公務(wù)員期刊網(wǎng) 精選范文 醫(yī)院信息安全保護制度范文

醫(yī)院信息安全保護制度精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的醫(yī)院信息安全保護制度主題范文,僅供參考,歡迎閱讀并收藏。

醫(yī)院信息安全保護制度

第1篇:醫(yī)院信息安全保護制度范文

清晰明了等級保護制度

畢馬寧認(rèn)為要開展信息安全等級保護工作,首先應(yīng)該弄明白什么是等級保護,“等級保護是我們國家以法律形式固定下來的一個關(guān)于國家信息安全保障體系建設(shè)和保護關(guān)鍵基礎(chǔ)設(shè)施的基本國家制度”,而信息安全等級保護制度的法律依據(jù)則是1994年國務(wù)院的《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院147號令)。

其次,還應(yīng)該明白信息安全等級保護的等級概念?!暗燃壉Wo簡單地說,等級是手段,目的是保護”,而等級的劃分是根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設(shè)、社會生活中的重要程度,遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度,將信息系統(tǒng)劃分為不同的安全保護等級并對其實施不同的保護和監(jiān)管。畢馬寧強調(diào):“信息系統(tǒng)的重要程度不是由系統(tǒng)的技術(shù)性所決定,而是由這個系統(tǒng)的社會屬性所決定的。”比如,同樣是財務(wù)系統(tǒng),銀行的財務(wù)系統(tǒng)與某小型企事業(yè)單位的財務(wù)系統(tǒng)所承載的應(yīng)用對社會秩序、國家安全的影響是不一樣的,一旦遭到破壞,銀行財務(wù)系統(tǒng)對社會秩序和國家安全的負(fù)面影響更重大。“所以,原衛(wèi)生部才會要求全國的三級甲等醫(yī)院的核心系統(tǒng)通過第三級測評?!彼f。

一體之兩翼

其實信息安全等級保護并非我國獨創(chuàng),而是借鑒國際已有的信息安全風(fēng)險管理理論和方法,并結(jié)合我國信息安全管理的特色,制定的具有中國特色的信息安全等級保護制度?,F(xiàn)階段整個人民生活、社會運行,包括政府的運行,都跟信息化密不可分。信息化已經(jīng)從原來的輔助作用變成支撐作用,成為機構(gòu)、企業(yè)發(fā)展,獲得價值或者改善自身生存,為社會做貢獻的一個利器、一個支撐平臺?!罢缢f的,一個國家的發(fā)展,一個民族的發(fā)展,需要‘一體兩翼’,‘一體’是發(fā)展;‘兩翼’,則是信息化和信息安全保障。想要發(fā)展就缺一不可。”畢馬寧說,“等級保護制度是對信息系統(tǒng)做風(fēng)險控制,是一種國家風(fēng)險管理行為??梢哉f等級保護制度就是國家風(fēng)險管控手段。它雖然不能完全保證信息系統(tǒng)不出事,但起碼能夠保證信息系統(tǒng)少出事,或者是風(fēng)險可控的,而且一旦出了事我們知道如何去應(yīng)對?!?/p>

等級測評工作的目的和意義

等級保護是要通過定級、備案、建設(shè)整改來提升信息系統(tǒng)安全防護能力,安全建設(shè)整改工作完成后,如何檢驗效果?這就是等級測評工作的目的和意義。等級測評是檢測評估信息系統(tǒng)安全保護狀況是否達(dá)到相應(yīng)等級能力要求的過程,是落實信息安全等級保護制度的重要環(huán)節(jié)。

畢馬寧認(rèn)為,“等級測評是等級保護工作推進過程中的一項能力技術(shù)判斷活動,它是一個必備的環(huán)節(jié)?!彼€建議:“不要把等級測評工作當(dāng)作是考試,應(yīng)該是把等級保護工作重點放在準(zhǔn)確定級、建設(shè)整改上,逐步提升信息系統(tǒng)的安全防護能力,通過等級測評來發(fā)現(xiàn)自己的問題,再明確下一步的方向,這是最關(guān)鍵的?!?/p>

等級測評工作也可以在定級備案之后,安全建設(shè)或整改之前開展,因為“公安機關(guān)賦予了等級測評機構(gòu)提供咨詢的權(quán)利和義務(wù),可以站在用戶的角度幫他們做咨詢服務(wù)”,畢馬寧解釋:“作為評估中心,我們不僅要發(fā)現(xiàn)問題,還要跟用戶共同商量解決問題,這也是服務(wù)型政府的一個特點?!?/p>

對醫(yī)療衛(wèi)生行業(yè)信息安全等級保護工作的建議

第2篇:醫(yī)院信息安全保護制度范文

(1)物理安全防范較為重視。從物理安全的五項指標(biāo)來看,被調(diào)查的160家醫(yī)院都非常注重防盜、防水、防雷、防塵、防靜電及溫濕度控制等物理環(huán)境安全防范,絕大部分醫(yī)院對物理訪問控制與物理監(jiān)控(機房設(shè)備管理)也都很重視,分別達(dá)到93%與85%,但僅有1/4的醫(yī)院注重設(shè)備檢測,說明中國絕大部分醫(yī)院設(shè)備或未做檢測即投入運行,或缺乏定期進行安全評估、安全加固等保護,因而我國數(shù)字化醫(yī)院還存在著一定的物理設(shè)備安全風(fēng)險。

(2)系統(tǒng)安全威脅嚴(yán)重。系統(tǒng)安全四項指標(biāo)中,采用了訪問控制及備份與恢復(fù)措施的醫(yī)院分別達(dá)到138家與147家,但實地調(diào)查顯示非授權(quán)訪問的情況還大量存在。進行系統(tǒng)日志審計的醫(yī)院不足50家,說明我國醫(yī)院系統(tǒng)日志還基本流于形式,缺乏深度安全審計,從而很難及時發(fā)現(xiàn)其中的安全隱患。進行系統(tǒng)開發(fā)與維護的醫(yī)院也僅54家,原因主要在于目前許多醫(yī)院由于受人員、設(shè)備、資金影響,或本身重視不夠,導(dǎo)致其信息系統(tǒng)缺乏運營維護或維護不及時,因此其安全性和可靠性多數(shù)處于較差狀態(tài)。

(3)網(wǎng)絡(luò)通信安全較為脆弱。網(wǎng)絡(luò)通信安全五項指標(biāo)中,網(wǎng)絡(luò)攻擊防護與業(yè)務(wù)文檔記錄方面,醫(yī)院相對比較重視,比例分別達(dá)到94%與84%,但實地調(diào)查發(fā)現(xiàn)其網(wǎng)絡(luò)攻擊防護還處于低水平狀態(tài)。實行網(wǎng)絡(luò)隔離與訪問控制的醫(yī)院僅占30%,大多數(shù)醫(yī)院網(wǎng)絡(luò)訪問隨意性大,醫(yī)院網(wǎng)絡(luò)可隨意互訪,信息流通和共享暢通無阻,這給醫(yī)院信息安全帶來極大的安全隱患。實行入侵檢測的醫(yī)院不到30%,說明中國數(shù)字化醫(yī)院還處于被動防御階段,遠(yuǎn)未達(dá)到主動防御水平,同時信息系統(tǒng)的縱深防護水平不高,由此導(dǎo)致數(shù)字化醫(yī)院以計算機病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生。實行密鑰管理的醫(yī)院則僅13%,說明醫(yī)院網(wǎng)絡(luò)密鑰其實幾乎還處于無人監(jiān)管狀態(tài)。

(4)人員安全隱患重重。人員安全四項指標(biāo)調(diào)查結(jié)果都不容樂觀,尤其是進行第三方合作合同的控制和管理的醫(yī)院僅占10%,說明中國數(shù)字化醫(yī)院在人員安全管理方面還遠(yuǎn)未重視,由此導(dǎo)致醫(yī)院內(nèi)部存在大量網(wǎng)絡(luò)操作違規(guī)現(xiàn)象。如,網(wǎng)絡(luò)操作人員隨意將自己的登錄賬號轉(zhuǎn)借他人,隨意將一些存儲介質(zhì)接入信息系統(tǒng),未經(jīng)授權(quán)同時訪問外網(wǎng)與內(nèi)網(wǎng),一些人員為了謀取個人私利,非法訪問內(nèi)部網(wǎng)絡(luò),竊取、偽造、篡改醫(yī)療數(shù)據(jù)等,這使得中國數(shù)字化醫(yī)院信息安全事故頻頻發(fā)生。

(5)組織管理安全有待加強。組織管理安全四項指標(biāo)中,160家醫(yī)院都設(shè)置了安全管理組織機構(gòu),說明所有醫(yī)院都很重視信息安全管理工作,但安全管理制度完整的醫(yī)院僅114家,且多數(shù)在應(yīng)急管理制度制定方面較為欠缺,而安全管理制度實施情況調(diào)查顯示,只有40%的醫(yī)院安全管理制度得到實施,這意味著60%的醫(yī)院的安全管理制度形同虛設(shè)。在人力財力保障方面給予充分保障的醫(yī)院不到50%,由于缺乏人力財力的保障,目前許多醫(yī)院信息安全系統(tǒng)建設(shè)難以為繼。綜上所述,中國數(shù)字化醫(yī)院還存在著極大的信息安全隱患。因此,數(shù)字化醫(yī)院信息安全建設(shè)已迫在眉睫。

2動態(tài)網(wǎng)絡(luò)安全模型的比較分析

面對復(fù)雜多樣的信息安全風(fēng)險以及日益嚴(yán)峻的信息安全局勢,動態(tài)網(wǎng)絡(luò)安全模型為中國數(shù)字化醫(yī)院信息安全建設(shè)提供了理論基礎(chǔ)。典型的動態(tài)網(wǎng)絡(luò)安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等,這些安全模型各有特點,各有側(cè)重,已廣泛應(yīng)用于多個領(lǐng)域的信息安全建設(shè)實踐。環(huán)節(jié)。它強調(diào)在安全策略的指導(dǎo)下,綜合采用防火墻、VPN等安全技術(shù)進行防護的同時,利用入侵檢測系統(tǒng)等檢測工具,發(fā)現(xiàn)系統(tǒng)的異常情況,以及可能的攻擊行為,并通過關(guān)閉端口、中斷連接、中斷服務(wù)等響應(yīng)措施將系統(tǒng)調(diào)整到一個比較安全的狀態(tài)。其中,安全策略是核心,防護、檢測和響應(yīng)環(huán)節(jié)組成了一個完整、動態(tài)的安全循環(huán),它們共同保證網(wǎng)絡(luò)系統(tǒng)的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基礎(chǔ)上增加恢復(fù)(Recovery)環(huán)節(jié)發(fā)展而來,由防護(Protection)、檢測(Detection)、響應(yīng)(Re-sponse)和恢復(fù)(Recovery)四個環(huán)節(jié)組成(見圖2)。其核心思想是在安全策略的指導(dǎo)下,通過采取各種措施對需要保護的對象進行安全防護,并隨時進行安全跟蹤和檢測以了解其安全狀態(tài),一旦發(fā)現(xiàn)其安全受到攻擊或存在安全隱患,則馬上采取響應(yīng)措施,直至恢復(fù)安全保護對象的安全狀態(tài)。與PPDR模型相比,PDRR模型更強調(diào)一種故障的自動恢復(fù)能力,即系統(tǒng)在被入侵后,能迅速采取相應(yīng)措施將系統(tǒng)恢復(fù)到正常狀態(tài),從而保障系統(tǒng)的信息安全。因此,PDRR模型中的安全概念已經(jīng)從信息安全擴展到了信息保障,信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密,是防護、檢測、響應(yīng)、恢復(fù)的有機結(jié)合。

3基于動態(tài)網(wǎng)絡(luò)安全模型的中國數(shù)字化醫(yī)院信息安全體系構(gòu)建

結(jié)合動態(tài)網(wǎng)絡(luò)安全模型,并依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/T22239—2008)、《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》(GB/T25070—2010)等標(biāo)準(zhǔn)規(guī)范,本文試構(gòu)建一個以信息安全組織機構(gòu)為核心,以信息安全策略、信息安全管理、信息安全技術(shù)為維度的數(shù)字化醫(yī)院信息安全體系三維立體框架。即,在進行數(shù)字化醫(yī)院信息安全建設(shè)時,我們應(yīng)成立一個信息安全組織機構(gòu),并以此為中心,通過制定信息安全總體策略、加強信息安全管理,利用各項信息安全技術(shù),并將其貫徹在預(yù)警、保護、檢測、響應(yīng)、恢復(fù)和反擊6個環(huán)節(jié)中,針對不同的安全威脅,采用不同的安全措施,從而對系統(tǒng)物理設(shè)備、系統(tǒng)軟件、數(shù)據(jù)信息等受保護對象進行全方位多層次保護。

