關于醫(yī)院信息安全管理途徑論文

　　一、概述

　　隨著計算機軟件技術的發(fā)展,特別是分布式和軟件移動計算的廣泛應用,使得系統(tǒng)開放性越來越強,局域網內的用戶都可能訪問到應用系統(tǒng)和數據庫,這給醫(yī)院信息安全帶來了極大的挑戰(zhàn)。從收費數據到醫(yī)療信息、從病人隱私保密到管理信息的保密,都要求醫(yī)院管理系統(tǒng)要處于高度安全的環(huán)境中。醫(yī)院信息系統(tǒng)的穩(wěn)定和安全運行,是醫(yī)院持續(xù)正常工作的組成部分。作為一個持續(xù)運行的事務處理系統(tǒng),要求能每天24小時不間斷運行,不希望有中斷,否則會使醫(yī)院的聲譽受到影響。同時,隨著業(yè)務的發(fā)展,系統(tǒng)數據量的增加,要求系統(tǒng)能穩(wěn)定地運行,不能使系統(tǒng)性能快速降低。在一些重要的系統(tǒng)中,如財務、人事、醫(yī)保實時交易等信息,已經不能滿足于簡單的本地保護,要求有更高的系統(tǒng)可靠性,保證系統(tǒng)能進行容災保護。一旦出現(xiàn)異常情況,如火災、爆炸、地震、水災、雷擊或某個方向線路故障等自然原因以及電源機器故障、人為破壞等非自然原因引起的災難后,系統(tǒng)能快速穩(wěn)定地恢復正常工作。因此,信息安全已經不是人們傳統(tǒng)意義上的安全概念,是要保證系統(tǒng)避免一系列威脅,保證醫(yī)院業(yè)務的連續(xù)性,最大限度地減少醫(yī)院業(yè)務的損失,為醫(yī)院的業(yè)務發(fā)展提供信息安全保障。本文作者根據多年來從事醫(yī)院管理信息系統(tǒng)和網絡系統(tǒng)的建設及維護工作的經驗出發(fā),探討安全建設和日常維護工作。

　　二、安全的硬指標

　　系統(tǒng)安全的硬指標考慮的問題是多方面的,包括如下。

　　(一)中心機房安全

　　中心機房是醫(yī)院信息系統(tǒng)設備的存放地,包括數據庫服務器、磁盤陣列、網絡主交換、應用服務器等設備,因此對環(huán)境的要求極高,應該做到:1.機房供電不少于兩路;2.雙路UPS供電、并采用智能報警管理UPS;3.防靜電地板、玻璃隔斷、防火墻面處理、外窗防水處理;4.火災探測器、防竊探測器;5.溫度、濕度恒定,防塵,防蟲鼠;6.三相四線雙變電站供電,安裝應急照明系統(tǒng);7.專用機房接地系統(tǒng),與主配線柜、主設備柜、防靜電地板下的接地線(環(huán))相連;全方位防雷系統(tǒng),強電、弱電都應安裝防雷保護器等。

　　(二)服務器及服務器操作系統(tǒng)安全

　　服務器是數據處理的核心單元,是軟件安全的基礎,因此,其安全應該做到:1.根據醫(yī)院業(yè)務狀況決定采用PC服務器或小型機,并配備磁盤陣列、冗余電源、大規(guī)模內存和高速緩存的自動糾錯,保證在連續(xù)工作狀態(tài)下保持穩(wěn)定、快速;2.對服務器進行隔離,并采取嚴格的安全管理,各開箱鎖單獨保存;3.應用程序服務器和數據庫服務器必須嚴格分開;4.服務器操作系統(tǒng)應采用安全機制較高的系統(tǒng),如Windows2000或Unix等;5.網絡操作系統(tǒng)的用戶資源權限控制以及安全審計等功能必須開啟;6.操作系統(tǒng)不相關的應用服務必須關閉;7.操作系統(tǒng)安全布丁必須定時更新。

　　(三)群集技術及磁盤陣列的可靠性

　　群集技術是能使服務器連續(xù)可靠運行的重要保證,簡單地說是兩臺服務器采用雙機熱備份工作狀態(tài),當一臺機器出現(xiàn)問題后另一臺機器能快速接替主服務器的工作;服務器中易損部件是硬盤,硬盤損壞可以造成系統(tǒng)癱瘓,因此采用磁盤陣列進行冗余,其要求如下:1.為了避免出現(xiàn)災難性后果,必須每天檢查群集工作狀態(tài);2.當群集中一臺機器出現(xiàn)問題時應該馬上解決,檢查主服務器,盡早恢復其工作;3.RAID保證數據庫的高可靠性,保證在部分存儲介質損壞時數據不丟失;4.必須定時檢查硬盤工作情況,發(fā)現(xiàn)問題及時處理。

