要任務(wù)。醫(yī)院網(wǎng)絡(luò)信息安全是一個(gè)整體的問題，保障安全問題是醫(yī)院信息化工作的一項(xiàng)重要的任務(wù)，這就需要網(wǎng)絡(luò)管理人員結(jié)合醫(yī)院的實(shí)際情況，多角度地考察網(wǎng)絡(luò)安全系統(tǒng)出現(xiàn)的弱點(diǎn)，消滅網(wǎng)絡(luò)中的不安全因素，使醫(yī)院信息網(wǎng)絡(luò)能安全的運(yùn)行，將管理與技術(shù)相結(jié)合，制定與時(shí)俱進(jìn)的整體管理策略，提高網(wǎng)絡(luò)信息系統(tǒng)安全性，保證醫(yī)院醫(yī)療業(yè)務(wù)正常有序開展的。

參考文獻(xiàn)：

[1]蔡文濤.淺談醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全[J].中國現(xiàn)代醫(yī)生,2009,47(32):116-117

[2]陳理兵.援中小醫(yī)院信息化建設(shè)現(xiàn)狀分析與建議[J].中國數(shù)字醫(yī)學(xué),2009（12）:36-38

[3]李仲影,孫劍,韓冰.醫(yī)院信息網(wǎng)絡(luò)安全解決方案[J].武警醫(yī)學(xué),2004,15（6）:463

第12篇

關(guān)鍵詞： 計(jì)算機(jī)；網(wǎng)絡(luò)安全；醫(yī)院；對(duì)策

1 概述

隨著科技進(jìn)步，醫(yī)院的管理模式也表現(xiàn)出網(wǎng)絡(luò)化和信息化的趨勢。在醫(yī)院的日常辦公和診斷模式也越來越依賴于計(jì)算機(jī)和網(wǎng)絡(luò)的應(yīng)用。由此引出的問題是在醫(yī)院高度依賴網(wǎng)絡(luò)的情況下，一旦發(fā)生網(wǎng)絡(luò)安全問題，如網(wǎng)絡(luò)癱瘓、醫(yī)療信息數(shù)據(jù)庫被非法入侵等，后果往往都比較嚴(yán)重。因此對(duì)于醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)安全問題也逐漸成為關(guān)注的對(duì)象。由于醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)基本上都是偏于應(yīng)用，管理人員技術(shù)水平不高、網(wǎng)絡(luò)安全意識(shí)淡薄等因素造成了醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)安全隱患比較普遍。因此本文將就醫(yī)院計(jì)算網(wǎng)絡(luò)的安全問題和相應(yīng)的對(duì)策展開探討。

2 醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)常見安全問題

盡管醫(yī)院屬于醫(yī)療機(jī)構(gòu)，但在計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用時(shí)所面臨的安全問題和一般的計(jì)算機(jī)網(wǎng)絡(luò)安全問題并沒有什么本質(zhì)區(qū)別。就醫(yī)院普遍采用的計(jì)算機(jī)信息管理系統(tǒng)——HIS系統(tǒng)而言，主要可能存在的安全問題主要表現(xiàn)在兩個(gè)方面：一是來自醫(yī)院系統(tǒng)外部的網(wǎng)絡(luò)攻擊，二是醫(yī)院系統(tǒng)自身的缺陷所導(dǎo)致的安全隱患。從計(jì)算機(jī)網(wǎng)絡(luò)信息安全的定義來看，醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)的安全是以實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的完整性、可用性和保密性為目標(biāo)。這以下將就這幾個(gè)方面可能遇到的問題展開討論。

