时间:2022-09-03 16:28:22
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇医院信息安全范例。如需获取更多原创内容,可随时联系我们的客服老师。
【关键词】信息安全;数据库;网络应用;安全体系
1信息安全现状
1.1目前医院信息安全存在的问题根据卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知,三级甲等医院的核心业务信息系统不得低于国家安全信息保护等级三级。据此我们对信息系统的各个方面进行了安全评估,发现主要有如下的问题:
(1)物理安全:机房管理混乱问题;机房场地效用不明确;机房人员访问控制问题;
(2)网络设备安全:访问控制问题;网络设备安全漏洞;设备配置安全;
(3)系统安全:补丁问题;运行服务问题;安全策略问题;访问控制问题;默认共享问题;防病毒情况;
(4)数据安全:数据库补丁问题;SQL数据库默认账号问题;SQL数据库弱口令问题;SQL数据库默认配置问题;(5)网络区域安全:医院内网安全措施完善;医院内网的访问控制问题;医院内外网互访控制问题;
(6)安全管理:没有建立安全管理组织;没有制定总体的安全策略;没有落实各个部门信息安全的责任人;缺少安全管理文档。
1.2当前医院信息安全存在的问题,主要表现在如下的几个方面
(1)机房所处环境不合格,场地效用不明确,人员访问控制不足,管理混乱。
(2)在办公外网中,医院建立了基本的安全体系,但是还需要进一步的完善,例如办公外网总出口有单点故障的隐患、门户网站有被撰改的隐患。
(3)在医院内网中,内网与办公外网之间没有做访问控制,存在蠕虫病毒相互扩散的可能。
(4)没有成立安全应急小组,虽然有相应的应急事件预案,但缺少安全预案的应急演练;缺少安全事件应急处理流程与规范,也没有对安全事件的处理过程做记录归档。
(5)没有建立数据备份与恢复制度;缺少对备份的数据做恢复演练,保证备份数据的有效性和可用性,在出现数据故障的时候能够及时的进行恢复操作。
2医院信息安全总体规划
2.1设计目标、依据及原则
2.1.1设计目标
信息系统是医院日常工作的重要应用,存储着重要的数据资源,是医院正常运行必不可少的组成部分,所以必须从硬件设施、软件系统、安全管理等方面,加强安全保障体系的建设,为医院工作应用提供安全可靠的运行环境。
2.1.2设计依据
(1)《信息安全等级保护管理办法》;
(2)《信息技术安全技术信息技术安全性评估准则》;
(3)《卫生部卫生行业信息安全等级保护工作的指导意见》;
(4)《电子计算机场地通用规范》。
2.1.3设计原则
医院信息安全系统在整体设计过程中应遵循如下的原则:分级保护原则:以应用为主导,科学划分网络安全防护与业务安全保护的安全等级,并依据安全等级进行安全建设和管理,保证服务的有效性和快捷性。最小特权原则:整个系统中的任何主体和客体不应具有超出执行任务所需权力以外的权力。标准化与一致性原则:医院信息系统是一个庞大的系统工程,其安全保障体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个医院信息系统安全地互联互通、信息共享。多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。适应性及灵活性原则:安全措施必须能随着系统性能及安全需求的变化而变化,要容易适应、容易修改和升级。
2.2总体信息安全规划方案
2.2.1基础保障体系
建设信息安全基础保障体系,是一项复杂的、综合的系统工程,是坚持积极防御、综合防范方针的具体体现。目前医院基础保障体系已经初具规模,但是还存在个别问题,需要进一步的完善。
2.2.2监控审计体系
监控审计体系设计的实现,能完成对医院内网所有网上行为的监控。通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等有较全面的了解。
2.2.3应急响应体系
应急响应体系的主要功能是采取足够的主动措施解决各类安全事件。安全事件可以被许多不同的事件触发并破坏单个系统或整个网络的可用性,完整性、数据的保密性。引发或可能引发本地小范围破坏的安全问题应该就地解决,以避免加重整个医院信息网络的安全风险。
2.2.4灾难备份与恢复体系
为了保证医院信息系统的正常运行,抵抗包括地震、火灾、水灾等自然灾难,以及战争、网络攻击、设备系统故障和人为破坏等无法预料的突发事件造成的损害,应该建立一个灾难备份与恢复体系。在这个体系里主要包括下面三个部分:政务内网线路的冗余备份、主机服务器的系统备份与恢复、数据库系统的备份与恢复。
3结论
通过对医院的信息安全风险评估,我们发现了大量关于物理安全、操作系统、数据库系统、网络设备、应用系统等等方面的漏洞。为了达到对安全风险的长期有效的管理,我们进行了具有体系性和原则性并能够符合医院实际需求的规划。
参考文献
[1]王立,史明磊.医院信息系统的建设与维护[J].医学信息,2007,20(3).
[2]王洪萍,程涛.医院信息系统安全技术分析[J].医院管理杂志,2011,18(11).
[3]尚邦治.医院信息系统安全问题[J].医疗设备信息,2004,19(9).
