医院信息安全体系篇1
摘要 医院的计算机信息系统作为医院不可或缺的信息安全保护系统,它的构建是保障医院的医疗信息在使用、传达输送以及储备的过程中保持通畅有序,而避免被外来故障或其他的导致泄露医院整个医疗系统的信息,保证医院整个系统的安全和完整。同时,医院的计算机信息系统可以有效保证各方面的资料信息的储存、调取和搜集的综合性行政管理的需求。
关键词 医院计算机信息系统;安全防护体系;网络信息安全;医疗系统。
我国的医疗事业始终是政府在狠抓并不断改革为民解忧“看病难”的一个重要民生最关注的机构体。医院的计算机信息系统的安全防范不仅需要通过改变传统的医疗信息系统,更是通过当下科技时代所掌控的计算机的网络环境,用计算机软硬件的配置,合理的构建医院的医疗系统资料,保证所有资料的安全、隐私及完整。因此,要逐步加强计算机信息系统安全防护在医疗系统的管理要求,为建立和谐良好的医疗系统安全体系做出相关的管理结构体系。
一、计算机信息系统的结构体系
(一)计算机信息系统的软件建设环境
医院的计算机信息系统的安全体系结构包括了互联网软件和硬件,自然环境以及软件建设。其中针对医院最基本的计算机信息系统的网络环境,是整个医疗系统防止受外界病毒的感染和侵害,有效保证医院所有信息的安全和完整。而这种互联网所形成的网络环境的有效运转,为医疗系统所建立的信息安全保障防护体系,包括需要建立两个最重要的保护平台,病毒防护软件和安全防御平台建设。
1.病毒防御软件。
为了切实保障医院计算机信息系统的安全,避免遭受互联网带来的病毒,是的医疗系统的信息能够切实得到保护和免受侵扰,需要一个安全性集中型的软件进行维护和防范,而病毒防御软件的构建,能保证医疗信息系统在运行过程中保障计算机的安全运行,防止恶意软件或病毒漏洞的感染,同时还能检查计算机本身的网络安全环境。
2.安全防御平台。
安全防御平台则是一个相对封闭传统的医院计算机信息系统的保护建设。它能严格控制进入网络或对网络进行掌控的风险存在,对移动介质比如U盘或硬盘的接入计算机系统所带来的病毒漏洞隐患,它能够有效保障网络远程控制和管理配置。可以有效提高整个医疗系统计算机信息系统的软件环境。
(二)计算机网络安全平台
网络信息平台的安全防护多而强大,而除了计算机从外部带来的病毒感染之外,还有最关键也最致命的安全隐患即是医疗计算机信息系统本身内部出现的风险,尤其是针对比较封闭的HIS而言。那么良好的连接网络的控制,高质量的网络连接配置,以及安全隔离措施。计算机运用者在计算机桌面使用时,需要及时发现系统的漏洞补丁,确保终端用户的行为受到控制,并同时做好预防各种突发故障的出现,以及正确有效的进行批量更改系统的相关设置。
二、医疗系统计算机信息系统安全的保障
(一)医疗事业相关人员的管理
为医疗系统建立起完善的计算机信息系统的互联网软件建设环境后,需要针对医疗事业从业人员的计算机运用和管理水平进行培训和提高,尤其是运用互联网时的安全防护意识。这就需要医疗系统每个部门提高计算机运用的安全意识,例如,严密管理好医疗系统的计算机用户密码,数据库和系统管理者不能同时共用密码,应各自使用自己的密码,确保信息资料的完整不被泄露。
(二)计算机信息资料的管理
计算机运用者需要对资料信息进行备份管理,以免数据丢失,并定期开展计算机信息系统故障和特殊障碍出现的应急演练,包括每天定时对信息系统进行更新维护,并查杀病毒,需要修复且及时进行漏洞补丁的安装,随时做好极端或不能预料的情况的应急处理,以此保证医疗计算机信息系统的安全,并有效保障医疗流程的有序、正常并安全的运转。
(三)医疗计算机信息系统的防火墙设置
在医疗系统中计算机的信息安全是直接关系医院正常运转并服务于人民的基础性建设保障。而防火墙这一安全防护体系,将直接屏蔽和隔离信息系统中不受外界任何不良信息和病毒的侵害和攻击,防火墙它的实用性、功能性和可靠性通过借助NGFW4000对互联网与HIS的隔绝,让医疗计算机系统各部门能够高效解决通过农村合作医疗或城市各种医保借口的安全连接,达到医疗事业的正常有序进行。
三、结束语
医院信息安全体系篇2
关键词:医疗卫生行业;信息安全;等级保护;管理制度
1引言
随着信息化、数字化、网络化的发展,大数据和换联网+也进入了医疗卫生行业,加快了医院信息化的发展。随着医院业务的发展,医院信息系统的应用也更加广泛,医院对其依赖性会越来越强,风险也随之会提高。但医疗服务的特殊性决定了医院信息系统需要24小时不间断运行,这就对医院的信息安全管理提出了更高要求。信息安全管理是指导和控制组织关于信息安全风险相互协调的活动,它是了解体系安全状态、实现信息安全目标的重要关口,主要包括信息安全风险评估、风险管理和技术措施的控制。如何更好地进行信息安全管理成为一个不可忽视的问题,因此,在医院信息化建设的同时加强信息安全管理建设是解决医院信息安全问题的必然选择。
2我国卫生行业信息安全管理政策
2010年原卫生部制定的《卫生信息化建设指导意见与发展规划(2011-2015)》(“十二五”规划)明确提出了我国医疗信息化发展的蓝图和发展方向“35212工程”,建设信息安全体系即是最后一个“2”中的一项。按照《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)的要求,三级甲等医院应于2015年12月30日前全部完成信息安全等级保护建设整改工作,并通过等级测评。这标志着我国卫生行业开始通过信息安全等级保护加强对医院信息安全的管理。原卫生部、国家中医药管理局在2012年6月15日的《关于加强卫生信息化建设的指导意见》指出,要加强卫生信息安全保障体系建设,落实国家信息安全等级保护制度。国家卫生计生委规划信息司在2014中国健康大会上也指出,医疗卫生信息化是国家信息化发展的重点,已纳入“十三五”国家网络安全和信息化建设重点。