(1)信息安全組織機構(gòu)是數(shù)字化醫(yī)院信息安全體系構(gòu)成要素中最重要的因素,在信息安全體系中處于核心地位。它由決策機構(gòu)、管理機構(gòu)與執(zhí)行機構(gòu)三部分組成。其中,決策機構(gòu)是醫(yī)院信息安全工作的最高領(lǐng)導(dǎo)機構(gòu),負(fù)責(zé)對醫(yī)院信息安全工作進行總體規(guī)劃與宏觀領(lǐng)導(dǎo),其成員由醫(yī)院主要領(lǐng)導(dǎo)及其他相關(guān)職能部門主要負(fù)責(zé)人組成。管理機構(gòu)在決策機構(gòu)的領(lǐng)導(dǎo)下,負(fù)責(zé)信息安全體系建設(shè)規(guī)劃的制定,以及信息安全的日常管理工作,其成員主要來自于信息化工作部門,也包括行政、人事等部門相關(guān)人員參與。執(zhí)行機構(gòu)在管理機構(gòu)的領(lǐng)導(dǎo)下,負(fù)責(zé)保證信息安全技術(shù)的有效運行及日常維護,其成員主要由信息化工作部門相關(guān)技術(shù)人員及其他相關(guān)職能部門的信息安全員組成。信息安全組織機構(gòu)應(yīng)對醫(yī)院信息安全工作進行科學(xué)規(guī)劃,經(jīng)常進行不定期的信息安全檢查、評估和應(yīng)急安全演練。其中對那些嚴(yán)重危及醫(yī)院信息安全的行為應(yīng)進行重點管理和監(jiān)督,明確信息安全責(zé)任制,從而保證信息安全各項工作的有效貫徹與落實。

(2)信息安全策略是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的基礎(chǔ)。其具體制定應(yīng)依據(jù)國家信息安全戰(zhàn)略的方針政策、法律法規(guī),遵循指導(dǎo)性、原則性、可行性、動態(tài)性等原則,按照醫(yī)療行業(yè)標(biāo)準(zhǔn)規(guī)范要求,并結(jié)合醫(yī)院自身的具體情況來進行,由總體方針與分項策略兩個層次組成,內(nèi)容涵蓋技術(shù)層、管理層等各個層面的安全策略,最終實現(xiàn)“進不來、拿不走、看不懂、改不了、逃不掉”的安全防御目的,即在訪問控制機制方面做到“進不來”、授權(quán)機制方面做到“拿不走”、加密機制方面做到“看不懂”、數(shù)據(jù)完整性機制方面做到“改不了”、審計/監(jiān)控/簽名機制方面做到“逃不掉”。

(3)信息安全管理是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的保障。它包括人員管理、技術(shù)管理和操作管理等方面。當(dāng)前中國數(shù)字化醫(yī)院在信息安全管理中普遍存在的問題:在安全管理中對人的因素重視不夠、缺乏懂得管理的信息安全技術(shù)人員、信息安全意識不強、員工接受的教育和培訓(xùn)不夠、安全管理中被動應(yīng)付的較多等。因此,數(shù)字化醫(yī)院一方面應(yīng)加強全員信息安全意識,加大信息安全人員的引進、教育與培訓(xùn)力度,提高信息安全管理水平;另一方面應(yīng)制定具體的信息安全管理制度,以規(guī)范與約束相關(guān)人員行為,保證信息安全總體策略的貫徹與信息安全技術(shù)的實施。

(4)信息安全技術(shù)是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的關(guān)鍵。數(shù)字化醫(yī)院信息安全建設(shè)涉及防火墻、防病毒、黑客追蹤、日志分析、異地容災(zāi)、數(shù)據(jù)加密、安全加固和緊急響應(yīng)等技術(shù)手段,它們貫穿于信息安全預(yù)警、保護、檢測、響應(yīng)、恢復(fù)與反擊六個環(huán)節(jié)。數(shù)字化醫(yī)院應(yīng)切實加強這六個環(huán)節(jié)的技術(shù)力量,確保其信息安全得以實現(xiàn),具體體現(xiàn)在:①預(yù)警。醫(yī)院應(yīng)通過部署系統(tǒng)監(jiān)控平臺,實現(xiàn)對路由器、交換機、服務(wù)器、存儲、加密機等系統(tǒng)硬件、操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件以及各種應(yīng)用軟件的監(jiān)控和預(yù)警,實現(xiàn)設(shè)備和應(yīng)用監(jiān)控預(yù)警;或采用入侵防御系統(tǒng),分析各種安全報警、日志信息,結(jié)合使用網(wǎng)絡(luò)運維管理系統(tǒng),實現(xiàn)對各種安全威脅與安全事件的預(yù)警;并將這些不同層面的預(yù)警,統(tǒng)一到一套集中的監(jiān)控預(yù)警平臺或運維管理平臺,實現(xiàn)統(tǒng)一展現(xiàn)和集中預(yù)警。②保護。主要包括物理安全、系統(tǒng)安全與網(wǎng)絡(luò)通信安全等方面的安全保護。對于中心機房、交換機、工作站、服務(wù)器等物理設(shè)備的安全防護,主要注意防水、防雷、防靜電以及雙機熱備等安全防護工作。系統(tǒng)安全主要包括操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)等的安全防護。操作系統(tǒng)的主要風(fēng)險在于系統(tǒng)漏洞和文件病毒等。為此,醫(yī)院需運用防火墻技術(shù)控制和管理用戶訪問權(quán)限,并定期做好監(jiān)視、審計和事件日志記錄和分析。所有工作站應(yīng)取消光驅(qū)軟驅(qū),屏蔽USB接口,同時為各個客戶端安裝殺毒軟件,并及時更新,從源頭上預(yù)防系統(tǒng)感染病毒。數(shù)據(jù)庫安全涉及用戶安全、數(shù)據(jù)保密與數(shù)據(jù)安全等。為此,需對數(shù)據(jù)庫進行權(quán)限設(shè)置。對于關(guān)鍵數(shù)據(jù),應(yīng)進行加密存儲。對于重要數(shù)據(jù)庫應(yīng)做好多種形式的備份工作,如本地備份與異地備份、全量備份與增量備份等,以保證數(shù)據(jù)萬無一失。對于網(wǎng)絡(luò)通信安全防護,醫(yī)院網(wǎng)絡(luò)應(yīng)采用物理隔離的雙網(wǎng)架構(gòu),如果內(nèi)網(wǎng)確需開展對外的WWW等服務(wù),應(yīng)單獨設(shè)置VLAN,結(jié)合防火墻設(shè)備,通過設(shè)置DMZ的方式實現(xiàn)與外界的安全相連。同時,醫(yī)院應(yīng)合理的設(shè)置網(wǎng)絡(luò)使用權(quán)限,嚴(yán)格進行用戶網(wǎng)絡(luò)密碼管理,防止越權(quán)操作。③檢測。檢測是從監(jiān)視、分析、審計信息網(wǎng)絡(luò)活動的角度,發(fā)現(xiàn)對于信息網(wǎng)絡(luò)的攻擊、破壞活動,提供預(yù)警、實時響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持,使安全防護從單純的被動防護演進到積極的主動防御。前述防護系統(tǒng)能阻止大部分入侵事件的發(fā)生,但是它不能阻止所有的入侵。因此安全策略的另一個重要屏障就是檢測。常用工具是入侵檢測系統(tǒng)(IDS)和漏洞掃描工具。利用入侵檢測系統(tǒng)(IDS)對醫(yī)院系統(tǒng)信息安全狀況進行實時監(jiān)控,并定期查看入侵檢測系統(tǒng)生成的報警日志,可及時發(fā)現(xiàn)信息系統(tǒng)是否受到安全攻擊。而通過漏洞掃描工具,可及時檢測信息系統(tǒng)中關(guān)鍵設(shè)備是否存在各種安全漏洞,并針對漏洞掃描結(jié)果,對重要信息系統(tǒng)及時進行安全加固。④響應(yīng)。主要包括審計跟蹤、事件報警、事件處理等。醫(yī)院應(yīng)在信息系統(tǒng)中部署安全監(jiān)控與審計設(shè)備以及帶有自動響應(yīng)機制的安全技術(shù)或設(shè)備,當(dāng)系統(tǒng)受到安全攻擊時能及時發(fā)出安全事故告警,并自動終止信息系統(tǒng)中發(fā)生的安全事件。為了確保醫(yī)院正常的醫(yī)療服務(wù)和就醫(yī)秩序,提高醫(yī)院應(yīng)對突發(fā)事件的能力,醫(yī)院還應(yīng)成立信息安全應(yīng)急響應(yīng)小組,專門負(fù)責(zé)突發(fā)事件的處理,當(dāng)醫(yī)院信息系統(tǒng)出現(xiàn)故障時,能迅速做出響應(yīng),從而將各種損失和社會影響降到最低。其他事件處理則可通過咨詢、培訓(xùn)和技術(shù)支持等得到妥善解決。⑤恢復(fù)。主要包括系統(tǒng)恢復(fù)和信息恢復(fù)兩個方面。系統(tǒng)恢復(fù)可通過系統(tǒng)重裝、系統(tǒng)升級、軟件升級和打補丁等方式得以實現(xiàn)。信息恢復(fù)主要針對丟失數(shù)據(jù)的恢復(fù)。數(shù)據(jù)丟失可能來自于硬件故障、應(yīng)用程序或數(shù)據(jù)庫損壞、黑客攻擊、病毒感染、自然災(zāi)害或人為錯誤。信息恢復(fù)跟數(shù)據(jù)備份工作密切相關(guān),數(shù)據(jù)備份做得是否充分影響到信息恢復(fù)的程度。在信息恢復(fù)過程中要注意信息恢復(fù)的優(yōu)先級別。直接影響日常生活和工作的信息必須先恢復(fù),這樣可提高信息恢復(fù)的效率。另外,恢復(fù)工作中如果涉及機密數(shù)據(jù),需遵照機密系統(tǒng)的恢復(fù)要求。⑥反擊。醫(yī)院可采用入侵防御技術(shù)、黑客追蹤技術(shù)、日志自動備份技術(shù)、安全審計技術(shù)、計算機在線調(diào)查取證分析系統(tǒng)和網(wǎng)絡(luò)運維管理系統(tǒng)等手段,進行證據(jù)收集、追本溯源,實現(xiàn)醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)遭遇不法侵害時對各種安全威脅源的反擊。

4結(jié)束語

第3篇:醫(yī)院信息安全保護制度范文

關(guān)鍵詞:互聯(lián)網(wǎng)+醫(yī)療信息安全問題

國家文件《國務(wù)院關(guān)于積極推進“互聯(lián)網(wǎng)+”行動的指導(dǎo)意見》,進一步對“互聯(lián)網(wǎng)+”在醫(yī)療領(lǐng)域的建設(shè)和運用提出了指導(dǎo)性的意見和嚴(yán)格的要求。因此,在構(gòu)建信息化醫(yī)院時,醫(yī)院相關(guān)人員要對醫(yī)療信息的安全問題進行具體的分析。

一、互聯(lián)網(wǎng)+醫(yī)療模式下醫(yī)療信息現(xiàn)狀

1.患者移動服務(wù)中的泄露風(fēng)險

在信息化的醫(yī)院和醫(yī)療中,患者可以通過微信公眾號、支付寶服務(wù)號、APP、網(wǎng)站等渠道進行預(yù)約掛號、繳費咨詢等,而掛號、繳費、就診卡都需要實名制。在這個過程中,網(wǎng)頁彈窗、小廣告、流氓網(wǎng)站、釣魚網(wǎng)站層出不窮,患者操作時稍不注意就可能陷入網(wǎng)絡(luò)陷阱,造成人身或者經(jīng)濟的損失。

我國不同地區(qū)的經(jīng)濟水平、醫(yī)療水平存在一定的差異性,當(dāng)一些相對落后地區(qū)的患者通過網(wǎng)絡(luò)平臺向高級醫(yī)院求助時,在信息傳遞的過程中,可能發(fā)生信息泄漏,這很難追究問題的根源。再加上從業(yè)人員能力參差不齊,更有甚者為了利益販賣患者的信息,這都對醫(yī)療信息的安全性造成了威脅。

2.遠(yuǎn)程醫(yī)療中的泄露風(fēng)險

遠(yuǎn)程醫(yī)療是指遠(yuǎn)距離對患者進行醫(yī)學(xué)診療,它打破了空間的限制,不僅方便了患者及時就診,還有利于優(yōu)質(zhì)醫(yī)療資源的配置。但在進行遠(yuǎn)程醫(yī)療服務(wù)的同時,患者的病例和個人信息都需要通過互聯(lián)網(wǎng)進行傳輸,醫(yī)生與患者之間的溝通需要通過視頻通話,這很容易造成通信信息被記錄、篡改或者遭到攔截,患者的醫(yī)學(xué)影像、病例、化驗單等信息遭到拷貝,整個過程都存在泄漏信息安全的隱患。

3.移動醫(yī)療設(shè)備使用中的泄露風(fēng)險

隨著科技的發(fā)展,一些移動醫(yī)療設(shè)備隨之產(chǎn)生,類似于健康手環(huán)、血糖儀、血壓儀、慢性病監(jiān)測設(shè)備等。其中,健康手環(huán)會對佩戴者進行實時監(jiān)控,在整個過程中信息會通過網(wǎng)絡(luò)傳輸?shù)绞謾C上。此時,如果遭到網(wǎng)絡(luò)黑客的惡意篡改和監(jiān)視,佩戴者的行程、位置、個人信息等信息就會一覽無余地呈現(xiàn)在不法分子面前,嚴(yán)重危害人們的安全。

二、相關(guān)策略

1.增強信息系統(tǒng)安全性

首先,醫(yī)院和相關(guān)醫(yī)療部門應(yīng)加大資金和技術(shù)人員的投入,組建信息安全部門,及檢查網(wǎng)絡(luò)安全情況,對平臺漏洞進行監(jiān)控和修復(fù),建立網(wǎng)絡(luò)防火墻,阻止不法分子的網(wǎng)絡(luò)攻擊和病毒入侵;其次,醫(yī)院要保護好自己的數(shù)據(jù)庫,配備專業(yè)的數(shù)據(jù)庫安全產(chǎn)品,設(shè)定安全訪問的規(guī)則,限制非授權(quán)的訪問;最后,客戶端要安裝專業(yè)的網(wǎng)絡(luò)殺毒軟件,并且定時掃描和更新終端設(shè)備,提高醫(yī)療信息的安全性,為信息化的醫(yī)療服務(wù)提供網(wǎng)絡(luò)安全技術(shù)支持,為患者的個人信息保駕護航。