关键词:医院信息系统;信息安全;信息管理;等级保护
一、引言
随着医院对信息化建设不断深入渗透医院的医疗、科研、教学、后勤保障,医院信息系统不仅是保证医院的正常运转,还是医院财务管理等方面的巨大支撑,并且安全的医疗信息数据才能有效地保护病人的权益、提高治疗效果。因此加强医院信息系统安全建设是医院良好有序发展的前提及客观要求[1]。
二、医院现状及信息安全状况
2.1基本情况。我院现为国家三级甲等医院,是华南地区医疗、教学、科研、保健和康复的重要基地,设有31个大科,100个专科,其中5个国家重点学科、28个国家临床重点专科。医院信息系统自开始建设,经历三代HIS系统的更迭,至今在线服务器和存储近百台,网络设备300余台;业务模块近100个;终端数量近2000台。核心系统包括HIS,CPOE、EMR、PACS、LIS。
2.2安全等保建设前信息系统安全状况。网络采用物理网络隔离的方式,即业务网和互联网物理隔离,但随着医院业务的不断开展,与医保网互联、开通微信平台、通过支付宝微信支付、移动终端接入,业务网不可避免地要跟外网互联,且人为加入无线网卡等连接外部网络等,面临安全风险。安全防范意识上面,未形成有效的安全等级保护的规章制度和领导小组或安全管理手册。
三、医院安全建设规划和实施
3.1规划和原则。国家立法“对信息服务、公共服务、等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害公共利益的关键信息基础设施,实行重点保护”[2]。卫计委要求各医院完成安全等级保护建设。具体提出定级备案、安全整改建设、等级测评、监督检查等工作要求[3]。根据以上指定及实际情况,我院制定出“规划先行、指导为重、分期实施”的总体指导方针。整体上,安全等级保护建设工作分为四个阶段1)自我认知阶段,了解面临的风险,可能的威胁。2)基础改进的阶段,包括根据资产价值治理控制环境。3)规划管理阶段,定义业务内控流程,加强合规管理。4)安全运营阶段,IT风险集中管理与监控。最后达到自行驱动完善信息系统安全。
3.2医院信息系统安全定级。我院对HIS、LIS、PACS、电子病历、OA以及门户网站进行安全等保定级、备案、差距测评以及整改。HIS系统定为3级,PACS、LIS、电子病历、OA以及门户网站定位了2级。
3.3安全建设实施。我院信息安全建设采用安全域划分的方式,采用国内一流的安全产品,与原有的信息系统和网络设备实现无缝衔接,统一管理,快速响应,运行稳定。核心安全产品包括核心UTM、安全域的FW、日志审计、IDS以及终端安全。
四、信息安全建设收益
4.1提高了系统的安全防范能力。如下图所示,体现为四方面1)服务器以及存储只对外提供指定端口,非业务端口流量严禁进入。2)重要业务数据库做操作审计。3)服务器操作系统进行漏洞扫描并及时修补。4)业务软件系统漏洞扫描以及安全检查并修正。
4.2数据中心实现安全域管理划分。新增业务系统按照其等相应的等级加入相应的安全域,快速部署,统一管理,并节省安全建设成本。
4.3信息安全技能提升。通过信息安全建设,技术人员的专业水平显著提高,安全意识增强。完成数次渗透测试与安全加固。应对供电故障,建立了机房双路供电加UPS;应对设备故障,核心设备双活负载均衡,次重要设备硬件冷备份,可在预见时间内恢复网络;应对线路故障,建立备用线路;应对网络攻击,常规化网络监控以及人工网络巡查,攻击出现时可迅速定位攻击来源。
五、安全一体化运维平台建设的新要求
移动互联和物联网,对医院的信息安全提出新的要求,具体做到:认证、加密以及定位,即为:进不来,拿不走,留痕迹(审计)。这三点中最难的是认证,认证必然造成医院临床使用的不便,而部分设备较难实施认证,如一些手持终端、摄像头等。对此,应对的管理方式可以是安装终端管控系统,无感知认证,移动终端只允许在指定区域进行无线接入等。总体上看,持续的安全建设应该是向安全一体化运维平台的方向发展。而这个方向需要管理人员安全管理组织、决策、执行,需要流程化运维,需要一套监控中心、预警中心、事件处理平台、考核中心、知识管理中心、流程驱动的引擎。最终到达的目标是自驱动的管理与技术相融合。即安全管理制度流程化,安全可视化、动态化,形成PDCA风险优化处理闭环。
六、结语
信息安全是动态的,随着技术的发展而变化。信息安全防护没有完全单一而又绝对保险的措施。安全也是适度安全,没有绝对的安全。信息安全应该是管理与技术并重,安全管理制度落地运作,通过信息化手段来实现信息安全管理工作,并随着外界风险的变化进行调整,信息安全应该是持续改进的过程。
参考文献
[1]黄娓娓,刘涛.大家健康,2014,5,8(10):4-5.
[2]《中华人民共和国网络安全法》第三十一条
关键词:信息安全;审核机制;防统方
中图分类号:R197.324 文献标识码:A 文章编号:1007-9599 (2012) 15-0000-02
信息安全分为信息设备安全、数据安全、内容安全和行为安全几个方面[1]。信息安全是以信息为保护对象,分析信息的存在形式,有助于了解信息保护可能存在的问题,提出信息保护的合理措施。对医院来说,信息存在的一般形式,有如下几种:
数据库中的数据,集中存放了单位重要的医疗业务数据,如用药信息,财务数据,物资数据以及其他的一些敏感数据。
各类文档文件,如有关病人病情的图片和视频资料文件,以及excel,word文件,文本文件等。
在网络中流动的数据,这些数据如果被非法入侵者截获,破解或者篡改,都会造成对单位信息的损失。
以上是对单位中已有的合法信息所存在形式的概括,从中可以看出,保护这些形式的信息,就保护了单位的信息安全。另一方面,也必须防范病毒,木马以及黑客等各种非法入侵者在单位内传播垃圾信息,非法信息,或者非法占用网络,服务器等资源,影响单位医疗业务的正常运转。
所以,保护医院信息的安全,一是保护合法信息不被窃取,修改,删除,以及拒绝非法信息的进入;二是防止各种非法入侵者占用服务器,网络等资源。这些重要资源,包括服务器,网络设备,客户端PC机或移动PC机,嵌入式设备或定制系统等,下面分别叙述。
1 服务器的信息安全
医院重要的服务器有:域服务器,门诊住院服务器,医保服务器,PACS服务器,检验服务器,财务服务器以及电子病历服务器等。这些服务器中,保护操作系统的安全,域安全,数据库安全,无疑是重中之重。
1.1 服务器操作系统安全