3医院信息安全管理需求
据《南方都市报》报道,2008年5月以来,香港连续爆出泄密事件:先是医管局下属医院陆续发现患者资料遗失,共涉及1.6万名患者,此事立刻轰动了全港。2010年5月23日,一张神秘的清单在网上曝光,其中列出了宁波市某医院45名医生的工号、名字和所属科室,后面还注明了他们使用药品氨曲南的数量和总价,虽然腐败得到惩戒,大快人心,但所暴露的医院的潜在威胁值得警惕。2013年7月,宁波两家医院挂号系统瘫痪事件,同样也引起了社会各界对医院信息系统安全的高度关注。2015年10月份的澳门山顶医院最大泄密事件,患者资料随街散落,也折射出医疗卫生行业信息安全问题的严峻性。信息化在给医院带来便利的同时,也带来了医院信息安全的隐患,上述严重的信息安全事件给医院的信息安全管理敲响了警钟。医院信息系统承担着整个医院的内外各项业务,其安全状况直接关乎患者隐私和健康、社会秩序及稳定等。加强信息安全、消除信息安全隐患,已经成为医院当前必须要面对的问题。
4医院信息安全管理制度的发展对策
在《信息系统安全等级保护基本要求》和医院评审的相关标准中都提到了信息管理部分,都强调了信息安全管理,并且都是对医院进行此两方面评审时的重要的评审部分。结合这两方面的评审要求,可以分别从安全管理制度、安全管理机构、人员安全管理、系统建设安全管理、系统运行安全管理五个方面,对医院信息安全进行管理。
4.1建立完善的总体安全管理制度
医院应根据自身的实际情况制订总信息安全管理制度,总信息安全管理制度是一个医院的根本管理制度,规定医院信息安全管理的根本任务和根本制度,是医院信息安全工作的总体方针、总体目标、总体原则,是其他信息安全管理制度制订的依据和基本要求。总信息安全管理制度中应严格明确制度制定与的流程、方式、范围等,应定期组织相关部门对安全管理制度进行评审与修订,以满足医院信息化不断发展的需要。
4.2应建立稳固的安全管理机构
医院应根据总体安全管理制度的基本要求设置安全管理机构和安全管理岗位,并制定《岗位设置与职责管理制度》,应明确“三员”(系统管理员、网络管理员、安全管理员)岗位与职责。医院信息安全管理不是某一个部门的职责,而是全医院相关部门都要参与,从自身做起,从上述某医院的信息安全管理机构图来看,信息安全领导小组对医院信息安全管理进行定期评审,再由医院最高领导的支持,然后直到一线的人员,每个岗位都有明解的岗位职责,达到稳固的管理,责任到人,能满足医院信息化不断发展的需要。
4.3配备专业的信息化人员,制定完善的员工信息安全管理制度
医院人事主管部门,应针对医院的实际情况例如可制定《人员录用制度》、《人员离岗制度》、《人员考核制度》、《安全教育和培训制度》、《外部人员参观访问制度》等人员工信息安全管理制度。在人员录用方面应按照制度流程对被录用人员进行资格审查,对于在医院从事关键岗位的人员应当签署保密协议等,在离职时应按照制度流程办理离职手续,例如应回收医院发放的各种身份证件、钥匙、秘钥并注销一切其所拥有的信息系统账号等;在人员考核方面应定期对各个岗位的人员进行信息安全技术及信息安全认知的考核,确保在岗人员都有维护医院信息安全的义务;在人员的安全教育和培训方面,应对各类人员定期进行信息安全教育和培训,提高其安全意识,明确责任和奖惩措施;在外部人员来医院参观访问方面,应用按照制度进行授权和审批,确保医院运行安全。
4.4完善医院各类信息系统的建设,制定切实可行的信息系统安全管理制度
信息化数字化医院建设只有起点没有终点,医院在各类信息系统建设方面应根据自身的实际情况,制定完善可行的信息系统建设规章,可保障医院相关部门在信息系统建设过程有据可依、有规可循。例如医院可制定如下关于医院信息系统建设的管理制度:《医院信息系统定级管理制度》、《医院信息系统安全方案设计管理制度》、《医院信息系统产品采购和使用制度》、《医院信息系统自行软件开发制度》、《医院信息系统外包软件开发制度》、《医院信息系统工程实施管理制度》、《医院信息系统测试验收管理制度》、《医院信息系统交付管理制度》等。
4.5制定切实可行的医院各类信息系统运行管理制度,满足医院各类业务的适时访问需求
医院各类信息系统建设的目的是为了更好地满足各类业务的需求,保障建设好的各类信息系统更好的运行。医院信息系统管理者应从管理方面制定切实可行的管理制度,同时针对不同的医院使用人员,制定不同的使用操作手册,让医院的使用者达到规范操作,这样可以大大减少人为误操作导致的系统故障,方便运维人员对系统的维护。例如医院可根据信息系统的实际情况制定如下运行管理制度:《医院信息系统环境管理制度》、《医院信息系统资产管理制度》、《医院信息化介质管理制度》、《设备管理制度》、《医院网络安全管理制度》、《医院信息系统安全管理制度》、《医院恶意代码防范管理制度》、《医院信息系统密码管理制度》、《医院信息系统备份与恢复管理制度》、《医院信息系统安全事件处置制度》、《医院信息系统应急预案管理制度》等。
5总结
信息化、数字化医院建设只有起点没有终点,医院信息系统安全伴随着信息化数字化医院建设同样没有终点。医院需要高度重视信息安全管理,制定一套切实可行的信息安全管理制度和措施,才能更好地保证医院信息系统安全、高效、稳定的运行。
参考文献:
[1]蔡文涛.浅谈医院信息系统网络安全[J].中国现代医生,2009(32):116-117.
[2]李刚.医院信息系统安全管理问题浅析[J].中国管理信息化,2013(1):39.
[3]杨栋,刘立辉,任志刚.医院信息安全管理与措施[J].中国医疗设备,2011,26(6):70-72.
[4]相海泉.等级保护促进信息安全[J].中国信息界:e医疗,2013(10):81-82.
