网站首页
教育杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
医学杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
经济杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
金融杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
管理杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
科技杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
工业杂志
CSSCI期刊 北大期刊 CSCD期刊 统计源期刊 知网收录期刊 维普收录期刊 万方收录期刊 SCI期刊(美)
SCI杂志
中科院1区 中科院2区 中科院3区 中科院4区
全部期刊
公務(wù)員期刊網(wǎng) 論文中心 正文

醫(yī)院信息安全管理途徑

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了醫(yī)院信息安全管理途徑范文,希望能給你帶來靈感和參考,敬請閱讀。

醫(yī)院信息安全管理途徑

一、概述

隨著計算機(jī)軟件技術(shù)的發(fā)展,特別是分布式和軟件移動計算的廣泛應(yīng)用,使得系統(tǒng)開放性越來越強(qiáng),局域網(wǎng)內(nèi)的用戶都可能訪問到應(yīng)用系統(tǒng)和數(shù)據(jù)庫,這給醫(yī)院信息安全帶來了極大的挑戰(zhàn)。從收費(fèi)數(shù)據(jù)到醫(yī)療信息、從病人隱私保密到管理信息的保密,都要求醫(yī)院管理系統(tǒng)要處于高度安全的環(huán)境中。醫(yī)院信息系統(tǒng)的穩(wěn)定和安全運(yùn)行,是醫(yī)院持續(xù)正常工作的組成部分。作為一個持續(xù)運(yùn)行的事務(wù)處理系統(tǒng),要求能每天24小時不間斷運(yùn)行,不希望有中斷,否則會使醫(yī)院的聲譽(yù)受到影響。同時,隨著業(yè)務(wù)的發(fā)展,系統(tǒng)數(shù)據(jù)量的增加,要求系統(tǒng)能穩(wěn)定地運(yùn)行,不能使系統(tǒng)性能快速降低。在一些重要的系統(tǒng)中,如財務(wù)、人事、醫(yī)保實時交易等信息,已經(jīng)不能滿足于簡單的本地保護(hù),要求有更高的系統(tǒng)可靠性,保證系統(tǒng)能進(jìn)行容災(zāi)保護(hù)。一旦出現(xiàn)異常情況,如火災(zāi)、爆炸、地震、水災(zāi)、雷擊或某個方向線路故障等自然原因以及電源機(jī)器故障、人為破壞等非自然原因引起的災(zāi)難后,系統(tǒng)能快速穩(wěn)定地恢復(fù)正常工作。因此,信息安全已經(jīng)不是人們傳統(tǒng)意義上的安全概念,是要保證系統(tǒng)避免一系列威脅,保證醫(yī)院業(yè)務(wù)的連續(xù)性,最大限度地減少醫(yī)院業(yè)務(wù)的損失,為醫(yī)院的業(yè)務(wù)發(fā)展提供信息安全保障。本文作者根據(jù)多年來從事醫(yī)院管理信息系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的建設(shè)及維護(hù)工作的經(jīng)驗出發(fā),探討安全建設(shè)和日常維護(hù)工作。

二、安全的硬指標(biāo)

系統(tǒng)安全的硬指標(biāo)考慮的問題是多方面的,包括如下。

(一)中心機(jī)房安全

中心機(jī)房是醫(yī)院信息系統(tǒng)設(shè)備的存放地,包括數(shù)據(jù)庫服務(wù)器、磁盤陣列、網(wǎng)絡(luò)主交換、應(yīng)用服務(wù)器等設(shè)備,因此對環(huán)境的要求極高,應(yīng)該做到:1.機(jī)房供電不少于兩路;2.雙路UPS供電、并采用智能報警管理UPS;3.防靜電地板、玻璃隔斷、防火墻面處理、外窗防水處理;4.火災(zāi)探測器、防竊探測器;5.溫度、濕度恒定,防塵,防蟲鼠;6.三相四線雙變電站供電,安裝應(yīng)急照明系統(tǒng);7.專用機(jī)房接地系統(tǒng),與主配線柜、主設(shè)備柜、防靜電地板下的接地線(環(huán))相連;全方位防雷系統(tǒng),強(qiáng)電、弱電都應(yīng)安裝防雷保護(hù)器等。