2.加強相應(yīng)的管理

互聯(lián)網(wǎng)醫(yī)療機構(gòu)要遵守法律法規(guī),按照《網(wǎng)絡(luò)安全法》和行業(yè)標(biāo)準(zhǔn)進行發(fā)展和管理,因為醫(yī)療信息的安全離不開法律的支持和醫(yī)院的管理。

第一,醫(yī)院要提高相關(guān)工作人員的專業(yè)能力和信息保護意識,保護醫(yī)院和患者的隱私。同時,醫(yī)院要建立相關(guān)的規(guī)章制度,嚴(yán)格約束從業(yè)人員,提高從業(yè)人員的自我約束能力和信息安全管理的責(zé)任心。

第二,醫(yī)院要向患者公開信息安全保護的相關(guān)規(guī)定,要求患者保護個人信息。醫(yī)療信息具有巨大的商業(yè)價值,患者只有妥善保管,才能保證信息免遭泄漏。

第三,醫(yī)院要把握好公開信息和隱私信息之間的平衡,不能一概而論地公開信息,也不能毫無余地地保密信息。信息化的智能醫(yī)院就是利用互聯(lián)網(wǎng)互聯(lián)互通和信息開放的特點,保護病患的信息安全,所以在保護醫(yī)療信息時,醫(yī)院要避免絕對化,把握好尺度。

第4篇:醫(yī)院信息安全保護制度范文

關(guān)鍵詞:等級保護;網(wǎng)絡(luò)安全;信息安全;安全防范

中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1009-3044(2014)19-4433-03

隨著我國國際地位的不斷提高和經(jīng)濟的持續(xù)發(fā)展,我國的網(wǎng)絡(luò)信息和重要信息系統(tǒng)面臨越來越多的威脅,網(wǎng)絡(luò)違法犯罪持續(xù)大幅上升,計算機病毒傳播和網(wǎng)絡(luò)非法入侵十分猖獗,犯罪分子利用一些安全漏洞,使用木馬間諜程序、網(wǎng)絡(luò)釣魚技術(shù)、黑客病毒技術(shù)等技術(shù)進行網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊、網(wǎng)絡(luò)賭博等違法犯罪,給用戶造成嚴(yán)重?fù)p失,因此,維護網(wǎng)絡(luò)信息安全的任務(wù)非常艱巨、繁重,加強網(wǎng)絡(luò)信息安全等級保護建設(shè)刻不容緩。

1 網(wǎng)絡(luò)信息安全等級保護

信息安全等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。網(wǎng)絡(luò)信息安全等級保護體系包括技術(shù)和管理兩大部分,如圖1所示,其中技術(shù)要求分為數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)安全、主機安全、物理安全五個方面進行建設(shè)。

圖1 等級保護基本安全要求

1) 物理安全

物理安全主要涉及的方面包括環(huán)境安全(防火、防水、防雷擊等)設(shè)備和介質(zhì)的防盜竊防破壞等方面。

2) 主機安全

主機系統(tǒng)安全是計算機設(shè)備(包括服務(wù)器、終端/工作站等)在操作系統(tǒng)及數(shù)據(jù)庫系統(tǒng)層面的安全;通過部署終端安全管理系統(tǒng)(TSM),準(zhǔn)入認(rèn)證網(wǎng)關(guān)(SACG),以及專業(yè)主機安全加固服務(wù),可以實現(xiàn)等級保護對主機安全防護要求。

3) 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)是保障信息系統(tǒng)互聯(lián)互通基礎(chǔ),網(wǎng)絡(luò)安全防護重點是確保網(wǎng)絡(luò)之間合法訪問,檢測,阻止內(nèi)部,外部惡意攻擊;通過部署統(tǒng)一威脅管理網(wǎng)關(guān)USG系列,入侵檢測/防御系統(tǒng)NIP,Anti-DDoS等網(wǎng)絡(luò)安全產(chǎn)品,為合法的用戶提供合法網(wǎng)絡(luò)訪問,及時發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)部惡意攻擊安全威脅。

4) 應(yīng)用安全

應(yīng)用安全就是保護系統(tǒng)的各種應(yīng)用程序安全運行,包括各種基本應(yīng)用,如:消息發(fā)送、web瀏覽等;業(yè)務(wù)應(yīng)用,如:電子商務(wù)、電子政務(wù)等;部署的文檔安全管理系統(tǒng)(DSM),數(shù)據(jù)庫審計UMA-DB,防病毒網(wǎng)關(guān)AVE等產(chǎn)品。并且通過安全網(wǎng)關(guān)USG實現(xiàn)數(shù)據(jù)鏈路傳輸IPSec VPN加密,數(shù)據(jù)災(zāi)備實現(xiàn)企業(yè)信息系統(tǒng)數(shù)據(jù)防護,降低數(shù)據(jù)因意外事故,或者丟失給造成危害。

5) 數(shù)據(jù)安全

數(shù)據(jù)安全主要是保護用戶數(shù)據(jù)、系統(tǒng)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)的保護;通過對所有信息系統(tǒng),網(wǎng)絡(luò)設(shè)備,安全設(shè)備,服務(wù)器,終端機的安全事件日志統(tǒng)一采集,分析,輸出各類法規(guī)要求安全事件審計報告,制定標(biāo)準(zhǔn)安全事件應(yīng)急響應(yīng)工單流程。

2 應(yīng)用實例

近年來衛(wèi)生行業(yè)全面開展信息安全等級保護定級備案、建設(shè)整改和等級測評等工作,某醫(yī)院的核心系統(tǒng)按照等級保護三級標(biāo)準(zhǔn)建設(shè)信息系統(tǒng)安全體系,全面保護醫(yī)院內(nèi)網(wǎng)系統(tǒng)與外網(wǎng)系統(tǒng)的信息安全。

醫(yī)院網(wǎng)絡(luò)的安全建設(shè)核心內(nèi)容是將網(wǎng)絡(luò)進行全方位的安全防護,不是對整個系統(tǒng)進行同一等級的保護,而是針對系統(tǒng)內(nèi)部的不同業(yè)務(wù)區(qū)域進行不同等級的保護;通過安全域劃分,實現(xiàn)對不同系統(tǒng)的差異防護,并防止安全問題擴散。業(yè)務(wù)應(yīng)用以及基礎(chǔ)網(wǎng)絡(luò)服務(wù)、日常辦公終端之間都存在一定差異,各自可能具有不同的安全防護需求,因此需要將不同特性的系統(tǒng)進行歸類劃分安全域,并明確各域邊界,分別考慮防護措施。經(jīng)過梳理后的醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分如圖2所示,外網(wǎng)是一個星型的快速以太交換網(wǎng),核心為一臺高性能三層交換機,下聯(lián)內(nèi)網(wǎng)核心交換機,上聯(lián)外網(wǎng)服務(wù)器區(qū)域交換機和DMZ隔離區(qū),外聯(lián)互聯(lián)網(wǎng)出口路由器,內(nèi)網(wǎng)交換機向下連接信息點(終端計算機),外網(wǎng)核心交換機與內(nèi)網(wǎng)核心交換機之間采用千兆光纖鏈路,內(nèi)網(wǎng)交換機采用百兆雙絞線鏈路下聯(lián)終端計算機,外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計至關(guān)重要,直接影響到等級保護系統(tǒng)的安全性能。

圖 2 醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全區(qū)域劃分圖

2.1外網(wǎng)網(wǎng)絡(luò)安全要求

系統(tǒng)定級為3級,且等級保護要求選擇為S3A2G3,查找《信息系統(tǒng)安全等級保護基本要求》得到該系統(tǒng)的具體技術(shù)要求選擇,外網(wǎng)網(wǎng)絡(luò)安全要求必須滿足如下要求:邊界完整性檢查(S3) 、入侵防范(G3) 、結(jié)構(gòu)安全(G3) 、訪問控制(G3) 、安全審計(G3) 、惡意代碼防范(G3) 和網(wǎng)絡(luò)設(shè)備防護(G3) 。

2.2網(wǎng)絡(luò)安全策略

根據(jù)對醫(yī)院外網(wǎng)機房區(qū)域安全保護等級達(dá)到安全等級保護3級的基本要求,制定相應(yīng)的網(wǎng)絡(luò)安全策略

1) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)策略

要合理劃分網(wǎng)段,利用網(wǎng)絡(luò)中間設(shè)備的安全機制控制各網(wǎng)絡(luò)間的訪問。要采取一定的技術(shù)措施,監(jiān)控網(wǎng)絡(luò)中存在的安全隱患、脆弱點。并利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

2) 訪問控制策略

訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制,它控制哪些用戶能夠連入內(nèi)部網(wǎng)絡(luò),那些用戶能夠通過哪種方式登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)。

3) 網(wǎng)絡(luò)入侵檢測策略

系統(tǒng)中應(yīng)該設(shè)置入侵檢測策略,動態(tài)地監(jiān)測網(wǎng)絡(luò)內(nèi)部活動并做出及時的響應(yīng)。

4) 網(wǎng)絡(luò)安全審計策略

系統(tǒng)中應(yīng)該設(shè)置安全審計策略,收集并分析網(wǎng)絡(luò)中的訪問數(shù)據(jù),從而發(fā)現(xiàn)違反安全策略的行為。

5) 運行安全策略

運行安全策略包括:建立全網(wǎng)的運行安全評估流程,定期評估和加固網(wǎng)絡(luò)設(shè)備及安全設(shè)備。

2.3網(wǎng)絡(luò)安全設(shè)計

根據(jù)對醫(yī)院外網(wǎng)安全保護等級達(dá)到安全等級保護3級的基本要求,外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計包括網(wǎng)絡(luò)訪問控制,網(wǎng)絡(luò)入侵防護,網(wǎng)絡(luò)安全審計和其他安全設(shè)計。

1) 網(wǎng)絡(luò)訪問控制

實現(xiàn)以上等級保護的最有效方法就是在外網(wǎng)中關(guān)鍵網(wǎng)絡(luò)位置部署防火墻類網(wǎng)關(guān)設(shè)備,采用一臺天融信網(wǎng)絡(luò)衛(wèi)士獵豹防火墻、一臺CISCO公司的PIX515和一臺網(wǎng)絡(luò)衛(wèi)士入侵防御系統(tǒng)TopIDP。

①外網(wǎng)互聯(lián)網(wǎng)邊界防火墻:在局域網(wǎng)與互聯(lián)網(wǎng)邊界之間部署CISCO公司的PIX515百兆防火墻,該防火墻通過雙絞線連接核心交換區(qū)域和互聯(lián)網(wǎng)接入?yún)^(qū)域,對外網(wǎng)的互聯(lián)網(wǎng)接入提供邊界防護和訪問控制。

②對外服務(wù)區(qū)域邊界防火墻:對外服務(wù)區(qū)域與安全管理區(qū)域邊界部署一臺千兆防火墻(天融信NGFW4000-UF),該防火墻通過光纖連接核心交換機和對外服務(wù)區(qū)域交換機,通過雙絞線連接區(qū)域內(nèi)服務(wù)器,對其他區(qū)域向?qū)ν夥?wù)區(qū)域及安全管理區(qū)域的訪問行為進行控制,同時控制兩個區(qū)域內(nèi)部各服務(wù)器之間的訪問行為。

③網(wǎng)絡(luò)入侵防御系統(tǒng):在托管機房區(qū)域邊界部署一臺網(wǎng)絡(luò)入侵防御系統(tǒng),該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機,為托管機房區(qū)域提供邊界防護和訪問控制。

2) 網(wǎng)絡(luò)入侵防護

外網(wǎng)局域網(wǎng)的對外服務(wù)區(qū)域,防護級別為S2A2G2,重點要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測,因此在局域網(wǎng)的內(nèi)部區(qū)域邊界部署網(wǎng)絡(luò)入侵檢測系統(tǒng)(天融信網(wǎng)絡(luò)入侵防御系統(tǒng)TopIDP);對于外網(wǎng)托管機房的網(wǎng)站系統(tǒng),防護級別為S3A2G3,由于其直接與互聯(lián)網(wǎng)相連,不僅要實現(xiàn)區(qū)域邊界處入侵和攻擊行為的檢測,還要能夠有效防護互聯(lián)網(wǎng)進來的攻擊行為,因此在托管機房區(qū)域邊界部署網(wǎng)絡(luò)入侵防御系統(tǒng)(啟明星辰天闐NS2200)。

①網(wǎng)絡(luò)入侵防御系統(tǒng):在托管機房區(qū)域邊界部署一臺采用通明模式的網(wǎng)絡(luò)入侵防御系統(tǒng),該入侵防御系統(tǒng)通過雙絞線連接互聯(lián)網(wǎng)出口設(shè)備和區(qū)域匯聚交換機,其主要用來防御來自互聯(lián)網(wǎng)的攻擊流量。

②網(wǎng)絡(luò)入侵檢測系統(tǒng):在外網(wǎng)的核心交換機上部署一臺千兆IDS系統(tǒng),IDS監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致;在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作,將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路,以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量,鏡像至IDS監(jiān)聽端口;IDS用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量,訪問安全管理區(qū)域的數(shù)據(jù)流量,以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行檢測。

