時間:2024-03-15 10:41:13
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇醫院信息安全管理措施范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
醫院檔案信息化是指檔案管理模式轉變的過程,從以檔案實體為重心轉向以檔案信息為重心。在醫院檔案管理活動中全面應用現代信息技術,加速實現檔案管理現代化的進程,醫院檔案信息化建設就是在醫院檔案行政管理部門的統一規劃和組織下,對醫院檔案信息資源進行處置、管理和為社會提供服務。
隨著信息社會的到來,檔案現代化管理和信息化建設,是醫院檔案工作發展的必然趨勢,醫院檔案基礎業務建設的重心也開始向信息化、現代化轉移。為了研究醫院檔案信息化,必須首先了解什么是檔案信息化,才能知道其現在面臨的問題,進而找到解決的對策和方法。信息技術在國民經濟和社會發展中扮演了越來越重要的角色。
在這個信息化的時代,在科學發展觀的指導下,隨著新醫改的不斷深入,醫院經營管理的逐漸市場化,醫院的信息化建設也漸漸被管理者所重視,成為醫院基礎建設的一部分,融入到醫院現代化建設經營管理之中。
而檔案管理則成了醫院信息化的重要組成部分。通過精心設計版面,內容架構,以及對功能模塊的完善,檔案信息化成為醫院在經營管理和競爭中不可替代的關鍵部分。
2 方法
2.1 醫院檔案信息的數字化,它是指將紙質文件、聲像文件等介質文件和已歸檔保存的電子檔案,利用數據庫技術、數據壓縮技術、高速掃描技術等技術手段,系統組織成具有有序結構的檔案信息庫。檔案目錄信息的數字化、檔案全文信息的數字化,是檔案信息數字化的內容有兩個不同層次。檔案信息數字化的原則:規范性原則、安全性原則、效益性原則。
2.2 檔案網站建設,它是指檔案網站是檔案機構在公共信息服務網站上建立的站點,它一般是以主頁方式提供相關檔案服務和開展檔案宣傳。檔案網站建設是檔案信息化建設的重要步驟,檔案網站的功能有:服務功能、宣傳功能、交流功能。是醫院檔案部門聯系整個醫院及社會的重要窗口。檔案工作信息、檔案機構信息、檔案資源信息、檔案利用服務信息是檔案網站的主要內容。
2.3 數字檔案建設,它強調的是在數字化檔案環境下用戶開發利用檔案信息資源的便利,它是指利用電子網絡遠程獲取檔案文件信息的一種方式。數字檔案的主要特點:①功能定位上的特點,以存取為中心;②運行方式上的特點,存取檔案信息的網絡化;③存在方式上的特點,是一種無形的信息組織與利用環境。
3 檔案信息化的存在問題及解決辦法
3.1 檔案升級在加強規范管理方面需要一筆較大支出,要積極扶持醫院檔案信息化建設以保證檔案信息化建設順利進行。
3.2 開展業務指導,提高創建技術。醫院檔案信息化建設涉及很多新情況、新問題,應積極開展醫院檔案信息化建設業務指導,加強與檔案主管部門聯系,有的內容專業性較強,通過組織培訓、舉辦講座、上門輔導等方式,普及創建技術,從而業務技能,傳授檔案升級方面的專業知識。
3.3 挖掘內部潛力,增強創建力量。管理檔案人員少的矛盾日益突出,再抽調人員從事檔案升級工作相當困難。每天需要應付日常工作,很難抽出更多的精力搞創建。應成立創建工作領導小組,保證創建工作穩步推進。
3.4 強化檔案管理,完善創建條件。現有的醫院檔案管理水平停留在原先省一級標準基礎上,對照省特一級標準差距較大,所以要不斷更新觀念,完善具體操作規程,推進規范化建設,進一步健全歸檔、保管、鑒定、借閱等各項管理制度;升檔案服務水平,為檔案管理升級提供基礎保證,要及時引進先進檔案管理設備。
3.5 加大宣傳力度,提高創建認識。思想認識上的偏差,即使爭創檔案升級,也是辦公室檔案人員的事,與己無關,或者對醫院檔案信息化建設的重要性了解不夠,認為這是可有可無的事。應組織大家學習,增強為檔案升級工作服務的自覺性、積極性,提高全體人員對檔案信息化建設重要性的認識。
4 結論
“采用計算機及其配套設備,縮微機及其設備,保護技術現代化”,是管理手段的現代化和保護技術的現代化。檔案管理現代化、信息化,其核心是就是它們。主要是檔案存儲環境控制檔案存儲載體更新改造的科學化。要抓住機遇,提高工作水平、工作效率,提升服務質量,逐步構建起各地檔案信息平臺,努力把檔案信息化建設作為政府電子政務建設的一個重要內容;要加強領導、提高認識,加快檔案信息化建設,認真研究,合理規劃,爭取支持,加大投入,配備人才;要制定信息化建設的中期規劃和短期目標,使檔案的管理水平邁上一個新臺階,加大投入,逐漸增配軟、硬件設施,爭取政府和上級部門的支持,為社會創造更大的經濟效益和社會效益。
參考文獻:
[1]李愛軍.檔案信息化的現狀及對策分析[J].銅陵學院學報,2006,(02).
[2]金光華.在企業信息化環境中的檔案信息化定位研究[J].中國管理信息化,2005,(02).