(二)服務(wù)器及服務(wù)器操作系統(tǒng)安全

服務(wù)器是數(shù)據(jù)處理的核心單元,是軟件安全的基礎(chǔ),因此,其安全應(yīng)該做到:1.根據(jù)醫(yī)院業(yè)務(wù)狀況決定采用PC服務(wù)器或小型機(jī),并配備磁盤陣列、冗余電源、大規(guī)模內(nèi)存和高速緩存的自動糾錯,保證在連續(xù)工作狀態(tài)下保持穩(wěn)定、快速;2.對服務(wù)器進(jìn)行隔離,并采取嚴(yán)格的安全管理,各開箱鎖單獨(dú)保存;3.應(yīng)用程序服務(wù)器和數(shù)據(jù)庫服務(wù)器必須嚴(yán)格分開;4.服務(wù)器操作系統(tǒng)應(yīng)采用安全機(jī)制較高的系統(tǒng),如Windows2000或Unix等;5.網(wǎng)絡(luò)操作系統(tǒng)的用戶資源權(quán)限控制以及安全審計等功能必須開啟;6.操作系統(tǒng)不相關(guān)的應(yīng)用服務(wù)必須關(guān)閉;7.操作系統(tǒng)安全布丁必須定時更新。

(三)群集技術(shù)及磁盤陣列的可靠性

群集技術(shù)是能使服務(wù)器連續(xù)可靠運(yùn)行的重要保證,簡單地說是兩臺服務(wù)器采用雙機(jī)熱備份工作狀態(tài),當(dāng)一臺機(jī)器出現(xiàn)問題后另一臺機(jī)器能快速接替主服務(wù)器的工作;服務(wù)器中易損部件是硬盤,硬盤損壞可以造成系統(tǒng)癱瘓,因此采用磁盤陣列進(jìn)行冗余,其要求如下:1.為了避免出現(xiàn)災(zāi)難性后果,必須每天檢查群集工作狀態(tài);2.當(dāng)群集中一臺機(jī)器出現(xiàn)問題時應(yīng)該馬上解決,檢查主服務(wù)器,盡早恢復(fù)其工作;3.RAID保證數(shù)據(jù)庫的高可靠性,保證在部分存儲介質(zhì)損壞時數(shù)據(jù)不丟失;4.必須定時檢查硬盤工作情況,發(fā)現(xiàn)問題及時處理。

(四)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要是指當(dāng)用戶通過網(wǎng)絡(luò)訪問應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器時如何保證網(wǎng)絡(luò)鏈路的安全,包括網(wǎng)絡(luò)布線安全和網(wǎng)絡(luò)設(shè)備安全。特別還應(yīng)注意設(shè)備的軟故障,軟故障將造成網(wǎng)絡(luò)系統(tǒng)長時間無法正常運(yùn)行,使得醫(yī)院處于一種半癱瘓狀態(tài)。軟故障包括廣播風(fēng)暴、交換機(jī)等設(shè)備處于時好時壞狀態(tài)、網(wǎng)絡(luò)以極慢速率傳輸數(shù)據(jù)、頻繁出現(xiàn)丟包現(xiàn)象等,因此,基于安全的要求:1.對于光纖介質(zhì)要求包括溫差、陽光、鼠害、碰撞摩擦、拐角半徑等的防護(hù)環(huán)境;2.對于雙絞線介質(zhì)要求包括磁場、雷擊、電磁干擾、鼠害、溫差、濕度等的防護(hù)環(huán)境;3.網(wǎng)絡(luò)設(shè)備對環(huán)境的要求包括溫度、濕度、潔凈度、電源質(zhì)量等;4.核心交換機(jī)也須采用雙冗余進(jìn)行備份,確保該交換機(jī)出現(xiàn)故障后備份交換機(jī)能迅速接替工作;5.定時觀察服務(wù)器網(wǎng)絡(luò)傳輸數(shù)率。

(五)數(shù)據(jù)庫安全

在醫(yī)院信息系統(tǒng)的后臺,數(shù)據(jù)信息是整個系統(tǒng)的靈魂,其安全性至關(guān)重要,而數(shù)據(jù)庫管理系統(tǒng)是保證數(shù)據(jù)能有效保存、查詢、分析等的基礎(chǔ);數(shù)據(jù)被安全存儲、合法地訪問數(shù)據(jù)庫以及跟蹤監(jiān)視數(shù)據(jù)庫,都必須具有數(shù)據(jù)有效訪問權(quán)限,所以應(yīng)該實現(xiàn):1.數(shù)據(jù)庫管理系統(tǒng)提供的用戶名、口令識別,試圖、使用權(quán)限控制、審計、數(shù)據(jù)加密等管理措施;2.數(shù)據(jù)庫權(quán)限的劃分清晰,如登錄權(quán)限、資源管理權(quán)限和數(shù)據(jù)庫管理權(quán)限;3.數(shù)據(jù)表的建立、數(shù)據(jù)查詢、存儲過程的執(zhí)行等的權(quán)限必須清晰;4.建立用戶審計,記錄每次操作的用戶的詳細(xì)情況;建立系統(tǒng)審計,記錄系統(tǒng)級命令和數(shù)據(jù)庫服務(wù)器本身的使用情況。