医院信息安全体系篇3
1.1医院的信息化发展
伴随着互联网计算机信息技术的应用与普及,我国的医院在发展与管理方面也逐渐进入了信息化管理的时代,尤其是进入二十一世纪以来,医院的各项管理工作及其方式也发生了极大的变化。简单举个例子,在传统的医院管理工作中,医院的医生、护士以及医务管理工作人员,都是用纸和笔来记录病人的各项信息,自从信息化管理系统在医院得到发展、普及之后,极大的提升了医院的工作效率。
1.2医院信息化管理系统基本模式
①医疗管理类。在医疗信息化管理方面,计算机信息应用系统主要包括住院收费系统、财务管理系统、住院药房管理系统、出入医院及其结算信息管理系统、门急诊收费信息管理系统、供应室信息管理系统、医院医疗设备信息管理系统、医院后勤设备物资信息化管理系统等各方面。
②临床服务类。医院信息化管理系统中的医疗信息管理是医院进行管理工作的基本日常管理手段模式,而临床服务信息管理系统,更多体现的是医院的优质服务。当前医院信息化管理系统中的临床服务类主要包括体检管理信息系统、门急诊输液信息管理系统、门诊医生工作服务站、门急诊挂号信息服务管理系统、医院门诊自助挂号信息管理系统、临床检验信息管理系统、病人患者电子病历信息管理服务系统、病人患者病区护士信息管理服务系统等。
2医院信息管理系统中存在的安全性问题分析
关于医院信息管理系统中所存在的问题,主要包括三个方面:
①医院信息管理的环境;②医院信息管理环境的设备及其系统;③医院信息管理的工作人员配置。①医院信息管理的环境。这里所提到的环境包括医院外部环境和医院内部环境,医院的外部环境就是指医院本身的非盈利性,医院是一个社会性、公益性的事业单位,在社会大众的眼中,医院就是一个公众的团体组织,包括国家政府对其发展所制定的相关法律法规等。就是因为它是个公众性的社会团体,很多人物形象也具有公众性的作用。
②医院信息管理环境的设备及其系统。随着互联网信息化的迅猛发展,医院虽然不是以盈利为目的的社会公众团体组织,但是也要去适应社会主义市场经济的激烈竞争,要想在这种环境中谋求生存与发展,就必须加快深化医院体制的改革,而信息化管理就是一种有助于医院发展的信息化管理组织战略。随着信息化管理在医院的普及与应用,而信息管理系统环境的相关设备却得不到及时的补充,也就是说没有先进的科学技术做保障,没有先进的互联网信息科学技术作为后盾支撑保障,那么在医院信息化建设与管理过程中,其信息管理体系与系统必然是不完善的,这对于医院本身和医院病患者而言,都会产生一定的威胁性。
③医院信息管理工作人员的配置问题。随着先进的计算机信息技术的推广与应用,这就时刻要求着医务管理工作人员的职业技能素质水平也得跟上,包括一些计算机信息应用技术、信息管理系统的操作技能等,不仅如此,也要保证信息管理工作人员拥有最基本的职业道德素质。但是在现实管理工作中,医护人员综合素质低下是普遍现象,很多的信息管理工作人员缺乏最基本的职业道德素养,同时其职业操作知识技能也达不到标准。
3针对如何提升医院信息管理安全性的建议措施
①建立健全医院各项管理规章制度在建立健全医院管理规章制度方面,具体包括对医院信息管理服务系统的安全管理制度、网络信息管理安全制度、医院信息安全应急预案管理制度等。同时,还包括医院信息系统管理中的计算机防毒制度、以及信息管理系统中的数据备份制度等。
②加强对医院信息管理服务系统的监督管理,保证系统服务器的安全在这个管理层次面上,要坚决做到以“防范为主、加强监控”的基本原则。信息化管理系统是医院实施信息化组织管理发展战略的核心建设内容,而服务器又是医院信息化网络管理过程中的核心,对于信息管理系统服务器的安全防范与保护工作关乎着医院整体发展战略的有效开展。在加强信息管理服务系统方面,要坚持做到防范与监控共行,进一步完善医院信息安全应急预案机制。
③加强医务工作人员的职业技能、职业道德的培养与教育工作这一点是非常关键的,医院在加强与防护信息管理系统、平台服务器的过程中,应该要特别的注重对医务管理工作职业素质的培养、教育,严格规范医院工作人员的录用过程,要对被录用者的具体情况进行详细的了解与调查,包括他的职业资格、身份、背景等各方面,目的就是防止不法分子进入。与此同时,也要加强对信息化管理系统工作人员进行信息安全基础知识的宣传与教育,包括岗位培训、操作技能培训等。
医院信息安全体系篇4
关键词:医院;信息管理;安全性
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)20-4703-02
To Investigate the Safety of Hospital Information Management
WANG Xin-bo
(Hebei Province Tangshan City Kailuan hospital, Tangshan 063000,China)
Abstract: Along with the development of modern science and technology, in each unit, each group, computer is essential equipment, the computer is now in the hospital with large amplitude. But at the same time, information security management in hospital should also get great attention. Because of the importance of patient information, hospital privacy will be input to the computer, so that ensure the necessary safety information management in hospital. In this paper, from the analysis of the status of hospital information management, information management of security problems, three solutions to information security analysis, discusses the security problems of the hospital information management.
Key words: hospital information management; safety
科技的发展,将人们带进了一个现代的信息化社会,这就意味着,计算机的使用是必不可少的。计算机的使用为大家带来了方便,可是在此同时,人们也要考虑信息管理的安全性。特别是在医院,医院的信息安全无论是对医院的工作人员,还是对病人来说,都是很重要的。病人的隐私是医院必须要保护好的,所以这就对医院的信息管理的安全性有很大的要求。只有在医院里建立完整的信息管理安全的体系,才能使病人安心,让病人放心,这才是医院的宗旨。
1 医院的信息管理的现状分析
1.1 医院的信息化发展