1 對醫院電子檔案信息安全管理產生影響的因素
綜合分析,當前對醫院電子檔案信息安全管理產生影響的因素主要涉及到以下幾個方面。
1.1 環境安全因素
電子檔案是將電信號和磁介質作為主要載體的檔案文獻,因此環境中的磁場干擾和突然斷電等問題都會對電子檔案信息安全產生影響,出現檔案數據失真問題,影響電子檔案信息安全的合理管理[1]。同時供電系統的故障也可能會給電子檔案信息造成嚴重的破壞。所以在加強電子檔案信息安全管理工作的過程中,應該注意突出環境建設,以環境建設為電子檔案信息安全管理提供良好的支持。
1.2 網絡環境的影響
近幾年隨著網絡信息技術的發展和其在社會上的普及性應用,網絡安全問題頻繁出現,網絡病毒和黑客等對信息安全產生了嚴重的不良影響,醫院電子檔案信息安全管理也受到嚴重的威脅。所以醫院應該正視來自互聯網的威脅,對網絡安全環境進行合理分析,進而從網絡安全角度加強電子檔案信息安全管理,有效促進檔案管理水平的全面提升。
1.3 制度和人為影響因素
現階段我國醫院檔案管理工作中管理制度建設不完善以及工作人員計算機專業素質偏低的問題也對電子檔案信息安全管理的優化開展產生了一定的不良影響[2]。在制度不完善的情況下,管理規范性不足,并且由于管理人員綜合素質偏低,無法應對計算機系統故障和網絡安全對電子檔案信息安全管理產生的威脅,導致醫院電子檔案信息安全管理水平偏低。
2 新時期醫院加強電子檔案信息安全管理的措施
當前社會上層出不窮的信息安全問題不僅對社會信息安全造成了一定的不良影響,甚至嚴重者還會威脅社會的穩定。所以社會各界都加強對信息安全管理工作的重視,希望借助科學合理的信息安全管理,為信息行業的穩定發展提供良好的支持。在此背景下,醫院電子信息檔案管理也受到高度重視,成為醫院檔案管理部門重點關注的問題。所以本文基于當前醫院電子信息檔案管理實際需求對電子檔案信息安全管理的措施進行了適當的分析,以期為電子檔案信息管理的全面優化提供良好的支持。
2.1 加強對安全穩定數據庫環境建設工作的重視
醫院新時期加強對電子檔案信息安全管理工作的重視,最為關鍵的一點就是應該保證安全穩定環境的建設,為電子檔案信息數據庫的穩定運行提供良好的支持。首先,針對醫院電子檔案信息的實際需求,醫院應該嘗試構建獨立的存儲電子檔案信息數據庫室,并對數據庫室內的環境進行合理布置,將其設置為暗室,注意采取適當的避光防塵措施,室內除了應該設置獨立的18T的光纖通道存儲設備外,也應該引入數據核心交換機、高性能刀片服務器等設備[3]。同時,針對醫院的具體情況可以有選擇性的配置除濕器和恒溫機,保證醫院數據庫室整體環境保持在恒定溫度和濕度范圍內,并堅持遠離磁場,避免數據庫?子檔案信息受到電子干擾。同時,由于電子檔案信息數據庫的穩定運行需要電源的支持,因此在環境建設工作中也注意電源保護問題,設置獨立的電源,即使遇到突發停電的情況也能夠保證數據庫室在一段時間內的穩定運行,進而為管理者手動保存資料、關閉數據庫提供充足的時間,有效規避突然斷電對檔案數據信息產生不良影響。這樣借助良好數據庫外部環境的建設,醫院電子檔案信息安全管理就能夠獲得良好的設備支持,提升管理效果。
2.2 提升網絡信息技術安全保障工作質量
網絡信息技術安全保障工作在醫院電子檔案信息安全管理工作中發揮著重要的作用,能夠促進醫院電子檔案信息安全管理工作的順利推進,促進管理水平的進一步提升。所以醫院檔案管理部門在開展檔案管理工作的過程中必須保持對網絡信息技術安全保障工作的高度重視,從多角度探索安全保障措施。首先,應高度重視備份工作,確保即使電子檔案信息受到外部力量的沖擊仍然能夠進行及時的恢復,維護電子檔案的安全。在開展備份保障工作的過程中,醫院應該按照不同的類別實施電子檔案信息的本地備份和異地備份、在線備份和離線備份、增量備份和差分備份等,保證備份的全面性和有效性,為電子檔案信息安全工作的良好開展創造條件[4]。其次,電子檔案信息加密保障工作,借助加密保護,有效防止病毒和黑客的入侵,并避免電子檔案信息被不合理的修改泄密等,切實維護醫院電子檔案信息安全。一般情況下,醫院電子檔案管理部門在實施加密保障的過程中可以引入軟硬件結合的加密措施,保證只有借助專門的軟件才能夠讀取檔案信息,維護電子檔案數據安全。最后,設置高級別的防火墻,對檔案資源使用者進行合理的限制,對于醫院電子檔案資源中非機密性的信息可以供個人或者相關組織使用,而對于機密性檔案則應按照嚴格的借閱流程才能夠使用檔案資源。這樣不僅能夠實現對醫院電子檔案信息安全的合理維護,還能借助對檔案機密性等級的劃分,增強電子檔案信息的有效利用率,為患者和社會相關組織提供相應的檔案信息服務。
2.3 逐步完善檔案規章管理制度,提升管理人員的綜合素質
在醫院電子檔案信息安全管理工作中,檔案規章管理制度的建設是維護檔案管理信息安全的重要保障,而高素質人才則能為電子檔案信息安全管理提供相應的人才保障,所以在加強電子檔案信息安全管理的過程中也應該重視制度建設和人才隊伍建設[5]。首先,應該結合醫院電子檔案信息安全管理的實際需求逐步構建相對完善的規章制度,加強對檔案管理工作的規范,保證電子檔案信息的全面性、完整性和安全性。其次,應注意組織檔案管理人員參與相應的在職培訓活動,促進管理人員綜合管理素質的提升,保證管理人員能夠結合醫院電子檔案信息安全工作的實際需求開展各項管理工作,提升安全管理工作質量。這樣,醫院電子檔案信息安全管理工作就能夠在新時期實現新發展,促進醫院電子檔案信息資源的合理利用。
關鍵詞:信息安全等級保護;機構管理;信息中心隨著《信息安全等級保護實施指南》和《信息安全等級保護管理辦法》等一系列文件頒布以來,醫院如何開展等級保護工作,確保信息安全,已經變成熱門話題。其中,負責醫院信息安全等級保護工作的組織管理機構,主要從管理層和用戶層對醫院信息安全等級保護進行管理建設。管理層的主要工作是制定醫院信息安全等級保護工作的管理辦法;用戶層的主要工作是依據管辦法要求,進行溝通合作以及運行監控和審查檢查工作。
1信息安全機構管理目的
信息安全等級保護工作是解決信息安全問題的基本方法,而信息安全不僅靠物理安全、網絡安全、主機安全等具體技術上的實現,還需要建立健全的信息安全機構管理制度,貫徹信息安全工作和維持信息安全的建設成果,在技術和管理兩個維度下保障信息安全保護體系在持續的運營工作中發揮應有的信息安全保護作用[1]。
2信息安全機構管理思路
2.1加強安全管理建設是實現等級保護組織機構管理的基礎 醫院信息安全管理需要由醫院信息化領導機構協調進行。為了完成和強化信息安全的管理,需要建立相應的信息安全管理機構,這是醫院信息安全等級保護實施的必要條件[2]。同時,安全組織管理建設也是重要組成內容,包括健全組織體系,明確負責安全管理的主要領導、主管部門、技術支持部門和宣傳部門,制定系統安全保障方案,實施安全宣傳教育、安全監管和安全服務等。
2.2相關管理辦法制定是規范等級保護組織機構管理的根本保證 醫院信息系統存在著來自社會環境、技術環境和物理自然環境的安全風險,其安全威脅無時無處不在。對于醫院信息系統的安全問題,不能企圖單憑利用一些集成了信息安全技術的安全產品來解決,而必須配合等級保護的信息系統安全保障體系,制定相關管理辦法,全方位綜合解決系統安全問題。
2.3定期審查監控是實施等級保護組織機構管理的具體表現 根據醫院對于信息安全等級保護的要求,安全等級保護除重視技術解決方案外,更應明確定期審查、檢查和監控的必要性。包括:指定專員定期對系統進行安全巡查,檢查的內容包含例如系統運行情況、系統漏洞確認、系統數據備份、現有安全技術措施有效性、安全配置與安全策略一致性、安全管理制度的執行情況等等。
3信息安全機構管理措施
醫院信息安全管理體系依賴于信息安全等級保護管理建設的機構管理。根據醫院當前信息安全管理需要和機構管理特點,和信息安全等級保護管理所要求的系統建設管理、系統運維管理、安全管理機構、安全管理制度和人員安全管理,筆者從崗位設置、人員配備、授權、審批、審查和溝通交流等方面分析醫院信息管理機構建設,切實做到提升醫院信息等級保護管理的能力。
