緒論:在尋找寫(xiě)作靈感嗎��?愛(ài)發(fā)表網(wǎng)為您精選了8篇醫(yī)院信息安全管理措施�,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情�����,歡迎您的閱讀與分享��!
篇1
1 引言
信息化技術(shù)當(dāng)前已經(jīng)深入應(yīng)用到了醫(yī)院的日常經(jīng)營(yíng)發(fā)展內(nèi)容中��,建立了醫(yī)院整體管理運(yùn)營(yíng)信息系統(tǒng)��,對(duì)提高醫(yī)院的管理效率和管理質(zhì)量發(fā)揮了重要的作用���。而信息安全管理���,也在當(dāng)前醫(yī)院日常管理內(nèi)容中占據(jù)了更為重要的位置,同時(shí)醫(yī)院信息安全管理的內(nèi)容相較于傳統(tǒng)����,也變得更加的豐富,醫(yī)院信息安全管理的內(nèi)容包括醫(yī)院的信息系統(tǒng)網(wǎng)絡(luò)安全、備份信息記錄安全�、計(jì)算機(jī)設(shè)備病毒防治、醫(yī)院信息管理系統(tǒng)平臺(tái)安全等諸多內(nèi)容��,對(duì)醫(yī)院的信息安全提出了更高的要求�。醫(yī)院應(yīng)該全面清晰的認(rèn)清當(dāng)前信息安全的發(fā)展形勢(shì)�,做好相應(yīng)的信息安全防治措施。
2 醫(yī)院信息安全面臨的主要挑戰(zhàn)
具體來(lái)講���,在當(dāng)前醫(yī)院的發(fā)展過(guò)程中�����,醫(yī)院所面臨的信息安全挑戰(zhàn)主要來(lái)自于幾個(gè)方面��。
2.1 醫(yī)院信息安全的管理責(zé)任不夠明確
正如上文所述��,在信息化技術(shù)得到全面普及應(yīng)用的背景下���,醫(yī)院的信息安全管理內(nèi)容也越來(lái)越豐富,對(duì)醫(yī)院的信息安全管理工作提出了極高的要求�。
當(dāng)前階段,醫(yī)院信息安全管理工作已經(jīng)成為一項(xiàng)復(fù)雜的系統(tǒng)性管理內(nèi)容����,而潛藏的醫(yī)院信息安全隱患則包括醫(yī)院信息設(shè)備的采購(gòu)���、網(wǎng)絡(luò)安全產(chǎn)品的采購(gòu)、醫(yī)院內(nèi)部崗位信息的流通�����、醫(yī)院信息數(shù)據(jù)的存儲(chǔ)應(yīng)用���、醫(yī)院的安全信息管理策略以及醫(yī)院的信息管理安全人員等諸多方面����,過(guò)多的醫(yī)院信息安全管理內(nèi)容很容易造成醫(yī)院自身信息安全管理資源的配置不夠優(yōu)化��,同時(shí)對(duì)于醫(yī)院信息安全管理監(jiān)督的執(zhí)行也造成了很大影響���,出現(xiàn)醫(yī)院信息安全管理責(zé)任不夠明確的現(xiàn)象�。
在這種紛繁復(fù)雜的情況下�,加強(qiáng)對(duì)醫(yī)院的信息安全管理內(nèi)容的全面分析,制定相應(yīng)的醫(yī)院信息安全管理規(guī)則����,確定具體的醫(yī)院信息安全管理責(zé)任制度,已經(jīng)成為醫(yī)院信息安全管理發(fā)展過(guò)程中的必然措施。
2.2 醫(yī)院信息管理系統(tǒng)面臨著諸多危害
在全面應(yīng)用了信息化技術(shù)��,并建立了相應(yīng)醫(yī)院信息管理系統(tǒng)以后��,醫(yī)院不僅需要面臨來(lái)自內(nèi)部的信息安全管理風(fēng)險(xiǎn)���,還需要面臨更加迫切的醫(yī)院信息管理系統(tǒng)的安全隱患�����。
具體來(lái)講,當(dāng)前計(jì)算機(jī)病毒����、黑客攻擊以及系統(tǒng)漏洞現(xiàn)象等等,都是當(dāng)前醫(yī)院信息管理系統(tǒng)在使用的過(guò)程中面臨的來(lái)自外界的主要危害類型�����,計(jì)算機(jī)病毒會(huì)造成醫(yī)院信息管理系統(tǒng)出現(xiàn)系統(tǒng)崩潰��、系統(tǒng)數(shù)據(jù)丟失的現(xiàn)象��,而黑客攻擊甚至可以在不知不覺(jué)中盜取醫(yī)院的管理信息��、用戶信息以及科研信息,造成醫(yī)院信息安全管理中的重要經(jīng)濟(jì)損失���,醫(yī)院信息管理系統(tǒng)漏洞現(xiàn)象也有可能被人故意利用�����,造成醫(yī)院信息安全隱患現(xiàn)象�����,對(duì)醫(yī)院的信息安全發(fā)展造成非常不利的影響���。
2.3 醫(yī)院信息數(shù)據(jù)管理仍然存在著漏洞
當(dāng)前階段醫(yī)院信息數(shù)據(jù)管理工作也仍然存在著一定的漏洞,這種漏洞主要體現(xiàn)在信息數(shù)據(jù)管理工作中數(shù)據(jù)處理工作的不可逆轉(zhuǎn)現(xiàn)象上���。
具體來(lái)講�����,醫(yī)院在信息數(shù)據(jù)管理的過(guò)程中極有可能出現(xiàn)種種失誤現(xiàn)象��,例如數(shù)據(jù)刪除失誤�、數(shù)據(jù)修改失誤�、數(shù)據(jù)應(yīng)用錯(cuò)誤現(xiàn)象��,嚴(yán)重的數(shù)據(jù)刪除失誤甚至有可能造成醫(yī)院信息數(shù)據(jù)管理系統(tǒng)崩潰現(xiàn)象���,對(duì)醫(yī)院的信息安全管理造成極大的安全隱患,而同時(shí)醫(yī)院在安全產(chǎn)品的選擇上也存在著無(wú)法有效的聯(lián)動(dòng)現(xiàn)象����,造成醫(yī)院無(wú)法有效的充分發(fā)揮醫(yī)院信息安全設(shè)備的防護(hù)治理功能,醫(yī)院整體的信息安全系統(tǒng)無(wú)法形成具有層次性�����、系統(tǒng)性以及規(guī)范性的保護(hù)系統(tǒng)�,對(duì)醫(yī)院信息數(shù)據(jù)安全管理的發(fā)展也造成了一定的影響�����。
3 醫(yī)院信息安全采取的主要措施
針對(duì)當(dāng)前醫(yī)院在信息安全發(fā)展過(guò)程中面臨的相關(guān)挑戰(zhàn)現(xiàn)象�����,本文建議醫(yī)院應(yīng)該在信息安全的發(fā)展過(guò)程中采取幾項(xiàng)措施�,可以有效地達(dá)到提升醫(yī)院信息安全管理質(zhì)量的目的。
3.1 進(jìn)一步優(yōu)化醫(yī)院信息安全管理機(jī)制
醫(yī)院在進(jìn)一步優(yōu)化醫(yī)院信息安全管理機(jī)制的過(guò)程中�,應(yīng)該全面的加強(qiáng)醫(yī)院信息安全管理機(jī)構(gòu)���、管理隊(duì)伍的建設(shè),同時(shí)建立醫(yī)院信息安全管理制度以及醫(yī)院信息安全責(zé)任制度�,針對(duì)醫(yī)院信息管理工作內(nèi)容進(jìn)行系統(tǒng)性、規(guī)范性以及權(quán)責(zé)制的管理�����。
在安全機(jī)構(gòu)和安全隊(duì)伍的建設(shè)上�,醫(yī)院必須加強(qiáng)對(duì)信息安全管理意識(shí)的宣傳,明確醫(yī)院信息安全管理機(jī)構(gòu)的權(quán)利與責(zé)任�,建立相應(yīng)的醫(yī)院信息安全應(yīng)急預(yù)案機(jī)制;而在醫(yī)院信息安全管理制度的優(yōu)化上,醫(yī)院必須針對(duì)醫(yī)院面臨的信息安全管理內(nèi)容進(jìn)行全面細(xì)致的優(yōu)化��,針對(duì)醫(yī)院信息安全管理的范圍����、信息安全管理規(guī)程、人員管理制度����、設(shè)備維護(hù)制度、安全保密協(xié)議��、網(wǎng)絡(luò)安全監(jiān)控制度��、安全隱患排除制度等等進(jìn)行明確的優(yōu)化,保證醫(yī)院信息安全管理機(jī)制能夠全面的覆蓋醫(yī)院信息安全管理的諸多內(nèi)容��。
3.2 進(jìn)一步規(guī)劃醫(yī)院信息安全管理流程
醫(yī)院進(jìn)一步規(guī)劃醫(yī)院信息安全管理流程的目的主要是針對(duì)醫(yī)院信息安全管理機(jī)制進(jìn)行更加細(xì)致的規(guī)定���,醫(yī)院應(yīng)該在醫(yī)院信息安全權(quán)限管理以及醫(yī)院信息安全管理規(guī)程上尤其進(jìn)行優(yōu)化�����,達(dá)到確實(shí)加強(qiáng)醫(yī)院信息安全管理細(xì)節(jié)建設(shè)的目的�����。
以醫(yī)院信息安全權(quán)限管理為例��,醫(yī)院可以在外來(lái)用戶的訪問(wèn)權(quán)限�、內(nèi)部用戶的密碼登錄以及內(nèi)部用戶的權(quán)限等級(jí)上進(jìn)行細(xì)致的劃分�����,同時(shí)對(duì)用戶在醫(yī)院信息管理系統(tǒng)內(nèi)部的瀏覽內(nèi)容進(jìn)行監(jiān)控�����,對(duì)外來(lái)用戶進(jìn)行IP清查以及MAC地址綁定�����,有效的提高醫(yī)院信息安全管理的細(xì)節(jié)掌控��。
3.3 進(jìn)一步加強(qiáng)醫(yī)院信息安全防護(hù)技術(shù)
醫(yī)院在信息安全管理工作中����,應(yīng)該進(jìn)一步加強(qiáng)對(duì)信息冗余技術(shù)、數(shù)據(jù)中心檢測(cè)技術(shù)����、信息安全防治技術(shù)、系統(tǒng)監(jiān)控技術(shù)等相應(yīng)信息安全技術(shù)的應(yīng)用����,保證醫(yī)院自身系統(tǒng)在使用的過(guò)程中不會(huì)因?yàn)閿?shù)據(jù)刪除失誤而造成系統(tǒng)崩潰的現(xiàn)象,提高醫(yī)院信息管理系統(tǒng)的穩(wěn)定性�����、安全性以及可優(yōu)化性�����,加強(qiáng)對(duì)數(shù)據(jù)中心的備份記錄�,保證醫(yī)院信息安全防護(hù)技術(shù)能夠充分的提升醫(yī)院信息安全管理的質(zhì)量�����。
4 結(jié)束語(yǔ)
本文以醫(yī)院為例��,具體分析醫(yī)院在信息安全管理工作面臨的問(wèn)題現(xiàn)象和采取的發(fā)展措施,進(jìn)而對(duì)醫(yī)療行業(yè)的信息安全發(fā)展形勢(shì)進(jìn)行了分析和闡述��。
篇2
1 對(duì)醫(yī)院電子檔案信息安全管理產(chǎn)生影響的因素
綜合分析,當(dāng)前對(duì)醫(yī)院電子檔案信息安全管理產(chǎn)生影響的因素主要涉及到以下幾個(gè)方面�。
1.1 環(huán)境安全因素
電子檔案是將電信號(hào)和磁介質(zhì)作為主要載體的檔案文獻(xiàn)�,因此環(huán)境中的磁場(chǎng)干擾和突然斷電等問(wèn)題都會(huì)對(duì)電子檔案信息安全產(chǎn)生影響,出現(xiàn)檔案數(shù)據(jù)失真問(wèn)題�,影響電子檔案信息安全的合理管理[1]。同時(shí)供電系統(tǒng)的故障也可能會(huì)給電子檔案信息造成嚴(yán)重的破壞��。所以在加強(qiáng)電子檔案信息安全管理工作的過(guò)程中�,應(yīng)該注意突出環(huán)境建設(shè),以環(huán)境建設(shè)為電子檔案信息安全管理提供良好的支持�。
1.2 網(wǎng)絡(luò)環(huán)境的影響
近幾年隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展和其在社會(huì)上的普及性應(yīng)用�,網(wǎng)絡(luò)安全問(wèn)題頻繁出現(xiàn)���,網(wǎng)絡(luò)病毒和黑客等對(duì)信息安全產(chǎn)生了嚴(yán)重的不良影響�����,醫(yī)院電子檔案信息安全管理也受到嚴(yán)重的威脅���。所以醫(yī)院應(yīng)該正視來(lái)自互聯(lián)網(wǎng)的威脅,對(duì)網(wǎng)絡(luò)安全環(huán)境進(jìn)行合理分析���,進(jìn)而從網(wǎng)絡(luò)安全角度加強(qiáng)電子檔案信息安全管理,有效促進(jìn)檔案管理水平的全面提升����。
1.3 制度和人為影響因素
現(xiàn)階段我國(guó)醫(yī)院檔案管理工作中管理制度建設(shè)不完善以及工作人員計(jì)算機(jī)專業(yè)素質(zhì)偏低的問(wèn)題也對(duì)電子檔案信息安全管理的優(yōu)化開(kāi)展產(chǎn)生了一定的不良影響[2]。在制度不完善的情況下�,管理規(guī)范性不足,并且由于管理人員綜合素質(zhì)偏低���,無(wú)法應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)故障和網(wǎng)絡(luò)安全對(duì)電子檔案信息安全管理產(chǎn)生的威脅�����,導(dǎo)致醫(yī)院電子檔案信息安全管理水平偏低����。
2 新時(shí)期醫(yī)院加強(qiáng)電子檔案信息安全管理的措施