2.1 技術(shù)層面上的潛在威脅

從技術(shù)層面上講，任何計(jì)算機(jī)網(wǎng)絡(luò)都不可能是固若金湯的，因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)自身在設(shè)計(jì)上就存在被攻擊的缺點(diǎn)。結(jié)合HIS系統(tǒng)而言，這些在技術(shù)層面上可能遭到的攻擊形式主要有以下三類：① IP劫持和Smruf攻擊 這類攻擊主要是利用網(wǎng)絡(luò)TCP/IP協(xié)議，通過偽造主機(jī)IP向相連計(jì)算機(jī)發(fā)送欺騙性的數(shù)據(jù)包，造成大量計(jì)算機(jī)同時(shí)向主機(jī)返回?cái)?shù)據(jù)包，從而造成主機(jī)和網(wǎng)絡(luò)的癱瘓。在具有公共服務(wù)功能的醫(yī)院主機(jī)如果遭受此類攻擊，很容易造成主機(jī)癱瘓，而其這類攻擊技術(shù)上并不復(fù)雜，因此是應(yīng)當(dāng)重點(diǎn)防范的網(wǎng)絡(luò)攻擊形式；② DNS安全問題DNS安全問題主要表現(xiàn)為假冒域名攻擊。由于DNS可以提供多種網(wǎng)絡(luò)服務(wù)，因此也非常容易被非法利用。對(duì)于醫(yī)院HIS信息管理系統(tǒng)而言，尤其應(yīng)當(dāng)注意對(duì)AXFR請(qǐng)求的監(jiān)控。因?yàn)檫@類請(qǐng)求可以通過不斷使用能夠獲得完整的數(shù)據(jù)庫記錄，并可以獲得哪些是信任主機(jī)等關(guān)鍵信息。因此對(duì)于DNS的安全管理是對(duì)于醫(yī)療信息的網(wǎng)絡(luò)安全至關(guān)重要；③ 借助于路由協(xié)議缺陷的攻擊這類攻擊包括ARP攻擊、RIP攻擊等主要形式。通過對(duì)路由協(xié)議缺陷的利用，入侵者能夠通過偽裝為目的主機(jī)而監(jiān)聽和盜取所有目的主機(jī)的數(shù)據(jù)包。如果醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)遭到這類攻擊，很容易造成醫(yī)療信息外泄。因此這類攻擊也是醫(yī)院醫(yī)療信息安全管理中的重點(diǎn)防范對(duì)象。

2.2 醫(yī)院計(jì)算機(jī)系統(tǒng)自身的問題

從計(jì)算機(jī)網(wǎng)絡(luò)安全的定義來看，網(wǎng)絡(luò)的安全既包括軟件方面的安全，也包括硬件方面的安全。而硬件的安全也是軟件安全的基礎(chǔ)，因此對(duì)于醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自身問題的角度看，建立正確的硬件管理制度和培養(yǎng)合格的網(wǎng)絡(luò)管理人員是保障醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的必要途徑。從這個(gè)角度看，主要存在的問題表現(xiàn)為：① 醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)操作人員專業(yè)素質(zhì)普遍不高，往往都是由非專業(yè)人員來實(shí)施網(wǎng)絡(luò)管理，缺乏網(wǎng)絡(luò)安全意識(shí)，因此容易因?yàn)椴僮魅藛T的不當(dāng)操作或?qū)ο到y(tǒng)進(jìn)行的安全配置不當(dāng)而留下網(wǎng)絡(luò)安全隱患；② 網(wǎng)絡(luò)安全管理制度欠缺醫(yī)院對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)偏于應(yīng)用層面，因此對(duì)于其中潛在的安全隱患往往不夠重視，也普遍缺乏對(duì)網(wǎng)絡(luò)組成硬件的安全管理細(xì)則和信息保密制度。對(duì)可移動(dòng)存儲(chǔ)設(shè)備的使用限制以及對(duì)外網(wǎng)的使用管理方面的安全隱患表現(xiàn)尤為明顯。因醫(yī)院內(nèi)部人員使用移動(dòng)存儲(chǔ)設(shè)備而讓內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)遭受病毒入侵是常見的問題，同時(shí)缺乏對(duì)可移動(dòng)存儲(chǔ)設(shè)備的監(jiān)管也可能直接造成醫(yī)療信息的外泄。

3 對(duì)策探討

計(jì)算機(jī)網(wǎng)絡(luò)安全包括硬件和軟件兩個(gè)方面的安全。因此對(duì)于醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)而言，要保障其安全也需要從這個(gè)兩個(gè)方面來進(jìn)行設(shè)計(jì)。

3.1 醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)的硬件安全管理

在保障硬件安全方面，除了遵照相關(guān)規(guī)范和設(shè)計(jì)要求外，建立具有可操作性的硬件管理制度對(duì)于保障硬件的安全運(yùn)行更為重要。對(duì)于醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)而言，保障其服務(wù)器的安全在網(wǎng)絡(luò)安全中處于核心地位。因此應(yīng)當(dāng)對(duì)服務(wù)器的運(yùn)行環(huán)境應(yīng)符合國家規(guī)范，同時(shí)對(duì)UPS電源也應(yīng)有嚴(yán)格保障，避免在斷電后的數(shù)據(jù)丟失。同時(shí)對(duì)其他網(wǎng)絡(luò)組成硬件，如網(wǎng)線、路由器、集線器、交換機(jī)等連接設(shè)備的日常維護(hù)也是保障醫(yī)院網(wǎng)絡(luò)正常運(yùn)行的重要手段。保障這些網(wǎng)絡(luò)硬件安全運(yùn)行的關(guān)鍵是將管理制度程序化和規(guī)范化。