3.1崗位設置 信息中心內部根據崗位劃分不同,設置多個安全管理崗位包括系統管理員、網絡管理員、安全管理員、安全審計員崗位,各崗位人員應按照自己的崗位職責,落實本崗位的信息安全工作[3]。
以我院為例,我院信息安全管理工作由院領導負責指導和管理,同時成立了醫院級別的信息安全工作領導小組,由黨委書記擔任領導小組組長,由信息中心負責管理工作的具體落實,制定各信息系統相關崗位的崗位職責和工作標準并形成文件。
3.2人員配備 信息中心采用安全責任層層落實制,中心主任對醫院所有信息化相關系統負責,網絡工程師對醫院所有網絡建設及維護負責,系統工程師對醫院服務器、數據庫、存儲和信息系統負責,信息安全工程師對醫院網絡安全、信息安全、機房物理安全負責,安全審計工程師對所有人的信息安全工作進行監督和審計,保證信息安全工作層層做實。
3.3授權和審批 醫院信息中心對于外部廠商人員的相關操作均需進行審批流程,通過軟件記錄其所有操作行為,并保存進檔。對于中心內部工作人員執行嚴格的離崗流程,由所在部門主管負責回收本部門負責的相關權限,所有權限回收后方可辦理正常的離職手續。
信息中心對于客戶端操作系統權限、應用系統操作權限、數據庫操作權限進行分級控制。內網客戶端硬盤分區全部使用NTFS,管理員密碼由信息中心網絡組每月定時更換;對所有應用系統功能進行編號,對功能進行模塊化管理,并對模塊進行分級控制;同時,設置數據庫用戶,將不同應用的數據分別管理,賦予創建、修改、刪除表及表內數據權限。
3.4審查和檢查 醫院信息中心日常檢查由信息安全管理員進行,自檢內容包括終端安全自檢和軟件管理自檢,終端安全自檢包括檢查是否每臺計算機安裝防病毒軟件,病毒庫是否為最新版本,終端操作系統是否安裝最新補丁,是否設置6位以上口令;軟件管理自檢包括檢查軟件是否為正版軟件,軟件管理的各項記錄是否完整等。
構建信息安全綜合防護體系保證醫院各系統能夠長期穩定安全運行,滿足了醫院不斷擴展的業務應用和管理需要。本文對信息安全機構管理的目的、思路和措施進行了詳細的分析闡述,對相關工作人員和機構具有一定的啟示意義。同時,通過梳理分析業務特點和管理流程,依據等級保護相關政策和標準,明確安全管理需求,筆者所在醫院信息管理中心整理并制定出符合醫院信息系統實際情況的一套信息安全管理體系文件,并在2012年公安局等級保護測評中被評為三級。
參考文獻:
[1]蘇丹.醫院信息系統安全與管理[J].中國信息界(e醫療),2013,(05):58-59.
【關鍵詞】信息安全等級保護 測評實施
1 引言
醫院信息化建設快速發展,信息系統應用深入到各個環節,信息業務系統承載了門診收費、門診藥房、住院收費、住院藥房、醫保、財務、門急診醫生護士站、住院醫生護士站、電子病歷、病案首頁、檢驗LIS系統、檢查PACS系統、體檢系統等。保障重點信息系統的安全,規范信息安全等級保護,完善信息保護機制,提高信息系統的防護能力和應急水平,有效遏制重大網絡與信息安全事件的發生,創造良好的信息系統安全運營環境勢在必要。根據衛生部印發的《衛生行業信息安全等級保護工作的指導意見》,衛生信息安全工作是我國衛生事業發展的重要組成部分。做好信息安全等級保護工作,對于促進衛生信息化健康發展,保障醫藥衛生體制改革,維護公共利益、社會秩序和國家安全具有重要意義。
2 確定測評對象與等級
我院是一所二級甲等綜合醫院,日門診人次1000人左右,住院日人次400余人。醫院信息系統HIS、LIS、PACS、電子病歷、體檢等50余個系統無縫結合,信息雙向交流。按照《信息系統安全等級保護定級指南》定級原理,確定醫院信息業務系統的安全保護等級為第2級,其中業務信息安全保護等級為2級,系統服務安全保護等級為2級。
2.1 招標比選測評公司
醫院通過四川警察網了解到四川省獲得信息安全等級保護測評有資質的5家公司。醫院電話通知該5家公司,簡單介紹醫院信息化情況,其中有3家公司到現場進行調查,掌握了信息系統情況。然后通過招標比選確定一家公司為我院測評安全等級保護。
2.2 測評實施
2.2.1 準備階段
醫院填報《安全等級保護備案申報表》、《安全等級保護定級報告》,確定安全主管人員、系統管理員、數據庫管理員、審計管理員、安全管理員。醫院組織相關人員到市級計算機安全學會進行安全培訓學習。確定醫院信息安全主管人員協助測評公司人員就醫院信息業務系統做調研,提交準備資料。調研內容涉及網絡拓撲結構圖、線路鏈接情況、中心機房位置分布情況、應用系統組成情況、服務器操作系統、數據庫系統以及相應的IP地址、網絡互連設備的配置、網絡安全設備的配置、安全文檔等。
2.2.2 測評主要內容
主要針對醫院信息系統技術安全和安全管理兩方面實施測評,其中技術安全包括物理安全、網絡安全、主機安全、應用系統安全、數據安全及備份恢復進行5;安全管理包括安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理。
2.2.3 測評方式與測評范圍
測評公司綜合采用了現場測評與風險分析方法測評、單元測評與整體測評。單元測評實施過程中采用現場訪談、檢查和測試等測評方法。就各類崗位人員進行訪談,了解醫院業務運作以及網絡運行狀況;查看主機房、應用系統軟件、主機操作系統及安全相關軟件、數據庫管理系統、安全設備管理系統、安全文檔、網絡分布鏈接情況。檢查物理安全、主機安全、網絡安全、應用安全和數據安全及備份恢復等技術類測評任務,以及安全管理類測評任務;查閱分析文檔、核查安全配置、監聽與分析網絡等檢查方法查證防火墻、路由器、交換機部署及其配置情況、端口開放情況等;測評人員采用手工驗證和工具測試進行漏洞掃描、系統滲透測試,檢查系統的安全有效性。
整體測評主要應用于安全控制間、層面間和區域間等三個方面。主要就是針對同一區域內、同一層面上或不同層面上的不同安全控制間存在的安全問題以及不同區域間的互連互通時的安全性。
醫院信息系統運用了身份鑒別措施、軟件容錯機制、用戶權限分組管理、密碼賬戶登錄、數據庫表中記錄用戶操作、對重要事件進行審計并留存記錄。網絡邊界處部署防火墻防御入侵,終端使用了趨勢網絡版本防病毒產品,抵御惡意代碼。開啟系統審計日志,制定和實施有效安全管理制度,加強安全管理,降低系統安全風險。網絡進行了有效的區域劃分,區域之間通過訪問控制列表實現安全控制,與社保局、醫管辦等第三方外聯區之間通過防火墻嚴格限制訪問端口。
2.2.5 差距分析與測評整改
通過測評,測評公司寫出測評報告,提出整改建議。按照《信息系統安全等級保護基本要求》要求6,測評公司人員根據醫院當前安全管理需要和管理特點,針對等級保護所要求的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理,從人員、制度、運作、規范等角度,進行全面的建設7,提供技術建設措施,落實等級保護制度的各項要求,就各類人員進行安全培訓,提升醫院信息系統管理的能力。醫院分期逐步投入防網絡入侵系統、數據庫審計系統等。
2.2.6 編制報告,成功備案
測評公司編制報告,上報市公安局備案成功,獲得二級信息系統備案證書。二級信息系統,每兩年進行一次信息安全等級測評。實施安全等級保護測評備案使醫院信息系統安全管理水平提高,安全保護能力增強,有效保障信息化健康發展。
3 結語
網絡安全問題是一個集技術、管理和法規于一體的長期系統工程,始終有其動態性,醫院需要不斷進行完善,加強管理,持續增加安全設備以保障醫院數據安全有效,保障信息系統安全穩定運行。醫院信息安全建設要切合自身條件特點,分期分批循序建設,保證醫院各系統長期穩定安全運行,以適應醫院不斷擴展的業務應用和管理需求8。
參考文獻
[1]衛辦發.〔2011〕85號,衛生部關于印發“衛生行業信息安全等級保護工作的指導意見”的通知,2011.