當(dāng)前社會(huì)上層出不窮的信息安全問(wèn)題不僅對(duì)社會(huì)信息安全造成了一定的不良影響,甚至嚴(yán)重者還會(huì)威脅社會(huì)的穩(wěn)定�。所以社會(huì)各界都加強(qiáng)對(duì)信息安全管理工作的重視,希望借助科學(xué)合理的信息安全管理��,為信息行業(yè)的穩(wěn)定發(fā)展提供良好的支持���。在此背景下�����,醫(yī)院電子信息檔案管理也受到高度重視�����,成為醫(yī)院檔案管理部門(mén)重點(diǎn)關(guān)注的問(wèn)題�。所以本文基于當(dāng)前醫(yī)院電子信息檔案管理實(shí)際需求對(duì)電子檔案信息安全管理的措施進(jìn)行了適當(dāng)?shù)姆治?,以期為電子檔案信息管理的全面優(yōu)化提供良好的支持��。
2.1 加強(qiáng)對(duì)安全穩(wěn)定數(shù)據(jù)庫(kù)環(huán)境建設(shè)工作的重視
醫(yī)院新時(shí)期加強(qiáng)對(duì)電子檔案信息安全管理工作的重視��,最為關(guān)鍵的一點(diǎn)就是應(yīng)該保證安全穩(wěn)定環(huán)境的建設(shè)���,為電子檔案信息數(shù)據(jù)庫(kù)的穩(wěn)定運(yùn)行提供良好的支持。首先�,針對(duì)醫(yī)院電子檔案信息的實(shí)際需求,醫(yī)院應(yīng)該嘗試構(gòu)建獨(dú)立的存儲(chǔ)電子檔案信息數(shù)據(jù)庫(kù)室��,并對(duì)數(shù)據(jù)庫(kù)室內(nèi)的環(huán)境進(jìn)行合理布置���,將其設(shè)置為暗室�,注意采取適當(dāng)?shù)谋芄夥缐m措施�,室內(nèi)除了應(yīng)該設(shè)置獨(dú)立的18T的光纖通道存儲(chǔ)設(shè)備外����,也應(yīng)該引入數(shù)據(jù)核心交換機(jī)、高性能刀片服務(wù)器等設(shè)備[3]��。同時(shí)�,針對(duì)醫(yī)院的具體情況可以有選擇性的配置除濕器和恒溫機(jī),保證醫(yī)院數(shù)據(jù)庫(kù)室整體環(huán)境保持在恒定溫度和濕度范圍內(nèi)�,并堅(jiān)持遠(yuǎn)離磁場(chǎng)���,避免數(shù)據(jù)庫(kù)?子檔案信息受到電子干擾。同時(shí)����,由于電子檔案信息數(shù)據(jù)庫(kù)的穩(wěn)定運(yùn)行需要電源的支持,因此在環(huán)境建設(shè)工作中也注意電源保護(hù)問(wèn)題��,設(shè)置獨(dú)立的電源�����,即使遇到突發(fā)停電的情況也能夠保證數(shù)據(jù)庫(kù)室在一段時(shí)間內(nèi)的穩(wěn)定運(yùn)行�����,進(jìn)而為管理者手動(dòng)保存資料�����、關(guān)閉數(shù)據(jù)庫(kù)提供充足的時(shí)間��,有效規(guī)避突然斷電對(duì)檔案數(shù)據(jù)信息產(chǎn)生不良影響��。這樣借助良好數(shù)據(jù)庫(kù)外部環(huán)境的建設(shè),醫(yī)院電子檔案信息安全管理就能夠獲得良好的設(shè)備支持��,提升管理效果��。
2.2 提升網(wǎng)絡(luò)信息技術(shù)安全保障工作質(zhì)量
網(wǎng)絡(luò)信息技術(shù)安全保障工作在醫(yī)院電子檔案信息安全管理工作中發(fā)揮著重要的作用���,能夠促進(jìn)醫(yī)院電子檔案信息安全管理工作的順利推進(jìn)�,促進(jìn)管理水平的進(jìn)一步提升�。所以醫(yī)院檔案管理部門(mén)在開(kāi)展檔案管理工作的過(guò)程中必須保持對(duì)網(wǎng)絡(luò)信息技術(shù)安全保障工作的高度重視,從多角度探索安全保障措施��。首先����,應(yīng)高度重視備份工作,確保即使電子檔案信息受到外部力量的沖擊仍然能夠進(jìn)行及時(shí)的恢復(fù)�����,維護(hù)電子檔案的安全����。在開(kāi)展備份保障工作的過(guò)程中���,醫(yī)院應(yīng)該按照不同的類別實(shí)施電子檔案信息的本地備份和異地備份����、在線備份和離線備份、增量備份和差分備份等���,保證備份的全面性和有效性�����,為電子檔案信息安全工作的良好開(kāi)展創(chuàng)造條件[4]�。其次�,電子檔案信息加密保障工作,借助加密保護(hù)���,有效防止病毒和黑客的入侵����,并避免電子檔案信息被不合理的修改泄密等�,切實(shí)維護(hù)醫(yī)院電子檔案信息安全。一般情況下�����,醫(yī)院電子檔案管理部門(mén)在實(shí)施加密保障的過(guò)程中可以引入軟硬件結(jié)合的加密措施,保證只有借助專門(mén)的軟件才能夠讀取檔案信息����,維護(hù)電子檔案數(shù)據(jù)安全。最后�,設(shè)置高級(jí)別的防火墻,對(duì)檔案資源使用者進(jìn)行合理的限制���,對(duì)于醫(yī)院電子檔案資源中非機(jī)密性的信息可以供個(gè)人或者相關(guān)組織使用���,而對(duì)于機(jī)密性檔案則應(yīng)按照嚴(yán)格的借閱流程才能夠使用檔案資源。這樣不僅能夠?qū)崿F(xiàn)對(duì)醫(yī)院電子檔案信息安全的合理維護(hù)�����,還能借助對(duì)檔案機(jī)密性等級(jí)的劃分�����,增強(qiáng)電子檔案信息的有效利用率�����,為患者和社會(huì)相關(guān)組織提供相應(yīng)的檔案信息服務(wù)�����。
2.3 逐步完善檔案規(guī)章管理制度�����,提升管理人員的綜合素質(zhì)
在醫(yī)院電子檔案信息安全管理工作中�����,檔案規(guī)章管理制度的建設(shè)是維護(hù)檔案管理信息安全的重要保障��,而高素質(zhì)人才則能為電子檔案信息安全管理提供相應(yīng)的人才保障�����,所以在加強(qiáng)電子檔案信息安全管理的過(guò)程中也應(yīng)該重視制度建設(shè)和人才隊(duì)伍建設(shè)[5]�。首先,應(yīng)該結(jié)合醫(yī)院電子檔案信息安全管理的實(shí)際需求逐步構(gòu)建相對(duì)完善的規(guī)章制度�,加強(qiáng)對(duì)檔案管理工作的規(guī)范,保證電子檔案信息的全面性��、完整性和安全性����。其次��,應(yīng)注意組織檔案管理人員參與相應(yīng)的在職培訓(xùn)活動(dòng)�,促進(jìn)管理人員綜合管理素質(zhì)的提升���,保證管理人員能夠結(jié)合醫(yī)院電子檔案信息安全工作的實(shí)際需求開(kāi)展各項(xiàng)管理工作�����,提升安全管理工作質(zhì)量���。這樣,醫(yī)院電子檔案信息安全管理工作就能夠在新時(shí)期實(shí)現(xiàn)新發(fā)展�����,促進(jìn)醫(yī)院電子檔案信息資源的合理利用��。
篇3
關(guān)鍵詞:醫(yī)院 信息系統(tǒng) 安全
中圖分類號(hào):R197.3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1003-9082 (2017) 04-0222-01
在醫(yī)院信息系統(tǒng)建設(shè)中�����,信息安全為一種重要組成部分��。醫(yī)院信息系統(tǒng)的安全性主要涉及備份方案的可靠性�、網(wǎng)絡(luò)安全����、計(jì)算機(jī)病毒防治等�����。信息系統(tǒng)一旦出現(xiàn)安全問(wèn)題�,會(huì)對(duì)醫(yī)院工作效率�����、工作質(zhì)量產(chǎn)生嚴(yán)重影響��。因此�,加強(qiáng)對(duì)醫(yī)院信息系統(tǒng)安全實(shí)施科學(xué)管理,對(duì)醫(yī)療機(jī)構(gòu)相關(guān)醫(yī)療服務(wù)工作開(kāi)展效率及質(zhì)量的保證及提高均具有重要價(jià)值[1]���。本文主要以新形勢(shì)下醫(yī)院在信息安全方面所面臨的挑戰(zhàn)作為切入點(diǎn)����,對(duì)醫(yī)院信息安全有效防治措施進(jìn)行深入研究��,旨在為醫(yī)院信息系統(tǒng)安全性提供更多保障�����。
一、新形勢(shì)下醫(yī)院信息系統(tǒng)安全面臨挑戰(zhàn)
1.信息安全管理策略�、責(zé)任缺乏明確性
目前,多數(shù)醫(yī)院在實(shí)施信息安全管理過(guò)程中����,未能制定符合醫(yī)院實(shí)際情況的安全管理措施、規(guī)劃����,或未能及時(shí)對(duì)管理策略進(jìn)行修改。同時(shí)�,醫(yī)院領(lǐng)導(dǎo)對(duì)信息安全管理重視程度不夠,未能及時(shí)發(fā)現(xiàn)存在的安全隱患�����,未能實(shí)施預(yù)見(jiàn)性��、針對(duì)性風(fēng)險(xiǎn)評(píng)估和防范����。這導(dǎo)致醫(yī)院信息安全管理缺乏有效、科學(xué)的防治措施,管理責(zé)任含糊不清�,安全防控效果差。
2.系統(tǒng)數(shù)據(jù)存在安全隱患�,信息安全事件頻發(fā)
目前,多數(shù)醫(yī)院在實(shí)施網(wǎng)絡(luò)安全建設(shè)過(guò)程中所選用的安全產(chǎn)品還缺乏聯(lián)動(dòng)�����,部署存在不均衡性����,安全信息未能得到有效挖掘�,縱深安全防護(hù)未能形成,防護(hù)效果較低[2]����。同時(shí),隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展速度的不斷加快�,計(jì)算機(jī)系統(tǒng)漏洞、病毒泛濫等網(wǎng)絡(luò)安全問(wèn)題頻發(fā)���。醫(yī)院網(wǎng)絡(luò)因未能形成有效的安全防護(hù)�,用戶終端未能及時(shí)實(shí)施系統(tǒng)升級(jí)���、漏洞修補(bǔ)�����、病毒查殺等��,這均為網(wǎng)絡(luò)信息系統(tǒng)安全埋下隱患�����,對(duì)醫(yī)院信息安全造成巨大威脅���。保證用戶端的安全����,通過(guò)用戶端對(duì)威脅入侵網(wǎng)絡(luò)進(jìn)行阻止�,對(duì)訪問(wèn)網(wǎng)絡(luò)實(shí)施嚴(yán)格控制,為保證醫(yī)院網(wǎng)絡(luò)安全和信息安全的重要前提�����,同時(shí)也是醫(yī)院目前信息系統(tǒng)安全管理中必須要解決的一個(gè)重要問(wèn)題���。
二�����、應(yīng)對(duì)信息安全挑戰(zhàn)措施
1.加強(qiáng)制度����、隊(duì)伍等建設(shè)及完善,提升安全管理水平
首先����,醫(yī)院須積極建設(shè)安全機(jī)構(gòu),將信息系統(tǒng)安全管理責(zé)任進(jìn)行明確劃分�����。同時(shí)設(shè)立專門(mén)信息安全領(lǐng)導(dǎo)小組����,并將小組中各個(gè)成員的安全管理職責(zé)和責(zé)任明確��,并嚴(yán)格把控相關(guān)責(zé)任人管理責(zé)任的落實(shí)情況�。領(lǐng)導(dǎo)小組須不定期組織開(kāi)展信息系統(tǒng)安全檢查,并實(shí)施安全事件處理應(yīng)急演練�。其次,加強(qiáng)管理隊(duì)伍建設(shè)�,提升管理人員的安全防范意識(shí)。醫(yī)院應(yīng)積極建設(shè)一支高專業(yè)素質(zhì)和能力的安全管理隊(duì)伍,為信息系統(tǒng)能夠正常運(yùn)行提供有效保障�。醫(yī)院可通過(guò)院內(nèi)培訓(xùn)�、院外引進(jìn)等方式�,加強(qiáng)對(duì)管理人員實(shí)施信息安全教育和培訓(xùn)�����,促進(jìn)其安全防范意識(shí)以及應(yīng)急處理能力得到有效提高。再次����,積極建設(shè)并不斷完善安全制度,對(duì)安全管理策略進(jìn)行不斷改進(jìn)和優(yōu)化�����。醫(yī)院須建立一套包含網(wǎng)絡(luò)�、應(yīng)用、運(yùn)行��、信息安全等諸多個(gè)方面的����,具有可行性和可行性的規(guī)章制度。同時(shí)����,醫(yī)院以自身信息系統(tǒng)實(shí)際情況作為根據(jù)�,對(duì)信息安全管理的等級(jí)����、范圍進(jìn)行明確,制訂出切實(shí)可行的出入機(jī)房管理制度�����、網(wǎng)絡(luò)操作使用規(guī)程��、網(wǎng)絡(luò)系統(tǒng)應(yīng)急措施及維護(hù)制度等���,積極建立起適合自身實(shí)際情況的信息安全管理策略�����,提高管理有效性,保證醫(yī)院信息系統(tǒng)運(yùn)行的安全性��。
2.制定規(guī)范性信息安全管理流程
