摘 要: 针对医院信息网络系统存在的不安全因素及信息安全管理的关键环节,研究管理策略,提出医院信息安全防护策略、相应的防范措施,从而可减少故障,提高质量,促进医院信息安全管理水平。
关键词: 信息安全管理; 信息系统; 网络空间;
Abstract: In view of the unsafe factors and the key links of information security management in the hospital information network system, this paper studies the management strategy, puts forward the hospital information security protection strategy and corresponding preventive measures, so as to reduce the failure, improve the quality and promote the level of hospital information security management.
Keyword: information security management; information system; cyberspace;
0 、引言
医院网络信息系统历经40余年的变革,网络系统遍布每个角落,已成为维系医院日常工作的重要一环,承载维持各个部门正常运转的重任,运转中出现故障势必导致工作停滞,系统瘫痪搅乱医院正常工作秩序,后果严重损失惨重,安全便成为医院信息中心日常维护工作的首要任务[1,2,3,4]。
1 、医院信息安全管理的特点
根据国家强制性标准(GB 17859-1999)和国家《信息安全登记保护管理办法》,按照国家对计算机信息系统安全防护技术层面的要求,医院等医疗场所高防护等级的互联网信息数据安全保护管理主要有以下内容:(1)信息安全方针的制定贯彻实施与医院实际结合的信息安全方针与策略,保障医院信息化建设健康发展。(2)组织结构的建立明确结构、理顺关系、清晰职责,保障信息安全策略的顺利实现。(3)保障网络环境安全中心机房、网络设备和通信链路安全;局域网计算机,工作站、网络服务器等硬件设备的安全;应用程序、数据库等应用层次的安全。
2、 医院信息安全管理的现状
随着网络病毒、木马造成的经济损失日益增多,医院等医疗机构应对不断出现的新型木马病毒所带来存储数据和互联网使用安全问题,高价配备了国内外着名网络防护墙、木马病毒扫描防护软件、未经许可端口访问、大规模数据篡改删除警报及自动限制系统、数据自动备份系统等计算机安全软硬件防护设备。上述计算机安全软硬件防护设备面对常规病毒木马、黑客入侵有一定防护性,在实际使用中仍有不足:(1)信息安全意识薄弱医院信息管理人员欠缺深层次的安全意识,盗版软件使用率居高不下,系统保密措施不够,缺乏行之有效的信息安全保障规章及防护策略。系统用户基本安全意识薄弱,设置用户口令单一以图方便,将个人账号随意转借他人或与别人共享信息资源等都会给网络安全带来隐患。(2)顶层设计系统性差大多数医疗机构在计算机安全软硬件的购置上不可能仅仅使用一家商家的产品。软件与软件之间、软件与硬件之间的冲突,容易产生不易发现的漏洞、信息安全盲区,如窃听、假冒、重放、流量分析、数据完整性破坏及资源的非授权使用等均可发生。(3)应用管理难度大大多数医护人员在工作中软件应用不尽相同,涉及档案管理、财务、人事考勤、医疗费用台账、药品台账、电子病历等等多方面的应用,统一管控比较困难,不易进行升级维护。(4)兼容性程度低由于计算机软件之间协议和端口众多,没有形成全球统一性的使用规划标准前,软件与软件之间、软件与硬件之间无法保证其兼容性,易发生BUG,导致使用及防护上出现不可忽视的安全问题。
3、 医院信息安全防护的策略
信息安全管理的实质就是要保护信息系统或信息网络的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据计算机安全等级和防护规范,结合当前信息化建设实际及远景设计实施医院信息安全防护体系。