　　(四)網絡安全

　　網絡安全主要是指當用戶通過網絡訪問應用服務器和數據庫服務器時如何保證網絡鏈路的安全,包括網絡布線安全和網絡設備安全。特別還應注意設備的軟故障,軟故障將造成網絡系統(tǒng)長時間無法正常運行,使得醫(yī)院處于一種半癱瘓狀態(tài)。軟故障包括廣播風暴、交換機等設備處于時好時壞狀態(tài)、網絡以極慢速率傳輸數據、頻繁出現(xiàn)丟包現(xiàn)象等,因此,基于安全的要求:1.對于光纖介質要求包括溫差、陽光、鼠害、碰撞摩擦、拐角半徑等的防護環(huán)境;2.對于雙絞線介質要求包括磁場、雷擊、電磁干擾、鼠害、溫差、濕度等的防護環(huán)境;3.網絡設備對環(huán)境的要求包括溫度、濕度、潔凈度、電源質量等;4.核心交換機也須采用雙冗余進行備份,確保該交換機出現(xiàn)故障后備份交換機能迅速接替工作;5.定時觀察服務器網絡傳輸數率。

　　(五)數據庫安全

　　在醫(yī)院信息系統(tǒng)的后臺,數據信息是整個系統(tǒng)的靈魂,其安全性至關重要,而數據庫管理系統(tǒng)是保證數據能有效保存、查詢、分析等的基礎;數據被安全存儲、合法地訪問數據庫以及跟蹤監(jiān)視數據庫,都必須具有數據有效訪問權限,所以應該實現(xiàn):1.數據庫管理系統(tǒng)提供的用戶名、口令識別,試圖、使用權限控制、審計、數據加密等管理措施;2.數據庫權限的劃分清晰,如登錄權限、資源管理權限和數據庫管理權限;3.數據表的建立、數據查詢、存儲過程的執(zhí)行等的權限必須清晰;4.建立用戶審計,記錄每次操作的用戶的;建立系統(tǒng)審計,記錄系統(tǒng)級命令和數據庫服務器本身的使用情況。

　　(六)數據存儲安全

　　數據存儲安全是數據庫存儲的信息不能因自然災害、人為原因和設備損壞而被破壞,同時保證數據可以長期保存,備份的數據可以正確恢復,其要求如下:1.建立數據備份方案,嚴格按照規(guī)定的備份時間、方式進行數據備份;2.數據備份要有多重冗余備份,要有異地數據備份,當某一地點數據丟失或破壞時,另一地點保存的副本可用于恢復;3.數據部分的有效性檢查,保證備份的數據萬無一失,做到定期檢查;4.建立快速恢復機制,明確出現(xiàn)故障后的快速恢復手段與方法,而且必須對之進行階段性檢查,進行災難模擬測試。

　　(七)應用軟件的安全

　　由于醫(yī)院信息系統(tǒng)的用戶量大、數據量大、涉及面廣、職責多樣、業(yè)務流程復雜和權限管理復雜等,所以對應用程序,系統(tǒng)安全設計的要求很高。1.設計安全審計功能,且每個審計事件都應和觸發(fā)該行為的用戶身份相關聯(lián);2.審計查閱功能,為審計功能提供清晰易懂的審計日志;3.審計事件存儲,審計日志存儲空間溢滿時能導出審計日志并妥善保存;4.設計訪問控制策略和訪問控制功能;5.設計用戶標識、用戶主體綁定;6.設計多重會話并發(fā)限制、會話鎖定。

　　(八)病毒防護和防電腦高手攻擊安全

　　計算機病毒在網絡中的危害遠大于對單機的危害。網絡發(fā)生計算機病毒后最難處理的問題是清除病毒。對于服務器等關鍵設備應安裝殺毒軟件和防電腦高手攻擊軟件,網絡環(huán)境下要把防止計算機病毒進入系統(tǒng)放在首位,基于以上安全特性,要求:1.設備VLAN,在主域服務器上安裝網絡版殺毒軟件和防電腦高手攻擊軟件;2.定時更新病毒庫和殺毒引擎;3.定時更新操作系統(tǒng)漏洞布丁;4.關閉不用的操作系統(tǒng)服務;5.關閉不用的端口;6.盡量將醫(yī)院的內網與外網做到物理上的完全隔離。