首先����,對(duì)信息系統(tǒng)登錄密碼實(shí)施規(guī)范化管理��。單位中所使用的密碼須通過(guò)“暗文”的方式進(jìn)行保存���,同時(shí)配上相應(yīng)的修改密碼記錄,定期實(shí)施密碼修改��。其次�,對(duì)系統(tǒng)使用權(quán)限進(jìn)行規(guī)范管理。業(yè)務(wù)軟件需要將原有用戶取消或增加新用戶時(shí)���,必須要嚴(yán)格按照要求認(rèn)真填寫(xiě)情況說(shuō)明表���,經(jīng)所在科室負(fù)責(zé)人簽字,之后信息科才能實(shí)施用戶撤銷或新用戶添加操作����,同時(shí)向新用戶分配相應(yīng)的操作權(quán)限[3]。同時(shí)��,當(dāng)員工需實(shí)施統(tǒng)計(jì)���、其他操作權(quán)限變更時(shí)����,須按照要求填寫(xiě)好說(shuō)明表,交由科室負(fù)責(zé)人簽字��,然后交由相關(guān)行政科室進(jìn)行審批���,獲得同意后信息科才能進(jìn)行修改��。再次���,對(duì)第三方訪問(wèn)進(jìn)行規(guī)范控制管理。將第三方訪問(wèn)者須將計(jì)算機(jī)的IP地址綁定于MAC地址�����,然后才能訪問(wèn)單位內(nèi)部網(wǎng)絡(luò)����。第三方訪問(wèn)內(nèi)部網(wǎng)絡(luò)或出入信息科均須認(rèn)真填寫(xiě)登記表;應(yīng)要求第三方使用信息科計(jì)算機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)����,其不使用信息科電腦訪問(wèn)網(wǎng)絡(luò)時(shí)須填寫(xiě)申請(qǐng)表格�����,并有信息科負(fù)責(zé)人簽字,由相關(guān)科室進(jìn)行審批�����,同時(shí)之后才能訪問(wèn)�����。
3.運(yùn)用技術(shù)加強(qiáng)信息安全管理
首先�,積極強(qiáng)化冗余技術(shù)應(yīng)用。醫(yī)院的信息網(wǎng)絡(luò)運(yùn)行狀況直接關(guān)系整個(gè)醫(yī)院業(yè)務(wù)系統(tǒng)的運(yùn)行狀況��,網(wǎng)絡(luò)變化���、故障的出現(xiàn)均會(huì)導(dǎo)致醫(yī)院相關(guān)業(yè)務(wù)正常運(yùn)行遭受嚴(yán)重影響��,甚至可導(dǎo)致業(yè)務(wù)系統(tǒng)出現(xiàn)中斷��,因此���,在信息安全管理過(guò)程中必須保證網(wǎng)絡(luò)運(yùn)行的可靠性進(jìn)行充分考慮。冗余技術(shù)的運(yùn)用可有效保證網(wǎng)絡(luò)運(yùn)行的可靠性�。該種技術(shù)主要由處理器冗余、電源冗余����、模塊冗余等技術(shù)構(gòu)成�����。其次�,強(qiáng)化加密處理技術(shù)��。為了保證信息系統(tǒng)涉及相關(guān)數(shù)據(jù)的安全性����,必須建立可靠、安全的數(shù)據(jù)中心�,杜絕相關(guān)安全隱患,增加數(shù)據(jù)安全等�,保證患者信息及時(shí)交互得以實(shí)現(xiàn)。加強(qiáng)對(duì)信息實(shí)施加密處理��,選用先進(jìn)的驅(qū)動(dòng)級(jí)加密技術(shù)���、虛擬化技術(shù)等�,對(duì)重要信息及文件M行加密�。此外,還應(yīng)加強(qiáng)使用先進(jìn)入侵檢測(cè)技術(shù),保證被攻擊組件及時(shí)得到識(shí)別被隔離�,提高系統(tǒng)防御能力��,保證信息系統(tǒng)安全���。
三�����、結(jié)束語(yǔ)
醫(yī)院信息安全管理為一項(xiàng)具有復(fù)雜性�����、系統(tǒng)性的工程��,為了保證信息系統(tǒng)安全���、可靠性,醫(yī)院必須建立起一套健全��、有效的安全管理控制及防御體系�,積極應(yīng)用相關(guān)先進(jìn)技術(shù)實(shí)施安全防治工作。只有這樣才能正在保證醫(yī)院信息系統(tǒng)運(yùn)行的安全性����。
參考文獻(xiàn)
[1]開(kāi)拓.醫(yī)院網(wǎng)絡(luò)信息的不安全因素分析及防護(hù)措施分析[J].網(wǎng)絡(luò)空間安全�����,2016�����,16(Z1):609-610.
篇4
(1)物理安全防范較為重視��。從物理安全的五項(xiàng)指標(biāo)來(lái)看���,被調(diào)查的160家醫(yī)院都非常注重防盜、防水��、防雷�����、防塵��、防靜電及溫濕度控制等物理環(huán)境安全防范��,絕大部分醫(yī)院對(duì)物理訪問(wèn)控制與物理監(jiān)控(機(jī)房設(shè)備管理)也都很重視���,分別達(dá)到93%與85%�����,但僅有1/4的醫(yī)院注重設(shè)備檢測(cè)��,說(shuō)明中國(guó)絕大部分醫(yī)院設(shè)備或未做檢測(cè)即投入運(yùn)行�,或缺乏定期進(jìn)行安全評(píng)估����、安全加固等保護(hù),因而我國(guó)數(shù)字化醫(yī)院還存在著一定的物理設(shè)備安全風(fēng)險(xiǎn)���。
(2)系統(tǒng)安全威脅嚴(yán)重��。系統(tǒng)安全四項(xiàng)指標(biāo)中��,采用了訪問(wèn)控制及備份與恢復(fù)措施的醫(yī)院分別達(dá)到138家與147家�,但實(shí)地調(diào)查顯示非授權(quán)訪問(wèn)的情況還大量存在�。進(jìn)行系統(tǒng)日志審計(jì)的醫(yī)院不足50家,說(shuō)明我國(guó)醫(yī)院系統(tǒng)日志還基本流于形式���,缺乏深度安全審計(jì)�����,從而很難及時(shí)發(fā)現(xiàn)其中的安全隱患���。進(jìn)行系統(tǒng)開(kāi)發(fā)與維護(hù)的醫(yī)院也僅54家�,原因主要在于目前許多醫(yī)院由于受人員��、設(shè)備��、資金影響����,或本身重視不夠,導(dǎo)致其信息系統(tǒng)缺乏運(yùn)營(yíng)維護(hù)或維護(hù)不及時(shí)����,因此其安全性和可靠性多數(shù)處于較差狀態(tài)。
(3)網(wǎng)絡(luò)通信安全較為脆弱���。網(wǎng)絡(luò)通信安全五項(xiàng)指標(biāo)中�,網(wǎng)絡(luò)攻擊防護(hù)與業(yè)務(wù)文檔記錄方面�����,醫(yī)院相對(duì)比較重視,比例分別達(dá)到94%與84%��,但實(shí)地調(diào)查發(fā)現(xiàn)其網(wǎng)絡(luò)攻擊防護(hù)還處于低水平狀態(tài)�����。實(shí)行網(wǎng)絡(luò)隔離與訪問(wèn)控制的醫(yī)院僅占30%���,大多數(shù)醫(yī)院網(wǎng)絡(luò)訪問(wèn)隨意性大,醫(yī)院網(wǎng)絡(luò)可隨意互訪���,信息流通和共享暢通無(wú)阻��,這給醫(yī)院信息安全帶來(lái)極大的安全隱患��。實(shí)行入侵檢測(cè)的醫(yī)院不到30%�,說(shuō)明中國(guó)數(shù)字化醫(yī)院還處于被動(dòng)防御階段��,遠(yuǎn)未達(dá)到主動(dòng)防御水平�����,同時(shí)信息系統(tǒng)的縱深防護(hù)水平不高�����,由此導(dǎo)致數(shù)字化醫(yī)院以計(jì)算機(jī)病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生�。實(shí)行密鑰管理的醫(yī)院則僅13%,說(shuō)明醫(yī)院網(wǎng)絡(luò)密鑰其實(shí)幾乎還處于無(wú)人監(jiān)管狀態(tài)��。
(4)人員安全隱患重重��。人員安全四項(xiàng)指標(biāo)調(diào)查結(jié)果都不容樂(lè)觀�����,尤其是進(jìn)行第三方合作合同的控制和管理的醫(yī)院僅占10%����,說(shuō)明中國(guó)數(shù)字化醫(yī)院在人員安全管理方面還遠(yuǎn)未重視,由此導(dǎo)致醫(yī)院內(nèi)部存在大量網(wǎng)絡(luò)操作違規(guī)現(xiàn)象��。如����,網(wǎng)絡(luò)操作人員隨意將自己的登錄賬號(hào)轉(zhuǎn)借他人,隨意將一些存儲(chǔ)介質(zhì)接入信息系統(tǒng)����,未經(jīng)授權(quán)同時(shí)訪問(wèn)外網(wǎng)與內(nèi)網(wǎng)��,一些人員為了謀取個(gè)人私利����,非法訪問(wèn)內(nèi)部網(wǎng)絡(luò)�����,竊取��、偽造�����、篡改醫(yī)療數(shù)據(jù)等��,這使得中國(guó)數(shù)字化醫(yī)院信息安全事故頻頻發(fā)生��。
(5)組織管理安全有待加強(qiáng)��。組織管理安全四項(xiàng)指標(biāo)中�����,160家醫(yī)院都設(shè)置了安全管理組織機(jī)構(gòu)����,說(shuō)明所有醫(yī)院都很重視信息安全管理工作,但安全管理制度完整的醫(yī)院僅114家���,且多數(shù)在應(yīng)急管理制度制定方面較為欠缺���,而安全管理制度實(shí)施情況調(diào)查顯示,只有40%的醫(yī)院安全管理制度得到實(shí)施����,這意味著60%的醫(yī)院的安全管理制度形同虛設(shè)。在人力財(cái)力保障方面給予充分保障的醫(yī)院不到50%��,由于缺乏人力財(cái)力的保障�,目前許多醫(yī)院信息安全系統(tǒng)建設(shè)難以為繼。綜上所述���,中國(guó)數(shù)字化醫(yī)院還存在著極大的信息安全隱患����。因此�����,數(shù)字化醫(yī)院信息安全建設(shè)已迫在眉睫。
2動(dòng)態(tài)網(wǎng)絡(luò)安全模型的比較分析
面對(duì)復(fù)雜多樣的信息安全風(fēng)險(xiǎn)以及日益嚴(yán)峻的信息安全局勢(shì)��,動(dòng)態(tài)網(wǎng)絡(luò)安全模型為中國(guó)數(shù)字化醫(yī)院信息安全建設(shè)提供了理論基礎(chǔ)�����。典型的動(dòng)態(tài)網(wǎng)絡(luò)安全模型有PPDR模型���、PDRR模型�、MPDRR模型和WPDRRC模型等���,這些安全模型各有特點(diǎn)�,各有側(cè)重�,已廣泛應(yīng)用于多個(gè)領(lǐng)域的信息安全建設(shè)實(shí)踐。環(huán)節(jié)���。它強(qiáng)調(diào)在安全策略的指導(dǎo)下,綜合采用防火墻�、VPN等安全技術(shù)進(jìn)行防護(hù)的同時(shí),利用入侵檢測(cè)系統(tǒng)等檢測(cè)工具���,發(fā)現(xiàn)系統(tǒng)的異常情況����,以及可能的攻擊行為,并通過(guò)關(guān)閉端口�、中斷連接、中斷服務(wù)等響應(yīng)措施將系統(tǒng)調(diào)整到一個(gè)比較安全的狀態(tài)�����。其中��,安全策略是核心���,防護(hù)��、檢測(cè)和響應(yīng)環(huán)節(jié)組成了一個(gè)完整���、動(dòng)態(tài)的安全循環(huán),它們共同保證網(wǎng)絡(luò)系統(tǒng)的信息安全����。(2)PDRR模型。PDRR模型是在PPDR模型基礎(chǔ)上增加恢復(fù)(Recovery)環(huán)節(jié)發(fā)展而來(lái)�,由防護(hù)(Protection)、檢測(cè)(Detection)、響應(yīng)(Re-sponse)和恢復(fù)(Recovery)四個(gè)環(huán)節(jié)組成(見(jiàn)圖2)�。其核心思想是在安全策略的指導(dǎo)下,通過(guò)采取各種措施對(duì)需要保護(hù)的對(duì)象進(jìn)行安全防護(hù)����,并隨時(shí)進(jìn)行安全跟蹤和檢測(cè)以了解其安全狀態(tài),一旦發(fā)現(xiàn)其安全受到攻擊或存在安全隱患����,則馬上采取響應(yīng)措施,直至恢復(fù)安全保護(hù)對(duì)象的安全狀態(tài)�����。與PPDR模型相比�,PDRR模型更強(qiáng)調(diào)一種故障的自動(dòng)恢復(fù)能力,即系統(tǒng)在被入侵后���,能迅速采取相應(yīng)措施將系統(tǒng)恢復(fù)到正常狀態(tài)�����,從而保障系統(tǒng)的信息安全��。因此,PDRR模型中的安全概念已經(jīng)從信息安全擴(kuò)展到了信息保障,信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密��,是防護(hù)��、檢測(cè)�����、響應(yīng)���、恢復(fù)的有機(jī)結(jié)合��。
3基于動(dòng)態(tài)網(wǎng)絡(luò)安全模型的中國(guó)數(shù)字化醫(yī)院信息安全體系構(gòu)建