不管是活动目录AD,DNS还是数据库,都是在操作系统之上的应用,因此操作系统是第一道安全防线,要注意最小特权原则[2],没必要给的权限不要给。在这道安全防线上,要特别注意默认共享,重要目录权限,包括系统目录和共享目录权限,系统服务,防火墙,系统补丁,运行状态,系统运行日志等方面。一般情况下,应禁止默认共享,没有必要开的系统服务必须关闭,比如计划任务服务,一般就可以关闭,开启服务器防火墙,安装防毒防木马软件,安装重要的补丁,利用各种软件监控服务器的运行状态,以及监控重要的日志事件。
1.2 域安全
在整个域中设置主域服务器和备域服务器,这样其中一台宕机,另一台仍然可以管理域,保证域的可靠性,也间接增强域安全。另外,域策略里面有许多功能,如执行登入脚本,禁止自动运行,禁止U盘而不禁止其他USB设备等。这些策略有助于提高整个域环境的安全性,也方便管理人员管理。
1.3 数据库安全
由于历史原因,许多医院的部分系统,甚至是主业务系统,如门诊,住院系统,采用的是两层架构模式,使得客户端可以直接连接数据库,迫使数据库服务器将SQL Server默认端口1433或ORACLE默认端口1521向内网所有IP地址开放,造成安全隐患,如拒绝服务Dos攻击。对于三层架构系统,客户端通过中间应用层连接数据库,这样就可以在服务器开启防火墙或者在核心交换机上添加策略,阻止任何指定IP地址外的1433或1521端口访问,客户端也就无法直接访问重要的业务数据库,降低了业务数据被修改,损坏,泄露的潜在风险。
对于医院,防统方更是头痛的事情。所谓统方就是对医生所开处方的用药信息进行统计,它是非法医药回扣中的重要一环。医院数据库存储着所有的医疗业务信息,一直是医药代表想尽一切办法进行统方的目标,当前出现的许多医院案件都和非法统方有关,严重影响了医院的声誉与形象,也不利于医患关系的缓解。因此,如何防统方,是医院信息安全的重要内容。建立审核机制,对数据库的可疑查询进行事前预警,事后的审核记录,是防统方的重要手段。
审核机制的建立,是医院信息安全建设的重要部分。任何一个信息系统都不是完美无缺的,医院必须在系统的预算,效率,稳定性,安全性等各方面做出平衡。况且,任何组织的信息系统都不是一次建成的,而是随着组织的发展以及信息系统的发展逐步建立起来的。因此,必然存在信息安全问题。这些安全问题,常常隐藏在信息系统中,平时不易察觉,一旦被非法人员利用,特别是业务数据的泄露,将对医院造成不可估量的损失。系统往往无法准确地判断某些信息访问是否为非法访问,因此事后的访问审核记录就变得重要。
对数据库的审核,比较完善的方式是对所有访问数据库的SQL语句进行记录,以便需要的时候对这些数据库访问进行排查。但是,这样的审核记录成本太高,必须找到成本与效率和记录量的合适点。根据统方的SQL语句特点,要特别注意对含有GROUP BY汇总的SELECT语句进行记录,并对那些针对医生,药品,金额进行汇总的查询进行特别的警告记录,以便事后追查。
1.4 WEB服务安全
对于IIS,关闭不需要的WEB服务扩展,利用NTFS文件系统的权限来和IIS目录权限来提高安全性。如果是其他WEB服务,也要注意相应的安全设置。
2 网络设备的安全
现在的交换机一般都具有VLAN,链路汇聚,简单网管SNMP协议,802.1x协议以及访问控制列表ACL等功能,可利用这些协议和功能提高网络安全。
SNMP协议能够支持网络管理系统,用以监测连接到网络上的设备是否有任何引起管理上关注的情况[3],可以方便地管理接入层交换机;802.1x协议再加上相关的软件和硬件可用于网络接入控制,防止不合格PC机接入内网;ACL功能可以进行包过滤,对进入重要服务器网段的数据包进行过滤,排除不安全数据包。这些协议都对提高网络安全大有帮助。
有些医院会使用到网闸,在传输数据的时间内,连通物理隔绝的内外网。如果安全措施考虑不周全,可能让外网的病毒传输到内网,造成潜在的威胁。
3 客户端PC机的安全
客户端PC机的情况,在硬件上,系统平台上,软件应用上一般都比服务器复杂,但也面临着相同的安全问题:
3.1 U盘安全性
现在的电脑有许多USB接口,用户很容易接入U盘,运行里面的程序,感染病毒。或者接入USB无线网卡,将电脑非法接入到外部网络。这些都是安全威胁。可运用域策略或者安装相应程序来杜绝这种情况。
3.2 防火墙关闭
防火墙对一个系统来说非常重要,它虽然不能防止系统内的病毒感染和木马攻击,但却能防止系统外的木马攻击,也就是所谓的防外不防内。防火墙能在很大程度上保护系统的安全,防止外来攻击,但是管理人员为了管理方便,可能将客户端的防火墙关闭,这在一定程度上造成了客户端的不安全。防火墙的规则必须精心设计,既方便管理,又能对系统起到保护作用。
3.3 关闭不需要的服务
把一些不需要的服务关闭,提高PC机的安全。比如计划任务服务,Telnet服务,FTP服务。某些服务的漏洞常常被木马所利用来进行攻击,除了对系统打补丁外,对不必要的服务务必关闭。
3.4 移动PC机
随着移动查房系统的运用,无线移动PC机接入内网的安全的也要重点考虑,因为很可能有无意或者恶意的使用者试图将自己的笔记本通过无线交换机接入内网,威胁内网的安全。这样就对无线交换机的安全接入认证机制提高了要求。
4 某些定制系统的安全
放射科,CT室跟设备连接的PC系统和自助挂号用的是定制系统,应该仔细考虑这些特殊设备的系统安全性,防止由于病毒,木马或者网络攻击造成连接设备的主机无法使用,进而使得设备无法使用影响医院的业务。
5 总结
医院信息安全的建设是医院信息化建设的重要一环。对患者隐私,医生用药信息,财务信息等重要数据的保护,都是医院安全运营的保障。通过各种管理制度,技术手段对医院的信息进行保护,特别是防统方以及利用审核机制事后对统方记录进行追查,是医院信息安全建设的重要内容。
参考文献:
[1]王丽娜.信息安全导论[M].武汉大学出版社,2008,08:2
[2]石磊.网络安全与管理[M].清华大学出版社,2009,09:95-96
(一)随着社会的不断发展和进步,同时也改变了我们的网络时代,相比十几年前医院信息环境的滞后,如今医院的网络信息也跟随着时代的发展在不断的前进。但是由于网络信息的发展并不是那么健全和发达,网络信息对于医院也会存在一些信息安全的隐患,因此加强对医院信息化的安全管理还是很有必要的,它可以更有效的促进医院的发展和经营。