计算机的普及使得医院也进入了信息化的时代,医院的医生和护士不用像以前一样,在病人看病的时候,将病人的信息用笔记录下来,这样耗费了医生和护士大量的时间和精力;在此同时,病人的等候也是焦急的,也是烦躁不安的,因为病人是不清楚这个问题的,还要经过焦急的等待,这是很痛苦的。还有就是如果病人急等着需要药品,输液,根本受不了耗费大量的时间;或者就是要是病人需要移植器官,这靠医生的记忆力是不可能的。可是现在是信息化的时代,只需要在医院的信息库查询一下,就可以将病人的信息了解的非常透彻,需要的物品只要一查询就可以使用了,不用再浪费大量的人力,物力。这也可以使病人放心。就这样,医院的信息化也得到了发展。信息管理也成为医院管理的主要方式,所以说信息管理的安全性也是医院的首要任务。
1.2 信息管理的主要内容
现在医院主要使用的是信息管理,使用的信息管理就是首先将医院的原始资料,包括医院刚开始时建立的情况,使用的资源,办学情况等这些情况;然后就是医院的医生和护士,以及一些工作人员的个人资料都是要输入在医院的信息系统的。如今信息时达,医院管理信息系统也在不断更新,从以前的手工填写病历到现在的无纸化办公,病人在来医院看病时,只需在服务台填写基本信息,由挂号处将病人信息录入并领取医院配备的一卡通,病人后续的门诊看病以及在缴费和药房取药时只需要提供一卡通便可,既简单方便又节省大夫和病人的时间。
1.3 医院信息化人员的发展
随着医院的发展,设备的先进,人员的技术也要跟上时代的发展,比如说要跟上时代的发展,要会使用计算机,要会将数据输入在计算机内,平常做出整理,这对医院的工作都是有很大的帮助的。还有就是病人拿药的时候,都要将这些信息输入计算机内的,工作人员要会基本的信息管理,并且要对医院的信息管理安全性进行保护。这些都是要医院的人员基本掌握的。对医院的信息管理有很大的安全保护作用。
2 信息管理的安全性存在的问题
2.1 信息管理的环境
虽然说,信息管理是在医院中,但是由于医院这个特殊的团体,政府对关于医院的信息管理特别颁布了法律,重视医院的信息管理安全,因为知道医院是个公众的团体,要对很多的人员负责,所以说政府也非常重视这个问题。这就使得信息管理的环境不单单是医院了,还有很多各种的人物存在的公众环境。
2.2 信息环境的设备和体系
现在的信息化发展的迅猛,可能有的医院的设备并没有得到很好的补充,这就导致医院的设备没有跟上现代化的发展,这对现代的信息管理非常不利,甚至还会出现一些不可预测的影响因素,这些对医院的信息管理安全性都是有影响的。还有就是在医院的信息管理方面,信息管理的体系不完善,如果说没有一个完整的体系,那么就是没有一个硬性的要求,这无论是对工作人员,还是对患者都是不利于的。所以说,要想有一个安全性高的信息管理系统,就必须要有一个完整的,完善的信息管理体系。
2.3 信息管理的人员配置
在医院,信息管理的人员必须要是综合素质高的,包括自我的计算机技术,强烈的责任心,诚实守信等等的能力。这些都是必需的。对于信息管理的安全性,人员的心里要有数,明白什么可以说,什么是必须要保密的。还有对于一些医院的管理方面,这些人员要有热心,积极地参与到医院的管理中去,积极给医院的领导提出意见,及时的修补信息管理的漏洞,使得医院的信息管理的安全性达到一个高度。所以说人员的配置很是重要的,医院要首要考虑这个问题。
3 信息管理的安全性的解决方法
3.1 政府对医院的信息管理的安全性的政策
任何事,任何机构都要有硬性的要求来规范企业,无论是医院,还是其他的机构,这些都是必需的,政府很看重医院这个团体,因为这是和大家的生命联系起来的机构,政府必须要对此加以重视,所以政府出台了很多的政策来规范医院的信息管理的安全,为的是既可以让医院能够更好的管理,建立适合的信息管理体系,又可以让患者放心,不用担心个人的信息泄露的情况发生。减少了很多不良因素的发生。要知道,政府的政策对于医院来说是很重要的。它就直接给了医院的动力,让医院能够更好的规范信息的安全。
3.2 设备的先进以及体系的完善
医院要根据政府出台的政策来将理论和实际相结合,建立适合自己的医院所适合用的信息管理技术,另外就是要制造规范,体系要完整,不能有缺漏的地方,不能让不法分子钻空,乘机做出不好的行为对医院的管理体系有伤害。要知道医院的信息管理的安全是对所有人员的隐私负责,这就导致了医院信息管理的安全性的必要性,这无论是对内部人员。还是患者都是有保障的。
3.3 内部人员的自我综合能力的提高
在医院,还有一个很重要的因素就是内部人员的问题。首先作为医院的内部人员,必须要有强烈的责任心,这不仅仅是对于医院来说,对任何机构来说,都是必要的因素,Ixia还有就是员工的信息掌握技术,要对信息管理有个大致的了解,这样对医院的管理有着非常大的用处,而且医院的信息管理系统也要是人员操作,它要求人员的很多素质的提高,很重要的。还有在操作的时候要注意保护患者的隐私,要有一个系统的管理,要让领导明确知道信息管理安全,没有太大的问题。同时还要患者放心,不会产生太大的忧患,对医院的信息管理安全性放心。对医院的任何事情都放心,产生信任。
4 医院的信息管理的安全性的总结
医院的信息管理的安全性无论是对医院的工作人员来说,还是对来到医院看病的人来说,都是很重要的。对于工作人员来说,医院的信息管理安全是对自己工作的保证,必须要加以重视这个问题,才能够从内心上来打动患者,让患者来对医院产生信任。对于患者来说,医院的信息管理安全是对自己隐私的保证。还有现在有多少的人因为在医院的隐私泄露而打官司的现象,虽然说这是不好的现象,但与此同时,也从另一个方面说明了医院的信息管理安全的重要性,无论是政府,医院还是患者都想要看到一个安全性高的医院信息管理。所以国家要加强对医院的信息管理安全性的管理,和医院共同营造出一个完善的医院信息管理体系。安全性对于医院还是个人都占有很大的一部分,所以医院要在政策,设备,体系,人员等等方面对信息管理作出系统的安排,这样才会是完善的信息管理系统。
参考文献:
[1] 郝雁,权正良,刘庆安.论医院信息管理系统[J].中国医学教育技术,2003(05):321-324.
[2] 赵峰.加强医院信息管理系统安全的策略[J].网友世界,2013(13):33-34.
医院信息安全体系篇5
【关键词】医院 信息系统 安全威胁 防御
1 引言
计算机技术、网络技术和数据库技术的快速发展促进了医院电子信息系统的普及和应用。目前,医院在行政管理、诊断治疗等方面已经开发了OA系统、财务管理系统、人事管理系统、住院病房管理系统、药品管理系统、医院影像拍摄与存储系统、患者病历档案管理系统等,为医院行政管理提供了信息化支撑,并且能够在诊断治疗过程中,采集患者信息,提高医护人员的工作效率和诊疗质量,更好地为患者提供临床咨询、辅助诊疗和临床决策服务,具有重要的作用和意义。为了提高患者、医院行政管理人员、医护人员使用的方便性,共享数据资源,医院信息系统集成规模越来越大,各种系统采用的开发技术多种多样,比如 JSP技术、ASP技术、技术等,隐藏的漏洞和风险也越来越多,因此需要采用严格的安全防御系统,保证医院信息系统的正常工作和运行。
2 医院电子信息系统面临的安全问题现状分析
2.1 医院信息系统安全风险评估处于初级阶段
目前,医院信息系统通常由医院自己招聘的网络管理团队进行维护,而信息系统安全风险评估技术涉及多学科知识,其不仅是一个技术性问题,也是一个管理学问题,而许多医院的信息系统没有进行过风险评估,因此无法及时、准确地获取医院信息系统存在的安全漏洞和攻击威胁风险,不能够及时地采取安全防范措施进行预防和保护。