3) 網(wǎng)絡(luò)安全審計

信息安全審計管理應(yīng)該管理最重要的核心網(wǎng)絡(luò)邊界,在外網(wǎng)被審計對象不僅僅包括對外服務(wù)區(qū)域中的應(yīng)用服務(wù)器和安全管理區(qū)域的服務(wù)器等的訪問流量,還要對終端的互聯(lián)網(wǎng)訪問行為進行審計;此外重要網(wǎng)絡(luò)設(shè)備和安全設(shè)備也需要列為審計和保護的對象。

由于終端的業(yè)務(wù)訪問和互聯(lián)網(wǎng)訪問都需要在網(wǎng)絡(luò)設(shè)備產(chǎn)生訪問流量,因此在外網(wǎng)的核心交換機上部署網(wǎng)絡(luò)行為審計系統(tǒng)(天融信網(wǎng)絡(luò)行為審計TopAudit),交換機必需映射一個多對一抓包端口,網(wǎng)絡(luò)審計引擎通過抓取網(wǎng)絡(luò)中的數(shù)據(jù)包,并對抓到的包進行分析、匹配、統(tǒng)計,從而實現(xiàn)網(wǎng)絡(luò)安全審計功能。

①在外網(wǎng)的核心交換機上部署一臺千兆網(wǎng)絡(luò)安全審計系統(tǒng),監(jiān)聽端口類型需要和核心交換機對端的端口類型保持一致,使用光纖接口;

②在核心交換機上操作進行一對一監(jiān)聽端口鏡像操作,將對外服務(wù)區(qū)域與核心交換區(qū)域之間鏈路,以及互聯(lián)網(wǎng)接入?yún)^(qū)域與核心交換區(qū)域之間鏈路進出雙方向的數(shù)據(jù)流量,鏡像至網(wǎng)絡(luò)安全審計系統(tǒng)的監(jiān)聽端口;

③網(wǎng)絡(luò)安全審計系統(tǒng)用于對訪問對外服務(wù)區(qū)域的數(shù)據(jù)流量,訪問安全管理區(qū)域的數(shù)據(jù)流量,以及訪問互聯(lián)網(wǎng)的數(shù)據(jù)流量進行安全審計;

④開啟各區(qū)域服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志審計功能。

4) 其他網(wǎng)絡(luò)安全設(shè)計

其他網(wǎng)絡(luò)安全設(shè)計包括邊界完整性檢查,惡意代碼防范,網(wǎng)絡(luò)設(shè)備防護,邊界完整性檢查等。

①邊界完整性檢查:在托管機房的網(wǎng)絡(luò)設(shè)備上為托管區(qū)域服務(wù)器劃分獨立VLAN,并制定嚴(yán)格的策略,禁止其他VLAN的訪問,只允許來自網(wǎng)絡(luò)入侵防御系統(tǒng)外部接口的訪問行為;對服務(wù)器系統(tǒng)進行安全加固,提升系統(tǒng)自身的安全訪問控制能力;

②惡意代碼防范:通過互聯(lián)網(wǎng)邊界的入侵防御系統(tǒng)對木馬類、拒絕服務(wù)類、系統(tǒng)漏洞類、webcgi類、蠕蟲類等惡意代碼進行檢測和清除;部署服務(wù)器防病毒系統(tǒng),定期進行病毒庫升級和全面殺毒,確保服務(wù)器具有良好的防病毒能力。

③網(wǎng)絡(luò)設(shè)備防護:網(wǎng)絡(luò)設(shè)備為托管機房單位提供,由其提供網(wǎng)絡(luò)設(shè)備安全加固服務(wù),應(yīng)進行以下的安全加固:開啟樓層接入交換機的接口安全特性,并作MAC綁定; 關(guān)閉不必要的服務(wù)(如:禁止CDP(Cisco Discovery Protocol),禁止TCP、UDP Small服務(wù)等), 登錄要求和帳號管理, 其它安全要求(如:禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件,禁止未使用或空閑的端口等)。

3 結(jié)束語

信息安全等級保護是實施國家信息安全戰(zhàn)略的重大舉措,也是我國建立信息安全保障體系的基本制度。作為國家信息安全保障體系建設(shè)的重要依據(jù),在實行安全防護系統(tǒng)建設(shè)的過程中,應(yīng)當(dāng)按照等級保護的思想和基本要求進行建設(shè),根據(jù)分級、分域、分系統(tǒng)進行安全建設(shè)的思路,針對一個特定的信息系統(tǒng)(醫(yī)院信息管理系統(tǒng))為例,提出全面的等級保護技術(shù)建設(shè)方案,希望能夠為用戶的等級保護建設(shè)提出參考。

參考文獻:

[1] 徐寶海.市縣級國土資源系統(tǒng)信息網(wǎng)絡(luò)安全體系建設(shè)探討[J].中國管理信息化,2014(4).

[2] 李光輝.全臺網(wǎng)信息安全保障體系初探[J].電腦知識與技術(shù),2013(33).

第5篇:醫(yī)院信息安全保護制度范文

一、當(dāng)前醫(yī)院人事檔案信息化管理存在的主要問題

(一)重視程度不夠。醫(yī)院領(lǐng)導(dǎo)層對人事檔案管理工作不重視,認(rèn)為人事檔案管理在醫(yī)療核心工作中起到間接輔助作用,不能直接為醫(yī)院創(chuàng)造經(jīng)濟財富和社會效益;還有的領(lǐng)導(dǎo)甚至認(rèn)為人事檔案管理工作僅僅是人事部門的事情,因而沒有加以重視,也沒有在人力、物力、財力等方面對人事檔案管理加大投入,致使人事檔案管理長期處于維持現(xiàn)狀和被動應(yīng)付的狀況,醫(yī)院人事檔案信息化建設(shè)也就無從談起。(二)基礎(chǔ)設(shè)施建設(shè)落后。目前許多醫(yī)院的人事檔案基礎(chǔ)設(shè)施建設(shè)落后,還停留在紙質(zhì)檔案階段,人事檔案信息化程度不高,未能將現(xiàn)代化信息技術(shù)手段全面引入醫(yī)院人事檔案管理工作。(三)管理不規(guī)范。傳統(tǒng)的醫(yī)院人事檔案管理方法局限于保管保存功能,利用率不高,實際工作中方法單一致使效率低下,現(xiàn)代化管理手段沒有充分應(yīng)用到人事檔案管理工作中,明顯滯后于醫(yī)院各項工作的快速發(fā)展。隨著人事制度改革的不斷深入,檔案材料的收集、保管、利用以及檔案業(yè)務(wù)的范圍也發(fā)生了變化,部分舊的管理制度不適應(yīng)社會發(fā)展的需求,亟待進一步修訂完善。(四)管理隊伍不專業(yè)。檔案管理人員需要具備過硬的政治素質(zhì)和業(yè)務(wù)素質(zhì),還要具有愛崗敬業(yè)的職業(yè)素養(yǎng)。在人事檔案管理信息化過程中,檔案管理人員不僅要精通檔案管理專業(yè)知識,還要能熟練掌握計算機和網(wǎng)絡(luò)應(yīng)用技能。當(dāng)前,很多醫(yī)院人事檔案管理人員不能完全達(dá)到以上工作要求,需要進一步的學(xué)習(xí)和培訓(xùn)。

二、做好醫(yī)院人事檔案信息化管理的對策

(一)重視醫(yī)院人事檔案信息化管理工作。醫(yī)院領(lǐng)導(dǎo)及組織人事部門要把人事檔案管理工作放在事關(guān)醫(yī)院人才隊伍建設(shè)全局的高度來對待,加強人事檔案管理基礎(chǔ)設(shè)施建設(shè),切實將其納入重要議事日程。應(yīng)著重加強人事檔案管理工作人員的思想教育,完善醫(yī)院的人事檔案工作考核制度,體現(xiàn)多勞多得、優(yōu)勞優(yōu)酬,充分調(diào)動管檔人員的工作積極性,提高工作效率。(二)提高醫(yī)院人事檔案信息化建設(shè)投入。醫(yī)院提供一定的資金支持,更新硬件設(shè)備,如計算機、掃描儀、照相機等;提供技術(shù)支持,通過公開招標(biāo)采構(gòu)引入專業(yè)檔案管理軟件,來提高醫(yī)院人事檔案管理的信息化程度。同時加強醫(yī)院人事檔案管理安全措施,在軟件應(yīng)用的基礎(chǔ)上加設(shè)防盜系統(tǒng)。(三)做好醫(yī)院人事檔案系統(tǒng)維護。主要包括以下方面:1.規(guī)范的錄入規(guī)則和內(nèi)容。在原始數(shù)據(jù)錄入時應(yīng)該建立統(tǒng)一規(guī)范的錄入規(guī)則,所采集數(shù)據(jù)應(yīng)針對實際工作需求,以免造成浪費,做到有用必錄入,無關(guān)少錄入,讓人事檔案管理系統(tǒng)便捷高效,清晰易懂。2.定期的日常維護。建立人事檔案系統(tǒng)不是一件一勞永逸的事情,需要定期進行對于系統(tǒng)數(shù)據(jù)進行管理維護與更新。只有經(jīng)常對系統(tǒng)進行維護才能確保醫(yī)院人力資源系統(tǒng)的長期長效運用。3.檔案的保存與管理。醫(yī)院人事檔案信息化管理是將數(shù)據(jù)保存在服務(wù)器中,同時將數(shù)據(jù)備份放置硬盤中,以防服務(wù)器出現(xiàn)問題。在人事檔案的管理過程中不僅要依靠信息化系統(tǒng),還要對于原始紙質(zhì)檔案進行妥善保存。做到實時系統(tǒng)、硬盤備份與原始材料三方的妥善保存與管理,防止各種意外情況的發(fā)生。4.落實安全保護措施。在服務(wù)器與客戶端之間設(shè)置“防火墻”,定期修改服務(wù)器密碼,針對相應(yīng)管理人員的上崗、離崗情況簽訂保密協(xié)議,明確管理人員和工作人員申請、變更、注銷權(quán)限等。嚴(yán)格執(zhí)行保密規(guī)定,加強人事檔案信息安全管理。在日常管理工作中,將人事檔案信息安全納入醫(yī)院安全保護管理的范圍。(四)加強信息化管理制度建設(shè)。應(yīng)建立健全人事檔案信息化管理制度,特別是要建立健全醫(yī)院人事檔案材料收集、整理、歸檔、保存等相關(guān)制度和人事檔案計算機使用管理制度,嚴(yán)格落實,加強監(jiān)管,明確各個崗位的工作范圍及職責(zé),規(guī)范檔案管理人員行為。(五)建設(shè)一支高素質(zhì)的檔案管理隊伍。要不斷加強檔案人員的政治素質(zhì)、業(yè)務(wù)素質(zhì)、工作作風(fēng)等方面建設(shè),通過業(yè)務(wù)學(xué)習(xí)、教育培訓(xùn)、外出進修等方式實現(xiàn)管檔人員的基本理論、業(yè)務(wù)技能、工作水平的提升,努力建設(shè)一支政治強、業(yè)務(wù)精、作風(fēng)好的高素質(zhì)醫(yī)院人事檔案管理隊伍。鼓勵檔案管理人員在工作中總結(jié)創(chuàng)新工作方法和途徑,促進人事檔案工作的不斷發(fā)展。

三、結(jié)語

醫(yī)院人事檔案管理為醫(yī)院人才培養(yǎng)、制定人力資源發(fā)展規(guī)劃等工作提供了有力的信息支撐,是醫(yī)院人力資源管理不可或缺的重要組成部分。新形勢下進行人事檔案管理改革勢在必行,只有加快人事檔案管理信息化建設(shè),才能更好地提高醫(yī)院檔案管理工作的效率,才能推進人事檔案管理的科學(xué)化和規(guī)范化進程。

作者: 單位:臨沂市精神衛(wèi)生中心

【參考文獻】

第6篇:醫(yī)院信息安全保護制度范文

飛速發(fā)展的社會經(jīng)濟將企業(yè)管理投入到信息技術(shù)的海洋之中,大中型企業(yè)管理的自動化水平正在不斷提高。現(xiàn)代企業(yè)的核心管理手段是將計算機網(wǎng)絡(luò)技術(shù)應(yīng)用于業(yè)務(wù)管理系統(tǒng),實現(xiàn)企業(yè)管理理念的宏觀化、管理手段的智能化、管理方式的網(wǎng)絡(luò)化,從而帶來的是管理效率的高速化。具體的管理系統(tǒng)包括外門戶網(wǎng)站系統(tǒng)、內(nèi)部門戶網(wǎng)站系統(tǒng)、辦公自動化系統(tǒng)、營銷管理系統(tǒng)、配網(wǎng)管理系統(tǒng)、財務(wù)管理系統(tǒng)、生產(chǎn)管理系統(tǒng)等[ 1 ]。

1 企業(yè)網(wǎng)絡(luò)信息安全概述

1.1 網(wǎng)絡(luò)信息安全面臨的威脅

網(wǎng)絡(luò)信息的安全主要是系統(tǒng)漏洞帶來的病毒和黑客侵襲。漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)[ 2 ]。系統(tǒng)漏洞是危害網(wǎng)絡(luò)安全的最主要因素,特別是軟件系統(tǒng)的各種漏洞。黑客的攻擊行為都是利用系統(tǒng)的安全漏洞來進行的。許多系統(tǒng)都有這樣那樣的安全漏洞(Bugs),其中有些是操作系統(tǒng)或應(yīng)用軟件由于設(shè)計缺陷本身所具有的,這些漏洞在補丁未被開發(fā)出來之前一般很難防御黑客的破壞,除非你不接入網(wǎng)絡(luò)。還有就是程序員在設(shè)計一些功能復(fù)雜的程序時,預(yù)留的用于測試和維護的程序入口,由于疏忽或者其他原因(如將它留在程序中,便于日后訪問、測試或維護)沒有去掉,這就可能被一些黑客發(fā)現(xiàn)并利用作為后門。到目前為止,還沒有出現(xiàn)真正安全無漏洞的產(chǎn)品,這也是當(dāng)前黑客肆虐的主要原因[ 3 ]。