(二)同过去相比网络规模相对来说比较小,用户群的计算机水平普遍来说不高,所以比较容易管理,随着网络信息的发展,医院网络架构也在不断变化。I医院网络信息化从不成熟到不断的加强改进,许多大型的办公自动化系统也得到了成功应用,包括病区里也建立了无限网络的应用。高速网络和高度的信息化网络使医院像一个巨大的工厂在不断的全天运行着。
(三)要从各个方面着手医院的网络信息安全问题,尽可能周全的了解信息安全网络系统,要能够杜绝安全隐患问题的发生。在医院建立常规化,系统化,有效化的系统,防止医院信息的泄露,因为网络系统的建设安全直接关系到患者利益和医院的效率,所以不可小觑。伴随着社会信息化的发展和进步,为了更好的加强对医院的管理,医院的信息化建设对于医院与现代化的进程有着不可忽略的重要作用。
二、医院信息网络安全存在的问题
(一)自然环境的因素
因为考虑到医院环境的湿度及温度等原因的问题,供电电源的不稳定及雷击,静电,都会影响系统的正常运作,以及医院环境的过低或者太高时都会对网络信息安全产生影响,甚至影响电路下降或者绝缘的现象发生。机器原件的损伤和信息数据的丢失,都会给我们的医院和患者带来伤害。
(二)人为因素
人为因素主要分为两个方面而言来说:一个是人为的无意攻击,一个是人为的恶意攻击,计算机的安全系统需要加强对人为因素的一个重视,因为一个数据的丢失和泄露,严重的话会使整个医院系统瘫痪,使医院的系统崩塌。导致无意攻击网络信息系统的一般是医院内部的人员,例如程序设计问题,操作失误的问题等等,安全配置问题的漏洞导致口令的泄露,就会给整个医院网络信息安全问题带来风险。相比人为的无意攻击来讲,人为的恶意攻击带来的危害和影响更为严重和深远。网络上的黑客出于好玩或者挑战的目的,往往通过计算机的病毒或者是计算机的犯罪等行为,对网络信息安全发起人为的挑战,这种方式给医院带来了网络信息安全风险,以及机密数据的篡改和泄露都会带来一定的风险,其后果将会是不堪设想。
(三)网络信息软件的漏洞
在计算机软件以及计算机硬件安全系统上都会或多或少存在一些安全上的漏洞和有机可乘,这些漏洞和有机可乘导致黑客在还没有被授权的情况下侵入系统进行恶意破坏和攻击。尽管我们不能保证任何软件没有百分之一百的漏洞,但是恰恰是我们存在的这些漏洞成了黑客侵入的首选目标,给整个医院带来信息安全上的问题。
三、建立健全的信息管理安全系统
医院这个行业相比其它行业来说它其实还是相对来说是一个比较特殊的一个领域,一旦医院网络信息的安全存在一些隐患,对医院的医疗数据来说会是一个不小的冲击。因为目前医院对医院的网络信息的安全的意识还不是很高,所以相对来说采取的措施也不是相对完善,安全隐患也是随处可见,甚至有些非常严重。所以制定严格的规章制度,从医院的管理层方面把关,让管理人员意识到网络信息的威胁也可能来源于网络内部。切切实实实行规章制度,不要把规章制度成为一纸空文。
四、加大投资完善安全系统
如今的医院的运行离不了完善的安全信息管理系统,医院的主要负责人员也要意识到医院网络信息安全的重要性,加大投入,不断更新医院系统的软件,从而强化其系统的功能。对于硬件设施的配置一定有保障有质量的设备,特别是对于比较重要的硬件设施要有储存备份的功能,具有一定抗病毒和自我修复功能,在一些信息系统发生异常时也能够找回,以免数据的丢失对医院造成一些不可挽回的损失,尽可能从最大的程度上减少信息化管理系统带来的一些客观原因。
时代的发展同时带来的也必定是科技的发展和进步,不论是面对一些网络信息安全内部因素的挑战还是一些外力因素的挑战,对于我们来说网络信息安全问题是一个值得我们去不断思考和反思的课题,医院的受众群体是我们的老百姓,所以不仅是为了医院的利益还有更是为了我们人民群众的个人利益,这不仅是我个人的心声我想也是我们所有患者的心声。也希望时展和进步的时候,我们的网络信息安全问题能够更高更好质量的服务大家。面对未来更加复杂的网络环境和更加海量的信息化,摆在网络安全信息管理员面前的考验将是更加严峻。
作者:白峰 潘永红 单位:安康市人民医院
参考文献
[1]王萍.医院信息系统网络安全问题分析[J].网络安全技术与应用,2016,(01):32-33.
[2]丁飞.当前医院网络信息化建设中的安全问题及保障之策探讨[J].硅谷,2014,(22):165+159.
随着医疗行业的信息化发展水平的逐步发展,信息系统的安全风险越明显,本文就天津市医院核心业务信息系统等级保护建设工作的管理体系建设提供一些基本的思路、方法和步骤。
关键词:
医院;安全等级;管理体系建设
一、引言
根据上级部门三级甲等要求,为了促进和规范天津市医院信息化建设我院于2014年启动了围绕医院核心业务系统:门诊信息系统、住院信息系统、HIS信息系统,深入开展信息安全等级和统计管理系统,为后续各兄弟医院等级保护建设工作提供一些基本建设和方法。
二、医院信息化建设存在的安全现状分析
大型综合性医院信息系统的安全保障体系建设是一个极为复杂的工程,医院的信息系统应用众多,结构复杂,覆盖广泛,涉及的部门和人员众多,医院信息系统的角色越来越重要。信息系统任何风险都有可能带来巨大的损失。医院信息系统故障,会造成门诊大量排队,业务科室投诉,临床业务停顿,每次引发的问题都给医院管理人员造成巨大压力,社会舆论和声音受到严重影响,不同程度也给医院造成了较大经济损失。医院信息系统面临极大的安全风险。具体有以下几点:
(一)物理环境安全风险
医院的物理安全具备环境安全、设备安全及介质安全等物理支撑环境,保护网络设备、设施、介质和信息免受大自然,环境事故以及误操作导致的破坏和丢失。
(二)网络安全风险
医院的临床、财务系统和物流已经全部纳入IT系统,业务网中各业务应用是其信息系统的核心,同时也需要与外部发生业务联系。因此业务应用面临的任何风险,都会产生严重后果。
(三)管理层安全风险
对医院信息系统的管理尤为重要,责任不明,管理混乱,安全管理制度不健全等都有可能引起管理安全风险。
三、信息安全管理体系建立的作用
信息安全管理体系必须满足等级保护标准,同时也要满足政策的要求,还要贯彻执行,不断进步。一个健全的、正常运行的医疗信息安全管理体系的主要作用体现在以下方面;(1)能够有效增强行政和技术上的安全管理,将解决网络设计缺陷,威胁网络安全的问题,制定出信息系统规范和安全标准。(2)信息安全管理体系的建设,更加重视和执行对安全知识、法规、标准的宣传和培训,考核实现了信息安全的动态管理过程。(3)全方位的保护医院的核心业务系统,在核心数据和信息受到袭击时,要确保各项工作正常开展,并尽量把损失降到最低。(4)满足医疗行业和监督机构要求,保护国家或区域医疗信息安全,维护社会医疗秩序稳定。