另外,医院信息系统应用背景复杂,包括药品管理、医学诊断、医学治疗等方面的知识,在医院信息系统风险评估过程中,风险评估缺乏规范化的标准,导致风险评估主体和客体不清晰,无法明确划分参与者的工作内容,并且承担相关的角色,因此医院风险评估效果较差。
2.2 医院电子信息系统攻击技术逐渐增强
云计算、分布式移动和移蛹扑慵际蹩焖俜⒄梗其不但促进了电子信息系统在医院行业中的应用,同时也提高了网络黑客、木马和病毒攻击技术,网络安全威胁更加智能化,尤其是网络威胁更加隐蔽,潜伏的周期更长,给医院信息系统带来的安全威胁也更加严重,非常容易导致患者病历资料丢失,无法长期跟踪患者身体健康状况,不能够优化患者治疗方案,提供最佳的治疗服务。
2.3 医院电子信息系统操作人员安全意识薄弱
医院电子信息系统用户角色包括医生、护士、行政管理人员和普通的患者,用户通常为非计算机专业人员,在操作系统的过程中,不能够严格按照医院电子信息系统的操作规范进行,时常携带含有病毒的优盘、硬盘或网络传输文件,随意插拔,非常容易感染医院网络平台内的其他终端或系统,导致系统崩溃或数据资源被盗。
2.4 网络攻击和威胁形式呈现多样化
传统网络攻击和威胁多来源于黑客、病毒和木马,并且由于医院信息系统孤立存在,因此导致网络攻击威胁不能够达到目的。近年来,由于移动互联网、光纤网络的快速发展和进步,分布式管理系统基于互联网连接在一起,登录终端包括PC、iPad、iPhone等智能终端,因此网络病毒传播途径越来越多,呈现多样化。
2.5 电子信息系统网络漏洞数量居高不下
医院电子信息系统集成应用软件越来越多,各种软件在开发和实现过程中采用技术种类不同、采用的开发工具也不尽相同,因此在集成和融合过程中,无法避免将会产生各种漏洞。随着网络攻击技术的提高,电子信息系统的网络漏洞将会成为入侵攻击的选择点,为电子信息系统的应用带来困难。
3 医院电子信息系统安全防御技术探讨
3.1 应用层数据加密传输
医院电子信息系统关联的用户在操作过程中,通常位于网络的不同位置,比如内网核心位置、内网普通位置、外网位置等,因此为了保证应用层数据信息输入的安全性,可以采用 IPSec VPN和SSL VPN技术加密通信渠道,实现数据的加密传输。
3.2 数据传输控制
由于不同的用户分属于医院行政管理部门、业务科室等,因此为了不同角色的用户实现网络服务器的安全存取控制,可以将医院内部网络的IP地址进行分段、分类管理。
具体地,医院电子信息系统IP地址归属不同的子网、VLAN和VPN,并且与计算机的MAC地址、用户名等进行一一关联,形成良好的映射关系。不但可以有效地控制网络应用的访问和存取权限,同时也可以非常容易且方便地管理和监测网络中的所有用户。同时采用ROST技术实施强制访问控制,所有用户(包括最高权限用户)都无法访问受保护的网络资源。因此,医院网络设计过程中,IP地址划分、VLAN设计和ROST技术,将是一项非常重要的工作。
3.3 服务器安全防护
医院电子信息系统服务器在操作过程中,要构建严格的防病毒体系,采用防火墙、入侵检测控制、安全审计、访问控制列表等,控制服务器操作系统用户的权限和角色,使其能够按照规则进行操作,保证医院信息化系统服务器不会受到网络木马、病毒和黑客的攻击。
3.4 用户角色控制
医院电子信息系统用户数目多,各个系统用户具有不同的访问权限,因此为了控制医院电子信息系统的操作规程,系统在访问权限控制过程中,采用角色权限进行动态的调控,以便能够灵活管理用户,限制用户的系统操作功能和服务器访问权限,采用统一的访问认证系统和单点登录认证机制,保证用户获取系统服务器的授权,保证安全访问系统的服务资源。
4 结束语
随着云计算、移动计算、分布式计算技术的快速发展,医院电子信息系统的种类也越来越多,比如开发和实现了患者病床护理系统、呼叫系统、临床路径管理系统等,因此医院信息化安全防御也是一个重要的组成部分和关键环节,需要增加安全防御软件和安全防御设备,构建一个更加完善的、可靠的安全管理系统。医院电子信息化系统是一个动态的、复杂的安全防御工程,其需要随着网络黑客、木马和病毒技术的提高而增强,以便能够不断地适应现代化医院防御需求。
参考文献
[1]朱玉林.计算机网络安全现状与防御技术研究[J].信息安全与技术,2013,4(01):27-28.
[2]吕剑,郭丽敏.基于网络安全技术的医院信息系统设计[J].信息与电脑:理论版,2010(09).
[3]苏玉召,赵妍.计算机网络信息安全及其防护策略的研究[J].网络安全技术与应用,2006(05):12-12.
[4]龚旭峰.医院管理信息系统的安全的现状与防御[J].信息与电脑:理论版,2010(11).
作者单位
医院信息安全体系篇6
重点阐述医院信息网络系统安全的影响因素,主要包括恶意攻击、管理权限、隔离措施因素等方面,并对具体的信息网络安全管理方式展开深入探讨,以保证医院信息网络的安全。
〔关键词〕
医院;信息网络安全;安全管理方式;探寻
在信息时代背景下,国内医院已经初步构建网络信息管理系统,对计算机数据处理的能力进行灵活地运用,确保医院日常业务信息管理的正常开展,而这也是医院信息化建设过程中的重点。信息网络技术的应用使得医院日常工作业务更加便利,与此同时,也实现了医院信息利用与运行效率的全面提升。
1医院信息网络系统安全的影响因素
计算机网络技术的飞速发展,也带动了医院的信息化建设。其中,医院内部系统种类诸多,包括体检系统、财务软件及OA系统等,通过对计算机网络技术的应用,能够有效融合多个系统,实现医院运行效率的全面提升。但由于医院信息系统中包含了多模块信息系统,因此,很容易受到安全威胁。
1.1恶意攻击因素
医院计算机网络所面对的最大威胁就是恶意攻击,因为医院业务繁多,需要和其他单位展开合作和交流,所以,信息共享的主要载体就是网络。在此背景下,很容易受到恶意攻击。
1.2管理权限因素
目前阶段,虽然医院已经构建网络信息系统,然而,在系统管理权限方面却并不完善,经常出现待岗或者越岗等多种问题[1]。另外,用户账号经常被滥用,而且重要业务的数据也经常被非法读取。医院内部的部分合法用户会使用计算机技术来访问权限以外的资源内容,同时,还有很多非法人员会应用假冒账户或者是假冒身份来盗取或者是阅览医院的资源。
1.3隔离措施因素
当医院构建网络系统后,会形成独具特色的内部局域网络,但是,对于内网和外网而言,始终不具备隔离措施。医院内部部分工作人员会因为工作性质的特殊性,要对内部网络和外部网络同时访问,同时,还有部分医院能够通过一台机器实现对内网和外网的访问,一定程度上增加了安全风险。
1.4安全管理因素
当前,医院信息网络的安全管理不到位,缺乏具有可行性的安全保护措施。其中,大部分医院工作人员会使用手提电脑,并在医院内部连接到医院的网络当中。但是,很多笔记本电脑本身带有病毒,所以,必然会影响医院的业务网络,严重的还会致使业务出现中断的情况。除此之外,有部分医院工作人员会随意修改客户端的IP或者是修改计算机的硬件配置,在工作电脑中安装娱乐工具等,很容易造成医院系统的整体瘫痪。
2完善医院信息网络安全管理的具体方式
2.1医院信息网络的内部安全管理
(1)建立健全网络安全管理机制。积极构建并完善网络安全管理机制是全面落实信息网络安全管理工作的重要前提。通过制度的约束使医院工作人员更加重视信息网络安全的重要性,并且创建信息安全领导小组,细化工作内容,增加资金投入力度,对于医院信息网络安全管理硬件设施以及设备进行有效完善。与此同时,积极建设网络安全管理队伍,增强工作人员责任心,全面掌握基础技术并灵活运用,以保证有效地创新[2]。另外,应当针对医院工作的具体情况,科学制定网络危机预案。