結(jié)合動(dòng)態(tài)網(wǎng)絡(luò)安全模型����,并依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T22239—2008)��、《信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T25070—2010)等標(biāo)準(zhǔn)規(guī)范���,本文試構(gòu)建一個(gè)以信息安全組織機(jī)構(gòu)為核心�����,以信息安全策略�����、信息安全管理�、信息安全技術(shù)為維度的數(shù)字化醫(yī)院信息安全體系三維立體框架。即����,在進(jìn)行數(shù)字化醫(yī)院信息安全建設(shè)時(shí),我們應(yīng)成立一個(gè)信息安全組織機(jī)構(gòu)�����,并以此為中心��,通過(guò)制定信息安全總體策略��、加強(qiáng)信息安全管理�,利用各項(xiàng)信息安全技術(shù),并將其貫徹在預(yù)警���、保護(hù)���、檢測(cè)、響應(yīng)����、恢復(fù)和反擊6個(gè)環(huán)節(jié)中,針對(duì)不同的安全威脅��,采用不同的安全措施�����,從而對(duì)系統(tǒng)物理設(shè)備�、系統(tǒng)軟件、數(shù)據(jù)信息等受保護(hù)對(duì)象進(jìn)行全方位多層次保護(hù)�。
(1)信息安全組織機(jī)構(gòu)是數(shù)字化醫(yī)院信息安全體系構(gòu)成要素中最重要的因素,在信息安全體系中處于核心地位��。它由決策機(jī)構(gòu)�、管理機(jī)構(gòu)與執(zhí)行機(jī)構(gòu)三部分組成。其中���,決策機(jī)構(gòu)是醫(yī)院信息安全工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)�,負(fù)責(zé)對(duì)醫(yī)院信息安全工作進(jìn)行總體規(guī)劃與宏觀領(lǐng)導(dǎo)�,其成員由醫(yī)院主要領(lǐng)導(dǎo)及其他相關(guān)職能部門(mén)主要負(fù)責(zé)人組成。管理機(jī)構(gòu)在決策機(jī)構(gòu)的領(lǐng)導(dǎo)下����,負(fù)責(zé)信息安全體系建設(shè)規(guī)劃的制定�,以及信息安全的日常管理工作�,其成員主要來(lái)自于信息化工作部門(mén),也包括行政�、人事等部門(mén)相關(guān)人員參與。執(zhí)行機(jī)構(gòu)在管理機(jī)構(gòu)的領(lǐng)導(dǎo)下���,負(fù)責(zé)保證信息安全技術(shù)的有效運(yùn)行及日常維護(hù)���,其成員主要由信息化工作部門(mén)相關(guān)技術(shù)人員及其他相關(guān)職能部門(mén)的信息安全員組成。信息安全組織機(jī)構(gòu)應(yīng)對(duì)醫(yī)院信息安全工作進(jìn)行科學(xué)規(guī)劃��,經(jīng)常進(jìn)行不定期的信息安全檢查�����、評(píng)估和應(yīng)急安全演練�����。其中對(duì)那些嚴(yán)重危及醫(yī)院信息安全的行為應(yīng)進(jìn)行重點(diǎn)管理和監(jiān)督�����,明確信息安全責(zé)任制�,從而保證信息安全各項(xiàng)工作的有效貫徹與落實(shí)�����。
(2)信息安全策略是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的基礎(chǔ)�。其具體制定應(yīng)依據(jù)國(guó)家信息安全戰(zhàn)略的方針政策����、法律法規(guī)��,遵循指導(dǎo)性�、原則性、可行性����、動(dòng)態(tài)性等原則,按照醫(yī)療行業(yè)標(biāo)準(zhǔn)規(guī)范要求�,并結(jié)合醫(yī)院自身的具體情況來(lái)進(jìn)行,由總體方針與分項(xiàng)策略兩個(gè)層次組成�����,內(nèi)容涵蓋技術(shù)層��、管理層等各個(gè)層面的安全策略�����,最終實(shí)現(xiàn)“進(jìn)不來(lái)、拿不走��、看不懂����、改不了、逃不掉”的安全防御目的�����,即在訪問(wèn)控制機(jī)制方面做到“進(jìn)不來(lái)”��、授權(quán)機(jī)制方面做到“拿不走”��、加密機(jī)制方面做到“看不懂”�、數(shù)據(jù)完整性機(jī)制方面做到“改不了”、審計(jì)/監(jiān)控/簽名機(jī)制方面做到“逃不掉”���。
(3)信息安全管理是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的保障�。它包括人員管理�����、技術(shù)管理和操作管理等方面。當(dāng)前中國(guó)數(shù)字化醫(yī)院在信息安全管理中普遍存在的問(wèn)題:在安全管理中對(duì)人的因素重視不夠�����、缺乏懂得管理的信息安全技術(shù)人員���、信息安全意識(shí)不強(qiáng)���、員工接受的教育和培訓(xùn)不夠��、安全管理中被動(dòng)應(yīng)付的較多等�����。因此�,數(shù)字化醫(yī)院一方面應(yīng)加強(qiáng)全員信息安全意識(shí),加大信息安全人員的引進(jìn)����、教育與培訓(xùn)力度,提高信息安全管理水平;另一方面應(yīng)制定具體的信息安全管理制度�����,以規(guī)范與約束相關(guān)人員行為,保證信息安全總體策略的貫徹與信息安全技術(shù)的實(shí)施�。
(4)信息安全技術(shù)是數(shù)字化醫(yī)院信息安全得以實(shí)現(xiàn)的關(guān)鍵。數(shù)字化醫(yī)院信息安全建設(shè)涉及防火墻���、防病毒����、黑客追蹤����、日志分析、異地容災(zāi)���、數(shù)據(jù)加密��、安全加固和緊急響應(yīng)等技術(shù)手段����,它們貫穿于信息安全預(yù)警���、保護(hù)����、檢測(cè)、響應(yīng)����、恢復(fù)與反擊六個(gè)環(huán)節(jié)。數(shù)字化醫(yī)院應(yīng)切實(shí)加強(qiáng)這六個(gè)環(huán)節(jié)的技術(shù)力量��,確保其信息安全得以實(shí)現(xiàn)����,具體體現(xiàn)在:①預(yù)警。醫(yī)院應(yīng)通過(guò)部署系統(tǒng)監(jiān)控平臺(tái)��,實(shí)現(xiàn)對(duì)路由器�、交換機(jī)����、服務(wù)器、存儲(chǔ)��、加密機(jī)等系統(tǒng)硬件�、操作系統(tǒng)和數(shù)據(jù)庫(kù)等系統(tǒng)軟件以及各種應(yīng)用軟件的監(jiān)控和預(yù)警,實(shí)現(xiàn)設(shè)備和應(yīng)用監(jiān)控預(yù)警;或采用入侵防御系統(tǒng)��,分析各種安全報(bào)警、日志信息�,結(jié)合使用網(wǎng)絡(luò)運(yùn)維管理系統(tǒng),實(shí)現(xiàn)對(duì)各種安全威脅與安全事件的預(yù)警;并將這些不同層面的預(yù)警�,統(tǒng)一到一套集中的監(jiān)控預(yù)警平臺(tái)或運(yùn)維管理平臺(tái),實(shí)現(xiàn)統(tǒng)一展現(xiàn)和集中預(yù)警����。②保護(hù)。主要包括物理安全�����、系統(tǒng)安全與網(wǎng)絡(luò)通信安全等方面的安全保護(hù)���。對(duì)于中心機(jī)房�、交換機(jī)�、工作站、服務(wù)器等物理設(shè)備的安全防護(hù)�,主要注意防水、防雷��、防靜電以及雙機(jī)熱備等安全防護(hù)工作�����。系統(tǒng)安全主要包括操作系統(tǒng)與數(shù)據(jù)庫(kù)系統(tǒng)等的安全防護(hù)。操作系統(tǒng)的主要風(fēng)險(xiǎn)在于系統(tǒng)漏洞和文件病毒等���。為此���,醫(yī)院需運(yùn)用防火墻技術(shù)控制和管理用戶訪問(wèn)權(quán)限,并定期做好監(jiān)視���、審計(jì)和事件日志記錄和分析��。所有工作站應(yīng)取消光驅(qū)軟驅(qū)�����,屏蔽USB接口����,同時(shí)為各個(gè)客戶端安裝殺毒軟件�,并及時(shí)更新�,從源頭上預(yù)防系統(tǒng)感染病毒。數(shù)據(jù)庫(kù)安全涉及用戶安全��、數(shù)據(jù)保密與數(shù)據(jù)安全等����。為此�,需對(duì)數(shù)據(jù)庫(kù)進(jìn)行權(quán)限設(shè)置���。對(duì)于關(guān)鍵數(shù)據(jù)�,應(yīng)進(jìn)行加密存儲(chǔ)�����。對(duì)于重要數(shù)據(jù)庫(kù)應(yīng)做好多種形式的備份工作����,如本地備份與異地備份、全量備份與增量備份等�����,以保證數(shù)據(jù)萬(wàn)無(wú)一失��。對(duì)于網(wǎng)絡(luò)通信安全防護(hù)����,醫(yī)院網(wǎng)絡(luò)應(yīng)采用物理隔離的雙網(wǎng)架構(gòu),如果內(nèi)網(wǎng)確需開(kāi)展對(duì)外的WWW等服務(wù)����,應(yīng)單獨(dú)設(shè)置VLAN��,結(jié)合防火墻設(shè)備�,通過(guò)設(shè)置DMZ的方式實(shí)現(xiàn)與外界的安全相連�����。同時(shí)��,醫(yī)院應(yīng)合理的設(shè)置網(wǎng)絡(luò)使用權(quán)限�,嚴(yán)格進(jìn)行用戶網(wǎng)絡(luò)密碼管理,防止越權(quán)操作���。③檢測(cè)����。檢測(cè)是從監(jiān)視��、分析�、審計(jì)信息網(wǎng)絡(luò)活動(dòng)的角度,發(fā)現(xiàn)對(duì)于信息網(wǎng)絡(luò)的攻擊�����、破壞活動(dòng)���,提供預(yù)警�、實(shí)時(shí)響應(yīng)���、事后分析和系統(tǒng)恢復(fù)等方面的支持����,使安全防護(hù)從單純的被動(dòng)防護(hù)演進(jìn)到積極的主動(dòng)防御�����。前述防護(hù)系統(tǒng)能阻止大部分入侵事件的發(fā)生��,但是它不能阻止所有的入侵����。因此安全策略的另一個(gè)重要屏障就是檢測(cè)。常用工具是入侵檢測(cè)系統(tǒng)(IDS)和漏洞掃描工具�。利用入侵檢測(cè)系統(tǒng)(IDS)對(duì)醫(yī)院系統(tǒng)信息安全狀況進(jìn)行實(shí)時(shí)監(jiān)控,并定期查看入侵檢測(cè)系統(tǒng)生成的報(bào)警日志���,可及時(shí)發(fā)現(xiàn)信息系統(tǒng)是否受到安全攻擊���。而通過(guò)漏洞掃描工具�,可及時(shí)檢測(cè)信息系統(tǒng)中關(guān)鍵設(shè)備是否存在各種安全漏洞���,并針對(duì)漏洞掃描結(jié)果�����,對(duì)重要信息系統(tǒng)及時(shí)進(jìn)行安全加固��。④響應(yīng)����。主要包括審計(jì)跟蹤�����、事件報(bào)警�、事件處理等。醫(yī)院應(yīng)在信息系統(tǒng)中部署安全監(jiān)控與審計(jì)設(shè)備以及帶有自動(dòng)響應(yīng)機(jī)制的安全技術(shù)或設(shè)備��,當(dāng)系統(tǒng)受到安全攻擊時(shí)能及時(shí)發(fā)出安全事故告警�����,并自動(dòng)終止信息系統(tǒng)中發(fā)生的安全事件。為了確保醫(yī)院正常的醫(yī)療服務(wù)和就醫(yī)秩序��,提高醫(yī)院應(yīng)對(duì)突發(fā)事件的能力����,醫(yī)院還應(yīng)成立信息安全應(yīng)急響應(yīng)小組����,專門(mén)負(fù)責(zé)突發(fā)事件的處理,當(dāng)醫(yī)院信息系統(tǒng)出現(xiàn)故障時(shí)�,能迅速做出響應(yīng),從而將各種損失和社會(huì)影響降到最低�。其他事件處理則可通過(guò)咨詢、培訓(xùn)和技術(shù)支持等得到妥善解決�����。⑤恢復(fù)�。主要包括系統(tǒng)恢復(fù)和信息恢復(fù)兩個(gè)方面。系統(tǒng)恢復(fù)可通過(guò)系統(tǒng)重裝�、系統(tǒng)升級(jí)、軟件升級(jí)和打補(bǔ)丁等方式得以實(shí)現(xiàn)���。信息恢復(fù)主要針對(duì)丟失數(shù)據(jù)的恢復(fù)����。數(shù)據(jù)丟失可能來(lái)自于硬件故障、應(yīng)用程序或數(shù)據(jù)庫(kù)損壞�、黑客攻擊、病毒感染����、自然災(zāi)害或人為錯(cuò)誤。信息恢復(fù)跟數(shù)據(jù)備份工作密切相關(guān)��,數(shù)據(jù)備份做得是否充分影響到信息恢復(fù)的程度����。在信息恢復(fù)過(guò)程中要注意信息恢復(fù)的優(yōu)先級(jí)別。直接影響日常生活和工作的信息必須先恢復(fù)��,這樣可提高信息恢復(fù)的效率�����。另外���,恢復(fù)工作中如果涉及機(jī)密數(shù)據(jù)��,需遵照機(jī)密系統(tǒng)的恢復(fù)要求�����。⑥反擊�����。醫(yī)院可采用入侵防御技術(shù)����、黑客追蹤技術(shù)��、日志自動(dòng)備份技術(shù)��、安全審計(jì)技術(shù)����、計(jì)算機(jī)在線調(diào)查取證分析系統(tǒng)和網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)等手段,進(jìn)行證據(jù)收集�、追本溯源,實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)遭遇不法侵害時(shí)對(duì)各種安全威脅源的反擊����。