管理制度建设。(1)安全管理制度由于医疗机构计算机系统及内部网络内的很多资料数据都是与患者人身安全和病理治疗相关的,因此保证数据的正确性和防止数据丢失是至关重要的。完善的安全管理制度体系是保障数据安全的基础,是大幅度降低外部木马病毒进入计算机及网络系统的重要屏障。(2)规范与职责通过规范计算机网络操作规程及相关的使用方式方法,制定出医院计算机操作规范,明确计算机使用者的数据安全职责,减少不经意间的木马病毒在网络系统中传播概率。(3)用户管理制度用户管理制度是规范计算机操作人员使用权限的制度,完善的用户管理制度要求对任何计算机使用者保留记录痕迹,不同用户间获得的操作权限不同,在没有相应权限的情况下,不得对已设置权限要求的文件、信息数据、程序应用进行读取和修改,常用于保护重要数据的一种安全管理制度。(4)值班制度网络中心每天安排专门技术人员负责24h值班,保障医院计算机网络系统正常运作,按时备份系统内数据信息。当出现危害计算机信息系统安全的事件发生时,值班人员可以立即采取相应安全保护措施,降低数据损失。
基础设施建设。基础设施是医院网络信息系统运行的物质条件,主要包括中心机房及局域网络,其设计的科学性、设施的可用性、运行的稳定性直接影响着医院网络系统运行质量。(1)机房设计计算机控制机房是医院信息处理存储管控设备的集中存放点。对机房的合理设计可以提高信息系统的稳定性。一个完整的机房设计包括对医疗数据损害丢失恢复设备、安全性可靠性高的操作系统、计算机之间与信息存储设备间的布线设计、内外部有线连接网络的布局设计、机房其他辅助设备设施的布局设计、综合性控制中心的设计、UPS防断电系统设计、机房消防安全设计等。(2)网络布局。医院网络规划严格按照相关规范设计建设,设置主要楼宇弱电机房,利用多机房结构的网络布局,划分医院信息数据物理区域,可以减少信息数据同时丢失的风险,便于管理。网络布局时应考虑便于增加相应计算机设备而预留端口。
网络系统安全防护。网络系统安全防护主要包括网络和系统安全防护两个方面。为保证内网网络安全,(1)设置网闸和物理防火墙系统。(2)应用部署网络运行监控系统,监测系统运行状况,提供可靠的监测数据及管理所需要的报警信息;再者建立完整的病毒防护体系。(3)计算机安装运维管理软件,实施安全准入、端口访问、系统补丁分发等安全管理措施。
数据库安全防护。(1)数据存储安全。信息系统安全管理的重点是保障数据存储信息的安全。可采取的措施有:各机房物理存储及备份数据外,运用云备份技术,分时段运行;对于HIS、PACS等核心数据库建立主备服务器、主备存储,分别部署在主、备机房,一旦发生故障,系统自动切换,实现了数据的场地容灾;对于财务、人员档案、医疗费用台账、药品台账、电子病历等文档数据,可采用纳斯达克数据管理软件等相关电子数据管理软件进行信息数据的提取备份归档和容灾恢复。(2)数据访问安全。可设置权限+账号+密码的管理措施,上网用户全部实名制,禁止诊室病房电脑擅自连接U盘等,发生问题追究到个人,确保网络运行安全。
应用系统安全防护。应用软件应保持24h更新制度,定期根据官方发布的升级补丁升级软件,修补操作系统及运用软件的漏洞,防止外部黑客利用软件漏洞和端口控制缺陷控制、窃取、损坏医院信息数据信息,影响医院的正常营运和对病人病情的科学治疗。
安全管理系统的应用要求。安全管理系统是保护医院整体信息数据安全的软硬件防护体系。为做到最大限度地保障医院信息数据安全可用,应采取集群计算机管理系统,信息数据随用随存。计算机软件发生故障时不可正常操作时,数据不会丢失,可用通过其他正常计算机调出。同理当医院医疗管理系统模块出现错误时,不会影响其他模块的正常运用。错误模块可调用备用模块来保证当前的数据信息使用需求。
4 、结语
信息安全建设即便有可靠适用设备、先进成熟的系统和技术,若不能有效地贯穿于信息流通活动中的安全管理工作,也是无法真正保障信息安全的。医院要有清晰策略架构和因地制宜的技术措施,在现有的平台上采取技防、物防、人防相结合,从管理因素、物的安全状态、人因因素三个层面来不断完善信息安全系统防护要求,从而使医院信息系统维持良性循环,促进医院日常管理工作的长足发展,产生更好的社会和经济效益。
参考文献
[1] 沈林,杜亚平.医院信息化建设面临的难题与发展对策[J].中国卫生事业管理,2009,26(04):239-240.