(六)數(shù)據(jù)存儲安全

數(shù)據(jù)存儲安全是數(shù)據(jù)庫存儲的信息不能因自然災(zāi)害、人為原因和設(shè)備損壞而被破壞,同時保證數(shù)據(jù)可以長期保存,備份的數(shù)據(jù)可以正確恢復(fù),其要求如下:1.建立數(shù)據(jù)備份方案,嚴(yán)格按照規(guī)定的備份時間、方式進(jìn)行數(shù)據(jù)備份;2.數(shù)據(jù)備份要有多重冗余備份,要有異地數(shù)據(jù)備份,當(dāng)某一地點(diǎn)數(shù)據(jù)丟失或破壞時,另一地點(diǎn)保存的副本可用于恢復(fù);3.數(shù)據(jù)部分的有效性檢查,保證備份的數(shù)據(jù)萬無一失,做到定期檢查;4.建立快速恢復(fù)機(jī)制,明確出現(xiàn)故障后的快速恢復(fù)手段與方法,而且必須對之進(jìn)行階段性檢查,進(jìn)行災(zāi)難模擬測試。

(七)應(yīng)用軟件的安全

由于醫(yī)院信息系統(tǒng)的用戶量大、數(shù)據(jù)量大、涉及面廣、職責(zé)多樣、業(yè)務(wù)流程復(fù)雜和權(quán)限管理復(fù)雜等,所以對應(yīng)用程序,系統(tǒng)安全設(shè)計的要求很高。1.設(shè)計安全審計功能,且每個審計事件都應(yīng)和觸發(fā)該行為的用戶身份相關(guān)聯(lián);2.審計查閱功能,為審計功能提供清晰易懂的審計日志;3.審計事件存儲,審計日志存儲空間溢滿時能導(dǎo)出審計日志并妥善保存;4.設(shè)計訪問控制策略和訪問控制功能;5.設(shè)計用戶標(biāo)識、用戶主體綁定;6.設(shè)計多重會話并發(fā)限制、會話鎖定。

(八)病毒防護(hù)和防黑客攻擊安全

計算機(jī)病毒在網(wǎng)絡(luò)中的危害遠(yuǎn)大于對單機(jī)的危害。網(wǎng)絡(luò)發(fā)生計算機(jī)病毒后最難處理的問題是清除病毒。對于服務(wù)器等關(guān)鍵設(shè)備應(yīng)安裝殺毒軟件和防黑客攻擊軟件,網(wǎng)絡(luò)環(huán)境下要把防止計算機(jī)病毒進(jìn)入系統(tǒng)放在首位,基于以上安全特性,要求:1.設(shè)備VLAN,在主域服務(wù)器上安裝網(wǎng)絡(luò)版殺毒軟件和防黑客攻擊軟件;2.定時更新病毒庫和殺毒引擎;3.定時更新操作系統(tǒng)漏洞布丁;4.關(guān)閉不用的操作系統(tǒng)服務(wù);5.關(guān)閉不用的端口;6.盡量將醫(yī)院的內(nèi)網(wǎng)與外網(wǎng)做到物理上的完全隔離。

三、安全的軟指標(biāo)

系統(tǒng)安全的軟指標(biāo)是指管理制度、應(yīng)急方案、操作規(guī)范和安全培訓(xùn)制度等。

(一)組織

成立系統(tǒng)安全工作領(lǐng)導(dǎo)小組、確定第一責(zé)任人、責(zé)任部門、相關(guān)部門和部門負(fù)責(zé)人,明確安全責(zé)任制,并定期檢查、督促落實。

(二)制度

建立信息安全管理制度也是安全管理的重要組成部分;完整的計算機(jī)文檔是分析故障、排除故障的基礎(chǔ),是系統(tǒng)正常運(yùn)行的保證;工作制度的建立與系統(tǒng)建設(shè)同步開始;同時,在日常工作中應(yīng)該根據(jù)系統(tǒng)設(shè)置的變化進(jìn)行修改,保證文檔和制度能真實反映系統(tǒng)狀態(tài),具體制度為:1.建立網(wǎng)絡(luò)服務(wù)器管理制度;2.建立網(wǎng)絡(luò)設(shè)備管理制度;3.建立網(wǎng)絡(luò)工作站管理制度;4.建立網(wǎng)絡(luò)工作人員管理制度;5.技術(shù)文檔管理制度;6.“第三方”訪問管理制度。