[2]尚邦治.做好信息安全等級保護工作[J].中國衛生信息管理雜志,2005.
[3]王建英,陳文霞,胡雯,張鵬.醫院信息安全分析及措施[J].中國病案,2013.
[4]王俊.醫院信息安全等級保護管理體系的構建[J].醫學信息,2013.
[5]韓作為.醫院信息安全等級保護三級建設流程與要點[J].中國數字醫學,2006.
關鍵詞:醫院;信息技術;安全管理
中圖分類號:R19 文獻標識碼:A
隨著21世紀的到來, 我國整體信息化水平的提高以及醫院規模的擴大、現代設備的增加以及門診量的提升,通過信息化手段提升醫院整體管理水平,提高醫院內部診療信息的共享率,全面增強醫院服務患者水平成為現代醫院新的經營理念和必然的發展趨勢。本文將從技術和管理兩方面介紹保障信息安全的主要方法,并結合醫院的特點說明怎樣的醫院信息系統才是一個安全的系統。
1 醫院信息化建設的安全范疇
1.1局域網絡
就醫院局域網建設來說,它應緊密圍繞著醫院管理目標,體現醫院管理思想。它所面臨的安全威脅主要來自非法用戶利用私自連接上網的未經授權的工作站或利用一臺合法工作站, 通過竊聽網上通信來竊取合法用戶的用戶標識符(ID)和口令,冒充合法用戶登錄系統,竊取或修改數據。保障信息安全就必須有效地對抗這些攻擊。
(1)網絡的安全機制
醫院信息管理系統(HIS)已在我國大部分醫院啟用,為防止未授權用戶進入系統或合法用戶訪問它無權了解的信息,在用戶登錄系統時,對其訪問資格進行認證,即身份認證。目前主要采用ID+ 口令方式。用戶登錄時,輸入ID和口令。這種方式簡單易行,但ID 和口令容易泄露,安全性差。最佳方案是采用智能IC卡技術。用戶的個人信息存儲在IC 卡內, IC卡使用多種安全技術確保卡內資料不會被復制和泄漏。使用時,將卡插入工作站的讀卡器進行身份認證。由于費用較高,當前國內醫院較少采用。但它的安全性能突出, 而且一卡多用, 是今后的發展方向。
(2)網絡通信數據的保密
在網絡分層通信中,保密通信安排的層次越高,則傳送密文的安全路徑越長,信息傳輸的安全性相對也越高,但相應的開銷和延時也可能較大,所以網絡中具體安排哪一層次進行加密和解密,仍需根據網絡系統應用類型、范圍及環境等因素綜合考慮和規劃。在這種結構的網絡中,數據以廣播的形式進行發送。當一臺工作站與服務器通信時,網上的其他任何一臺計算機都可以獲得傳輸數據的副本。為了保證有在線竊聽情況下數據的保密性,只有對數據加密。現階段國內醫院信息系統,基本選用軟件加密方式。密碼運算工作全部由工作站和服務器完成。如果網上數據全部加密傳輸,運算量極大。在通信頻繁的情況下,會使整個系統的性能迅速下降。通過分析醫院的信息流動情況和面臨的安全威脅,可以看出:首先,醫院并非高度保密單位。日常工作中使用的信息,多數保密等級并不高。其次,入侵者攻擊方式和目的明確,主要是試圖經網絡侵入系統,通過非法修改、竊取、破壞保存在數據庫中的相關數據,從而獲取某種程度的利益。而不是單純通過在線竊聽網上通信來獲得有用的信息。因此,將少量保密等級高的數據在網上加密傳輸,而大部分普通數據則直接傳輸,可使系統的速度和安全性能均達到滿意的水平。為防止在用戶登錄時其ID、口令等用戶安全信息被竊聽,這類對系統安全至關重要的數據在網上傳輸時必須加密。
1.2 系統和應用軟件
包括操作系統、數據庫和管理信息系統。為能有效保障信息安全,軟件系統應具有以下技術特性:
(1)訪問控制
系統應能通過授權數據庫等安全機制對用戶進行分級管理,限定訪問權限。從而防止無權用戶對操作系統核心區域和重要文件的訪問,避免系統被破壞和系統安全信息的泄漏。對數據庫的訪問,在任何情況下,都應通過數據庫系統進行。防止用戶繞過數據庫系統, 直接存取庫中數據。醫院信息系統中的數據庫,其訪問控制的粒度至少要達到/“紀錄”一級。例如,在病案管理中,對于病案庫中的每一條紀錄,只有其主管醫師擁有/“修改”權限。其他一些人員可以有/ “只讀”權限,有時還需要限定某些人員的查閱項目(訪問控制的粒度需達到/“域”一級)。對于無權接觸病案的人員,則禁止其訪問。
(2)安全審計
一個安全的系統應該知道系統中何時何處誰在做什么。這就要求系統能跟蹤運行中發生的事件和出現的變化,將過程記錄在工作日志中。以便供安全審計人員查閱,發現問題并采取相應的防范措施。工作日志應具有很高的安全等級,并禁止修改。
(3)數據加密存儲
是利用數據加密技術將數據庫中的數據由明文變為密碼存儲,使非法攻擊者即使得到數據也無法解讀和使用。多數系統采用在程序中設置固定的加密算法和密鑰的方式對數據庫進行加密。這種加密方式容易實現,使用簡便,能夠提供一定的防護能力。在醫院信息系統中被廣泛采用。缺點是,由于始終使用同一個密鑰進行加密,安全性不高。如改用可變密鑰的方式,將大大增加數據庫的安全性,但同時也會使數據庫管理工作變得復雜。
(4)簽名和校驗
簽名用來紀錄數據錄入者的身份,明確責任。校驗用以檢驗數據在存儲過程中是否被非法修改。在醫院信息系統中,一般以/“紀錄”或/“域”為單位進行簽名。例如,在電子病案中各級醫師每日的查房紀錄和醫囑,都應由各人分別簽名確認。簽名往往與校驗結合在一起,利用操作者的個人密鑰,對被簽名數據進行運算,生成消息驗證碼(MAC)與被簽名數據一起存儲,實現校驗和簽名的雙重功能。
2 醫院信息安全系統的管理
隨著計算技術的發展和普及,計算機技術被廣泛運用于各個領域,為醫院信息安全系統提供重要的技術支持。計算機系統主要由硬件和軟件構成,但是系統的運行卻離不開其使用者。所以明確醫院信息安全管理目標,加強人員的培訓,加強信息系統安全管理,才能保證醫院安全信息系統的正常運行。
2.1 信息安全行政管理措施
(1)明確安全管理目標及方法。每個醫院信息安全問題都不同,對信息安全系統的要求也不同,所以在進行醫院信息安全系統管理的時候,要依據醫院的實際情況及醫院的信息安全需求,明確醫院信息安全系統的管理目標,并制定相應的安全管理措施,保障醫院信息安全。(2)信息安全管理隊伍的建立。依據醫院實際情況,建立相應的安全管理隊伍,合理分配管理任務,落實責任制度,保證安全管理工作的順利進行。(3)信息安全制度的制定。信息安全制度是規范信息安全管理工作,明確信息安全工作目標,落實信息安全職責的重要原則。信息安全制度主要包括工作規程、安全原則及工作責任等。
2.2 信息安全管理工作內容