四、安全保管体系建设的主要思路
我院从安全管理机构、安全管理制度、系统建设管理、系统运维管理及人员安全管理等五个方面着手开展安全等级保护建设。
(一)安全管理机构的设立
组建安全管理领导团队,由院领导和各科室骨干出任第一责任人,把具体的办公地点设定在信息所。
(二)安全管理制度
根据《公安信息安全等级保护基本要求》,制定《网络安全息安全管理制度》,等9个信息安全管理制度,定期进行内部检查和管理评定,不断优化和持续改进。我院在实施安全等管理体系建设工作中,采取分级、分类、分阶段的策略,根据我院各系统的不同特点,采取不同的安全等级。
(三)系统运维管理
根据最高等级的保护要求,制定多种信息安全方法:一是机房定时巡查,二是增加视频监控,减少视频盲区,三是建立智能监控系统,对全院网络运维情况监控,减低网络故障。
(四)人员安全管理
我院坚持在风险评估的基础上,采取适当和管用、足够的措施来加强信息安全,大大降低系统故障。
五、安全等保的实施过程
实现等级保护,应该采取分级,分类,分阶段的策略坚持分级实施保护,加强安全,突出关注重点,要害部位,根据信息化发展阶段的不平衡,须根据信息资产的规模大小,依赖程度的深浅,按阶段分步骤逐步实现等级保护的各项要求。(1)信息安全管理体系第一阶段主要是做好建立信息安全管理系统的前期工作及安全管理人力资源配置。(2)信息安全工作团队结合等级保护的基本要求,对HIS,LIS,RACS等核心业务信息系统进行处理,对在传输和存储的过程中,信息的机密性,完整性等重要特性进行调研和评价,结合等级保护基本要求差距项汇总,分析差距项目涉及的安全事件一旦发生对医院信息系统造成的影响。(3)制定安全管理策略、安全管理制度和信息安全管理体系等各方位保护措施,计划和建成符合三级等保系统基本要求的信息安全管理框架。(4)落实安全管理制度,根据安全管理体系的具体要求,进行全面的信息安全牢固与整改工作,充分发挥安全体系的各项功能。(5)自查和调整。深入分析问题,找出问题根源,查出不完善的过程记录文件并进行完善,调整不合理管理流程,进一步完善信息安全管理体系。
六、结束语
至2014年初,在我院领导的直接关心和指导下,通过各部门通力合作使信息安全通过了等级保护测评的三甲医院,为地区三甲医院信息安全等级保护建设工作开启良好的开端,展现了我院信息化建设的先进成果。
作者:杨静 单位:天津市中心妇产科医院行政楼
参考文献:
[1]王升宝.信息安全等级保护体系研究及应用[J].通信技术,2009
一、医院电子档案信息管理原则
当前,院信息管理系统(HIS)是国内综合性医院电子档案信息传送的主要方式,它涵盖医院各类业务与业务全过程如影像存档和通讯系统(PACS)、放射科信息系统(RIS)、实验室信息系统(LIS)等医院信息管理系统。它是通过医院建立的大数据库,利用电子计算机与现代信息通设技术装备,对医院各类电子医疗数据信息进行收集、存储、处理、提取和数据交换,满足用户预约挂号、诊疗信息查询、费用结算等功能需求平台。当前电子档案信息管理有以下原则。
(一)真实完整性原则
完整性指的是电子档案信息文件件数、数量,以及相关的背景信息、数据不存在受损、篡改和丢失,使档案信息真实、完整。然而,医院档案管理,一般都是集中在院办中的综合档案室,电子档案实行的是全程管理,基本上各科室部门办理完毕需要归档的档案资料就需要向档案部门移交,但一般的科室部门都设有自己的档案资料室,为了工作方便,并没有完全移交本部门的病历医疗档案,这些会影响电子档案信息的完整性,导致电子档案的价值受到影响。
(二)全程管理原则
当前,我国对电子档案实行的是全过程管理,即对电子文件从形成到销毁或是作为档案永久保存下来的的整个生命同期中,在每一个阶段与每一个时期,都确保电子文件或是电子档案信息内容的一致性,不可以更改。确保电子档案信息从一开始到结束生命周期中内容的一致性。全程管理通过对电子档案在每个阶段如流转、利用、保管全程的控制与监控,从而确保电子档案信息的完整性。然而,由于医院档案信息资料文件来源广泛,种类多样,而从事档案管理的工作人员人手不足,或是素质高低不一,很难现实对电子档案全程管理,这必将影响到电子档案信息的真实性与完整性。
(三)前段控制原则
前段控制是基于文件生命周期的反映,将档案的形成、保存、销毁等阶段视为完整过程,具体通过对电子档案管理过程的目标、要求和规则进行系统分析和科学整合,把文件形成阶段的所需要的管理功能尽可能在前端实现,它主要作用在于减少滞后与重复作业,提高工作效率从而确保电子档案的真实可靠性、完整安全性以及长期可读性。
二、影响医院电子档案信息管理的安全因素
当前,影响到电子档案信息真实完整性的安全因素主要表现如下。
(一)环境安全因素
我们都知道,对纸质档案来说,确保纸质档案信息的安全主要是防火、防光、防湿、防尘、防虫咬等。而电子档案信息是以电信号和磁介质为媒价的数据信息存储载体,要确保磁介质中的数据信息安全,就要远离磁场的干扰,磁场的干扰会使电信号与磁介质数据发生破坏,使数据失真,从而使电子档案信息丢去真实性。同时,电源供给系统故障,也会造成电子档案信息损坏,如发突发性的断电,可能会损坏在硬盘或存储设备上的数据。
(二)来自网络安全因素
当前,互联网信息安全是一个全球性的问题,对电子档案信息安全影响的主要是来是互联网威胁。医院电子档案信息并非是封闭的、不开放的信息孤岛,它也是信息资源的重要组成部份,对于非机密的电子档案信息,对社会公众开放提供利用服务。另外,医院电子档案系统始终是处于联机的状态,这使医院电子档案信息有被计算机病毒、特洛伊木马、恶意代码和电脑黑客攻击的风险,从而造成医院电子档案信息数据文件破坏、信息被篡改,使电子文件失去了历史真实性与完整性,失去了档案的原始价值,而敏感数据信息被盗窃,将使医院机密与病人私隐被泄漏,造成不可挽回的损失与影响。因此,来自网络的威胁是医院电子档案信息最大的安全因素,这需要特别注意与认真对待。
(三)人为因素
医院电子档案信息建设是最近这几年才发展起来了,是一个较为崭新的管理课题,很多医院的规章制度还不够健全,操作还不够规范。管理者综合素质的高低直接影响医院电子档案信息管理水平。医院电子档案信息档案管理者非档案学专业的,不懂得电子档案全程管理原则、前段控制原则,就会对电子档案信息管理中随意处理,将对电子档案信息产生安全隐患;不懂得医学知识,就不知道该案卷的档案的数量、数据的份数是否准确;不懂得计算机、网络技术、数据库知识,就不能规范操作,也就不会对电子档案信息备份、对计算机硬软件杀毒,修补漏洞,医院电子档案信息的真实性、完整性与网络的安全将得不到保障。