(三)信息安全操作規(guī)范

很多安全隱患都來自于操作不規(guī)范,口令定期調(diào)整、程序升級、日志檢查都可能杜絕掉很多安全隱患,因此,應(yīng)建立如下規(guī)范:1.建立操作系統(tǒng)操作規(guī)范;2.建立數(shù)據(jù)庫系統(tǒng)操作規(guī)范;3.應(yīng)用系統(tǒng)操作規(guī)范。

(四)應(yīng)急方案

醫(yī)院信息系統(tǒng)應(yīng)急方案是在計算機(jī)出現(xiàn)故障,且不能短期完全恢復(fù)運(yùn)行,并影響到局部或整體工作時,只有采用人工的方式來開展工作,保證正常醫(yī)療活動不被完全打亂,因此應(yīng)做到:1.確定應(yīng)急方案實施責(zé)任制;2.應(yīng)急方案實施范圍和時間;3.應(yīng)急方案通報制度;4.系統(tǒng)故障一般應(yīng)急措施;5.業(yè)務(wù)應(yīng)用應(yīng)急實施細(xì)則。

(五)安全培訓(xùn)制度

信息中心應(yīng)負(fù)責(zé)全院相關(guān)部門和人員的信息系統(tǒng)安全教育和使用培訓(xùn)的計劃制定、實施和組織協(xié)調(diào)工作:1.制定相應(yīng)的安全培訓(xùn)大綱、培訓(xùn)計劃,有計劃地加以實施;2.對醫(yī)院決策層和管理層的應(yīng)知應(yīng)會培訓(xùn),充分認(rèn)識信息安全的重要性和信息安全防御體系建設(shè)的必要性;3.對計算機(jī)科室管理人員的技能培訓(xùn);4.對操作層面人員的使用培訓(xùn);5.知識更新培訓(xùn)及業(yè)務(wù)再培訓(xùn)。

四、探討

以上的框架描述只是從作者的工作經(jīng)驗和部分理論指導(dǎo)的角度出發(fā),因此很多地方還有待探討。不同的醫(yī)院有不同的情況,不能一概而論,包括管理現(xiàn)狀、資金狀況、人員配備、技術(shù)支持等都會影響到信息安全的實施。醫(yī)院如何開展信息安全工作,應(yīng)該本著從實際出發(fā)的精神,先進(jìn)行風(fēng)險評估,研究信息系統(tǒng)存在的漏洞缺陷、面臨的風(fēng)險與威脅,對于可能發(fā)現(xiàn)的漏洞、風(fēng)險,制定相應(yīng)的策略:首先在技術(shù)上,確定操作系統(tǒng)類型、安全級別,以選擇合適的安全的服務(wù)器系統(tǒng)和相關(guān)的安全硬件;再確定適當(dāng)?shù)木W(wǎng)絡(luò)系統(tǒng),從安全角度予以驗證;選擇合適的應(yīng)用系統(tǒng),特別要強(qiáng)調(diào)應(yīng)用系統(tǒng)的身份認(rèn)證與授權(quán)。在行為上,對網(wǎng)絡(luò)行為、各種操作進(jìn)行實時的監(jiān)控,對各種行為規(guī)范進(jìn)行分類管理,規(guī)定行為規(guī)范的范圍和期限,對不同類型、不同敏感度的信息,規(guī)定合適的管理制度和使用方法,限制一些不安全的行為。在管理上,制定各項安全制度,并定期檢查、督促落實;確定醫(yī)院的安全領(lǐng)導(dǎo)小組,合理分配職責(zé),做到責(zé)任到人。當(dāng)然,還要意識到信息安全工作的開展有可能會影響到系統(tǒng)使用的方便性,畢竟,安全和方便是矛盾的統(tǒng)一體,要安全就不會很方便,相關(guān)工作效率必定降低,要方便則安全得不到保證,因此必須權(quán)衡估量。

五、結(jié)論

應(yīng)該說,對于信息系統(tǒng)而言,也沒有完全絕對的安全,只有相對的安全。所謂三分技術(shù),七分管理,要使HIS安全系統(tǒng)發(fā)揮其應(yīng)有的效用,除了IT技術(shù)外,還要求醫(yī)院領(lǐng)導(dǎo)高度重視,組建一支技術(shù)過硬的隊伍,規(guī)范各項管理制度,建立起一個完善的應(yīng)急預(yù)案,軟硬兩手抓才能到達(dá)一定的效果。

AI写作,高效原创

在线指导,快速准确,满意为止

立即体验