(1)提高人員的安全意識。采用職位轉換的方式,避免工作人員長期擔任信息安全管理工作。確保每位工作人員具有獲取工作信息的權利,制定信息安全管理制度,對每位工作人員獲取的信息進行有效的管理和控制,同時對每位工作人員進行信息安全管理教育,提高工作人員的信息安全意識。(2)加強信息系統設備維護和管理。管理人員將信息系統所有的設備資料進行詳細的記錄,記錄設備的型號、名稱、編號等等。安全管理人員可以依據設備檔案資料對設備進行定期的檢查,檢查信息設備的運行情況,及時更換新設備,保證信息系統的正常運行。(3)信息安全管理工作的審核。對信息安全管理工作進行有效的審核,及時發現信息系統存在的安全問題,并制定相應的解決方法,消除信息系統存在的安全隱患,保證醫院信息安全。(4)信息系統病毒的安全防范。在信息系統病毒防范上,通常采用殺毒軟件來起到預防、殺毒的作用。而在信息系統安全管理中,則通過安全防范措施來達到阻止病毒入侵,保證信息系統安全的目的。病毒防范措施主要有兩個方面。第一,如果病毒是通過信息網絡入侵的,醫院最好采用獨立的局域網,與公用的網絡進行隔離。同時可以在網絡接口處安裝殺毒軟件和防火墻,可以起到一定的防治作用。第二,如果病毒是通過可移動的存儲設備入侵的,在信息安全系統運行中最好禁止使用移動存儲設備。對必須用到的存儲設備進行有效的安全管理,在信息系統中安裝殺毒軟,防治病毒對信息系統的破壞。同時在技術允許的情況下,對系統設備進行嚴格檢測,保證移動存儲設備內沒有病毒。
結語
總之,醫院信息管理對信息安全等級保護的實現有十分重要的意義和作用,為使采集的數據真實有效,要制定了工作站入網操作規程,以提高信息的準確性。在實際工作中,網絡管理人員只有不斷更新知識、積累經驗,才能未雨綢繆,扼殺網絡癱瘓,把危害降到最低,確保醫院網絡安全運行。
參考文獻
在網絡與信息技術高速發展的時代,計算機信息管理系統在各醫院的經營管理中發揮著重要作用。計算機信息安全系統在帶來方便的同時,也存在一定安全隱患。鑒于此,本文主要探討了如何加強醫院管理系統信息安全的策略進行了探討,以保障醫院工作的高效、安全進行。
【關鍵詞】
醫院管理系統;信息安全;策略
近年來,醫療體制改革日漸深入,社會對醫院的管理水平與服務質量的要求也在提高,加上醫院規模不斷擴大,患者數量增加,醫院信息管理也迎來了新的挑戰。同時,信息技術手段的進步與發展,為醫院進行信息管理提供了便利,但也存在許多問題,特別是信息安全方面的問題,嚴重威脅到了醫院各項信息安全及完整性,影響醫院各項工作的開展。所以,加強醫院管理系統信息安全管理,對保障醫院各項工作的正常進行具有積極作用。
1內部硬件的安全管理
在醫院系統的內部硬件安全管理中,主要是對網絡服務器、工作站及交換器等內部硬件的安全管理[1]。對于這些設備,必須對其進行安全管理,并對網絡進行優化。在服務器與儲備設備的管理中,應該形成數據管理,如保證電源故障管理的積極運作,促進網絡的正常運用。為了保證系統的安全運行,關鍵是做好防護工作。因此,必須形成標準建構,以最大程度地保證網絡安全。在硬件方面,應避免相同設備出現問題,并在數據庫服務中應用集中管理系統,如硬盤選用的是磁盤陣列式,可實現在短時間內進行切換,促進整個系統的安全運用,除此之外,還應實施雙路管理,即一路為UPS系統,一路使用市電,以保證服務器與網絡設備的正常運行。
2網絡安全管理
進行網絡安全管理,主要是為了避免計算機受攻擊,包括主動攻擊與被動攻擊。在網絡正常運行的狀態下,醫院系統信息被截取、破壞、竊取的情況時有發生,對計算機網絡與數據都造成了很大損傷[2]。網絡攻擊會對內網與外網都構成巨大安全威脅,故必須增加投入,改善網絡安全,防范人為惡意攻擊,最大限度地保證醫院信息安全。基于上述認識,必須對網絡安全管理予以高度重視,并在管理與技術方面加強溝通,形成有前瞻性的管理策略,以實現對網絡信息安全管理的目的。
3軟件系統管理
對操作系統的管理,主要是做好正版操作系統的補丁工作。例如,在屏幕保護工作中,應將數據暴露于桌面。在對軟件系統進行管理時,需形成多個分區,然后分別放置操作系統、重要數據及應用系統。在管理過程中,要把多余的網絡協議、服務等刪除,并將不必要端口關閉,實現默認管理,并形成鎖定注冊表管理。需要注意的是,在醫院信息系統的網絡管理工作中,應將內網與互聯網隔開,不可在內網中形成互聯網鏈接,以保證內網操作系統的精準性與可靠性[3]。在殺毒軟件管理方面,安裝的軟件必須是正版軟件,并定期升級、殺毒,以保證病毒庫安全。情況需要時,可利用輔助軟件進行殺毒處理。對于流行性新興病毒,應做到定期查殺,并實現對軟件的實時監控,且要求在在下載升級后先殺毒再使用,與現行系統環境相結合,在促進軟件升級與改善測試環境的條件下做好管理工作,保證系統的安全運行。
4數據庫安全管理
在醫院系統信息管理工作中,數據信息的安全管理是核心部分。做好數據庫安全管理工作,可有效保證數據的安全,實現對數據的查詢,并保證數據在安全存儲中的合法訪問,構建基礎訪問權限。例如,在Oracle數據庫管理中,應重視并認真做好用戶區別與密碼保護工作。比如,在進行SYS與System特殊賬戶管理工作中,應嚴格控制網絡上的DBA權限,預防遠程訪問[4]。對于日志文件、DBA查看警告、定期檢查等,應加強監控與管理,以便第一時間發現與解決問題,實現對數據庫碎片及可用空間的管理。在數據庫管理中,還應對鏈接情況進行定期查看,并將不必要的鏈接清理干凈。在對網絡服務與網絡硬件進行檢查時,應保證硬件的正常運行。在開展周圍性數據庫管理工作時,應有較完善的數據庫恢復預案。對于數據庫而言,防止病毒入侵也是安全管理的一項重要內容。在醫院信息安全管理中,病毒問題是威脅信息安全的重要原因,對醫院各項利益均產生了很大威脅,故必須采取有效的防病毒措施。具體來說,應認真做好以下幾個方面的工作:(1)認真做好數據備份工作。病毒入侵會導致數據被竊取與篡改,故應對數據進行備份,特別是重要信息,即便病毒入侵也能保證數據的完整與安全。(2)保證操作系統的安全。盜版系統的穩定性較差,且往往存在較多漏洞易被病毒攻擊,無法保證信息的安全性。因此,所選系統應為正版,且要求管理人員應注意查看系統官方消息,加強系統更新與維護工作,以最大程度地保證系統的穩定性。(3)提升工作人員的安全意識。醫院應定期組織對工作人員的信息管理安全教育,使工作人員樹立正確的安全意識,并掌握常見的系統安全問題處理方法,以保證系統信息的安全性。(4)安裝各種殺毒軟件及其他防護軟件,加強信息管理系統的軟件屏障功能,并定期更新與維護,以保證系統的正常、安全運行。
5加強應急管理,完善事故處理預案
醫院應根據實際情況制定有效的應急方案。一方面,醫院平日應對相關工作人員進行專門培訓,保證每位工作人員熟悉緊急預案的流程及具體措施,以便發生緊急事件時能夠從容面對,將損失降至最低。另一方面,加強應急演練。醫院應定期對工作人員進行各種應急演練,并根據存在的問題進行整改,以保證應急方案的實用性與針對性,減少安全事故造成的損失。除此之外,為了避免意外破壞而導致信息丟失或網絡癱瘓,應在平時做好數據備份工作,并定期在服務器端進行一次聯機全備份與數據恢復檢驗工作,以確保備份的可靠性與有效性。
6結語
總而言之,在醫院信息化建設不斷推進的情況下,信息安全成為醫院高度重視的一個問題,因為醫院信息安全事關醫院、患者的切身利益。基于當前醫院管理系統信息安全的情況,醫院應積極采取有效措施,如加強內部硬件管理、網絡安全管理、軟件系統管理及數據庫安全管理等,以保證醫院系統信息的安全性與完整性,促進醫院各項工作的順利進行。
作者:李瑤瑤 單位:江蘇省鹽城市射陽縣中醫院
參考文獻:
[1]韓盼盼.加強醫院信息管理系統安全的若干策略[J].計算機光盤軟件與應用,2014(24):191,193.