三、医院电子档案信息安全管理对策
面对层出不穷的信息安全问题,那么怎么样才能确保电子档案信息安全呢?这需要我们从环境因素、网络安全因素、人为因素上加以解决。
(一)维护安全稳定的数据库环境
解决影响电子档案信息安全的环境,首先建设独立储存电子档案信息数据库室,把数据库室设置为暗室,避光,防尘,室内除了独立的18T的光纤通道存储设备、数据核心交换机、高性能刀片服务器,并配除湿机、恒温机,以确保室内湿度与温度保持在适度的范围,并远离磁场,防止磁干扰。同时,在电源保护方面,数据库配置独立的电源室,配有交流电源,即便突然断电,交流电源可维持一段时间,使管理者能够手动关闭数据库,避免突然断电造成的数据损坏。
(二)做好网络上信息技术安全保障
确保医院电子档案信息网络上的安全,首先是备份,备份是确保即便电子档案信息受到攻击导致数据毁失还可以对数据进行恢复,是电子档案信息安全的基本保障方法。备份按地理不同可分为本地备份与异地备份,按备分的方式可分为在线备份和离线备份,按备份的略策又可分为增量备份与差分备分。在备份的储存方面上,当前,由于备份电子档案信息数据量巨大,一般都是在磁盘阵列式储存。其次是对档案信息进行加密,防止黑客与病毒入侵,对电子档案信息实行加密技术,从而防止电子档案信息的被篡改与泄密,一般加密的方法有软件加密、硬件加密与混合加密,具体来说软件加密就是利用计算机程序对电子档案生成不可读的格式,需要用专门软件才能读取,硬件加密是通过TPM加密硬件对硬件进行加密以保护电子档案数据;混合加密是通过用户认证、身份密码、权限分配等进对电子档案数据保护。再次是设置高级别的防火墙,对档案用户采取限制访问级别的限制,对于非机密档案信息,可以对社会开放,对于限制用户数量密级的档案,按全程管理原则与前段控制原则,在电子信息形成时涉及到哪一个用户,为用户授权的访问级别,未经授权的无权访问,确保电子档案信息在合法用户范围内利用,从而防止人为对电子档案信息篡改,维护电子档案信息的真实完整。
(三)制定完善规章管理制度,提高管理者素质
医院网络信息安全与医疗卫生服务质量、效率息息相关,因此做好网络信息安全防护体系建设有助于确保医疗信息安全与信息服务平台应用,对于进一步提升医疗服务质量至关重要。文章分析了我国医院网络信息安全防护体系现状,并对医院网络信息安全防护体系的设计与应用进行了探讨,希望能为医疗信息服务改革与创新提供参考。
关键词:
医院;信息安全;防护体系;设计
0引言
医院作为提供医疗卫生服务的主体,本身的发展关键在于做好综合管理,信息平台作为进行医疗服务、医学研究、教学、对外交流宣传等工作的主要阵地,建设与服务情况直接关系到医院工作质量与效率,因此建立完善的信息安全防护体系不仅可有效保障信息平台运作的有效性,同时也可及时消除信息服务过程中出现的各类故障与问题,确保医院工作顺利进行。
1我国医院网络信息安全防护体系现状分析
(1)安全需求。
医院信息网络安全防护涉及计算机、通信安全、信息安全、密码、信息论、数论等多种专业知识与技术,计算机信息系统平台的防护要做好到不因偶然或者故意的外界因素影响系统运行,保障信息的安全,减少信息丢失、受损、更改、泄露等,确保信息提供服务医疗工作的延续性、长期性、可用性与高效性,提升系统运行安全性与可靠性。结合我国信息安全防护规范与医院医疗信息工作防护需求来看,技术层面上医院网络信息安全主要分为三个层次,一是硬件设施安全,包括计算机、网络交换机、机房、线路、电源等物理设备在内的设备安全,二是数据或应用安全,即软件安全,保证信息系统相关软件、程序、数据库等操作的访问安全,三是网络与系统安全,即包括网络通信、信息交换、信息应用、信息备份、计算机系统等在内的系统平台免受系统入侵、攻击等影响。
(2)安全防护现状。
目前国内经济发达地区的二级医院与三级医院基本上已经建立起了HIS系统与局域网,通过与因特网连接构建服务院内医疗工作的信息平台,信息网络运行遵照内外网物理隔离形式,因此相对而言运行风险减小,在安全防护方面投入比例相对较低,不过面对越来越进步的医疗需求,实现内外网合一成为必然,有助于构建更为高效的医疗信息共享模式、预防传染疾病、建立大范围医疗服务体系等,但是内外网合一将会面临更多的安全风险与漏洞,因此加强安全防护体系建设迫在眉睫,是保证医疗信息安全与高效管理的必然举措。医院信息安全防护体系的建设面临着来自安全管理、硬件软件等多方面的风险,目前防护体系建设主要是通过升级硬件、软件防护确保信息安全,通过加强人员管理与安全管理降低安全风险威胁,对于医院医疗系统而言,随着越来越多的信息化医疗设备、仪器、就医人员等介入信息平台,安全防护体系建设所面临的风险与需求也将会越来越大,因此针对医疗信息安全需求做好防护体系的建设与推广应用是目前进步发展的关键。
(3)信息安全建设问题。
当前医院网络信息安全问题已经成为困扰信息系统平台运行、应用的瓶颈,为了应对信息网络时代频繁的网络攻击与信息安全威胁,杀毒软件、防火墙、入侵检测技术、信息备份技术、数据库安全技术等广泛应用于医院网络信息安全建设。上述技术虽然在确保网络信息安全方面发挥了一定作用,但是同时也存在不足之处,就目前来看,我国医院网络信息安全防护体系还存在不少问题。医院网络信息安全防护系统使用的硬件、软件产品因不属于同一企业,在整合、规划、管理中容易存在漏洞导致重复建设或者潜在安全风险等问题,影响信息系统安全。信息平台的构造与使用专业性要求较高,并且设备、软件需进行专业整合,院内桌面终端的分散与多边、医护人员水平高低、使用情况等都直接增加了信息安全防护的难度。目前医院网络信息安全防护系统的建设与应用缺乏统一的技术标准与规范,不利于信息技术的整合和信息平台潜力的挖掘,一定程度上增加安全防护系统构建与应用的难度。网络信息技术的发展与安全防护本身处于此消彼长的态势,在制定安全防护策略、构建防护体系时必须做好与时俱进,最大限度的在降低经济成本的同时提升技术应用效率与效益。
2医院网络信息安全防护体系的设计与应用
(1)硬件设施建设。