4結(jié)束語(yǔ)
篇5
關(guān)鍵詞:醫(yī)院;信息技術(shù);安全管理
中圖分類號(hào):R19 文獻(xiàn)標(biāo)識(shí)碼:A
隨著21世紀(jì)的到來(lái)��, 我國(guó)整體信息化水平的提高以及醫(yī)院規(guī)模的擴(kuò)大���、現(xiàn)代設(shè)備的增加以及門(mén)診量的提升�����,通過(guò)信息化手段提升醫(yī)院整體管理水平�,提高醫(yī)院內(nèi)部診療信息的共享率��,全面增強(qiáng)醫(yī)院服務(wù)患者水平成為現(xiàn)代醫(yī)院新的經(jīng)營(yíng)理念和必然的發(fā)展趨勢(shì)���。本文將從技術(shù)和管理兩方面介紹保障信息安全的主要方法���,并結(jié)合醫(yī)院的特點(diǎn)說(shuō)明怎樣的醫(yī)院信息系統(tǒng)才是一個(gè)安全的系統(tǒng)。
1 醫(yī)院信息化建設(shè)的安全范疇
1.1局域網(wǎng)絡(luò)
就醫(yī)院局域網(wǎng)建設(shè)來(lái)說(shuō)�����,它應(yīng)緊密圍繞著醫(yī)院管理目標(biāo)����,體現(xiàn)醫(yī)院管理思想�����。它所面臨的安全威脅主要來(lái)自非法用戶利用私自連接上網(wǎng)的未經(jīng)授權(quán)的工作站或利用一臺(tái)合法工作站���, 通過(guò)竊聽(tīng)網(wǎng)上通信來(lái)竊取合法用戶的用戶標(biāo)識(shí)符(ID)和口令,冒充合法用戶登錄系統(tǒng)����,竊取或修改數(shù)據(jù)。保障信息安全就必須有效地對(duì)抗這些攻擊��。
(1)網(wǎng)絡(luò)的安全機(jī)制
醫(yī)院信息管理系統(tǒng)(HIS)已在我國(guó)大部分醫(yī)院?jiǎn)⒂?����,為防止未授?quán)用戶進(jìn)入系統(tǒng)或合法用戶訪問(wèn)它無(wú)權(quán)了解的信息���,在用戶登錄系統(tǒng)時(shí),對(duì)其訪問(wèn)資格進(jìn)行認(rèn)證�����,即身份認(rèn)證�。目前主要采用ID+ 口令方式����。用戶登錄時(shí)��,輸入ID和口令���。這種方式簡(jiǎn)單易行�,但I(xiàn)D 和口令容易泄露�,安全性差。最佳方案是采用智能IC卡技術(shù)���。用戶的個(gè)人信息存儲(chǔ)在IC 卡內(nèi)��, IC卡使用多種安全技術(shù)確?���?▋?nèi)資料不會(huì)被復(fù)制和泄漏�。使用時(shí),將卡插入工作站的讀卡器進(jìn)行身份認(rèn)證����。由于費(fèi)用較高,當(dāng)前國(guó)內(nèi)醫(yī)院較少采用�。但它的安全性能突出�����, 而且一卡多用��, 是今后的發(fā)展方向�。
(2)網(wǎng)絡(luò)通信數(shù)據(jù)的保密
在網(wǎng)絡(luò)分層通信中��,保密通信安排的層次越高�,則傳送密文的安全路徑越長(zhǎng),信息傳輸?shù)陌踩韵鄬?duì)也越高����,但相應(yīng)的開(kāi)銷和延時(shí)也可能較大,所以網(wǎng)絡(luò)中具體安排哪一層次進(jìn)行加密和解密��,仍需根據(jù)網(wǎng)絡(luò)系統(tǒng)應(yīng)用類型��、范圍及環(huán)境等因素綜合考慮和規(guī)劃����。在這種結(jié)構(gòu)的網(wǎng)絡(luò)中��,數(shù)據(jù)以廣播的形式進(jìn)行發(fā)送��。當(dāng)一臺(tái)工作站與服務(wù)器通信時(shí),網(wǎng)上的其他任何一臺(tái)計(jì)算機(jī)都可以獲得傳輸數(shù)據(jù)的副本�����。為了保證有在線竊聽(tīng)情況下數(shù)據(jù)的保密性�,只有對(duì)數(shù)據(jù)加密。現(xiàn)階段國(guó)內(nèi)醫(yī)院信息系統(tǒng)���,基本選用軟件加密方式��。密碼運(yùn)算工作全部由工作站和服務(wù)器完成�����。如果網(wǎng)上數(shù)據(jù)全部加密傳輸���,運(yùn)算量極大。在通信頻繁的情況下����,會(huì)使整個(gè)系統(tǒng)的性能迅速下降。通過(guò)分析醫(yī)院的信息流動(dòng)情況和面臨的安全威脅���,可以看出:首先���,醫(yī)院并非高度保密單位����。日常工作中使用的信息�,多數(shù)保密等級(jí)并不高。其次�����,入侵者攻擊方式和目的明確���,主要是試圖經(jīng)網(wǎng)絡(luò)侵入系統(tǒng)�,通過(guò)非法修改����、竊取、破壞保存在數(shù)據(jù)庫(kù)中的相關(guān)數(shù)據(jù)�,從而獲取某種程度的利益。而不是單純通過(guò)在線竊聽(tīng)網(wǎng)上通信來(lái)獲得有用的信息�。因此��,將少量保密等級(jí)高的數(shù)據(jù)在網(wǎng)上加密傳輸��,而大部分普通數(shù)據(jù)則直接傳輸,可使系統(tǒng)的速度和安全性能均達(dá)到滿意的水平����。為防止在用戶登錄時(shí)其ID、口令等用戶安全信息被竊聽(tīng)�����,這類對(duì)系統(tǒng)安全至關(guān)重要的數(shù)據(jù)在網(wǎng)上傳輸時(shí)必須加密���。
1.2 系統(tǒng)和應(yīng)用軟件
包括操作系統(tǒng)�����、數(shù)據(jù)庫(kù)和管理信息系統(tǒng)�����。為能有效保障信息安全��,軟件系統(tǒng)應(yīng)具有以下技術(shù)特性:
(1)訪問(wèn)控制
系統(tǒng)應(yīng)能通過(guò)授權(quán)數(shù)據(jù)庫(kù)等安全機(jī)制對(duì)用戶進(jìn)行分級(jí)管理��,限定訪問(wèn)權(quán)限��。從而防止無(wú)權(quán)用戶對(duì)操作系統(tǒng)核心區(qū)域和重要文件的訪問(wèn)�����,避免系統(tǒng)被破壞和系統(tǒng)安全信息的泄漏��。對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)����,在任何情況下,都應(yīng)通過(guò)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行���。防止用戶繞過(guò)數(shù)據(jù)庫(kù)系統(tǒng)���, 直接存取庫(kù)中數(shù)據(jù)。醫(yī)院信息系統(tǒng)中的數(shù)據(jù)庫(kù)�����,其訪問(wèn)控制的粒度至少要達(dá)到/“紀(jì)錄”一級(jí)��。例如����,在病案管理中,對(duì)于病案庫(kù)中的每一條紀(jì)錄,只有其主管醫(yī)師擁有/“修改”權(quán)限�����。其他一些人員可以有/ “只讀”權(quán)限�����,有時(shí)還需要限定某些人員的查閱項(xiàng)目(訪問(wèn)控制的粒度需達(dá)到/“域”一級(jí))�。對(duì)于無(wú)權(quán)接觸病案的人員�,則禁止其訪問(wèn)。
(2)安全審計(jì)
一個(gè)安全的系統(tǒng)應(yīng)該知道系統(tǒng)中何時(shí)何處誰(shuí)在做什么����。這就要求系統(tǒng)能跟蹤運(yùn)行中發(fā)生的事件和出現(xiàn)的變化,將過(guò)程記錄在工作日志中����。以便供安全審計(jì)人員查閱,發(fā)現(xiàn)問(wèn)題并采取相應(yīng)的防范措施���。工作日志應(yīng)具有很高的安全等級(jí)����,并禁止修改。
(3)數(shù)據(jù)加密存儲(chǔ)
是利用數(shù)據(jù)加密技術(shù)將數(shù)據(jù)庫(kù)中的數(shù)據(jù)由明文變?yōu)槊艽a存儲(chǔ)�,使非法攻擊者即使得到數(shù)據(jù)也無(wú)法解讀和使用。多數(shù)系統(tǒng)采用在程序中設(shè)置固定的加密算法和密鑰的方式對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密���。這種加密方式容易實(shí)現(xiàn)����,使用簡(jiǎn)便�����,能夠提供一定的防護(hù)能力�����。在醫(yī)院信息系統(tǒng)中被廣泛采用��。缺點(diǎn)是���,由于始終使用同一個(gè)密鑰進(jìn)行加密���,安全性不高。如改用可變密鑰的方式���,將大大增加數(shù)據(jù)庫(kù)的安全性�����,但同時(shí)也會(huì)使數(shù)據(jù)庫(kù)管理工作變得復(fù)雜����。
(4)簽名和校驗(yàn)
簽名用來(lái)紀(jì)錄數(shù)據(jù)錄入者的身份���,明確責(zé)任�。校驗(yàn)用以檢驗(yàn)數(shù)據(jù)在存儲(chǔ)過(guò)程中是否被非法修改�����。在醫(yī)院信息系統(tǒng)中�����,一般以/“紀(jì)錄”或/“域”為單位進(jìn)行簽名���。例如����,在電子病案中各級(jí)醫(yī)師每日的查房紀(jì)錄和醫(yī)囑,都應(yīng)由各人分別簽名確認(rèn)�����。簽名往往與校驗(yàn)結(jié)合在一起��,利用操作者的個(gè)人密鑰�����,對(duì)被簽名數(shù)據(jù)進(jìn)行運(yùn)算����,生成消息驗(yàn)證碼(MAC)與被簽名數(shù)據(jù)一起存儲(chǔ),實(shí)現(xiàn)校驗(yàn)和簽名的雙重功能���。
2 醫(yī)院信息安全系統(tǒng)的管理
隨著計(jì)算技術(shù)的發(fā)展和普及�����,計(jì)算機(jī)技術(shù)被廣泛運(yùn)用于各個(gè)領(lǐng)域�,為醫(yī)院信息安全系統(tǒng)提供重要的技術(shù)支持����。計(jì)算機(jī)系統(tǒng)主要由硬件和軟件構(gòu)成����,但是系統(tǒng)的運(yùn)行卻離不開(kāi)其使用者�����。所以明確醫(yī)院信息安全管理目標(biāo)�����,加強(qiáng)人員的培訓(xùn)��,加強(qiáng)信息系統(tǒng)安全管理�,才能保證醫(yī)院安全信息系統(tǒng)的正常運(yùn)行����。
2.1 信息安全行政管理措施
(1)明確安全管理目標(biāo)及方法。每個(gè)醫(yī)院信息安全問(wèn)題都不同�,對(duì)信息安全系統(tǒng)的要求也不同,所以在進(jìn)行醫(yī)院信息安全系統(tǒng)管理的時(shí)候���,要依據(jù)醫(yī)院的實(shí)際情況及醫(yī)院的信息安全需求�,明確醫(yī)院信息安全系統(tǒng)的管理目標(biāo)�����,并制定相應(yīng)的安全管理措施,保障醫(yī)院信息安全��。(2)信息安全管理隊(duì)伍的建立�����。依據(jù)醫(yī)院實(shí)際情況����,建立相應(yīng)的安全管理隊(duì)伍,合理分配管理任務(wù)�,落實(shí)責(zé)任制度,保證安全管理工作的順利進(jìn)行�����。(3)信息安全制度的制定�。信息安全制度是規(guī)范信息安全管理工作,明確信息安全工作目標(biāo)�,落實(shí)信息安全職責(zé)的重要原則。信息安全制度主要包括工作規(guī)程�、安全原則及工作責(zé)任等。
2.2 信息安全管理工作內(nèi)容