1.2 造成企業(yè)網(wǎng)絡(luò)信息安全威脅的原因

1.2.1 計算機系統(tǒng)原生漏洞

目前計算機所依賴的依然是普遍通用的微軟Windows系統(tǒng)。為了適應(yīng)用戶的需求,這一系統(tǒng)的研發(fā)進展不斷進步,系統(tǒng)升級較為頻繁,每兩年左右便會有新系統(tǒng)推出面世。許多計算機用戶,特別是企業(yè)用戶,如果對新系統(tǒng)沒有全面、專業(yè)、深入的了解而盲目進行了系統(tǒng)更新,有可能造成安裝設(shè)置過程中缺陷導(dǎo)致的新系統(tǒng)帶來的弊端,從而埋下漏洞隱患,給信息安全造成威脅。

1.2.2 計算機軟件應(yīng)用不當(dāng)遭遇惡意軟件

在企業(yè)管理計算機軟件應(yīng)用過程中,如果沒有專業(yè)的識別和下載安裝經(jīng)驗,極有可能遇到惡意軟件。惡意軟件常常故意不對用戶做明確提示(如選項提示、退出安裝提示等)或者在未經(jīng)用戶許可的情況下,在用戶的計算機上強行安裝;有的軟件難以卸載(設(shè)置卸載障礙);還有的軟件通過瀏覽器劫持行為,肆意:指未經(jīng)用戶許可,修改用戶瀏覽器或設(shè)置,迫使用戶訪問特定網(wǎng)站或?qū)е掠脩魺o法正常上網(wǎng)等。惡意軟件造成的計算機病毒感染,黑客的乘虛而入將嚴(yán)重威脅企業(yè)網(wǎng)絡(luò)信息安全,甚至導(dǎo)致系統(tǒng)崩潰,數(shù)據(jù)丟失。有的惡意軟件甚至自帶網(wǎng)絡(luò)數(shù)據(jù)運行監(jiān)視裝置,被惡意使用后可以直接用于竊取商業(yè)數(shù)據(jù)和信息,給企業(yè)造成巨大損失。

1.2.3 企業(yè)網(wǎng)絡(luò)信息系統(tǒng)維護規(guī)范欠缺

企業(yè)網(wǎng)絡(luò)信息系統(tǒng)在運行過程中無論何種原因都難以避免可能產(chǎn)生的漏洞,而對信息系統(tǒng)的規(guī)范維護是信息安全保護的重要手段。但部分企業(yè)沒有對系統(tǒng)維護規(guī)范作出規(guī)定,如系統(tǒng)維護工程師、助理工程師的職責(zé)與權(quán)限并不明確,生產(chǎn)或銷售應(yīng)用系統(tǒng)的監(jiān)控記錄不能定期建檔,生產(chǎn)或辦公系統(tǒng)主機的日常故障處理不做登記,應(yīng)用系統(tǒng)的數(shù)據(jù)庫啟動情況和數(shù)據(jù)庫設(shè)置得不到及時觀察,重要數(shù)據(jù)庫的變更操作,定期清理過期備份不能正常進行,應(yīng)用數(shù)據(jù)庫癱瘓后的異地備份恢復(fù)記錄不完整等,都有可能造成企業(yè)網(wǎng)絡(luò)信息系統(tǒng)的安全隱患。

2 企業(yè)信息系統(tǒng)安全管理存在的問題

2.1 企業(yè)對信息系統(tǒng)管理重視不足

許多企業(yè)頂層決策缺乏長久觀念,比較重視信息網(wǎng)絡(luò)的建設(shè)而較易忽視信息網(wǎng)絡(luò)和系統(tǒng)的管理。在企業(yè)網(wǎng)絡(luò)建設(shè)初期往往偏重于硬件設(shè)施的投資和技術(shù)成本的投入,盲目追求管理系統(tǒng)的高性能、高配置,忽略了硬件設(shè)施與實際應(yīng)用的差距,認(rèn)為高層次的網(wǎng)絡(luò)系統(tǒng)一旦建成便萬事大吉。這種認(rèn)識不但造成了不必要的資金浪費,更容易形成輕視系統(tǒng)維護管理工作的狀況。由于缺乏管理意識,許多企業(yè)在規(guī)章制度、人事安排、專業(yè)培訓(xùn)、技術(shù)隊伍等幾方面沒有形成企業(yè)信息系統(tǒng)的專業(yè)團隊,更沒有針對系統(tǒng)癱瘓、數(shù)據(jù)丟失等突發(fā)事件的應(yīng)急預(yù)案,往往是問題發(fā)生后臨時應(yīng)急解決,“頭痛治頭足痛治足”,致使現(xiàn)代化信息系統(tǒng)不能充分發(fā)揮在企業(yè)運行管理中應(yīng)有的作用。

2.2 企業(yè)網(wǎng)絡(luò)信息安全性難以保障

由于信息安全管理意識淡薄,部分企業(yè)沒有專業(yè)的網(wǎng)絡(luò)管理團隊?,F(xiàn)有網(wǎng)管人員維護、管理網(wǎng)聯(lián)絡(luò)信息技術(shù)沒有保障,或者責(zé)任心不強。例如,民營生產(chǎn)銷售企業(yè)由于操作不規(guī)范銷售報表和潛在客戶資料數(shù)據(jù)丟失現(xiàn)象時有發(fā)生;部分縣級以上醫(yī)院分科或多或少都存在體統(tǒng)停滯現(xiàn)象;中小型企業(yè)中財務(wù)資料的誤刪時有發(fā)生。雖然這些單位有的也具備系統(tǒng)維護應(yīng)急預(yù)案,部分?jǐn)?shù)據(jù)得到恢復(fù),但依然給企業(yè)造成一定損失。

3 企業(yè)網(wǎng)絡(luò)信息安全防范措施

3.1 建立系統(tǒng)安全檢查制度

企業(yè)的規(guī)章制度要重視系統(tǒng)安全的保護,對重要信息系統(tǒng)的安全檢查要建章立制,不能松懈。首先要對系統(tǒng)安全負(fù)責(zé)的團隊人員構(gòu)成和崗位職責(zé)進行明文規(guī)定。其次要確定具體的安全檢查目標(biāo),如企業(yè)的基礎(chǔ)網(wǎng)絡(luò)是否完善、主服務(wù)器配置是否異常,對外門戶網(wǎng)站防火墻是否堅固,數(shù)據(jù)中心的設(shè)置是否可靠,內(nèi)部辦公系統(tǒng)(包括財務(wù)、銷售、服務(wù)等)更新是否正常等等。第三,信息安全檢查規(guī)章制度中要具化檢點內(nèi)容,如安全管理保障系統(tǒng)方面,對崗位制度是否建全,人員負(fù)責(zé)是否落實,信息數(shù)據(jù)是否安全,應(yīng)急響應(yīng)是否穩(wěn)妥等項目要做出詳細(xì)檢查記錄。技術(shù)保障方面:服務(wù)器(包括操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng))的各項指標(biāo),網(wǎng)絡(luò)設(shè)備和安全設(shè)備的各種配置,網(wǎng)站建設(shè)和終端等組織策略和運行維護等內(nèi)容都要落實到檢查實處。

3.2 加大企業(yè)網(wǎng)絡(luò)信息安全的管理力度

第一,要增強網(wǎng)絡(luò)信息管理人員的技術(shù)培訓(xùn),使企業(yè)信息系統(tǒng)得到可靠的技術(shù)維護和管理,組件一只責(zé)任心強、分工明確、技術(shù)精湛的網(wǎng)管團隊,以保障企業(yè)網(wǎng)絡(luò)信息系統(tǒng)正常運轉(zhuǎn)不出紕漏。

第二,提高企業(yè)核心機密資料的加密層次,在這方面要投入資金購買保密程度較有保障的計算機軟件裝備,防止黑客攻擊和病毒感染。

第三,對企業(yè)信息管理和維護工作進行定期記錄、責(zé)任到人,記錄保護存檔以備可查。

第四,要建立安全可靠的計算機數(shù)據(jù)異地備案和應(yīng)急預(yù)案機制,有專門制定人員負(fù)責(zé),定期檢測數(shù)據(jù),嚴(yán)格管理制度,以確保企業(yè)網(wǎng)絡(luò)信息系統(tǒng)出現(xiàn)異常時得到有效維護和修復(fù)。

第7篇:醫(yī)院信息安全保護制度范文

論文摘要:互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便,同時也帶來了許多的網(wǎng)絡(luò)安全隱患,諸如陷門、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們。計算機網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn),如何在計算機網(wǎng)絡(luò)這個大環(huán)境之下,確保其安全運行,完善安全防護策略,已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一。該文首先分析了計算機網(wǎng)絡(luò)信息管理工作中的安全問題,其次,從多個方面就如何有效加強計算機網(wǎng)絡(luò)信息安全防護進行了深入的探討,具有一定的參考價值。

1概述

互聯(lián)網(wǎng)技術(shù)給我們帶來很大的方便,同時也帶來了許多的網(wǎng)絡(luò)安全隱患,諸如陷門、網(wǎng)絡(luò)數(shù)據(jù)竊密、木馬掛馬、黑客侵襲、病毒攻擊之類的網(wǎng)絡(luò)安全隱患一直都威脅著我們。為了確保計算機網(wǎng)絡(luò)信息安全,特別是計算機數(shù)據(jù)安全,目前已經(jīng)采用了諸如服務(wù)器、通道控制機制、防火墻技術(shù)、入侵檢測之類的技術(shù)來防護計算機網(wǎng)絡(luò)信息安全管理,即便如此,仍然存在著很多的問題,嚴(yán)重危害了社會安全。計算機網(wǎng)絡(luò)信息管理工作面臨著巨大的挑戰(zhàn),如何在計算機網(wǎng)絡(luò)這個大環(huán)境之下,確保其安全運行,完善安全防護策略,已經(jīng)成為了相關(guān)工作人員最亟待解決的問題之一。

2計算機網(wǎng)絡(luò)信息管理工作中的安全問題分析

計算機網(wǎng)絡(luò)的共享性、開放性的特性給互聯(lián)網(wǎng)用戶帶來了較為便捷的信息服務(wù),但是也使得計算機網(wǎng)絡(luò)出現(xiàn)了一些安全問題。在開展計算機網(wǎng)絡(luò)信息管理工作時,應(yīng)該將管理工作的重點放在網(wǎng)絡(luò)信息的和訪問方面,確保計算機網(wǎng)絡(luò)系統(tǒng)免受干擾和非法攻擊。

2.1安全指標(biāo)分析

(1)保密性

通過加密技術(shù),能夠使得計算機網(wǎng)絡(luò)系統(tǒng)自動篩選掉那些沒有經(jīng)過授權(quán)的終端操作用戶的訪問請求,只能夠允許那些已經(jīng)授權(quán)的用戶來利用和訪問計算機網(wǎng)絡(luò)信息數(shù)據(jù)。

(2)授權(quán)性

用戶授權(quán)的大小與其能夠在計算機網(wǎng)絡(luò)系統(tǒng)中能夠利用和訪問的范圍息息相關(guān),我們一般都是采取策略標(biāo)簽或者控制列表的形式來進行訪問,這樣做的目的就在于能夠有效確保計算機網(wǎng)絡(luò)系統(tǒng)授權(quán)的正確性和合理性。

(3)完整性

可以通過散列函數(shù)或者加密的方法來防治非法信息進入計算機網(wǎng)絡(luò)信息系統(tǒng),以此來確保所儲存數(shù)據(jù)的完整性。

(4)可用性

在計算機網(wǎng)絡(luò)信息系統(tǒng)的設(shè)計環(huán)節(jié),應(yīng)該要確保信息資源具有可用性,在突然遇到攻擊的時候,能夠及時使得各類信息資源恢復(fù)到正常運行的狀態(tài)。

(5)認(rèn)證性

為了確保權(quán)限所有者和權(quán)限提供者都是同一用戶,目前應(yīng)用較為廣泛的計算機網(wǎng)絡(luò)信息系統(tǒng)認(rèn)證方式一般有兩種,分別是數(shù)據(jù)源認(rèn)證和實體性認(rèn)證兩種,這兩種方式都能夠得到在當(dāng)前技術(shù)條件支持。

2.2計算機網(wǎng)絡(luò)信息管理中的安全性問題

大量的實踐證明,計算機網(wǎng)絡(luò)信息管理中存在的安全性問題主要有兩種類型,第一種主要針對計算機網(wǎng)絡(luò)信息管理工作的可用性和完整性,屬于信息安全監(jiān)測問題;第二種主要針對計算機網(wǎng)絡(luò)信息管理工作的抗抵賴性、認(rèn)證性、授權(quán)性、保密性,屬于信息訪問控制問題。