　　三、安全的軟指標

　　系統(tǒng)安全的軟指標是指管理制度、應急方案、操作規(guī)范和安全培訓制度等。

　　(一)組織

　　成立系統(tǒng)安全工作領導小組、確定第一責任人、責任部門、相關部門和部門負責人,明確安全責任制,并定期檢查、督促落實。

　　(二)制度

　　建立信息安全管理制度也是安全管理的重要組成部分;完整的計算機文檔是分析故障、排除故障的基礎,是系統(tǒng)正常運行的保證;工作制度的建立與系統(tǒng)建設同步開始;同時,在日常工作中應該根據系統(tǒng)設置的變化進行修改,保證文檔和制度能真實反映系統(tǒng)狀態(tài),具體制度為:1.建立網絡服務器管理制度;2.建立網絡設備管理制度;3.建立網絡工作站管理制度;4.建立網絡工作人員管理制度;5.技術文檔管理制度;6.“第三方”訪問管理制度。

　　(三)信息安全操作規(guī)范

　　很多安全隱患都來自于操作不規(guī)范,口令定期調整、程序升級、日志檢查都可能杜絕掉很多安全隱患,因此,應建立如下規(guī)范:1.建立操作系統(tǒng)操作規(guī)范;2.建立數據庫系統(tǒng)操作規(guī)范;3.應用系統(tǒng)操作規(guī)范。

　　(四)應急方案

　　醫(yī)院信息系統(tǒng)應急方案是在計算機出現(xiàn)故障,且不能短期完全恢復運行,并影響到局部或整體工作時,只有采用人工的方式來開展工作,保證正常醫(yī)療活動不被完全打亂,因此應做到:1.確定應急方案實施責任制;2.應急方案實施范圍和時間;3.應急方案通報制度;4.系統(tǒng)故障一般應急措施;5.業(yè)務應用應急實施細則。

　　(五)安全培訓制度

　　信息中心應負責全院相關部門和人員的信息系統(tǒng)安全教育和使用培訓的計劃制定、實施和組織協(xié)調工作:1.制定相應的安全培訓大綱、培訓計劃,有計劃地加以實施;2.對醫(yī)院決策層和管理層的應知應會培訓,充分認識信息安全的重要性和信息安全防御體系建設的必要性;3.對計算機科室管理人員的技能培訓;4.對操作層面人員的使用培訓;5.知識更新培訓及業(yè)務再培訓。

　　四、探討

　　以上的框架描述只是從作者的工作經驗和部分理論指導的角度出發(fā),因此很多地方還有待探討。不同的醫(yī)院有不同的情況,不能一概而論,包括管理現(xiàn)狀、資金狀況、人員配備、技術支持等都會影響到信息安全的實施。醫(yī)院如何開展信息安全工作,應該本著從實際出發(fā)的精神,先進行風險評估,研究信息系統(tǒng)存在的漏洞缺陷、面臨的風險與威脅,對于可能發(fā)現(xiàn)的漏洞、風險,制定相應的策略:首先在技術上,確定操作系統(tǒng)類型、安全級別,以選擇合適的安全的服務器系統(tǒng)和相關的安全硬件;再確定適當的網絡系統(tǒng),從安全角度予以驗證;選擇合適的應用系統(tǒng),特別要強調應用系統(tǒng)的身份認證與授權。在行為上,對網絡行為、各種操作進行實時的監(jiān)控,對各種行為規(guī)范進行分類管理,規(guī)定行為規(guī)范的范圍和期限,對不同類型、不同敏感度的信息,規(guī)定合適的管理制度和使用方法,限制一些不安全的行為。在管理上,制定各項安全制度,并定期檢查、督促落實;確定醫(yī)院的安全領導小組,合理分配職責,做到責任到人。當然,還要意識到信息安全工作的開展有可能會影響到系統(tǒng)使用的方便性,畢竟,安全和方便是矛盾的統(tǒng)一體,要安全就不會很方便,相關工作效率必定降低,要方便則安全得不到保證,因此必須權衡估量。

　　五、結論

　　應該說,對于信息系統(tǒng)而言,也沒有完全絕對的安全,只有相對的安全。所謂三分技術,七分管理,要使HIS安全系統(tǒng)發(fā)揮其應有的效用,除了IT技術外,還要求醫(yī)院領導高度重視,組建一支技術過硬的隊伍,規(guī)范各項管理制度,建立起一個完善的應急預案,軟硬兩手抓才能到達一定的效果。

【醫(yī)院信息安全管理途徑論文】相關文章：

提升電子信息工程管理的途徑論文10-16

醫(yī)院信息管理安全性探討信息管理論文09-19

實驗教學信息管理系統(tǒng)的開發(fā)途徑論文05-21

論文：醫(yī)院衛(wèi)生信息的技術管理08-09

信息安全管理論文(經典)06-23

信息安全管理論文06-21

信息安全管理論文09-21

企業(yè)信息安全管理的論文07-11

電子信息工程在醫(yī)院管理的應用論文08-24

電子檔案信息安全管理分析論文10-28