(1)提高人員的安全意識(shí)�。采用職位轉(zhuǎn)換的方式�,避免工作人員長(zhǎng)期擔(dān)任信息安全管理工作����。確保每位工作人員具有獲取工作信息的權(quán)利,制定信息安全管理制度��,對(duì)每位工作人員獲取的信息進(jìn)行有效的管理和控制���,同時(shí)對(duì)每位工作人員進(jìn)行信息安全管理教育����,提高工作人員的信息安全意識(shí)�����。(2)加強(qiáng)信息系統(tǒng)設(shè)備維護(hù)和管理��。管理人員將信息系統(tǒng)所有的設(shè)備資料進(jìn)行詳細(xì)的記錄�����,記錄設(shè)備的型號(hào)���、名稱��、編號(hào)等等�����。安全管理人員可以依據(jù)設(shè)備檔案資料對(duì)設(shè)備進(jìn)行定期的檢查�����,檢查信息設(shè)備的運(yùn)行情況�����,及時(shí)更換新設(shè)備���,保證信息系統(tǒng)的正常運(yùn)行。(3)信息安全管理工作的審核�����。對(duì)信息安全管理工作進(jìn)行有效的審核�����,及時(shí)發(fā)現(xiàn)信息系統(tǒng)存在的安全問(wèn)題,并制定相應(yīng)的解決方法��,消除信息系統(tǒng)存在的安全隱患�����,保證醫(yī)院信息安全����。(4)信息系統(tǒng)病毒的安全防范。在信息系統(tǒng)病毒防范上����,通常采用殺毒軟件來(lái)起到預(yù)防、殺毒的作用��。而在信息系統(tǒng)安全管理中����,則通過(guò)安全防范措施來(lái)達(dá)到阻止病毒入侵���,保證信息系統(tǒng)安全的目的��。病毒防范措施主要有兩個(gè)方面����。第一,如果病毒是通過(guò)信息網(wǎng)絡(luò)入侵的���,醫(yī)院最好采用獨(dú)立的局域網(wǎng)�����,與公用的網(wǎng)絡(luò)進(jìn)行隔離����。同時(shí)可以在網(wǎng)絡(luò)接口處安裝殺毒軟件和防火墻�����,可以起到一定的防治作用���。第二�����,如果病毒是通過(guò)可移動(dòng)的存儲(chǔ)設(shè)備入侵的����,在信息安全系統(tǒng)運(yùn)行中最好禁止使用移動(dòng)存儲(chǔ)設(shè)備。對(duì)必須用到的存儲(chǔ)設(shè)備進(jìn)行有效的安全管理�,在信息系統(tǒng)中安裝殺毒軟,防治病毒對(duì)信息系統(tǒng)的破壞�。同時(shí)在技術(shù)允許的情況下,對(duì)系統(tǒng)設(shè)備進(jìn)行嚴(yán)格檢測(cè)����,保證移動(dòng)存儲(chǔ)設(shè)備內(nèi)沒(méi)有病毒。
結(jié)語(yǔ)
總之�,醫(yī)院信息管理對(duì)信息安全等級(jí)保護(hù)的實(shí)現(xiàn)有十分重要的意義和作用,為使采集的數(shù)據(jù)真實(shí)有效���,要制定了工作站入網(wǎng)操作規(guī)程����,以提高信息的準(zhǔn)確性�����。在實(shí)際工作中����,網(wǎng)絡(luò)管理人員只有不斷更新知識(shí)���、積累經(jīng)驗(yàn)�����,才能未雨綢繆�����,扼殺網(wǎng)絡(luò)癱瘓�����,把危害降到最低���,確保醫(yī)院網(wǎng)絡(luò)安全運(yùn)行�。
參考文獻(xiàn)
篇6
關(guān)鍵詞:醫(yī)院信息系統(tǒng)安全體系網(wǎng)絡(luò)安全數(shù)據(jù)安全
中國(guó)醫(yī)院信息化建設(shè)經(jīng)過(guò)20多年的發(fā)展歷程目前已經(jīng)進(jìn)入了一個(gè)高速發(fā)展時(shí)期��。據(jù)2007年衛(wèi)生部統(tǒng)計(jì)信息中心對(duì)全國(guó)3765所醫(yī)院(其中:三級(jí)以上663家:三級(jí)以下31O2家)進(jìn)行信息化現(xiàn)狀調(diào)查顯示�,超過(guò)80%的醫(yī)院建立了信息系統(tǒng)…。隨著信息網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大�,醫(yī)療和管理工作對(duì)信息系統(tǒng)的依賴性會(huì)越來(lái)越強(qiáng)。信息系統(tǒng)所承載的信息和服務(wù)安全性越發(fā)顯得重要��。
1���、醫(yī)院信息安全現(xiàn)狀分析
隨著我們對(duì)信息安全的認(rèn)識(shí)不斷深入�,目前醫(yī)院信息安全建設(shè)存在諸多問(wèn)題。
1.1信息安全策略不明確
醫(yī)院信息化工作的特殊性�,對(duì)醫(yī)院信息安全提出了很高的要求。醫(yī)院信息安全建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程�。有些醫(yī)院只注重各種網(wǎng)絡(luò)安全產(chǎn)品的采購(gòu)沒(méi)有制定信息安全的中、長(zhǎng)期規(guī)劃��,沒(méi)有根據(jù)自己的信息安全目標(biāo)制定符合醫(yī)院實(shí)際的安全管理策略�����,或者沒(méi)有根據(jù)網(wǎng)絡(luò)信息安全出現(xiàn)的一些新問(wèn)題�����,及時(shí)調(diào)整醫(yī)院的信息安全策略�。這些現(xiàn)象的出現(xiàn),使醫(yī)院信息安全產(chǎn)品不能得到合理的配置和適當(dāng)?shù)膬?yōu)化���,不能起到應(yīng)有的作用��。
1.2以計(jì)算機(jī)病毒�����、黑客攻擊等為代表的安全事件頻繁發(fā)生�����,危害日益嚴(yán)重
病毒泛濫����、系統(tǒng)漏洞�、黑客攻擊等諸多問(wèn)題,已經(jīng)直接影響到醫(yī)院的正常運(yùn)營(yíng)�����。目前�,多數(shù)網(wǎng)絡(luò)安全事件都是由脆弱的用戶終端和“失控”的網(wǎng)絡(luò)使用行為引起的。在醫(yī)院網(wǎng)中���,用戶終端不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)的現(xiàn)象普遍存在��;私設(shè)服務(wù)器����、私自訪問(wèn)外部網(wǎng)絡(luò)���、濫用政府禁用軟件等行為也比比皆是����。“失控”的用戶終端一旦接入網(wǎng)絡(luò)���,就等于給潛在的安全威脅敞開(kāi)了大門(mén)���,使安全威脅在更大范圍內(nèi)快速擴(kuò)散。保證用戶終端的安全��、阻止威脅入侵網(wǎng)絡(luò)��,對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效的控制��,是保證醫(yī)院網(wǎng)絡(luò)安全運(yùn)行的前提�,也是目前醫(yī)院網(wǎng)絡(luò)安全管理急需解決的問(wèn)題。
1.3安全孤島現(xiàn)象嚴(yán)重
目前��,在醫(yī)院網(wǎng)絡(luò)安全建設(shè)中網(wǎng)絡(luò)�����、應(yīng)用系統(tǒng)防護(hù)上雖然采取了防火墻等安全產(chǎn)品和硬件冗余等安全措施,但安全產(chǎn)品之間無(wú)法實(shí)現(xiàn)聯(lián)動(dòng)�,安全信息無(wú)法挖掘,安全防護(hù)效果低����,投資重復(fù),存在一定程度的安全孤島現(xiàn)象����。另外����,安全產(chǎn)品部署不均衡,各個(gè)系統(tǒng)部署了多個(gè)安全產(chǎn)品�,但在系統(tǒng)邊界存在安全空白,沒(méi)有形成縱深的安全防護(hù)���。
1.4信息安全意識(shí)不強(qiáng)�,安全制度不健全
從許多安全案例來(lái)看�����,很多醫(yī)院要么未制定安全管理制度�����,要么制定后卻得不到實(shí)施。醫(yī)院內(nèi)部員工計(jì)算機(jī)知識(shí)特別是信息安全知識(shí)和意識(shí)的缺乏是醫(yī)院信息化的一大隱患����。加強(qiáng)對(duì)員工安全知識(shí)的培訓(xùn)刻不容緩。
2�����、醫(yī)院信息安全防范措施
醫(yī)院信息安全的任務(wù)是多方面的���,根據(jù)當(dāng)前信息安全的現(xiàn)狀��,醫(yī)院信息安全應(yīng)該是安全策略�����、安全技術(shù)和安全管理的完美結(jié)合�。
2.1安全策略
醫(yī)院信息系統(tǒng)~旦投入運(yùn)行�����,其數(shù)據(jù)安全問(wèn)題就成為系統(tǒng)能否持續(xù)正常運(yùn)行的關(guān)鍵���。作為一個(gè)聯(lián)機(jī)事務(wù)系統(tǒng)���,一些大中型醫(yī)院要求每天二十四小時(shí)不問(wèn)斷運(yùn)行��,如門(mén)診掛號(hào)�、收費(fèi)��、檢驗(yàn)等系統(tǒng)���,不能有太長(zhǎng)時(shí)間的中斷,也絕對(duì)不允許數(shù)據(jù)丟失���,稍有不慎就會(huì)造成災(zāi)難性后果和巨大損失醫(yī)院信息系統(tǒng)在醫(yī)院各部門(mén)的應(yīng)用��,使得各類信息越來(lái)越集中���,構(gòu)成醫(yī)院的數(shù)據(jù)、信息中心�����,如何合理分配訪問(wèn)權(quán)限���,控制信息泄露以及惡意的破壞等信息的訪問(wèn)控制尤其重要:PACS系統(tǒng)的應(yīng)用以及電子病歷的應(yīng)用����,使得醫(yī)學(xué)數(shù)據(jù)量急劇膨脹,數(shù)據(jù)多樣化��,以及數(shù)據(jù)安全性���、實(shí)時(shí)性的要求越來(lái)越高����,要求醫(yī)院信息系統(tǒng)(HIS)必須具有高可用性��,完備可靠的數(shù)據(jù)存儲(chǔ)��、備份�。醫(yī)院要根據(jù)自身網(wǎng)絡(luò)的實(shí)際情況確定安全管理等級(jí)和安全管理范圍,制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度���,制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等�,建立適合自身的網(wǎng)絡(luò)安全管理策略����。網(wǎng)絡(luò)信息安全是一個(gè)整體的問(wèn)題�����,需要從管理與技術(shù)相結(jié)合的高度����,制定與時(shí)俱進(jìn)的整體管理策略���,并切實(shí)認(rèn)真地實(shí)施這些策略��,才能達(dá)到提高網(wǎng)絡(luò)信息系統(tǒng)安全性的目的����。
在網(wǎng)絡(luò)安全實(shí)施的策略及步驟上應(yīng)遵循輪回機(jī)制考慮以下五個(gè)方面的內(nèi)容:制定統(tǒng)一的安全策略���、購(gòu)買相應(yīng)的安全產(chǎn)品實(shí)施安全保護(hù)、監(jiān)控網(wǎng)絡(luò)安全狀況(遇攻擊時(shí)可采取安全措施)����、主動(dòng)測(cè)試網(wǎng)絡(luò)安全隱患、生成網(wǎng)絡(luò)安全總體報(bào)告并改善安全策略��。
2.2安全管理
從安全管理上����,建立和完善安全管理規(guī)范和機(jī)制��,切實(shí)加強(qiáng)和落實(shí)安全管理制度���,加強(qiáng)安全培訓(xùn),增強(qiáng)醫(yī)務(wù)人員的安全防范意識(shí)以及制定網(wǎng)絡(luò)安全應(yīng)急方案等�。
2.2.1安全機(jī)構(gòu)建設(shè)。設(shè)立專門(mén)的信息安全領(lǐng)導(dǎo)小組�����,明確主要領(lǐng)導(dǎo)�����、分管領(lǐng)導(dǎo)和信息科的相應(yīng)責(zé)任職責(zé)��,嚴(yán)格落實(shí)信息管理責(zé)任l���。領(lǐng)導(dǎo)小組應(yīng)不定期的組織信息安全檢查和應(yīng)急安全演練�����。
2.2.2安全隊(duì)伍建設(shè)���。通過(guò)引進(jìn)�、培訓(xùn)等渠道��,建設(shè)一支高水平��、穩(wěn)定的安全管理隊(duì)伍�����,是醫(yī)院信息系統(tǒng)能夠正常運(yùn)行的保證����。
2.2.3安全制度建設(shè)。建立一整套切實(shí)可行的安全制度�����,包括:物理安全���、系統(tǒng)與數(shù)據(jù)安全、網(wǎng)絡(luò)安全��、應(yīng)用安全��、運(yùn)行安全和信息安全等各方面的規(guī)章制度��,確保醫(yī)療工作有序進(jìn)行���。
2.2.4應(yīng)急預(yù)案的制定與應(yīng)急演練
依據(jù)醫(yī)院業(yè)務(wù)特點(diǎn)��,以病人的容忍時(shí)間為衡量指標(biāo)���,建立不同層面����、不同深度的應(yīng)急演練����。定期人為制造“故障點(diǎn)”,進(jìn)行在線的技術(shù)性的分段應(yīng)急演練和集中應(yīng)急演練�����。同時(shí)信息科定期召開(kāi)“系統(tǒng)安全分析會(huì)”��。從技術(shù)層面上通過(guò)數(shù)據(jù)挖掘等手段���,分析信息系統(tǒng)的歷史性能數(shù)據(jù)�,預(yù)測(cè)信息系統(tǒng)的運(yùn)轉(zhuǎn)趨勢(shì),提前優(yōu)化系統(tǒng)結(jié)構(gòu)����,從而降低信息系統(tǒng)出現(xiàn)故障的概率;另一方面�����,不斷總結(jié)信息系統(tǒng)既往故障和處理經(jīng)驗(yàn)�����,不斷調(diào)整技術(shù)安全策略和團(tuán)隊(duì)?wèi)?yīng)急處理能力�����,確保應(yīng)急流程的時(shí)效性和可用性�����。不斷人為制造“故障點(diǎn)”不僅是對(duì)技術(shù)架構(gòu)成熟度的考驗(yàn)��,而且還促進(jìn)全員熟悉應(yīng)急流程�����,提高應(yīng)急處理能力���,實(shí)現(xiàn)了技術(shù)和非技術(shù)的完美結(jié)合�。