医院安全防护系统硬件设施建设关键要做好核心服务器、交换机、应用计算机、网络设备等建设,硬件建设优劣直接决定信息服务效果与质量,是确保医院信息平台顺利运行的关键物质基础,因此为提升防护稳定性与可靠性,加强硬件设施建设势在必行。硬件设施建设要从设备型号、性能等入手,配合网络布局规划、服务需求制定最佳建设方案。以机房设计为例,作为安全防护信息系统的神经中枢,医院至少要建立两个A级标准机房作为主机房与备用机房,并对监控间、设备间、空调电源间做好设计,比如空调电源间要做好精密控温、恒温恒湿、备用UPS电源等建设,并留有充足的后续设备空间,另外要着重做好消防安全工作。监控间要应用专业的设备环境监控系统及时掌握主机房环境变化,以便在意外发生时做到准确应对。硬件配备方面为满足医院工作网络信息安全防护需求,要配备优质的设备以保证数据访问效率,利用HIS服务器、PACS服务器等为实现办公自动化、电子病历、信息安全管理提供强劲动力;应用混合光纤磁盘阵列、近线存储等完成海量数据的存储、交换与备份,并采用核心交换机、光纤宽带等构件高性能网络平台,并在医院内部配备优质计算机服务终端。网络布局方面,根据医院性质做好军网、医保专网、内网、外网的联合建设,内网建设是关键部分,要着重加强安全防护建设,并留有网站备份与未来拓展空间,为医院信息安全管理提供支持与保障。
(2)网络系统安全建设。
医院信息网络系统安全威胁主要来自于外部攻击入侵或者网络本身缺陷所导致的运行失误、效率下降、系统崩溃等问题,攻击入侵包括木马病毒攻击、系统漏洞等,因此要着重做好网络安全防护与系统安全防护。网络安全防护要根据医院网络性质做好内外网融合与统一,保证专网、军网等介入内网时受到物理防火墙、网闸的有效保护,屏蔽内网信息、运行情况及结构,有效预防、制止非法入侵及破坏行为,并且为了提升防护效果,要尽量配合网络运行监控系统以达到理想防护效果。系统安全防护需要建立完善的病毒防护体系,处理好系统终端计算机内的病毒、木马等,建立有效权限制度以达到保护信息、防护内外入侵等行为,可通过采购企业版病毒防护软件定期更新病毒库达到自动杀毒维护安全效果;系统内部防护安全与计算机个人网络终端关系密切,因此要在院内移动终端上增加桌面控制软件以实施全面安全管理,通过系统补丁分发、端口访问、安全准入等机制实现防护。
(3)数据应用安全。
数据应用安全关键要做好数据存储、访问、应用安全及信息系统软件运行安全。数据存储安全与系统环境、硬件设备、数据库安全密切相关,因系统漏洞、硬件损毁、数据库错误等造成数据毁坏要通过采取备份、恢复、数据容错等举措解决。为保证数据安全性与完整性,要建立数据库本机与多机备份机制,尤其是核心数据库要分别建立主、备用服务器,一旦其中之一发生意外立即采取补救措施实现自动切换,尤其是电子病历要进行专业备份及归档,确保数据完整性与可用性。数据访问安全问题主要以非法用户访问、非法篡改数据为主要表现,要完善医院内部访问权限与身份准入系统,实现统一授权管理,以减少信息丢失、错误等情况。要对数据库安全环境建设、应用软件环境建设倍加关注,如lP±IE址的设置、数据库配置、环境变量设置等,实现统一运行环境与地址绑定,降低安全运行风险。
(4)安全管理制度。
医院内部要做好信息安全管理制度的完善与执行,根据国家政策、行业法规、院内需求积极完善系统及数据应用,确保网络信息安全防护系统始终维持良性运行状态,为医院安全建设奠定基石。要加强网络安全值班制度建设,配备专业人员监督网络系统运行,并配备专业监控系统及时处理各类问题与意外,对于问题严重者要及时通报技术科室进行维修养护,确保医院信息系统始终处于24小时监控维护下。值班管理中,要做好系统运行情况记录,并进行数据备份,确保值班日记连贯、完整,为安全管理提供帮助。院内用户管理是安全管理另一重点,权限管理中要严格管理员权限准入机制,做好院内计算机终端设备的改造,做好院内工作人员专业培训,以便实现用户合法、合规访问系统,减少系统运行与访问风险,保证信息数据的安全性。
(5)应用实践。
为了确保医院网络安全信息防护系统得到有效运行,在实际运营中要增加相应的运维管理系统与安全防护系统达到理想防护效果。比如在主机房设置机房动力与环境监控系统,对机房准入权限、电源供应、通风、控温、消防等情况进行监控,确保机房始终维持在理想的恒温、恒湿现状,电压、电流、频率满足需求,并将变化做好数据记录监控,为机房高效管理提供保障;在医院内网设置专门的安全防护系统,以规范约束院内终端用户操作与应用,避免非法访问与数据篡改,该系统与院内身份认证系统合作,通过灵活的安全策略实现对内网用户、终端计算机的安全管理,充分践行事前预防、事中控制、事后审计的原则,实现安全行为管理;针对电子病历管理,要建立专门的VERITAS存储管理系统对病例数据进行存储、备份与恢复,并根据备份策略做好病程文件的保护与恢复,以确保医疗工作的顺利进行。
3结语
综上所述,医院网络安全防护体系的建设与应用有助于降低医院信息安全风险,提升信息系统可靠性、可用性与安全性,对于提升医院医疗服务质量与效果有积极意义,可有效减少院内信息系统安全故障、降低安全运行风险,提升系统运行服务质量,对于国内医疗改革进步、创新有重要实用价值。
作者:朱凌峰 单位:湖南省衡阳市南华大学附属第二医院
参考文献:
[1]胡祎.医院信息网络建设中的安全技术体系[J].网络安全技术与应用,2013(10):59
关键词:医院信息化 ; 数据库安全 ;安全与防御
一、医院信息安全
医院信息安全从其本质上讲就是网络上的信息安全.指网络系统硬件、软件及其系统中数据的安全。目前医院信息安全可以分为动态安全和静态安全,动态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性遭到破坏;静态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。随着我们对信息安全的认识不断深入,医院信息安全建设同时也会存在诸多问题。这些问题的出现,严重的影响了医院正常工作。
二、医院信息安全防御体系的构建
医院信息安全的任务是多方面的,根据当前信息安全存在的问题进行分析,笔者认为医院信息安全应该是安全策略、安全技术和安全管理的完美结合。具体应该从以下几个方面着手。
1、 加强硬件设备的管理和维护,保证医院计算机信息系统的物理安全