(2)积极开展网络安全教育工作。医院领导层及组织、部门需要积极转变自身思想,并融入实际行动当中。应当对医院信息系统的网络安全管理给予一定的重视,增强安全意识。医院的网络系统包括医技科室、职能科室等,各科室人员业务水平参差不齐,因此,计算机操作的水平会存在一定的差异,因而,必须要积极开展计算机技术应用培训工作,使其具备较强的操作能力,缓解其工作压力。若客户端存在问题,科室人员能够利用自身掌握的基础技术及时解决,降低人为因素所导致的失误操作发生概率。
(3)正确选择软件。根据我国实际情况,绝大多数医院的计算机系统软件版本都相对落后,所以,应当购买正版的系统,确保能够实现系统的智能升级,能够实现监测的自动化。通过系统软件,对于网络安全漏洞进行定期与不定期地扫描,积极开展升级和更新的工作,确保操作系统安全策略的科学性与合理性。而在使用医院信息的过程中,同样涉及重要操作,所以,还应当针对操作展开审计,详细地记录用户恶意行为,针对具体情况将默认共享关闭,全面推广使用虚拟局部网络,有效地增强医院内部数据的安全性。
2.2医院信息网络的外部安全管理
(1)全面防护计算机病毒。为了有效规避计算机病毒感染,应根据医院科室的具体情况,撤出网络刚做站外部输入。另外,创建规章制度并要求医院内部计算机不允许连接U盘[3]。同时,应当将病毒防卫机制应用在服务器和各工作站点当中。在生产厂商处下载补丁,进而对客户端展开自动化检查,尽可能减少病毒传播途径,以免医院信息网络系统受病毒威胁。
(2)规避黑客的非法性入侵。要想规避黑客的非法入侵,就必须要采取防火墙技术、授权技术及身份验证等手段。基于防火墙,构建黑客入侵检测系统,实时监控非法连接与非法登录等。除此之外,应当合理地运用加密技术,对网内数据、信息和文件进行全面保护,以免因网络传输数据而出现泄漏的问题。
综上所述,在信息时代背景下,医院工作需要与时俱进,构建完整的信息网络安全管理系统。与此同时,该系统需要在环境变化和影响下,及时更新安全管理技术,对安全管理手段进行适当调整,确保医院信息网络系统运行更加稳定。
作者:陈起燕 黄艳琳 单位:福建医科大学附属宁德市医院
[参考文献]
[1]潘珩.浅析医院信息网络系统安全管理的设计与应用[J].世界临床医学,2015,9(7):264-266.
[2]田坚.医院计算机网络安全管理工作的维护要点初论[J].科技视界,2015(17):129.
医院信息安全体系篇7
【关键词】医院 信息化 网路安全防护
1 引言
随着时代的发展和科技的进步,各种新型医疗信息系统在医院中应用的范围不断扩大,医院信息化建设得到飞速发展,但是医院在对信息技术进行应用时,不仅得到很多有利之处,也有一些不容忽略的网络安全现象。比如,信息的泄漏、APT攻击等,这些问题的出现对医院的信息化建设产生极大影响。所以,医院需要采取有效的网络安全防护手段,建构安全、稳定的网络环境,然后对网络的管理进行规范,加强网络安全的管理强度,进而为信息化建设发展奠定基础。
2 医院信息化建设中网络安全隐患
网络安全使之网络系统内的各种软件、硬件和数据等可以得到有效保护,不会因为偶然或者恶意行为而被破坏、更改或者泄露,可以确保网络系统稳定、正常运行,提供的服务也不会出现中断的情况。因为医院资深具有特殊的性质,所以医院的信息系统需要在24小时内都可以正常运转,而且,医院的信息系统辐射的范围比较广,是医院的全部部门,包含患者在就诊时的各个环节,这就使医院的业务对网络有较强的依赖性。而且,医院借助互联网可以和医保进行联网,这就使医院的网络变的更加开放,使医院受到攻击和感染病毒的概率增加,只要其信息化系统发生故障,就会对整个医院的运行和管理带来很大影响,还会为医院和患者带来损害甚至是灾难。
目前,医院信息化建设中网络安全问题主要有一些层面:网络安全,系统安全和数据安全。系统安全主要有程序、操作以及物理安全;网络安全随网络攻防技术的发展而更加复杂和多样;数据安全包括数据自身和数据防护的安全。从应用服务层面出发,网络安全主要是在网络终端接入网络后出现的安全问题,比如黑客、病毒、操作违规以及非法入侵等,造成系统内的网络断开,服务器的瘫痪或者病人账户被盗以及丢失数据等。从产品层面出发,主要是硬件、应用程序以及软件系统内被植入恶意代码等带来的隐患。从技术层面出发,主要是产品信息自身在设计和研发层面的缺陷,也包含日常维护管理和信息科技带来的隐患。从物理层面出发,主要是操作错误,自然灾害或者人为的破坏等,使计算机不能继续运行。
3 医院信息化建设中网络安全防护的对策
3.1 建构起科学的网络安全管理体制
要想确保医院网络安全,首先需要制定科学的网络安全管理规章制度,医院需要和自身实际相结合,使用科学方法和管理体制,比如机房的管理规范、数据资源备份存储制度、网络的运行和维护制度以及信息系统的操作制度等,还需要对工作人员的安全意识进行培养,确保医院的网络管理有理有据。医院需要成立网络应急小组,在出现网络安全问题后,小组需要按照事件严重性程度采取相关措施,尽可能快的恢复网络,并把事故的时间、影响和损失降至最低,形成问题长效整改C制。
3.2 使用科学的网络管理手段
医院需要以自身的实际发展状况为基础,实施正确、科学的网络管理手段,进而确保医院的整个信息系统可以正常、高效与安全运行。首先,为了确保医院信息系统内的服务器可以稳定、可靠与高效运行,需要使用双机热备和双机容错等措施进行解决。其次,对于系统内一些比较关键和重要的设备,可以借助UPS对主机设备进行供电,这样可以在确保拥有稳定电压的同时,有效防止出现突况。再次,在对网络的架构进行设计时,需要把主干网络的链路也建构为冗余模式,如果主干网络的线路出现了故障,就可以借助冗余线路确保网络数据信息仍然能够正常进行传输,语言的专业人员需要对网络的外网与业务的内网开展物理分离处理,进而避免互联网与业务网络的混搭现象,这可以从根本上降低因为互联网的因素影响而造成医疗数据出现外泄可能性,还能够防止非法用户使用外网进入到医院服务器和信息系统中。接着,医院还需要建构系统与数据的备份体系,进而保证在机房出现灾难或者储存设备受到损坏时,可以在较短时间内恢复系统运行。最后,使用分级权限管理措施,防止数据修改或者越权进行访问的情况出现,还要对部分重要信息数据开展跟踪预警措施。
3.3 使用科学的技术手段
首先,因为医院网络架构中内网与外网是隔离的,内网安全需求更高,所以需要安装更加强大的软件进行杀毒。并在内网和外网间建构防火墙网关,进而滤出一些不安全或者非法的服务,适当限制网络的访问,这可以对网络攻击行为起到一定的预警作用。其次,要想弥补防火墙自身的漏洞,医院需要使用专业化入侵检测体系,把各个关键点在网络内分散,然后借助对数据的审计、安全日志或者行为等检测得到的信息,进而了解网络或者系统内有被攻击或者违反安全措施的行为,还需要借助安全扫描技术等对可能出现的漏洞进行检查。最后,需要建构云安全平台,借助虚拟化平台实现网络安全集中管理,并使医院中网络安全管理成本得到降低,解决网络安全问题。
4 结语
综上所述,语言的信息化建设中网络安全防护具有重要的意义,需要引起相关人员的重视,不断对其进行改进与完善,切实发挥出网络安全防护的作用,进而促进医院的信息化建设发展,更好的为病人服务。
参考文献
[1]韩辉.医院信息化建设中网络安全分析与防护[J].信息安全与技术,2014,(05):91-93.