[2] 张静波,王韬.论医院信息安全保障体系建设[J].中国医院,2006(02):51-53.
[3] 张晓娟,李哲成.医院信息系统信息安全的管理[J].中国医疗设备,2008(03):83-84.
[4] 张震江.医院网络安全现状分析及研究[J].计算机系统应用,2006(07):87-89+93.
1前言对于制药企业而言,产品质量始终是一把悬在头顶的达摩克利斯之剑。从原材料进厂到产品生产出来并经检验合格,中间牵涉到生产工艺及质量检验的诸多环节,只要其中有一个环节出现疏漏,都可能给药品质量造成严重影响。制药企业产品质量的保证依赖于...
数据时代,企业对于信息的应用越广泛,对信息体系的依赖就越强,企业所面临的信息风险越高。企业在发展的过程中,既要发挥信息化的优势和价值,也要做好信息的管理工作。...
结论本文主要针对管理信息系统的整合研究,提出构建中信渤铝管理信息系统整合的设计方案。文中介绍了管理信息系统的发展及应用现状,归纳总结了相关理论,分析了管理信息系统建设中的关键点和亟待解决的问题,重点以中信渤铝公司为例,详细介绍了该公司当...
第4章中信渤铝管理信息系统整合方案设计及实施路径4.1管理信息系统整合方案设计。4.1.1信息系统设计的原则。中信渤铝公司的信息系统整合建设应该遵循一条务实有效的信息化路线,在资金有限的条件下,对信息化项目按照轻重缓急、由简到繁、根据流程和...
目录第一章开发背景1.1引言1.1.1课题的选取原因1.1.2系统的功能要求1.1.3系统的性能要求1.2可行性研究1.2.1可行性分析1.2.2重新分析问题1.3需求分析1.3.1需求分析意义第二章总体设计2.1结构设计的目标及思想2.1.1结构设计目标2.1.2结构设计思...
信息系统项目管理经过5个过程组:启动、规划、执行、监督控制、收尾。其三大重要目标:进度、质量、成本的完成,既要求企业大环境的支持,又要求项目组小环境的配合;既要有管理创新,又要有知识和经验的沉淀。1、企业信息系统项目管理要素1....
企业工作人员借助现代化信息技术加强管理,使企业管理逐步走向信息化、智能化,极大地提高了企业管理效率,云计算环境下,信息技术获得了进一步更新和发展.以云计算为代表的最新计算模式获得了发展,在这一计算模型下,大量的计算任务能够被均匀分配,这样人们就能...
高压氧舱治疗是疾病治疗的一个重要手段,在急诊、神经科、耳鼻喉科、骨科、肿瘤科等治疗中发挥着重要作用,同时,作为特种治疗设备,属于高危操作,国家有严格的流程和管理制度。...
第2章企业管理信息系统整合理论2.1相关概念界定。2.1.1信息技术。目前,国内外对于信息技术概念和内涵的研究,在不同的领域,出于各种研究目的,存在不同的观点。美国斯坦福大学的哈罗德莱维特教授(1978)最早探讨了信息技术的概念,认为信息技术是...
第5章预算投入及保障措施通过对中信渤铝公司各管理信息系统模块的归纳研究,以及对整合信息系统具体案例的综合分析,本文试图从信息系统整合投入预算和保障措施两方面提出针对性的对策与建议,以期一定程度上改善中信渤铝公司的经营管理现状,提升企业信...