3.2 對(duì)網(wǎng)絡(luò)攻擊的防范

相對(duì)于硬件方面的安全管理，來自外部網(wǎng)絡(luò)的攻擊是醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)更應(yīng)當(dāng)重視的問題。加強(qiáng)對(duì)外部網(wǎng)絡(luò)攻擊的防范是避免醫(yī)療數(shù)據(jù)外泄和保障網(wǎng)絡(luò)正常運(yùn)行的關(guān)鍵。從技術(shù)層面上講，要進(jìn)行嚴(yán)格的網(wǎng)絡(luò)安全保護(hù)和攻擊防范需要投入一些必要的輔助硬件設(shè)備，如guard、detecter等專業(yè)設(shè)備。但對(duì)于醫(yī)院計(jì)算網(wǎng)絡(luò)而言，如果要添置這樣的專業(yè)設(shè)備成本過高，適用性也受到影響。即便不購置這些專業(yè)設(shè)備，也可采用相對(duì)簡單易行的措施來加強(qiáng)網(wǎng)絡(luò)的安全，可以采用的策略為：

1）提高網(wǎng)絡(luò)安全軟件水平

在不投入大量的網(wǎng)絡(luò)安全硬件輔助設(shè)備的前提下，加強(qiáng)網(wǎng)絡(luò)安全軟件的水平是行之有效的手段。可以采取的措施為：① 提高防火墻技術(shù)水平 防火墻技術(shù)是防范外部網(wǎng)絡(luò)入侵的有效途徑，因此提高醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)的防火墻技術(shù)水平是避免外部非法入侵而導(dǎo)致醫(yī)療信息外泄的重要手段。從資金的角度看，購置更好的防火墻軟件比投入硬件設(shè)備更為節(jié)約，因此相對(duì)之下

是更為經(jīng)濟(jì)可行的策略；② 由于防火墻無法應(yīng)對(duì)來自網(wǎng)絡(luò)內(nèi)部的攻擊，因此作為輔助手段，可以適當(dāng)采用入侵檢測技術(shù)，加強(qiáng)對(duì)系統(tǒng)運(yùn)行的安全監(jiān)控；③ 信息加密和安全分級(jí)管理策略 采用信息加密技術(shù)可以有效的提高信息安全水平，對(duì)網(wǎng)絡(luò)內(nèi)部的運(yùn)行數(shù)據(jù)、文件等采用信息加密能夠較好的應(yīng)對(duì)網(wǎng)絡(luò)監(jiān)聽，降低醫(yī)療信息外泄的可能性。

2）采取網(wǎng)絡(luò)隔離措施

采用網(wǎng)絡(luò)隔離措施是避免遭受來自外部網(wǎng)絡(luò)攻擊的最有效途徑。具體到醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)而言，在有條件的情況下，可以采用內(nèi)網(wǎng)和外網(wǎng)獨(dú)立設(shè)置的策略。從物理上把醫(yī)院內(nèi)部運(yùn)行網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離，同時(shí)將可以連接到外部網(wǎng)絡(luò)的計(jì)算機(jī)進(jìn)行嚴(yán)格監(jiān)控。這種措施可以有效的保障醫(yī)療信息的安全。

3）加強(qiáng)網(wǎng)絡(luò)權(quán)限管理

對(duì)醫(yī)院內(nèi)部網(wǎng)絡(luò)進(jìn)行安全分級(jí)，對(duì)具有不同安全級(jí)別的子網(wǎng)絡(luò)之間進(jìn)行訪問限制也是提高醫(yī)院醫(yī)療信息安全的有效手段。如可采取對(duì)單一學(xué)科的子網(wǎng)絡(luò)系統(tǒng)和后臺(tái)數(shù)據(jù)庫之間采用單向訪問限制等訪問權(quán)限的管理策略。同時(shí)也應(yīng)對(duì)不同級(jí)別的醫(yī)院用戶設(shè)置不同的訪問權(quán)限，避免出現(xiàn)越級(jí)操作。

4）加強(qiáng)醫(yī)院內(nèi)部計(jì)算機(jī)的安全管理

這一環(huán)節(jié)主要是針對(duì)因?yàn)椴《救肭侄鴮?dǎo)致的計(jì)算機(jī)系統(tǒng)問題而言的。應(yīng)培養(yǎng)電腦操作者的安全意識(shí)，加強(qiáng)對(duì)電腦系統(tǒng)、尤其是可移動(dòng)存儲(chǔ)設(shè)備的病毒檢測和防范。對(duì)一些重要信息存儲(chǔ)設(shè)備和關(guān)鍵數(shù)據(jù)庫應(yīng)采取嚴(yán)格的管理制度，如禁止使用可移動(dòng)存儲(chǔ)設(shè)備等來降低受到病毒感染的可能性。

參考文獻(xiàn)：