[2]徐亚雄.医院信息化建设中的网络安全分析与防护[J].网络安全技术与应用,2015(11):43-43.
[3]李骞.医院信息化建设中的网络安全与防护措施探析[J].网络安全技术与应用,2015(09):43-43.
[4]徐雷.医院信息化建设过程中的网络安全防护分析[J].网络安全技术与应用,2016(05):106-107.
医院信息安全体系篇8
【关键词】网络安全;基层医院;权限
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)01―0087-02
中央县医院能力建设使基层医院信息化建设得到了迅猛发展,医院信息系统已成为建设现代化医院不可缺少的基础设施和支撑环境。随着越来越多的传统的手工流程逐步转变为软件信息处理流程,医院业务对于信息系统的依赖也越来越强,但信息安全是网络时代产生的一个困扰所有使用者的问题,尤其是医院业务所产生的数据具有隐私程度更高的特点,对于数据传输与数据存储的安全性的要求更高,因此保障医院信息的安全性成为医院信息化建设过程中必须重视的关键问题。信息安全管理是通过维护信息的机密性、完整性与可用性来管理并保护组织所有的信息资产的一项体制。
1 医院信息安全现状
文献对湖北省医院信息安全状况进行了调查和分析,调查结果如下:
医院网络安全措施方面,湖北省98.10%的二级及以上医院已采用网络安全措施,其中应用情况比较好的有防火墙设备、上网行为管理和域用户管理模式,应用比例如图1所示。
体系结构安全措施方面,医院信息系统体系结构安全措施主要包括服务器双机热备、服务器集群、容错机、服务器负载均衡等,湖北省二级及以上医院信息系统总体采用率如图2所示。
数据安全措施方面,数据安全是通过数据冗余、密码认证等措施以防数据因系统硬件或软件故障而引起数据丢失或泄漏的一种措施。调查结果显示:应用率较高的安全措施,如数据库镜像备份、数据冷备份和数据离线存储的应用率如图3所示。
医院信息安全制度和应急预案方面,93.51的二级医院已制定医院信息系统应急预案,其中制定比较完善的占30.93%;95.35%的三级医院制定了医院信息系统安全制度与措施,其中比较完善的占46.42%。
卫生部印发的卫办综发[2011]39号《基于电子病历的医院信息平台建设技术解决方案(1.0版)》中对医院信息平台的安全体系框架给予了指导说明,如图4所示。
基于电子病历的医院信息平台安全体系总体框架包括:安全基础设施、安全技术、安全管理三部分:
(1)安全基础设施主要为基于电子病历的医院信息平台安全运行所需的防护部件,通过安全基础设施的安全互联、接入控制与边界防护、区域安全、通信安全、数据传输安全和安全管理等,为形成一体化的安全防护体系奠定基础。
(2)安全技术包含安全计算环境、安全区域边界、安全通信网络、屋里安全及安全管理中心五个方面。
(3)安全管理建设需建立相应的信息安全管理机构、制定相应的信息安全管理制度、设置平台运行所需的人员、岗位,建立对系统在运行开发过程中的制度,同时通过日常巡检、咨询、评估等运行管理来发现安全隐患并予以改进与提升。
2 医院信息安全管理实践措施
孝感市某医院自2008年起开始全面建设医院信息化,在软件信息系统功能不断提升改进的同时,也不断地探索实践信息安全保障的方式,形成了如图5所示的医院信息安全管理体系框架。
2.1 网络安全管理
2.1.1 安全网关技术
采用路由器与防火墙相结合的Juniper SSG安全专用网关,通过网络和应用层防护技术,用于阻断蠕虫、间谍软件、木马、恶意软件和其他新兴攻击。此外,SSG安全网关设备还整合了防火墙系统ScreenOS,Juniper J系列路由器的广域网接口模块以及JUNOS系统广域网封装协议,以提供整合的安全和路由特性,可同时部署为防火墙和路由设备。
(1)内外网隔离:医院内网与外部互联网通过防火墙设置实现了内外网隔离,保证内网安全性。
(2)安全防护与效能:通过使用验证的防火墙与丨 PSec VPN,加上UTM安全防护功能,包括IPS、防毒(包括防间谍软件、防广告软件、防钓鱼攻击)、防垃圾邮件,以及Web过滤。
(3)网路分段功能:提供一组网络分区特性,如安全区域、虚拟路由器和虚拟局域网等,允许管理员将网络分割成不同的安全区域以部署不同的安全策略,从而为不同的用户群提供不同级别的安全性。
(4)防火墙技术:通过防火墙技术,实现网络攻击检测、DoS和DDoS防护、用于数据包碎片保护的TCP重组、异常数据包防护等功能。
(5)入侵检测与防御系统:通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。通过将入侵检测与防御软件安装在硬件防火墙上,实现高端安全功能整合。
(6)日志记录和监视:日志记录和监视功能能够实现监控多个服务器的系统日志,可进行路由跟踪,可使用VPN隧道监视器。
(7)管理:具有本地管理员数据库与外部的管理员数据库,用户级别分为根管理员、管理员和只读用户级别。
2.1.2 上网行为管理
通过将上网行为管理硬件部署在防火墙与交换机之间,实现P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面的功能。
(1)防止带宽资源滥用:通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障院内业务应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。
(2)防止无关网络行为影响工作效率:上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同用户身份差异化授权、智能提醒等。
(3)记录上网轨迹满足法规要求:上网行为管理产品可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。
(4)管控外发信息,降低泄密风险:上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。