[2]余晉輝.醫院計算機網絡信息系統安全問題策略探究[J].世界最新醫學信息文摘,2015,15(86):172~173.
關鍵詞:醫院信息化建設;信息安全管理;作用
DOI:10.12249/j.issn.1005-4669.2020.26.316
當前,醫院在很多方面都應用了網絡技術,其對信息系統的使用越來越依賴,隨著而來的風險也越來越高,特別近些年來的勒索病毒,更是給醫院的信息系統安全敲響了警鐘。因此必須要加醫院信息的安全管理,保證醫院信息系統運行正常。
1加強醫院信息安全管理的意義
隨著醫院的信息化建設不斷進步,醫院的信息系統很容易受到病毒的侵入以及不法分子的入侵,有資料顯示,當前一些醫院出現醫院患者資料信息出現泄漏及勒索病毒入侵等事件,出現這些問題的原因都是沒有重視信息的安全管理[1]。
2醫院信息安全管理的基本內容
醫院信息安全管理主要包括:1)機房管理:機房管理主要是斷電、設備損壞等現象。2)網絡安全:將內、外網完全隔離,設置防火墻以及配置訪問,保障網絡的安全。3)服務器安全:是對服務器的運行進行檢查,看是否存在種種弊端以及影響系統運行的因素,一般意義都是采用兩臺服務器(一臺運行,一臺容災)進行運作,主服務器受損后可以在短時間內用另一臺服務器進行運作,在很大的程度上保證系統的正常運行。4)客戶端管理:用戶根據不同的人(患者或醫生)有不同的訪問權限。5)病毒防護:隨著病毒及木馬種類的不斷增多,這些病毒對信息系統的危害是不容小覷的[2]。
3目前醫院信息安全管理存在的問題
3.1管理意識觀念不強
就目前醫院信息安全管理的現象來看,醫院領導的工作重心著重體現在醫療事物以及研究領域,忽略了信息安全管理的工作,普遍存在“重業務、輕安全”的現場,導致信息安全管理出現多種問題。
3.2網絡安全問題日益嚴重
在網絡時代的背景下,醫院信息管理系統正在逐步走向信息化,利用互聯網的特點使得信息傳播的速度變得越來越快。一些病毒、木馬等對信息系統的侵害日益嚴重,另外一些不法分子對信息系統進行入侵,例如,2011年福州某醫院處方事件、2018年江蘇某醫院的勒索病毒事件。
3.3從業人員的專業水平以及安全意識不強
醫院信息化建設過程之中,信息設備以及人才方面的投入不足,缺乏相關專業的技術人才,導致醫院信息化建設很難推進。
3.4數據庫的安全性不足
醫院信息化建設的數據庫都是用大中型數據管理工具進行管理數據,這些數據庫的安全機制并不是很好,大量的信息未經加密就儲存在數據庫中,一經泄露就會造成惡劣的影響[3]。
4威脅醫院信息安全的主要因素
由于醫院的信息系統關系著患者以及醫院自身的相關數據,這些數據都是非常重要的。但是由于醫院的信息化建設安全防護工作不到位,就會發生安全隱患。目前威脅醫院信息安全的主要因素有兩類。
4.1內部因素
可以分為:人為故意和人為無意。人為無意:相關人員的操作失誤造成的信息安全出現問題,比如,在訪問登錄頁面時,操作失誤造成安全漏洞。人為故意:醫院內部人員為了個人的利益,監守自盜,私自入侵系統篡改患者信息,或者泄露患者以及醫療機密的相關資料。
4.2外部因素
第一種就是木馬、病毒的入侵。由外部環境的產生的網絡病毒傳播到醫院的安全系統內部,造成損害。第二種就是非法入侵,對系統的相關資料進行下載者篡改,為醫院以及患者造成極大的損失[4]。
5醫院信息安全管理優化建議
5.1加強醫院信息安全管理意識
在醫院信息化建設的過程中,醫院的領導要重視這項工作,要認識到信息系統存在的安全隱患,增強管理者以及醫院工作人員的信息安全管理的意識。
5.2建立并完善信息安全管理制度
首先是人員方面的管理:未經允許,不得私自添加或者刪除相關的軟件;不得對醫院網絡功能進行修改、添加或者刪除等等。在設備方面,要拒絕使用質量不合格的設備設施,不得使用假冒偽劣產品等。網絡:建立防火墻,相關的殺毒軟件,工作人員要定期地對網絡進行安全隱患的檢測。
5.3提高相關人員的技術水平以及安全意識
醫院要引進相關的技術人才,管理人員不僅要熟練的掌握計算機和網絡的相關技術,還要對醫院的相關制度以及組織框架要有一定的了解,并對醫院其他的工作人員進行信息安全管理方面的培訓,讓全體人員加強安全防護意識。這樣才能提高醫院信息安全管理的水平。
5.4建立數據庫的備份與恢復工作
由于醫院的信息數據非常重要,在醫院信息化建設的完善和實施的過程中,數據庫的信息難免會出現泄露以及丟失,所以就要做好數據庫的備份與恢復工作。
5.5引進先進的設備設施
醫院應該引進先進的設備設施來加強安全信息的防護。利用先進的設備可以穩定的保證信息安全系統的運行,同時制定一套比較先進的安全管理模式,在服務器比較先進的情況下,可以設置一些基本的病毒防護措施,讓一般的病毒不易入侵到系統中[5]。
1 醫院檔案信息安全現狀
1.1 復雜性檔案種類
醫院工作過程當中會收集多方面和多元化的信息及資料,因此也就促成了醫院的檔案信息的復雜性問題。針對醫院的檔案信息進行管理和儲存,才能夠保證了解內容豐富和復雜的檔案信息,通過科學的管理方式將醫院方面的檔案進行種類的劃分,可以建立病歷、影像診斷、科研教學、人事管理、財務信息等等檔案文本內容。將以上科學劃分的檔案類型進行不同形式的劃分,掌握紙質、電子和影像等諸多類型的檔案,更加有助于降低未來醫院工作方面的負擔[1]。
1.2 多元化檔案媒介
多元化的檔案信息管理媒介能夠滿足當下的醫療衛生行業服務和管理工作的需求,但是同時也存在一定的問題,容易導致醫院檔案信息管理工作出現安全風險。從前醫院的檔案信息基本以紙質為主,在保存和查找方面都存在很大的難度,伴隨科學技術的不斷發展,信息技術支持的檔案信息管理模式更加適合繁忙的醫療工作體系,但同時也存在一定的安全風險性。電子信息模式下的檔案管理方式具備攜帶便捷和成本低廉等眾多優點,但同時也存在風險問題需要不斷的優化處理[2]。