(1)信息安全監(jiān)測

有效地實施信息安全監(jiān)測工作,可以在最大程度上有效消除網(wǎng)絡(luò)系統(tǒng)脆弱性與網(wǎng)絡(luò)信息資源開放性二者之間的矛盾,能夠使得網(wǎng)絡(luò)信息安全的管理人員及時發(fā)現(xiàn)安全隱患源,及時預(yù)警處理遭受攻擊的對象,然后再確保計算機網(wǎng)絡(luò)信息系統(tǒng)中的關(guān)鍵數(shù)據(jù)能夠得以恢復(fù)。

(2)信息訪問控制問題

整個計算機網(wǎng)絡(luò)信息管理的核心和基礎(chǔ)就是信息訪問控制問題。信息資源使用方和擁有方在網(wǎng)絡(luò)信息通信的過程都應(yīng)該有一定的訪問控制要求。換而言之,整個網(wǎng)絡(luò)信息安全防護的對象應(yīng)該放在資源信息的和個人信息的儲存。

3如何有效加強計算機網(wǎng)絡(luò)信息安全防護

(1)高度重視,完善制度

根據(jù)單位環(huán)境與特點制定、完善相關(guān)管理制度。如計算機應(yīng)用管理規(guī)范、保密信息管理規(guī)定、定期安全檢查與上報等制度。成立領(lǐng)導(dǎo)小組和工作專班,完善《計算機安全管理制度》、《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》和《計算機安全保密管理規(guī)定》等制度,為規(guī)范管理夯實了基礎(chǔ)。同時,明確責(zé)任,強化監(jiān)督。嚴(yán)格按照保密規(guī)定,明確涉密信息錄入及流程,定期進行安全保密檢查,及時消除保密隱患,對檢查中發(fā)現(xiàn)的問題,提出整改時限和具體要求,確保工作不出差錯。此外,加強培訓(xùn),廣泛宣傳。有針對性組織開展計算機操作系統(tǒng)和應(yīng)用軟件、網(wǎng)絡(luò)知識、數(shù)據(jù)傳輸安全和病毒防護等基本技能培訓(xùn),利用每周學(xué)習(xí)日集中收看網(wǎng)絡(luò)信息安全知識講座,使信息安全意識深入人心。  (2)合理配置,注重防范

第一,加強病毒防護。單位中心機房服務(wù)器和各基層單位工作端均部署防毒、殺毒軟件,并及時在線升級。嚴(yán)格區(qū)分訪問內(nèi)、外網(wǎng)客戶端,對機房設(shè)備實行雙人雙查,定期做好網(wǎng)絡(luò)維護及各項數(shù)據(jù)備份工作,對重要數(shù)據(jù)實時備份,異地儲存。同時,嚴(yán)格病毒掃描。針對網(wǎng)絡(luò)傳輸、郵件附件或移動介質(zhì)的方式接收的文件,有可能攜帶病毒的情況,要求接收它們之前使用殺毒軟件進行病毒掃描。第二,加強強弱電保護。在所有服務(wù)器和網(wǎng)絡(luò)設(shè)備接入端安裝弱電防雷設(shè)備,在所有弱電機房安裝強電防雷保護器,保障雷雨季節(jié)主要設(shè)備的安全運行。第三,加強應(yīng)急管理。建立應(yīng)急管理機制,完善應(yīng)急事件出現(xiàn)時的事件上報、初步處理、查實處理、責(zé)任追究等措施,并定期開展進行預(yù)演,確保事件發(fā)生時能夠從容應(yīng)對。第四,加強“兩個隔離”管理。即內(nèi)、外網(wǎng)物理徹底隔離和通過防火墻進行“邊界隔離”,通過隔離實現(xiàn)有效防護外來攻擊,防止內(nèi)、外網(wǎng)串聯(lián)。第五,嚴(yán)格移動存儲介質(zhì)應(yīng)用管理。對單位所有的移動存儲介質(zhì)進行登記,要求使用人員嚴(yán)格執(zhí)行《移動存儲介質(zhì)管理制度》,杜絕外來病毒的入侵和泄密事件的發(fā)生。同時,嚴(yán)格安全密碼管理。所有工作用機設(shè)置開機密碼,且密碼長度不得少于8位,定期更換密碼。第六,嚴(yán)格使用桌面安全防護系統(tǒng)。每臺內(nèi)網(wǎng)計算機都安裝了桌面安全防護系統(tǒng),實現(xiàn)了對計算機設(shè)備軟、硬件變動情況的適時監(jiān)控。第七,嚴(yán)格數(shù)據(jù)備份管理。除了信息中心對全局?jǐn)?shù)據(jù)定期備份外,要求個人對重要數(shù)據(jù)也定期備份,把備份數(shù)據(jù)保存在安全介質(zhì)上。

(3)堅持以信息安全等級保護工作為核心

把等級保護的相關(guān)政策和技術(shù)標(biāo)準(zhǔn)與自身的安全需求深度融合,采取一系列有效措施,使等級保護制度在全局得到有效落實,有效的保障業(yè)務(wù)信息系統(tǒng)安全。

第一,領(lǐng)導(dǎo)高度重視,組織保障有力。單位領(lǐng)導(dǎo)應(yīng)該高度重視信息化和信息安全工作,成立專門的信息中心,具體負(fù)責(zé)等級保護相關(guān)工作,統(tǒng)籌全局的信息安全工作。建立可靠的信息安全基礎(chǔ)設(shè)施,重點強化第二級信息系統(tǒng)的合規(guī)建設(shè),加強了信息系統(tǒng)的運維管理,對重要信息系統(tǒng)建立了災(zāi)難備份及應(yīng)急預(yù)案,有效提高了系統(tǒng)的安全防護水平。

第二,完善措施,保障經(jīng)費。一是認(rèn)真組織開展信息系統(tǒng)定級備案工作。二是組織開展信息系統(tǒng)等級測評和安全建設(shè)整改。三是開展了信息安全檢查活動。對信息安全、等級保護落實情況進行了檢查。

第三,建立完善各項安全保護技術(shù)措施和管理制度,有效保障重要信息系統(tǒng)安全。一是對網(wǎng)絡(luò)和系統(tǒng)進行安全區(qū)域劃分。按照《信息系統(tǒng)安全等級保護基本要求》,提出了“縱向分層、水平分區(qū)、區(qū)內(nèi)細(xì)分”的網(wǎng)絡(luò)安全區(qū)域劃分原則,對網(wǎng)絡(luò)進行了認(rèn)真梳理、合理規(guī)劃、有效調(diào)整。二是持續(xù)推進病毒治理和桌面安全管理。三是加強制度建設(shè)和信息安全管理。本著“預(yù)防為主,建章立制,加強管理,重在治本”的原則,堅持管理與技術(shù)并重的原則,對信息安全工作的有效開展起到了很好的指導(dǎo)和規(guī)范作用。

(4)采用專業(yè)性解決方案保護網(wǎng)絡(luò)信息安全

大型的單位,如政府、高校、大型企業(yè)由于網(wǎng)絡(luò)信息資源龐大,可以采用專業(yè)性解決方案來保護網(wǎng)絡(luò)信息安全,諸如銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護解決方案。銳捷網(wǎng)絡(luò)門戶網(wǎng)站保護解決方案能提供從網(wǎng)絡(luò)層、應(yīng)用層到Web層的全面防護;其中防火墻、IDS分別提供網(wǎng)絡(luò)層和應(yīng)用層防護,ACE對Web服務(wù)提供帶寬保障;而方案的主體產(chǎn)品銳捷WebGuard(WG)進行Web攻擊防御,方案能給客戶帶來的價值:

防網(wǎng)頁篡改、掛馬

許多大型的單位作為公共信息提供者,網(wǎng)頁被篡改、掛馬將造成不良社會影響,降低單位聲譽。目前客戶常用的防火墻、IDS/ IPS、網(wǎng)頁防篡改,無法解決通過80端口、無特征庫、針對動態(tài)頁面的Web攻擊。WebGuard DDSE深度解碼檢測引擎有效防御SQL注入、跨站腳本等。

高性能,一站式保護各院系網(wǎng)站

對于大型單位客戶,往往擁有眾多部門,而并非所有大型單位都將各部門網(wǎng)站統(tǒng)一管理。各部門網(wǎng)站技術(shù)運維能力相對較弱,經(jīng)常成為攻擊重點。WebGuard利用高性能多核架構(gòu),提供并行處理。支持在網(wǎng)絡(luò)出口部署,一站式保護各部門網(wǎng)站。

“零配置”運行,簡化部署

WebGuard針對用戶,集成默認(rèn)配置模板,支持“零配置”運行。一旦上線,即可防護絕大多數(shù)攻擊。后續(xù)用戶可以根據(jù)網(wǎng)絡(luò)情況,進行優(yōu)化策略。避免同類產(chǎn)品常見繁瑣配置,毋須客戶具備專業(yè)的安全技能,即可擁有良好的體驗。

滿足合規(guī)性檢查要求

繼08年北京奧運、09年國慶60周年后,10年上海世博會、廣州亞運會先后舉行。在重大活動前后,各級主管單位和公安部門,紛紛發(fā)文,要求針對網(wǎng)站安全采取措施。WebGuard恰好能很好的滿足合規(guī)性檢查的需求,幫助用戶順利通過檢查。

4結(jié)束語

新時期的計算機網(wǎng)絡(luò)信息管理工作正向著系統(tǒng)化、集成化、多元化的方向發(fā)展,但是網(wǎng)絡(luò)信息安全問題日益突出,值得我們大力關(guān)注,有效加強計算機網(wǎng)絡(luò)信息安全防護是極為重要的,具有較大的經(jīng)濟價值和社會效益。

參考文獻

[1]段盛.企業(yè)計算機網(wǎng)絡(luò)信息管理系統(tǒng)可靠性探討[J].湖南農(nóng)業(yè)大學(xué)學(xué)報:自然科學(xué)版,2000(26):134-136.

[2]李曉琴.張卓容.醫(yī)院計算機網(wǎng)絡(luò)信息管理的設(shè)計與應(yīng)用[J].醫(yī)療裝備,2003.(16):109-113.

[3]李曉紅.婦幼保健信息計算機網(wǎng)絡(luò)管理系統(tǒng)的建立與應(yīng)用[J].中國婦幼保健,2010(25):156-158.

[4]羅宏儉.計算機網(wǎng)絡(luò)信息技術(shù)在公路建設(shè)項目管理中的應(yīng)用[J].交通科技,2009.(1):120-125.

[5] Bace Rebecca.Intrusion Detection[M].Macmillan Technical Publishing,2000.

第8篇:醫(yī)院信息安全保護制度范文

    1網(wǎng)絡(luò)經(jīng)濟對醫(yī)院審計帶來的積極影響

    1.1有利于加快醫(yī)院審計信息化建設(shè)無論是什么性質(zhì)的企業(yè),信息化技術(shù)的優(yōu)先發(fā)展都會為企業(yè)帶來不可估量的利益,在醫(yī)院審計管理過程中同樣如此。醫(yī)院建設(shè)要發(fā)展壯大,就必須要引用信息化技術(shù),開闊信息化道路,引進先進技術(shù),加快醫(yī)院審計信息化速度。信息化審計管理有效的減少管理成本的投入,有助于信息資源有效融合,推動信息數(shù)據(jù)數(shù)字化管理,有可靠的數(shù)據(jù)庫作支撐,便于數(shù)據(jù)的管理與控制,有健全的信息維護系統(tǒng),保障信息數(shù)據(jù)不失真,可長久使用;信息化統(tǒng)計管理還減少了重復(fù)勞動率,操作簡單易懂,便于控制,縮短復(fù)雜查找數(shù)據(jù)所用時間,提高了信息數(shù)據(jù)利用率,進而是醫(yī)院管理變得更加有序化;此外,也為醫(yī)療設(shè)備的采購過程提供了便利條件,有選擇、有計劃的進行有效采購設(shè)備對于一個規(guī)模龐大的醫(yī)院來講是尤為重要的,設(shè)備的昂貴程度可想而知,設(shè)備的信息化的管理為醫(yī)院節(jié)省了不少開支,功效也是有目共睹的。

    1.2有利于實現(xiàn)醫(yī)院審計目標(biāo),為醫(yī)院審計工作的科學(xué)管理提供依據(jù)醫(yī)院審計管理者可根據(jù)對醫(yī)療信息統(tǒng)計的數(shù)據(jù)掌握,判斷醫(yī)院的入院患者人數(shù)、出院人數(shù)、手術(shù)人數(shù)、轉(zhuǎn)院人數(shù)、病人死亡人數(shù)以及醫(yī)生在院人數(shù)等等,對整個醫(yī)院的活動進行合理管理和控制,做好醫(yī)院管理工作,更好的為病人服務(wù),進而實現(xiàn)醫(yī)院審計目標(biāo),提高審計領(lǐng)導(dǎo)者的正確決策效率。審計的精確性為領(lǐng)導(dǎo)做出的正確決策提供了最有利的依據(jù),確保醫(yī)院發(fā)展計劃可行,臨床科室設(shè)置科學(xué)合理,專業(yè)項目建設(shè)得到完善,進而提高醫(yī)院的社會經(jīng)濟效益。

    1.3有利于提升醫(yī)院內(nèi)部審計質(zhì)量對于市醫(yī)院在財務(wù)審計管理中存在的弊端,要采取一定的措施進行有效解決,要有規(guī)范的操作流程,利用網(wǎng)絡(luò)經(jīng)濟管理有效的提升了醫(yī)院內(nèi)部審計的質(zhì)量。在其管理控制中,要對具體部門要有一定的監(jiān)督體系,確保醫(yī)院審計管理工作有效落實。出納是否做好現(xiàn)金出入明細(xì)賬,動用現(xiàn)金的正規(guī)手續(xù)能否都與現(xiàn)金的實時走賬相符,會計的核算與出納的現(xiàn)金賬目能否及時捋順,定期對醫(yī)院現(xiàn)金進行核算,最好是按每周或者是每月對醫(yī)院現(xiàn)金進行盤庫,這樣能及時掌控現(xiàn)金的動向,及時核對現(xiàn)金賬目與票據(jù)能否相符,這些都要在計算機網(wǎng)絡(luò)系統(tǒng)中有所顯示,便于日后對具體問題進行審計分析,有依據(jù)可循。