(5)为网络管理与优化提供决策依据:上网行为管理产品提供了丰富的网络可视化报表,能够提供详细报告让管理者清晰掌握互联网流量的使用情况,找到造成网络故障的原因和网络瓶颈所在,从而对精细化管理网络并持续加以优化提供了有效依据。
(6)防止病毒木马等网络风险:通过上网行为管理产品,利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入,DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。
2.2 外部访问安全控制管理
2.2.1 外部公众访问医院宣传网站的安全管理
对于医院对外宣传网站服务器,通过内网IP映射为外网IP,实现外部访问,同时也保证了内部网站服务器的安全性。
2.2.2 外部开发与维护人员远程访问系统安全管理
医院外部开发与维护人员远程访问系统皆通过VPN进行访问(虚拟专用网络)。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术保证连接的安全。
(1)为不同接入用户分别建立独立的VPN连接用户:不同类别用户各自拥有独立的VPN连接用户,例如,对于信息中心人员,每位员工拥有各自VPN用户名及密码,对于外部厂商人员,为每个厂商分配了VPN连接用户,以在需要时区分远程连接操作的操作者。
(2)安全特性:VPN后台管理可以为设置VPN访问策略;可以通过连接监控器管理历史VPN连接访问记录。
2.3 数据库安全管理
数据库是医院信息系统数据存储的核心,数据不仅是各个应用系统的基础,也是医院的重要资源。数据安全是医院信息系统安全的核心部分。
数据库的安全威胁主要有三种:篡改、损坏、窃取。在数据库安全管理层面,提供4种安全管理策略。
2.3.1 用户注册管理
系统管理员为不同类别用户注册不同用户名,以方面针对性地进行权限管理与权限控制。
2.3.2 身份验证管理
身份验证管理包括数据库服务器登录的身份验证管理与数据库本身的登录身份验证管理。所有的用户登录均需要通过验证用户名与密码。系统管理员按操作规程定期修改数据库服务器密码。
2.3.3 存取控制管理
对分配给数据库进行操作的用户根据用户类型进行存取权限控制管理。例如管理员类用户具有最高的读写、删除权限。
2.4 应用系统权限管理
医院所有应用系统通过集成平台集成到统一的医院门户中。门户下的应用权限分为两级权限管理:门户权限管理与应用系统内部权限管理。门户系统权限设置基于用户角色进行权限分配,医院员工通过分配相应角色使用门户功能;系统功能权限主要控制操作人是否可以进入该功能。
2.4.1 角色设置
医院对相关的角色进行整体分类,划分了以下角色:医生、护士、药剂科、门办、医务处、医保办等、职能科室负责人、医院副职领导、院长、系统管理员、其他角色。
2.4.2 系统功能权限设置
将系统功能进行类别的划分,例如业务处理、财务状况、医疗动态、药品信息、病人资料、人事行政、总务后勤、其他信息、系统维护。
2.4.3 角色具体权限分配
对所建立的角色分配权限,当新用户加入时,通过为用户分配角色,实现相应功能权限的分配。例如000586王新军药剂科管理员,具有药库系统;药库查询;药库报表;药库维护;门诊发药;工作报表;统计查询等权限。
2.5 院内终端设备安全管理
2.5.1 操作系统登录用户设置
院内所有终端电脑登录用户设置为不具有操作系统管理权限,同时对涉及安全操作功能对登录用户进行了屏蔽。保证了用户登录操作系统进行应用系统操作的同时,也不会因其他误操作引起终端电脑产生安全漏洞。
2.5.2 终端电脑设置不能访问外网
院内所有终端电脑安装默认设置为不能访问外网,只需接入医院内网以满足医院业务应用操作需要。如因业务需要确实需要接入外网的终端,须经院内审核后进行设置。防止因终端电脑任意访问外网所导致的网络病毒的威胁及黑客攻击。
2.5.3 终端电脑禁用USB接口
院内所有终端电脑操作系统设置为禁止使用USB接口。如因业务需要确实需要开通USB接口,须经院内审批后进行设置开通。防止因接入可能存在病毒及木马的USB设备而引起的终端电脑病毒感染,避免终端电脑的文件及信息被窃取。
2.5.4 终端电脑安装安全防护软件
院内所有终端电脑上都安装安全防护软件对终端电脑进行系统与文件的安全保护,对有威胁的文件进行过滤及清除。及时发现、定位及清除病毒文件,为终端电脑提供实时的安全防护。
3 结束语
医院信息安全作为医院信息化管理的关键工作之一,是一个复杂的系统工程,医院需要建立一套完整的信息安全管理体系,采用多种技术手段,建立有效、健全的安全防御体系来全方位的防止来自网络内外的威胁,最终达到保护医院信息安全的目的。
参考文献
[1]孟一清.浅谈医院信息安全管理[J].中国卫生产业,2011,8(12):168-169
[2]陈敏,郑见立.湖北省医院信息安全状况调查与分析[J].中国医院管理,2011,31(5):20-21
[3]石凌云,詹建国.计算机网络安全服务器入侵与防御研究[J].电脑知识与技术,2010,6(15):4116-4119
[4]房宁.基于VPN技术及其应用的研究[J].计算机光盘软件与应用,2012,11:32-33
[5]陈凌平,马宗庆,郭振华.医院信息系统安全与管理建设浅谈[J].中国医疗器械信息,2010,16(3):21-25
[6]田秀霞,王晓玲,高明,周傲英.数据库服务――安全与隐私保护[J]. 软件学报,2010,21(5):991-1006
[7]赵鞯,韩作为,张懿文.数据库审计在医院信息化管理中的应用[J].中国循环杂志,2011,8(26):393-394
本文链接:http://www.vanbs.com/v-141-3459.html医院信息安全体系范文8篇
相关文章:
高三英语二轮复习计划01-19
安全重要性的标语11-29
初三数学备课计划10-26
成长个性朋友圈语录文案10-05
精美摘抄句子10-19
小学语文班主任工作总结三年级(8篇)10-22
地产公司年终总结汇报10篇08-16
购房的合同11-15
个人电子版工作证明08-01
公司道歉信07-16
《杀死一只知更鸟》读书笔记01-21
描写美好心情的词语12-26
小学生四年级英语日记10-24
走自己的路作文08-08