1.3 網絡式檔案信息
網絡模式的檔案信息管理是非常有效的工作模式之一,也是未來社會發展的主要趨勢。針對醫院檔案信息管理工作進行研究和分析能夠發現,電子信息化的檔案信息管理模式非常適合應用于醫院的工作,主要是源于電子信息系統具有龐大的信息收集和歸納、整理作用,能夠為醫療工作者提供更加高效的工作方式和方法,是一種優化的工作途徑,保證了醫院檔案信息管理工作的質量和效率,也是未來行業發展的趨勢[3]。
2 影響醫院檔案信息安全的因素
2.1 安全的檔案信息媒介
影響醫院檔案信息管理的安全性因素涉及到很多方面,針對這些問題進行客觀的分析,并針對存在的影響因素和問題找到一個科學、合理的解決途徑,能夠保證未來醫院服務和管理工作的質量。影響醫院檔案信息管理質量的基本原因是受到檔案信息媒介安全性的影響,檔案信息的媒介安全性主要是指環境因素的影響,例如火災、蟲鼠災害、水災等等,都會影響檔案信息的保存和管理。一旦發生環境因素災害,就會導致檔案信息出現部分和全部損失的情況,進而造成醫院管理方面的阻礙問題等等[4]。
2.2 計算機病毒
影響醫院出現檔案信息管理安全威脅的問題還涉及到計算機的病毒問題,因為計算機的工作模式會受到病毒的影響,而且計算機的病毒影響非常嚴重。計算機的病毒存在傳播速度特別快的問題,還存在智能化程度高的問題,因此,出現計算機病毒的問題很難控制,也會造成醫院的檔案信息安全出現風險。最為影響醫院檔案信息安全管理工作的因素還源于計算機的病毒侵害殺傷力非常大,而且在不斷的技術升級過程中還會出現病毒侵害力逐漸增加的情況和問題。很多計算機的小型病毒可能會在工作的過程中不斷的出現作用力增強的情況,進而導致醫院的檔案信息安全管理工作出現危機[5]。
2.3 網絡入侵
影響醫院檔案信息管理的安全威脅因素還包含網絡入侵的問題,關注網絡入侵才能夠認識到醫院檔案管理工作過程中會出現的問題。醫院建立的網絡檔案管理模式體系當中,發現需要通過授權才能夠登錄,但是網絡的模式自然也存在容易侵犯的問題。黑客可能通過口令的模式達成網絡的入侵,實用軟件竊取相關文件檔案等。另外還有特洛伊木馬的黑客形式通過軟件的植入造成計算機的遠程干擾,最終丟失醫院的檔案信息。除此之外,還有監聽方法和社會工程學的諸多入侵方式,更高的科學技術達成了多層面入侵的黑客模式,導致醫院的檔案信息管理出現風險問題。
2.4 缺失科學組織管理和先進理念
可能影響醫院出現檔案信息管理的安全因素有很多,缺失科學的組織管理和先進理念就是影響醫院檔案和信息管理的安全性。由于當下科學技術的不斷發展,網絡信息技術已經全面的覆蓋了人們的生活。醫院檔案管理的過程當中也需要應用到網絡信息的技術和平臺,由于網絡體系的安全權限設置存在不足,就會出現安全管理方面的問題。還有部分的醫院檔案管理從業人員對于檔案信息的保存存在認知和理念層面的不足,很容易在保存檔案信息方面出現缺失專業的隨意性,導致醫院的檔案信息在網絡平臺上隨意被竊取,嚴重妨礙了?t院的檔案信息管理[6]。
3 醫院檔案信息安全管理對策
3.1 實體安全檔案防護
重視醫院的檔案信息管理工作,需要從安全性角度進行科學的考量,保證實施切實有效的檔案管理信息,進而構建安全防護體系,降低可能出現的信息管理問題。關注醫院的檔案信息安全管理工作,不僅僅要重視日常的信息管理和維護工作,還需要從檔案的存放位置及地點方面進行管理。醫院不僅僅保留電子信息文檔,還應當保存文件的紙質本,以此為后續管理工作提供完整的信息和資料。通常為保證紙質文版檔案的安全保存,需要避免儲存在潮濕的地下室位置,還應當避免存在火災安全隱患的位置。在日常的管理和儲存過程當中,需要保證通風和除濕的管理,定時進行驅蟲和滅鼠操作[7]。
3.2 計算機信息安全措施
關注到醫院檔案信息安全管理工作的重要性,應當采取積極的措施和對策,才能夠滿足實際的工作質量優化需求,進而提升醫療衛生行業的工作品質。針對醫院的檔案信息進行安全管理,需要掌握良好的計算機信息安全措施,實施高科技的有效保護,進而提升醫院內部的管理工作質量。建立計算機模式的信息安全體系,需要從防病毒和防入侵方面入手,確保醫院計算機體系不受病毒侵害,同時為網絡系統建立防入侵體系。在日常管理工作過程當中還需要進行數據備份并且要求管理工作人員具備數據的恢復技術和能力,在適當的情況下設計符合醫院工作需要的權限保護和管制,進而確保電子信息的安全性。
關鍵詞:網絡安全;醫院;信息安全;風險管理
0引言
醫療行業是一個比較特殊且管理復雜度相對較高的領域,信息化是現代醫院管理的重要基礎和技術手段,醫院信息化是多種網絡硬件與龐大的醫療業務管理應用模塊所構成的技術綜合體,任何一個細小的軟硬件故障或細微的安全疏忽都可能造成全院臨床業務和醫療服務的中斷。為此,在醫院管理信息化的建設過程中,我們多花費一些時間來思考信息安全、多花費一些投入去保障信息安全則是一件十分必要且富有現實意義的工作。
1醫院網絡安全及信息系統安全風險的識別
信息系統安全的概念實際上已包含了硬件和軟件的安全。其中的硬件即常說的網絡安全,其中的軟件是指滿足管理要求的軟件應用模塊、系統、平臺以及實現安全指標的各類硬件設備中所固化的程序指令代碼。在學術界,一般只用信息安全這一概念,而在實際工作中經常會混淆這兩個名稱,口語化常用網絡安全代指硬件安全,信息安全代指軟件安全,均屬于信息安全的學術范疇。
1.1信息安全是醫院可持續發展的重要保障
醫院信息化是多種網絡硬件與龐大的醫療業務管理應用模塊所構成的高技術綜合體,醫院信息化管理系統涉及臨床管理、藥耗品與物資管理、財務管理、行政管理、后勤管理、績效管理等眾多應用管理。近年來,遠程醫療、自助服務、醫保結算等網上醫療或云醫療服務的不斷延伸,網絡的健壯性與安全性需求已提升到一個重要的位置,任何一個細小的軟硬件故障或細微的安全疏忽都可能造成全院臨床業務和醫療服務的中斷,這就涉及財務風險和醫療服務糾紛風險。醫療信息涉及公民個人隱私,涉及公民隱私保護的法律風險,因此醫療信息必須采取多重安全措施、備份措施。這三大風險是一家醫院正常經營和持續發展的重大隱患,務必要采取相應的技術措施和管理措施予以防范。