2.3安全技術(shù)
從安全技術(shù)實(shí)施上��,要進(jìn)行全面的安全漏洞檢測(cè)和分析���,針對(duì)檢測(cè)和分析的結(jié)果制定防范措施和完整的解決方案��。
2.3.1冗余技術(shù)
醫(yī)院信息網(wǎng)絡(luò)由于運(yùn)行整個(gè)醫(yī)院的業(yè)務(wù)系統(tǒng)��,需要保證網(wǎng)絡(luò)的正常運(yùn)行�,不因網(wǎng)絡(luò)的故障或變化引起醫(yī)院業(yè)務(wù)的瞬間質(zhì)量惡化甚至內(nèi)部業(yè)務(wù)系統(tǒng)的中斷��。網(wǎng)絡(luò)作為數(shù)據(jù)處理及轉(zhuǎn)發(fā)中心��,應(yīng)充分考慮可靠性���。網(wǎng)絡(luò)的可靠性通過(guò)冗余技術(shù)實(shí)現(xiàn)�����,包括電源冗余����、處理器冗余、模塊冗余�����、設(shè)備冗余�、鏈路冗余等技術(shù)。
2.3.2建立安全的數(shù)據(jù)中心
醫(yī)療系統(tǒng)的數(shù)據(jù)類型豐富��,在不斷的對(duì)數(shù)據(jù)進(jìn)行讀取和存儲(chǔ)的同時(shí)�,也帶來(lái)了數(shù)據(jù)丟失,數(shù)據(jù)被非法調(diào)用��,數(shù)據(jù)遭惡意破壞等安全隱患����。為了保證系統(tǒng)數(shù)據(jù)的安全,建立安全可靠的數(shù)據(jù)中心���,能夠很有效的杜絕安全隱患��,加強(qiáng)醫(yī)療系統(tǒng)的數(shù)據(jù)安全等級(jí)���,保證各個(gè)醫(yī)療系統(tǒng)的健康運(yùn)轉(zhuǎn)���,確保病患的及時(shí)信息交互����。融合的醫(yī)療系統(tǒng)數(shù)據(jù)中心包括了數(shù)據(jù)交換、安全防護(hù)����、數(shù)據(jù)庫(kù)、存儲(chǔ)��、服務(wù)器集群����、災(zāi)難備份/恢復(fù),遠(yuǎn)程優(yōu)化等各個(gè)組件��。
2.3.3加強(qiáng)客戶機(jī)管理
醫(yī)院信息的特點(diǎn)是分散處理���、高度共享�,用戶涉及醫(yī)生�����、護(hù)士、醫(yī)技人員和行政管理人員���,因此需要制定一套統(tǒng)一且便于管理的客戶機(jī)管理方案�����。通過(guò)設(shè)定不同的訪問(wèn)權(quán)限�����,加強(qiáng)網(wǎng)絡(luò)訪問(wèn)控制的安全措施���,控制用戶對(duì)特定數(shù)據(jù)的訪問(wèn),使每個(gè)用戶在整個(gè)系統(tǒng)中具有唯一的帳號(hào)��,限定各用戶一定級(jí)別的訪問(wèn)權(quán)限���,如對(duì)系統(tǒng)盤(pán)符讀寫(xiě)���、光驅(qū)訪問(wèn)、usb口的訪問(wèn)��、更改注冊(cè)表和控制面板的限制等。同時(shí)捆綁客戶機(jī)的IP與MAC地址以防用戶隨意更改IP地址和隨意更換網(wǎng)絡(luò)插口等惡意行為�,檢查用戶終端是否安裝了信息安全部門(mén)規(guī)定的安全軟件、防病毒軟件以及漏洞補(bǔ)丁等����,從而阻止非法用戶和非法軟件入網(wǎng)以確保只有符合安全策略規(guī)定的終端才能連入醫(yī)療網(wǎng)絡(luò)。
2.3.4安裝安全監(jiān)控系統(tǒng)
安全監(jiān)控系統(tǒng)可充分利用醫(yī)院現(xiàn)有的網(wǎng)絡(luò)和安全投資���,隨時(shí)監(jiān)控和記錄各個(gè)終端以及網(wǎng)絡(luò)設(shè)備的運(yùn)行情況,識(shí)別����、隔離被攻擊的組件。與此同時(shí)���,它可以強(qiáng)化行為管理�,對(duì)各種網(wǎng)絡(luò)行為和操作進(jìn)行實(shí)施監(jiān)控����,保持醫(yī)院內(nèi)部安全策略的符合性。
2.3.5物理隔離
根據(jù)物理位置�、功能區(qū)域、業(yè)務(wù)應(yīng)用或者管理策略等劃分安全區(qū)域����,不同的區(qū)域之間進(jìn)行物理隔離���。封閉醫(yī)療網(wǎng)絡(luò)中所有對(duì)外的接口,防止黑客�、外部攻擊、避免病毒的侵入�����。
篇7
前言
隨著網(wǎng)絡(luò)時(shí)代的到來(lái)����,各項(xiàng)科技技術(shù)獲得了極大的突破,也在實(shí)際生活中得以應(yīng)用����。而在現(xiàn)代醫(yī)院運(yùn)行管理中,計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)的綜合運(yùn)用便是極為明顯的可靠實(shí)例���。通過(guò)加強(qiáng)改進(jìn)醫(yī)院計(jì)算機(jī)系統(tǒng)管理與風(fēng)險(xiǎn)控制���,改善醫(yī)療整體服務(wù)質(zhì)量與業(yè)務(wù)能力。通過(guò)對(duì)現(xiàn)代醫(yī)院計(jì)算機(jī)信息系統(tǒng)重要性分析闡述�����,并對(duì)其風(fēng)險(xiǎn)控制方法提出建議。
1 醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)建立的重要性
由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展�,已經(jīng)對(duì)現(xiàn)代社會(huì),生活��,政治����,經(jīng)濟(jì)等各方面產(chǎn)生深遠(yuǎn)影響,深入滲透����。尤其在醫(yī)院現(xiàn)代化管理中��,醫(yī)院信息網(wǎng)絡(luò)化管理�,資源數(shù)據(jù)化帶來(lái)了非常大的便利,也是現(xiàn)代化醫(yī)院建立的必要條件�。借助計(jì)算機(jī)網(wǎng)絡(luò)工具,提高服務(wù)質(zhì)量���,醫(yī)療水平���,促進(jìn)醫(yī)療事業(yè)的發(fā)展�����。通過(guò)信息網(wǎng)絡(luò)管理后���,使醫(yī)院運(yùn)營(yíng)得更加規(guī)范科學(xué)。不僅推動(dòng)了醫(yī)院現(xiàn)代化改革���,也對(duì)整個(gè)醫(yī)療事業(yè)的發(fā)展提供了助力���,其意義與作用不言而喻。
傳統(tǒng)的醫(yī)院管理中����,由于缺乏網(wǎng)絡(luò)信息,往往花費(fèi)大量的財(cái)力物力人力對(duì)進(jìn)行日常維護(hù)��。隨著醫(yī)院計(jì)算機(jī)信息系統(tǒng)的引入����,不斷地智能化科學(xué)化,在很大程度上對(duì)醫(yī)院的資源配置進(jìn)行合理優(yōu)化�,提高了整體的醫(yī)療競(jìng)爭(zhēng)力。而在信息分析處理中�,因?yàn)橛?jì)算機(jī)的決策整合���,使得最終處理結(jié)果更加合理精確。例如在對(duì)患者病情記錄分析中���,職員考察考核等等����,都可以高速便捷的展開(kāi)研究����。
2 計(jì)算機(jī)軟件信息安全維護(hù)
在醫(yī)院計(jì)算機(jī)使用過(guò)程中,要做到醫(yī)院計(jì)算機(jī)自身終端完全不受干擾破壞是不可能的�,只有通過(guò)提高免疫防御能力,才能減少被感染可能性��。但是由于有的高危病毒�,傳播速度驚人����,破壞力極大,并且頑固復(fù)雜���,難以徹底清除��,在短時(shí)間內(nèi)就能造成大量客戶計(jì)算機(jī)無(wú)法工作���,對(duì)醫(yī)院日常的工作帶來(lái)了極大的影響�����。應(yīng)用系統(tǒng)在數(shù)據(jù)交換過(guò)程中可以對(duì)其進(jìn)行審計(jì)���,其中記錄的事件內(nèi)容,可能包括客戶機(jī)地址�,具體操作時(shí)間,與其他用戶結(jié)果信息數(shù)據(jù)�����。在日常維護(hù)處理中��,就可以對(duì)報(bào)告結(jié)果導(dǎo)出分析�。對(duì)于用戶私人數(shù)據(jù),也應(yīng)該建立嚴(yán)格的保護(hù)機(jī)制��,安全性���,只有通過(guò)權(quán)限授予才能訪問(wèn)讀取相關(guān)的信息數(shù)據(jù)����。同時(shí)為了保證關(guān)聯(lián)性���,可以對(duì)用戶設(shè)置多個(gè)角色��。系統(tǒng)根據(jù)角色類別進(jìn)行權(quán)限操作限制,不僅可以越權(quán)操作����,還可以設(shè)置角色屬性限制期的功能����,權(quán)限的多樣化和靈活性大大保證了醫(yī)院計(jì)算機(jī)信息系統(tǒng)的安全性���。
3 計(jì)算機(jī)信息安全管理制度建立
在安全管理中,可以實(shí)施責(zé)任制度。例如成立醫(yī)院信息安全管理組�,醫(yī)院相關(guān)負(fù)責(zé)人�����,以職能為參考標(biāo)準(zhǔn)���,負(fù)責(zé)安全線的各項(xiàng)工作�����,定期安排任務(wù)與會(huì)議總結(jié),發(fā)現(xiàn)問(wèn)題���,總結(jié)問(wèn)題���,進(jìn)而深化部署醫(yī)院計(jì)算機(jī)信息安全管理工作���。在制度的建立中����,可以參考服務(wù)器��,網(wǎng)絡(luò)設(shè)備,技術(shù)人員���,數(shù)據(jù)文檔相關(guān)系列的安全管理制度體系�����。指定人員定期維護(hù)����,保存記錄,做好應(yīng)急預(yù)案與應(yīng)急措施����,做到日志化管理。
對(duì)于信息安全操作規(guī)范���,也需要加強(qiáng)管理�����。指定系統(tǒng)軟件�����,數(shù)據(jù)操作規(guī)范流程����,沒(méi)有授權(quán)不能進(jìn)行文件復(fù)制,數(shù)據(jù)共享�����,系統(tǒng)的修改增刪�。定期維護(hù)服務(wù)器狀態(tài)檢查,分析日志,并且觀測(cè)數(shù)據(jù)是否存在問(wèn)題���,及時(shí)發(fā)現(xiàn)異常點(diǎn)���,做好日志記錄�����,保證完整性與可靠性�����?���?梢灾贫ㄅ嘤?xùn)計(jì)劃����,在整個(gè)培訓(xùn)中,目標(biāo)�����,流程��,結(jié)果應(yīng)該清晰有效,如果信息安全管理小組發(fā)生變化可以及時(shí)跟進(jìn)培訓(xùn)配合����,建立獨(dú)立操作局域網(wǎng),模擬真實(shí)的信息系統(tǒng)環(huán)境�,幫助相關(guān)人員快速準(zhǔn)確掌握方法�。
4 信息系統(tǒng)安全管理控制升級(jí)
4.1 信息安全細(xì)節(jié)化設(shè)計(jì)
醫(yī)院網(wǎng)絡(luò)安全數(shù)字化是一個(gè)長(zhǎng)期整體的系統(tǒng)工程�,主要圍繞防護(hù)警示���,檢測(cè)檢查,修改恢復(fù)這一過(guò)程循環(huán)運(yùn)行�����。如果這一程序鏈中出現(xiàn)錯(cuò)誤��,某個(gè)環(huán)節(jié)沒(méi)有按照預(yù)定設(shè)置完成�����,將會(huì)產(chǎn)生諸多負(fù)面影響����。控制好每一個(gè)環(huán)節(jié)的處理�,并且嚴(yán)格落實(shí)���,通過(guò)一系列的管理制度與措施����,監(jiān)督責(zé)任到位,確保整個(gè)信息安全系統(tǒng)安全高效,持續(xù)穩(wěn)定的工作�����。由于網(wǎng)絡(luò)技術(shù)的不斷發(fā)展����,漏洞與不足暴露得越來(lái)越多����,對(duì)于新應(yīng)用新技術(shù)推廣的同時(shí),還需要加強(qiáng)培訓(xùn)�,以滿足業(yè)務(wù)工作需要。
就信息網(wǎng)絡(luò)系統(tǒng)自身而言�,采用符合實(shí)際操作情況與工作狀態(tài)的結(jié)構(gòu)系統(tǒng)�����,安全等級(jí)與維護(hù)難度都將能夠降低難度�,易于操作。構(gòu)建多層次,體系化的設(shè)計(jì)使用戶角色等級(jí),權(quán)限操作,優(yōu)先等級(jí)分布到更多層次�,更多日志記錄。那么后續(xù)維護(hù)�����,控制分配也將更加靈敏����。結(jié)合具體的業(yè)務(wù)情況,在可用性與安全性之間尋找平衡點(diǎn)�,在符合安全的大前提下,開(kāi)拓業(yè)務(wù)�����,提升服務(wù)質(zhì)量���。