    2網(wǎng)絡(luò)經(jīng)濟對醫(yī)院審計的管理策略

    2.1運用計算機輔助審計方法

    2.1.1對醫(yī)院日常會計信息的審計當(dāng)前的醫(yī)院審計要求審計工作人員應(yīng)對會計信息給予更多的分析,并利用計算機輔助審計來完成具體工作。在醫(yī)院內(nèi)部審計控制管理中,很多審計人員專業(yè)技能不夠,對醫(yī)院內(nèi)部審計工作知識了解較少,業(yè)務(wù)技能不熟練,不能專業(yè)的將醫(yī)院財務(wù)狀況反饋給管理層人員,因此,在醫(yī)院內(nèi)部控制管理中要加強審計人員對計算技術(shù)的運用,對審計人員進行專業(yè)技能培訓(xùn),定期對會計人員業(yè)務(wù)能力進行考察,深化審計人員運用計算機技術(shù)處理審計工作的能力。審計人員對計算機技術(shù)有了一定的掌握,使用高效的審計軟件,還能在很大程度上提高醫(yī)院審計效率,節(jié)省審計時間,簡化繁瑣的審計流程;其次,也可以借助會計電算化自帶的一些功能來完成審計工作。如審計人員可以利用會計電算化中的查詢過濾功能,將某些明細(xì)賬反映的醫(yī)療服務(wù)金額在指定數(shù)額以上的全部記錄顯示出來,借此來進行分析性復(fù)核;再次,使用辦公自動化軟件來輔助審計工作。如可借助EXCEL表格對材料成本差異核算進行復(fù)核。

    2.1.2計算機輔助審計信息管理與傳遞利用網(wǎng)絡(luò)信息平臺,實現(xiàn)資源共享,提高審計數(shù)據(jù)真實效率。過去我們往往都是通過紙質(zhì)載體形式將病例及信息資料傳送到患者以及義務(wù)人員手中,在很大程度上增加了醫(yī)院的成本費用,還浪費人力,在網(wǎng)絡(luò)信息平臺開通后,醫(yī)務(wù)人員間可以通過網(wǎng)絡(luò)進行資源共享,完成信息交流工作,也可以將病史資料以電子形式傳送到病人手中,大大節(jié)省了時間和金錢,提高工作效率。

    2.1.3對醫(yī)院審計管理要具有一定的針對性所謂針對性就是要抓住事物的重點,審計的重點在于一個好的技巧,當(dāng)然一個好的技巧正是這些專業(yè)的統(tǒng)計分析者通過自己的專業(yè)知識、敏銳的洞察力及自身的綜合素質(zhì)才能總結(jié)出來的。審計的技巧要充分體現(xiàn)出當(dāng)前的國家經(jīng)濟政策、市場動向、社會主義公有制經(jīng)濟的本質(zhì)出發(fā)點、國家關(guān)于經(jīng)濟方面的法律法規(guī)新動向以上是大的方向,對于醫(yī)院管理中的審計分析來說,要反映出醫(yī)院領(lǐng)導(dǎo)者最為關(guān)注的問題。

    2.2使用高效的醫(yī)院審計軟件隨著網(wǎng)絡(luò)信息時代的到來,傳統(tǒng)的審計方法以不能滿足醫(yī)院管理審計分析的需要,對審計信息的統(tǒng)計分析也不只是單單的進行處理、對照就能滿足醫(yī)院管理的本質(zhì)要求。在當(dāng)今社會隨著網(wǎng)絡(luò)的普遍應(yīng)用,醫(yī)院審計工作作為一個新興審計分析工具逐漸的代替了人工審計方法,取代了費時費力的人工審計環(huán)節(jié)。它不僅增強了醫(yī)院管理的競爭力也大大的促進了社會的發(fā)展要求,所以加強管理中的信息網(wǎng)絡(luò)管理是很有必要的。是實現(xiàn)資源共享的有效途徑,也是醫(yī)院自身發(fā)展的必然需求。此外,審計人員使用高效的審計軟件,也能在很大程度上提高醫(yī)院審計效率,節(jié)省審計時間,簡化繁瑣的審計流程。

    2.3建立醫(yī)院內(nèi)部審計信息系統(tǒng)建立醫(yī)院內(nèi)部審計信息系統(tǒng),就要以數(shù)據(jù)安全管理為原則。一個完備的數(shù)據(jù)安全管理保障體系應(yīng)當(dāng)有科學(xué)的安全管理原則,安全管理的基本原則主要包括:一是專人負(fù)責(zé)原則。即針對每一項與醫(yī)院審計數(shù)據(jù)信息安全有關(guān)的活動都必須有專門人員負(fù)責(zé);二是職責(zé)分離原則。不同工作職責(zé)應(yīng)當(dāng)由不同人員負(fù)責(zé),保障各機構(gòu)根據(jù)自身的特點制定一系列的審計管理規(guī)章制度,并對違反規(guī)定的采取懲戒措施等。三是數(shù)據(jù)庫系統(tǒng)。建立審計信息數(shù)據(jù)備份機制,應(yīng)對安全領(lǐng)域突發(fā)事件,防止系統(tǒng)發(fā)生故障時文件的丟失。目前在許多軟件中可以將文件設(shè)置為“只讀”狀態(tài),在這種狀態(tài)下,用戶只能從計算機上讀取信息,而不能對其做任何修改,在計算機外存儲器中,只讀光盤(CD-ROM)只能供使用者讀出信息而不能追加或擦除信息,一次寫入式光盤(WORM)可供使用者一次寫入多次讀出,可以追加記錄但不能擦除原來的信息。這種不可逆式記錄介質(zhì)可以有效地防止用戶更改電子文件內(nèi)容,保持審計數(shù)據(jù)的原始性和真實性。此外,醫(yī)院內(nèi)部審計系統(tǒng)的有效管理,還要加強醫(yī)院審計人員以及每個工作人員的風(fēng)險意識,樹立風(fēng)險管理觀念,風(fēng)險管理是審計數(shù)據(jù)真實有效管理不可分割的組成部分,樹立風(fēng)險管理觀念,有助于喚起風(fēng)險意識,有效地提示所有參與生成,管理和使用醫(yī)院網(wǎng)絡(luò)系統(tǒng)的人避免風(fēng)險事故,承擔(dān)風(fēng)險責(zé)任,逐步形成與審計管理規(guī)律相適應(yīng)的管理觀念,同時建立風(fēng)險管理體系,明確風(fēng)險應(yīng)對重點,有助于使審計數(shù)據(jù)得到全方位、安全、有效的保護。

    2.4醫(yī)院會計電算化信息系統(tǒng)審計的管理做好醫(yī)院會計電算化信息管理審計網(wǎng)絡(luò)系統(tǒng)的安全隔離工作,在醫(yī)院審計數(shù)據(jù)與互聯(lián)網(wǎng)之間建立起一道信息安全屏障,安裝主流防火墻系統(tǒng),在這方面現(xiàn)在主要技術(shù)有防火墻技術(shù),這是一種訪問控制技術(shù),它是在某個機構(gòu)的網(wǎng)絡(luò)和外界風(fēng)格之間設(shè)置障礙,阻止對本機構(gòu)信息資源的非法訪問,也可以阻止機要信息、專利信息從該機構(gòu)的網(wǎng)絡(luò)上非法輸出。防火墻好像是網(wǎng)絡(luò)上的一道關(guān)卡,它可以控制進、出兩個方向的通信。防火墻的安全保障能力僅限于網(wǎng)絡(luò)邊界,它通過網(wǎng)絡(luò)通信臨控系統(tǒng)監(jiān)測所有通過防火墻的數(shù)據(jù)流,凡符合事先制定的網(wǎng)絡(luò)安全規(guī)定的信息允許通過,不符合的就拒之墻外,使被保護網(wǎng)絡(luò)的信息和結(jié)構(gòu)不受侵犯,以保證網(wǎng)絡(luò)系統(tǒng)的安全,信息安全是一個動態(tài)的系統(tǒng)工程,各類組織機構(gòu)應(yīng)按照文件信息安全的控制要求,對構(gòu)建的電子文件信息安全保障體系加強維護,加強運作力度,充分發(fā)揮體系本身的各項功能,同時,醫(yī)院審計管理信息安全保障體系的建立是一個目標(biāo)疊加的過程,是在不斷發(fā)展變化的技術(shù)環(huán)境中進行的,因而也是一個動態(tài)的、閉環(huán)的風(fēng)險管理過程。組織應(yīng)及時發(fā)現(xiàn)體系策劃和執(zhí)行中存在的問題,找出問題根源采取糾正措施,實時加以調(diào)整和改進,以適應(yīng)變化了的情況,達(dá)到進一步完善數(shù)據(jù)安全保障體系的目的。

第9篇:醫(yī)院信息安全保護制度范文

關(guān)鍵詞:醫(yī)院信息管理系統(tǒng);病毒

1、醫(yī)院信息系統(tǒng)的病毒及其危害

1.1 概述我院信息管理系統(tǒng)及病毒給醫(yī)院帶來的危害

隨著信息技術(shù)的高速發(fā)展,醫(yī)院信息系統(tǒng)發(fā)展速度也極為迅速。國外發(fā)達(dá)國家已在80年代建立了大型醫(yī)院信息管理系統(tǒng)(HIS),目前已實施或正在實施醫(yī)學(xué)影像存檔與通信系統(tǒng)(PACS)。自20世紀(jì)90年代初,我國的各級醫(yī)療機構(gòu)逐步將計算機作為基本工具,引入到醫(yī)院的信息管理中。從單機管理到網(wǎng)絡(luò)化管理,從自行開發(fā)軟件到各類軟件的商品化,使醫(yī)院計算機信息管理日趨科學(xué)和完善。計算機網(wǎng)絡(luò)化的醫(yī)院信息系統(tǒng)(HIS)也將成為現(xiàn)代化醫(yī)院運營必不可少的基礎(chǔ)設(shè)施,是實現(xiàn)醫(yī)院基本現(xiàn)代化的必備條件之一。

我院醫(yī)院信息管理系統(tǒng)是由掛號系統(tǒng)、醫(yī)生工作站、護士工作站、收費管理系統(tǒng)、藥房管理系統(tǒng)、結(jié)構(gòu)化電子病歷、自動檢驗科系統(tǒng)、檢查登記報告系統(tǒng)、影像系統(tǒng)、病案系統(tǒng)、辦公自動化系統(tǒng)等組成。投入運行后幾大系統(tǒng)縱橫交錯,構(gòu)成了龐大的計算機網(wǎng)絡(luò)系統(tǒng)。我院網(wǎng)絡(luò)系統(tǒng)覆蓋全院的各個部門,涵蓋病人來院就診的各個環(huán)節(jié)及信息,將近1000臺計算機同時運行,支持各方面的管理,成為醫(yī)院開展醫(yī)療服務(wù)的業(yè)務(wù)平臺。

醫(yī)院信息系統(tǒng)不僅直接與病人的診療過程息息相關(guān),而且直接關(guān)系到醫(yī)院財務(wù)收支及成本核算,如為病人進行治療的電腦壞掉會耽誤病人的治療,門急診系統(tǒng)中斷會導(dǎo)致醫(yī)院停業(yè),而護士及醫(yī)生工作站的終端會影響到對病人的正常診療。醫(yī)院業(yè)務(wù)的正常運行越來越依賴于計算機系統(tǒng)[4]。醫(yī)院信息系統(tǒng)的安全性直接關(guān)系到醫(yī)院醫(yī)療工作的正常運行,一旦網(wǎng)絡(luò)癱瘓或數(shù)據(jù)丟失,將會給醫(yī)院和病人帶來巨大的災(zāi)難和難以彌補的損失[1],因此保證醫(yī)院信息系統(tǒng)的安全將是很重要的工作,防治病毒入侵乃是重中之重。

1.2 什么是計算機病毒

計算機病毒在《中華人民共和國計算機信息系統(tǒng)安全保護條例》中被明確定義,病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。

1.3 計算機病毒的主要危害

不同的計算機病毒有不同的破壞行為,其中有代表性的行為如下:

1.3.1 破壞主板BIOS內(nèi)容,使計算機無法正常啟動。

1.3.2 攻擊硬盤的主引導(dǎo)扇區(qū)、BOOT扇區(qū)、FAT表、文件目錄。影響系統(tǒng)的正常引導(dǎo)。一般來說,攻擊系統(tǒng)數(shù)據(jù)區(qū)的病毒是惡性病毒,受損的數(shù)據(jù)不易恢復(fù)。

1.3.3 攻擊文件,包括刪除、修改軟盤、硬盤及網(wǎng)絡(luò)上可執(zhí)行文件或數(shù)據(jù)文件的內(nèi)容,在系統(tǒng)中產(chǎn)生無用的新文件等等。

1.3.4 搶占系統(tǒng)資源,內(nèi)存是計算機的重要資源,大多數(shù)病毒在動態(tài)下都是常駐內(nèi)存的,其攻擊方式主要有占用大量內(nèi)存、改變內(nèi)存總量、禁止分配內(nèi)存等,這就必然搶占一部分系統(tǒng)資源,導(dǎo)致一些較大的程序難以運行。