1.2信息安全是推動醫療行業向現代化醫院發展的重要基礎
隨著區域醫療資源的大整合、分級診療制度的落地實施以及全國醫保跨區結算體系的建立,醫院管理的信息化已不再是一家醫院自己內部的事情了,所有的信息必須走出醫院、走出地市、走向全國,實現全國范圍內醫療信息的互聯互通,這是一個大趨勢,所以,在信息安全方面達不到相應安全等級保護(等保)的醫院,則沒有資格接入這一全國范圍內的互聯互通醫療信息網絡,不跨過這一門檻,醫院的發展以及向現代化醫院推進的理想就只能是一朵浮云。
2醫院網絡及信息系統的安全管理
醫院信息系統中的醫療信息數據、財務信息數據等內容眾多,運用病毒查殺軟件、建立防火墻等網絡技術,加強軟硬件雙重管理,保證內部業務交流、數據信心安全以及對入侵監測的管理,強化用戶的層級管理,對用戶的認證與業務處理范圍進行管控,強化內部管控的提升,從容應對外部黑客、病毒等問題對系統及網絡的攻擊,保障醫院信息系統可靠運行,促進醫院現代化管理水平不斷提升。
2.1建立完善的防火墻及安全檢測策略
防火墻技術和安全策略是醫院信息系統安全的可靠保障,通過多層安全策略的保護機制,為醫院醫療數據及資源、財務相關數據提供有效保證,并能夠提升工作效率,和諧醫患關系,保證業務流程的順利,實現醫療和醫院信息管理系統的健康運行。(1)防火墻能夠將內網與外網進行有效分隔,建立可靠的網絡互聯關卡,提升網絡用戶的訪問、認證及有效數據過濾,防范外來數據的攻擊,是安全的重要邊界,同時也是保護敏感的可靠數據服務應用。尤其針對外來入侵及病毒的監測,加強地址、及身份認證進行深化管理。重視將內外網絡的監控及隔離,醫院的數據庫內含有大量病患資料、研究資料及財務數據等眾多內容,眾多的信息及數據資源訪問及流通,需要具有深入攔截及管控能力的防火墻,對關鍵、敏感及熱點訪問連接進行多層設置,防止因出現網絡安全出現攻擊等問題對全局造成停止影響。對內外部連接區域的數據交換尤為重要,加強運行保障,提升安全區域的等級劃分,實施網絡訪問等級劃分,對不同業務的需求進行權限管理,對內部人員進一步進行管理,運用過濾技術的防火墻,為醫院信息系統建立安全管理的第一道防線。(2)醫院信息系統的安全管控第二個關鍵門卡是入侵檢測,對防火墻薄弱的內部攻擊及未知攻擊進行防范,加強網絡的監測力度,建立共同的系統網絡防范有效措施,對系統管理員員監控、識別等響應能力進行關注,提升安全管理的能力。運用入侵檢測對系統內網絡、用戶活動情況進行關注,對不同網段的傳感器、日志、流量及文件和軟件的非正常改變進行控制,信息與程序執行情況及時進行對比,迅速分析,合理運用檢測引擎對各項信息及數據進行檢測,對出現網絡入侵情況及系統非正常變化進行匹配模式分析,關注重點及熱點區域文件數據信息是否完整,對統計對象的屬性闕值進行統計分析,加強入侵監測設備的參數定義,及時進行內部權限多層管理模式,可采用二到七層分級管理方式,保障信息的有效性及可控性,為不同權限人員提供不同的系統服務。
2.2加強信息安全管理的綜合管控
醫院對信息通建設具有明確的管理制度,加強安全管理的系統性,加大信息安全等保投入,提升網絡安全的管理及建設標準,強化用戶的日志及權限管理,醫院信息系統運行是24小時無停息,重視對防火墻、入侵檢測等多重管控,提升整體管控意識,合理進行多終端系統管理,實現操作運行的規范及標準性,運用殺毒軟件、防火墻及入侵檢測等多個防范措施進行防范,還可以利用黑盾等軟件接入認證,提升主機通信加密管理,防范地址欺騙,實現信息網絡的管理安全,保證醫院系統平穩運行。注重軟硬件共同的安全管理,強化軟件管控及技術提升,注重硬件使用的審批手續及可靠管理,滿足系統安全管理整體管控需求。
2.3加強無線網絡安全管理管控
隨著近年來無線終端設備的迅速普及,醫院信息系統中無線應用迅速普及,提供日常檢查、咨詢及反饋等多種信息交流,重視對網絡秘鑰的管控,對非法訪問或黑客入侵從源頭上進行把握,防止因SSID廣播的應用造成不必要的信息泄露與安全管控問題,強化病患隱私與醫療數據的管理,提升用戶信息處理能力,分層級進行身份驗證,對局域網內人員行為進行可靠的約束,加強巡視及比對,對出現非法越權及數據波動加大用戶進行管控,實現無線網絡的安全管控。
2.4提升信息系統網絡硬件的安全等級
網絡安全及醫院信息系統需要大量的硬件,且醫院科室眾多并與都醫患信息、財務信息相聯系,加強多終端硬件的管理,對外來U盤、移動硬盤等硬件應用需要加強,防止從內部侵害網絡安全,健全規章管理制度及審批手續,完善硬件設備、文件利用及機房環境、線路連接等管控,并加強相關管理制度的。尤其是醫療文件、財務文件的讀取與拷貝,必須經過層層審批,在拷貝過程中要進行監督及檢查,對外來硬件進行查殺、篩選后進行應用,從源頭進行安全管理,實行可靠運行,為信息系統軟件與硬件管理形成可靠保障。
3結語
醫院信息系統及網絡安全管理是醫院業務運行的重要保障,加強網絡安全管理,為醫院營造穩定、健康的網絡環境,提供更為優質的服務,降低重復、枯燥的工作,提升醫院服務效率,滿足患者不同需求。加強醫院內外網的管控,強化防火墻、殺毒軟件、入侵檢測等環節的能力及水平,防范黑客、病毒等多方面的攻擊,強化無線網絡的服務與管理,提升安全性,妥善保障醫院內部信息,為更多患者提供個,促進我國網絡系統安全運行與維護能力提升,推動我國醫療行業信息化管理的整體大發展。
參考文獻:
[1]王玉珍,賀瀅,馬婧等.醫院信息系統安全保障體系存在的風險分析[J].醫療衛生裝備,2007.
[2]鄭西川,張漢雄,胡燕峰等.醫院信息系統安全架構及實施策略[J].中國醫療設備,2006.