4.2 醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)控制升級(jí)
在某些醫(yī)院中�����,計(jì)算機(jī)網(wǎng)絡(luò)防御等級(jí)較低���,需要通過(guò)加強(qiáng)安全性對(duì)整個(gè)系統(tǒng)進(jìn)行升級(jí)���。首先需要確保醫(yī)院計(jì)算機(jī)信息網(wǎng)絡(luò)服務(wù)器保持正常。要確定系統(tǒng)的長(zhǎng)期安全�����。注意機(jī)房服務(wù)供電情況�����,布線合理����,溫度濕度,雷電預(yù)防等問(wèn)題��。保證醫(yī)院服務(wù)器不間斷供電���,保持電源線路通暢��。同時(shí)主要設(shè)備與核心設(shè)備固定器維護(hù)與檢查����,及時(shí)發(fā)現(xiàn)問(wèn)題與前兆����,快速有效處理。保證計(jì)算機(jī)中心溫控與散熱條件良好����,使得整個(gè)服務(wù)器中心環(huán)境到達(dá)理想狀態(tài)。保持清潔����,除塵保潔,重視物理環(huán)境的維護(hù)�,并且確保數(shù)據(jù)的及時(shí)正確備份。
另外�����,對(duì)于醫(yī)院計(jì)算機(jī)信息主要管理人員的素質(zhì)�����,仍然需要加強(qiáng),明確權(quán)力責(zé)任�����,落實(shí)到點(diǎn)�����。這也關(guān)系到醫(yī)院信息安全工作能否安全運(yùn)行����。對(duì)于網(wǎng)絡(luò)用戶也應(yīng)該嚴(yán)格限制管理,分清患者�����、醫(yī)務(wù)職員��、管理人員的角色職能���。對(duì)用戶和密碼加強(qiáng)管理���,這樣可以有效的避免危險(xiǎn)數(shù)據(jù)與不明軟件對(duì)服務(wù)器的攻擊與傷害。
同時(shí)重視日常計(jì)算機(jī)系統(tǒng)相關(guān)記錄數(shù)據(jù)。在常規(guī)服務(wù)日志的檢測(cè)基礎(chǔ)上���,加以分析預(yù)判,進(jìn)而實(shí)施下一步相關(guān)措施��。例如服務(wù)器啟動(dòng)停止����,異常運(yùn)行數(shù)等等,都可以有助于信息系統(tǒng)管理者對(duì)醫(yī)院計(jì)算機(jī)信息系統(tǒng)的全面了解��,從而進(jìn)行評(píng)估�����,得出相關(guān)結(jié)論�。依托數(shù)據(jù)對(duì)系統(tǒng)的安全等級(jí)展開(kāi)定級(jí),制定有效制度措施防范解決問(wèn)題�����,確保整個(gè)信息系統(tǒng)的安全和高效�,達(dá)到風(fēng)險(xiǎn)管理控制的目的。
5 結(jié)束語(yǔ)
提高安全防范意識(shí)��,完善制度�����,對(duì)于醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理控制方法不僅僅需要從技術(shù)角度入手,自身也需要意識(shí)到它的重要性�。這不僅關(guān)系到醫(yī)院的整體協(xié)作與工作效率,還影響所有部門(mén)員工統(tǒng)一性���。需要全面了解當(dāng)前信息系統(tǒng)中的安全問(wèn)題�,并積極應(yīng)對(duì)����。因此在提高技術(shù)的同時(shí),依靠建立制度對(duì)員工進(jìn)行規(guī)范管理�,提高防范意識(shí),確保醫(yī)院計(jì)算機(jī)信息系統(tǒng)安全�����。
篇8
1 醫(yī)院檔案信息安全現(xiàn)狀
1.1 復(fù)雜性檔案種類
醫(yī)院工作過(guò)程當(dāng)中會(huì)收集多方面和多元化的信息及資料���,因此也就促成了醫(yī)院的檔案信息的復(fù)雜性問(wèn)題�。針對(duì)醫(yī)院的檔案信息進(jìn)行管理和儲(chǔ)存����,才能夠保證了解內(nèi)容豐富和復(fù)雜的檔案信息����,通過(guò)科學(xué)的管理方式將醫(yī)院方面的檔案進(jìn)行種類的劃分����,可以建立病歷�����、影像診斷��、科研教學(xué)��、人事管理�����、財(cái)務(wù)信息等等檔案文本內(nèi)容���。將以上科學(xué)劃分的檔案類型進(jìn)行不同形式的劃分�����,掌握紙質(zhì)��、電子和影像等諸多類型的檔案�,更加有助于降低未來(lái)醫(yī)院工作方面的負(fù)擔(dān)[1]。
1.2 多元化檔案媒介
多元化的檔案信息管理媒介能夠滿足當(dāng)下的醫(yī)療衛(wèi)生行業(yè)服務(wù)和管理工作的需求�����,但是同時(shí)也存在一定的問(wèn)題����,容易導(dǎo)致醫(yī)院檔案信息管理工作出現(xiàn)安全風(fēng)險(xiǎn)。從前醫(yī)院的檔案信息基本以紙質(zhì)為主�����,在保存和查找方面都存在很大的難度���,伴隨科學(xué)技術(shù)的不斷發(fā)展�����,信息技術(shù)支持的檔案信息管理模式更加適合繁忙的醫(yī)療工作體系�,但同時(shí)也存在一定的安全風(fēng)險(xiǎn)性�����。電子信息模式下的檔案管理方式具備攜帶便捷和成本低廉等眾多優(yōu)點(diǎn),但同時(shí)也存在風(fēng)險(xiǎn)問(wèn)題需要不斷的優(yōu)化處理[2]��。
1.3 網(wǎng)絡(luò)式檔案信息
網(wǎng)絡(luò)模式的檔案信息管理是非常有效的工作模式之一�,也是未來(lái)社會(huì)發(fā)展的主要趨勢(shì)。針對(duì)醫(yī)院檔案信息管理工作進(jìn)行研究和分析能夠發(fā)現(xiàn)���,電子信息化的檔案信息管理模式非常適合應(yīng)用于醫(yī)院的工作��,主要是源于電子信息系統(tǒng)具有龐大的信息收集和歸納、整理作用���,能夠?yàn)獒t(yī)療工作者提供更加高效的工作方式和方法���,是一種優(yōu)化的工作途徑,保證了醫(yī)院檔案信息管理工作的質(zhì)量和效率����,也是未來(lái)行業(yè)發(fā)展的趨勢(shì)[3]。
2 影響醫(yī)院檔案信息安全的因素
2.1 安全的檔案信息媒介
影響醫(yī)院檔案信息管理的安全性因素涉及到很多方面��,針對(duì)這些問(wèn)題進(jìn)行客觀的分析�,并針對(duì)存在的影響因素和問(wèn)題找到一個(gè)科學(xué)��、合理的解決途徑�,能夠保證未來(lái)醫(yī)院服務(wù)和管理工作的質(zhì)量�����。影響醫(yī)院檔案信息管理質(zhì)量的基本原因是受到檔案信息媒介安全性的影響�����,檔案信息的媒介安全性主要是指環(huán)境因素的影響���,例如火災(zāi)����、蟲(chóng)鼠災(zāi)害��、水災(zāi)等等����,都會(huì)影響檔案信息的保存和管理。一旦發(fā)生環(huán)境因素災(zāi)害�����,就會(huì)導(dǎo)致檔案信息出現(xiàn)部分和全部損失的情況,進(jìn)而造成醫(yī)院管理方面的阻礙問(wèn)題等等[4]����。
2.2 計(jì)算機(jī)病毒
影響醫(yī)院出現(xiàn)檔案信息管理安全威脅的問(wèn)題還涉及到計(jì)算機(jī)的病毒問(wèn)題,因?yàn)橛?jì)算機(jī)的工作模式會(huì)受到病毒的影響����,而且計(jì)算機(jī)的病毒影響非常嚴(yán)重。計(jì)算機(jī)的病毒存在傳播速度特別快的問(wèn)題�����,還存在智能化程度高的問(wèn)題�,因此,出現(xiàn)計(jì)算機(jī)病毒的問(wèn)題很難控制�,也會(huì)造成醫(yī)院的檔案信息安全出現(xiàn)風(fēng)險(xiǎn)��。最為影響醫(yī)院檔案信息安全管理工作的因素還源于計(jì)算機(jī)的病毒侵害殺傷力非常大�����,而且在不斷的技術(shù)升級(jí)過(guò)程中還會(huì)出現(xiàn)病毒侵害力逐漸增加的情況和問(wèn)題�。很多計(jì)算機(jī)的小型病毒可能會(huì)在工作的過(guò)程中不斷的出現(xiàn)作用力增強(qiáng)的情況,進(jìn)而導(dǎo)致醫(yī)院的檔案信息安全管理工作出現(xiàn)危機(jī)[5]��。
2.3 網(wǎng)絡(luò)入侵
影響醫(yī)院檔案信息管理的安全威脅因素還包含網(wǎng)絡(luò)入侵的問(wèn)題,關(guān)注網(wǎng)絡(luò)入侵才能夠認(rèn)識(shí)到醫(yī)院檔案管理工作過(guò)程中會(huì)出現(xiàn)的問(wèn)題���。醫(yī)院建立的網(wǎng)絡(luò)檔案管理模式體系當(dāng)中��,發(fā)現(xiàn)需要通過(guò)授權(quán)才能夠登錄�����,但是網(wǎng)絡(luò)的模式自然也存在容易侵犯的問(wèn)題�����。黑客可能通過(guò)口令的模式達(dá)成網(wǎng)絡(luò)的入侵��,實(shí)用軟件竊取相關(guān)文件檔案等����。另外還有特洛伊木馬的黑客形式通過(guò)軟件的植入造成計(jì)算機(jī)的遠(yuǎn)程干擾����,最終丟失醫(yī)院的檔案信息。除此之外����,還有監(jiān)聽(tīng)方法和社會(huì)工程學(xué)的諸多入侵方式���,更高的科學(xué)技術(shù)達(dá)成了多層面入侵的黑客模式,導(dǎo)致醫(yī)院的檔案信息管理出現(xiàn)風(fēng)險(xiǎn)問(wèn)題��。
2.4 缺失科學(xué)組織管理和先進(jìn)理念
可能影響醫(yī)院出現(xiàn)檔案信息管理的安全因素有很多��,缺失科學(xué)的組織管理和先進(jìn)理念就是影響醫(yī)院檔案和信息管理的安全性�����。由于當(dāng)下科學(xué)技術(shù)的不斷發(fā)展����,網(wǎng)絡(luò)信息技術(shù)已經(jīng)全面的覆蓋了人們的生活。醫(yī)院檔案管理的過(guò)程當(dāng)中也需要應(yīng)用到網(wǎng)絡(luò)信息的技術(shù)和平臺(tái)�����,由于網(wǎng)絡(luò)體系的安全權(quán)限設(shè)置存在不足���,就會(huì)出現(xiàn)安全管理方面的問(wèn)題。還有部分的醫(yī)院檔案管理從業(yè)人員對(duì)于檔案信息的保存存在認(rèn)知和理念層面的不足����,很容易在保存檔案信息方面出現(xiàn)缺失專業(yè)的隨意性����,導(dǎo)致醫(yī)院的檔案信息在網(wǎng)絡(luò)平臺(tái)上隨意被竊取�,嚴(yán)重妨礙了?t院的檔案信息管理[6]。
3 醫(yī)院檔案信息安全管理對(duì)策
3.1 實(shí)體安全檔案防護(hù)
重視醫(yī)院的檔案信息管理工作�����,需要從安全性角度進(jìn)行科學(xué)的考量��,保證實(shí)施切實(shí)有效的檔案管理信息�����,進(jìn)而構(gòu)建安全防護(hù)體系����,降低可能出現(xiàn)的信息管理問(wèn)題。關(guān)注醫(yī)院的檔案信息安全管理工作�����,不僅僅要重視日常的信息管理和維護(hù)工作���,還需要從檔案的存放位置及地點(diǎn)方面進(jìn)行管理���。醫(yī)院不僅僅保留電子信息文檔��,還應(yīng)當(dāng)保存文件的紙質(zhì)本�,以此為后續(xù)管理工作提供完整的信息和資料��。通常為保證紙質(zhì)文版檔案的安全保存��,需要避免儲(chǔ)存在潮濕的地下室位置����,還應(yīng)當(dāng)避免存在火災(zāi)安全隱患的位置。在日常的管理和儲(chǔ)存過(guò)程當(dāng)中��,需要保證通風(fēng)和除濕的管理�����,定時(shí)進(jìn)行驅(qū)蟲(chóng)和滅鼠操作[7]�。
3.2 計(jì)算機(jī)信息安全措施
關(guān)注到醫(yī)院檔案信息安全管理工作的重要性,應(yīng)當(dāng)采取積極的措施和對(duì)策����,才能夠滿足實(shí)際的工作質(zhì)量?jī)?yōu)化需求����,進(jìn)而提升醫(yī)療衛(wèi)生行業(yè)的工作品質(zhì)��。針對(duì)醫(yī)院的檔案信息進(jìn)行安全管理����,需要掌握良好的計(jì)算機(jī)信息安全措施�����,實(shí)施高科技的有效保護(hù)���,進(jìn)而提升醫(yī)院內(nèi)部的管理工作質(zhì)量�����。建立計(jì)算機(jī)模式的信息安全體系��,需要從防病毒和防入侵方面入手�,確保醫(yī)院計(jì)算機(jī)體系不受病毒侵害�����,同時(shí)為網(wǎng)絡(luò)系統(tǒng)建立防入侵體系。在日常管理工作過(guò)程當(dāng)中還需要進(jìn)行數(shù)據(jù)備份并且要求管理工作人員具備數(shù)據(jù)的恢復(fù)技術(shù)和能力��,在適當(dāng)?shù)那闆r下設(shè)計(jì)符合醫(yī)院工作需要的權(quán)限保護(hù)和管制��,進(jìn)而確保電子信息的安全性�����。