1.3.5干擾系統(tǒng)運行,除占用內(nèi)存外,病毒還搶占中斷,干擾系統(tǒng)運行。計算機操作系統(tǒng)的很多功能是通過中斷調(diào)用技術(shù)來實現(xiàn)的。病毒為了傳染激發(fā),總是修改一些有關(guān)的中斷地址,在正常中斷過程中加入病毒的“私貨”,從而干擾了系統(tǒng)的正常運行。

1.3.6影響計算機運行速度,病毒激活時,其內(nèi)部的時間延遲程序啟動,在時鐘中納入了時間的循環(huán)計數(shù),迫使計算機空轉(zhuǎn),計算機速度明顯下降。

1.3.7竊取用戶隱私、機密文件、賬號信息等。如今已是木馬大行其道的時代,據(jù)統(tǒng)計如今木馬在病毒中已占七成左右。而其中大部分都是以竊取用戶信息,以獲取經(jīng)濟利益為目的,如竊取用戶資料,網(wǎng)銀賬號密碼等。一旦這些信息失竊,將給用戶帶來巨大經(jīng)濟損失。

2、醫(yī)院信息管理系統(tǒng)病毒的防治措施

在計算機病毒出現(xiàn)的初期,說到計算機病毒的危害,往往注重于病毒對信息系統(tǒng)的直)接破壞作用,比如格式化 硬盤、刪除文件數(shù)據(jù)等,并以此來區(qū)分惡性病毒和良性病毒。其實這些只是病毒劣跡的一部分,隨著計算機應(yīng)用的發(fā) 展,人們深刻地認(rèn)識到凡是病毒都可能對計算機信息系統(tǒng)造成嚴(yán)重的破壞。

2.1 計算機中毒的表征

2.1.1 電腦可以開機,但啟動到某一步的時候自動重啟??赡苁遣《酒茐牧讼到y(tǒng)文件;也可能是系統(tǒng)文件被病毒感染后,被殺毒軟件刪除了。

2.1.2 電腦運行速度明顯降低以及內(nèi)存占有量減少,虛擬內(nèi)存不足或者內(nèi)存不足。如果虛擬內(nèi)存不足可能是病毒占用,也可能是設(shè)置不當(dāng)。若非內(nèi)存太小,則電腦中毒的可能性很大。

2.1.3 Windows出現(xiàn)異常的錯誤提示信息,操作系統(tǒng)本身,除了用戶關(guān)閉或者程序錯誤以外,是不會出現(xiàn)錯誤匯報的,因此,如果出現(xiàn)這種情況,很可能是中了病毒。

2.1.4 殺毒軟件的實時監(jiān)控程序無法自動運行了,手動啟動也不行。

2.1.5 系統(tǒng)時間被更改,且無法改正過來(改了回頭再看的時候,又變回去了)。

2.1.6 經(jīng)常自動彈出網(wǎng)頁,計算機屏幕上出現(xiàn)異常顯示。

2.1.7 經(jīng)常出現(xiàn)非法操作,特別是運行IE瀏覽器的時候。

2.1.8 主頁被篡改了,而且改不回來(無法更改或改了又變回去)。

2.1.9 注冊表無法使用,某些鍵被屏蔽、目錄被自動共享等。

2.1.10 無法安裝殺毒軟件或安裝后無法運行。

2.1.11 文件大小發(fā)生改變,丟失文件或文件損壞。

2.1.12 硬盤指示燈狂閃,此時就要檢查所運行的程序是否占用系統(tǒng)資源太多或者是否感染了病毒。

2.2 如何診斷中毒

2.2.1 如發(fā)現(xiàn)電腦運行速度過慢,則先調(diào)出windows任務(wù)管理器查看系統(tǒng)運行的進程,找出系統(tǒng)資源占用較大并且名字不熟悉的進程并記下其名稱(這需要經(jīng)驗),暫時不要結(jié)束這些進程,因為有的病毒或非法的進程可能在此沒法結(jié)束。點擊性能查看CPU和內(nèi)存的當(dāng)前狀態(tài),如果CP U的利用率接近100%或內(nèi)存的占用值居高不下,此時電腦中毒的可能性是95%。

2.2.2 查看windows當(dāng)前啟動的服務(wù)項, 由“控制面板”的“管理工具”里打開“服務(wù)”??从覚跔顟B(tài)為“啟動”,啟動類別為“自動”項的行;一般而言,正常的windows服務(wù),基本上是有描述內(nèi)容的(少數(shù)被駭客或蠕蟲病毒偽造的除外),此時雙擊打開認(rèn)為有問題的服務(wù)項查看其屬性里的可執(zhí)行文件的路徑和名稱。

2.2.3 Windows XP中運行msconfig查看是否有非法的啟動項,或運行注冊表編輯器,查看都有那些程序與windows一起啟動。主要看

Hkey_Local_MachineSoftware MicroSoftWindowsCurrentVersionRun和后面幾個RunOnce等,查看窗體右側(cè)的項值,隨著經(jīng)驗的積累,可以輕易的判斷病毒的啟動項。

2.2.4 取消隱藏屬性,查看系統(tǒng)文件夾windowssystem32,如果打開后文件夾為空,表明電腦已經(jīng)中毒;打開system32 后,可以對圖標(biāo)按類型排序,看有沒有流行病毒的執(zhí)行文件存在。順便查一下文件夾Tasks,wins,drivers.目前有的病毒執(zhí)行文件就藏身于此。

2.2.5 使用殺毒軟件判斷是否中毒,如果中毒,殺毒軟件的實時監(jiān)控程序會被病毒程序自動終止,并且手動升級失敗。

2.3 如何查殺病毒

2.3.1 在注冊表里刪除隨系統(tǒng)啟動的非法程序,然后在注冊表中搜索所有該鍵值并刪除。當(dāng)成系統(tǒng)服務(wù)啟動的病毒程序,會在

Hkey_Local_MachineSystemControlSet001services

和controlset002services里藏身,找到之后一并刪除。

2.3.2 停止有問題的服務(wù),改自動為禁止。

2.3.3 重新啟動電腦,點F8進入“帶網(wǎng)絡(luò)的安全模式”。目的是不讓病毒程序啟動,又可以對Windows升級打補丁和對殺毒軟件升級。

2.3.4 搜索病毒的執(zhí)行文件,手動刪除,也可以下載該病毒的專殺工具進行殺毒。

2.3.5 對Windows升級打補丁和對殺毒軟件升級。

2.3.6 關(guān)閉不必要的系統(tǒng)服務(wù)。

2. 3.7 對Windows升級打補丁和對殺毒軟件升級完成后用殺毒軟件對系統(tǒng)進行全面的掃描,把病毒一網(wǎng)打盡。

2.3.8 所有工作完成后,重新啟動計算機,完成所有操作。

2.4 我院對計算機病毒的防范措施

我院根據(jù)自身網(wǎng)絡(luò)的實際情況確定安全管理范圍,制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度,制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等,建立適合自身的網(wǎng)絡(luò)安全管理策略。網(wǎng)絡(luò)信息安全是一個整體的問題,需要從管理與技術(shù)相結(jié)合的高度,制定與時俱進的整體管理策略,并切實認(rèn)真地實施這些策略,才能達(dá)到提高網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。在網(wǎng)絡(luò)安全實施的策略及步驟上考慮以下五個方面的內(nèi)容:制定統(tǒng)一的安全策略、購買相應(yīng)的安全產(chǎn)品實施安全保護、監(jiān)控網(wǎng)絡(luò)安全狀況(遇攻擊時可采取安全措施)、主動測試網(wǎng)絡(luò)安全隱患、生成網(wǎng)絡(luò)安全總體報告并改善安全策略。從安全管理上,建立和完善安全管理規(guī)范和機制,切實加強和落實安全管理制度,加強安全培訓(xùn),增強醫(yī)務(wù)人員的安全防范意識以及制定網(wǎng)絡(luò)安全應(yīng)急方案等。具體措施如下:

2.4.1 樹立病毒防范意識,從思想上重視計算機病毒。

2.4.2 內(nèi)外網(wǎng)隔離。內(nèi)網(wǎng)就是承載醫(yī)院信息管理系統(tǒng)業(yè)務(wù)的網(wǎng)絡(luò),絕對不可以與公共網(wǎng)絡(luò)連接。

2.4.3 安裝網(wǎng)絡(luò)版殺毒軟件,定時升級?,保證內(nèi)網(wǎng)客戶端所有電腦的病毒庫都及時更新到最新版本[1]。對網(wǎng)絡(luò)進行實時監(jiān)控。由于我院與北京市醫(yī)保中心要進行網(wǎng)上實時結(jié)算,為了防止外來病毒的入侵,醫(yī)院又購置了防火墻對所有進出數(shù)據(jù)進行過濾。

2.4.4 我院內(nèi)網(wǎng)電腦統(tǒng)一安裝安全管理軟件,內(nèi)網(wǎng)電腦一律不安裝光驅(qū)、軟驅(qū),USB接口禁止連接存儲器,更不準(zhǔn)擅自安裝光驅(qū)、軟驅(qū)及更改硬件設(shè)施。

2.4.5 經(jīng)常更新操作系統(tǒng)漏洞補丁,對操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進行合理的安全策略配置。

2.4.6 經(jīng)常備份重要數(shù)據(jù),要定期與不定期地對磁盤文件進行備份,特別是

一些比較重要的數(shù)據(jù)資料,以便在感染病毒導(dǎo)致系統(tǒng)崩潰時可以最大限度地恢復(fù)數(shù)據(jù),盡量減少可能造成的損失。

2.4.7  安裝應(yīng)急服務(wù)器,實時備份數(shù)據(jù)服務(wù)器內(nèi)容,一旦系統(tǒng)遭受病毒破壞

啟動不了時,馬上更換到應(yīng)急服務(wù)器上,讓醫(yī)院信息系統(tǒng)能正常運行。

2.4.8 每臺內(nèi)網(wǎng)電腦都安裝一鍵還原軟件,備份新安裝好的干凈系統(tǒng),并要求系統(tǒng)盤下不能保存文件。如電腦不幸感染病毒不能進入系統(tǒng),則直接使用一鍵還原軟件還原到干凈系統(tǒng)后查殺病毒。

2.4.9 定期巡檢所有內(nèi)網(wǎng)電腦,查殺病毒,磁盤清理,讓電腦處于最佳狀態(tài),更好的為臨床服務(wù)。

2.4.10 建立規(guī)章制度, 制定工作站管理制度,落實責(zé)任,如導(dǎo)致網(wǎng)絡(luò)感染病毒或損壞,根據(jù)績效考核按情節(jié)輕重進行處理,并且對客戶端用戶的密碼強調(diào)專人專用。預(yù)防內(nèi)部犯罪[1]。

3、醫(yī)院信息管理系統(tǒng)病毒防治中需要重點解決的問題

3.1 以計算機病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生,危害日益嚴(yán)重病毒泛濫、系統(tǒng)漏洞、黑客攻擊等諸多問題,已經(jīng)直接影響到醫(yī)院的正常運營。目前,多數(shù)網(wǎng)絡(luò)安全事件都是由脆弱的用戶終端和“失控”的網(wǎng)絡(luò)使用行為引起的。在醫(yī)院網(wǎng)中,用戶終端不及時升級系統(tǒng)補丁和病毒庫的現(xiàn)象普遍存在;私設(shè)服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用政府禁用軟件等行為也比比皆是?!笆Э亍钡挠脩艚K端一旦接入網(wǎng)絡(luò),就等于給潛在的安全威脅敞開了大門,使安全威脅在更大范圍內(nèi)快速擴散。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò),對用戶的網(wǎng)絡(luò)訪問行為進行有效的控制,是保證醫(yī)院網(wǎng)絡(luò)安全運行的前提,也是目前醫(yī)院網(wǎng)絡(luò)安全管理急需解決的問題。

3.2 信息安全意識不強,安全制度不健全

從許多安全案例來看,很多醫(yī)院要么未制定安全管理制度,要么制定后卻得不到實施。醫(yī)院內(nèi)部員工計算機知識特別是信息安全知識和意識的缺乏是醫(yī)院信息化的一大隱患。加強對員工安全知識的培訓(xùn)刻不容緩。

4、總結(jié):

醫(yī)院信息管理系統(tǒng)現(xiàn)在已經(jīng)成為醫(yī)院開展業(yè)務(wù)的主要平臺,保證醫(yī)院信息系統(tǒng)的正常運行是我們信息中心的職責(zé)所在。對于醫(yī)院信息管理系統(tǒng)來講對計算機病毒的防范遠(yuǎn)甚于查殺病毒,因此建立一套嚴(yán)密而系統(tǒng)的管理和防范體系是十分必要的,我們信息中心也是在工作中不斷摸索、積累經(jīng)驗,通過技術(shù)防治和管理防范相結(jié)合,建立有效、健全的安全防御體系,以及積極主動的防御理念和中央控管的管理機制保證醫(yī)院的信息系統(tǒng)安全,推進信息化建設(shè),以提高醫(yī)院的服務(wù)水平和核心競爭力。

參考文獻:

[1]曹宏偉,彭東亮,邱 景,楊 揚?  醫(yī)院信息系統(tǒng)安全管理與防范  影像學(xué)與特種醫(yī)學(xué)  200081

[2]韓莜卿.計算機病毒分析與防范大全[M].北京:電子工業(yè)出版社.2006