医院的信息安全物理安全威胁主要是指系统设备的运行损耗、存储介质失效、运行环境 (温度、湿度、灰尘等 )对计算机设备的影响、电源供给系统故障、人为的破坏等。医院计算机信息系统的物理安全是整个医院计算机信息系统安全的前提。主它是为了保护计算机网络设备、设施以及其他媒体免遭地震、水灾等环境事故,以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。简而言之它可以分为两个方面,一是环境安全,即对计算机信息系统所在环境进行安全保护;二是设备安全,即防止计算机设备被盗、被毁、被雷击等。
2、强化对计算机软件的维护,防止外来入侵和保证数据库的完整
首先医院计算机系统要使用防火墙和防毒墙,众所周知,防火墙是指设置在不同网络或网络安全区域之间的一系列的部件组合成的唯一出入口,从而保护内部网免受非法用户的侵入。而防毒墙是为了解决防火墙在防毒方面的缺陷儿采取的一种安全措施。防毒墙设计在网络入口处,对网络传输中的病毒进行过滤。
其次医院计算机系统在数据传输时采用数据加密技术。 数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。在计算机通讯中,采用数据加密技术隐蔽信息,再将隐蔽后的信息传输出去,使信息在传输过程中即使被分解或获取,窃取者也不能了解信息内容,保证信息的安全性。
3、强化安全管理制度,增强人员的信息安全意识
医院信息系统的运行需要有一套完善的规章制度作保障,同时加强系统人员的信息安全意识。(1)完善医院网络安全管理制度,主要是健全医院机房安全管理制度,健全设备加密管理制度和密钥管理制度;(2)完善的管理机制的建立,不仅是制度的健全,更关键的是人的因素。因此需要对全院职工尤其是管理人员进行相关教育,让他们树立正确的安全意识.清楚自己的职责分工,设立专职的系统管理员.进行定时强化培训.对网络运行情况进行定时检测等。
结语;随着网络和计算机技术日新月益的飞速发展,医院信息安全会出现新的问题,因此要做好医院的信息安全工作就必须加快医院网络信息安全技术手段的研究和创新.通过技术防治和管理防范相结合,建立有效、健全的安全防御体系,最终达到保护医院信息安全的目的。
参考文献:
[1医院信息系统中的数据安全 作者:赵春晓, 医疗装备2010年 第02期
[2医院计算机数据存储与安全 作者:董海明,刘希飒, 时珍国医国药2006年 第09期
[3浅谈医院信息建设的数据安全 作者:王亮, 江西教育学院学报2008年 第06期
[4中小型医院信息网络安全策略 作者:马洋, 中国医院建筑与装备2007年 第04期
1 医院档案信息安全现状
1.1 复杂性档案种类
医院工作过程当中会收集多方面和多元化的信息及资料,因此也就促成了医院的档案信息的复杂性问题。针对医院的档案信息进行管理和储存,才能够保证了解内容丰富和复杂的档案信息,通过科学的管理方式将医院方面的档案进行种类的划分,可以建立病历、影像诊断、科研教学、人事管理、财务信息等等档案文本内容。将以上科学划分的档案类型进行不同形式的划分,掌握纸质、电子和影像等诸多类型的档案,更加有助于降低未来医院工作方面的负担[1]。
1.2 多元化档案媒介
多元化的档案信息管理媒介能够满足当下的医疗卫生行业服务和管理工作的需求,但是同时也存在一定的问题,容易导致医院档案信息管理工作出现安全风险。从前医院的档案信息基本以纸质为主,在保存和查找方面都存在很大的难度,伴随科学技术的不断发展,信息技术支持的档案信息管理模式更加适合繁忙的医疗工作体系,但同时也存在一定的安全风险性。电子信息模式下的档案管理方式具备携带便捷和成本低廉等众多优点,但同时也存在风险问题需要不断的优化处理[2]。
1.3 网络式档案信息
网络模式的档案信息管理是非常有效的工作模式之一,也是未来社会发展的主要趋势。针对医院档案信息管理工作进行研究和分析能够发现,电子信息化的档案信息管理模式非常适合应用于医院的工作,主要是源于电子信息系统具有庞大的信息收集和归纳、整理作用,能够为医疗工作者提供更加高效的工作方式和方法,是一种优化的工作途径,保证了医院档案信息管理工作的质量和效率,也是未来行业发展的趋势[3]。
2 影响医院档案信息安全的因素
2.1 安全的档案信息媒介
影响医院档案信息管理的安全性因素涉及到很多方面,针对这些问题进行客观的分析,并针对存在的影响因素和问题找到一个科学、合理的解决途径,能够保证未来医院服务和管理工作的质量。影响医院档案信息管理质量的基本原因是受到档案信息媒介安全性的影响,档案信息的媒介安全性主要是指环境因素的影响,例如火灾、虫鼠灾害、水灾等等,都会影响档案信息的保存和管理。一旦发生环境因素灾害,就会导致档案信息出现部分和全部损失的情况,进而造成医院管理方面的阻碍问题等等[4]。
2.2 计算机病毒
影响医院出现档案信息管理安全威胁的问题还涉及到计算机的病毒问题,因为计算机的工作模式会受到病毒的影响,而且计算机的病毒影响非常严重。计算机的病毒存在传播速度特别快的问题,还存在智能化程度高的问题,因此,出现计算机病毒的问题很难控制,也会造成医院的档案信息安全出现风险。最为影响医院档案信息安全管理工作的因素还源于计算机的病毒侵害杀伤力非常大,而且在不断的技术升级过程中还会出现病毒侵害力逐渐增加的情况和问题。很多计算机的小型病毒可能会在工作的过程中不断的出现作用力增强的情况,进而导致医院的档案信息安全管理工作出现危机[5]。
2.3 网络入侵
影响医院档案信息管理的安全威胁因素还包含网络入侵的问题,关注网络入侵才能够认识到医院档案管理工作过程中会出现的问题。医院建立的网络档案管理模式体系当中,发现需要通过授权才能够登录,但是网络的模式自然也存在容易侵犯的问题。黑客可能通过口令的模式达成网络的入侵,实用软件窃取相关文件档案等。另外还有特洛伊木马的黑客形式通过软件的植入造成计算机的远程干扰,最终丢失医院的档案信息。除此之外,还有监听方法和社会工程学的诸多入侵方式,更高的科学技术达成了多层面入侵的黑客模式,导致医院的档案信息管理出现风险问题。
2.4 缺失科学组织管理和先进理念
可能影响医院出现档案信息管理的安全因素有很多,缺失科学的组织管理和先进理念就是影响医院档案和信息管理的安全性。由于当下科学技术的不断发展,网络信息技术已经全面的覆盖了人们的生活。医院档案管理的过程当中也需要应用到网络信息的技术和平台,由于网络体系的安全权限设置存在不足,就会出现安全管理方面的问题。还有部分的医院档案管理从业人员对于档案信息的保存存在认知和理念层面的不足,很容易在保存档案信息方面出现缺失专业的随意性,导致医院的档案信息在网络平台上随意被窃取,严重妨碍了?t院的档案信息管理[6]。
3 医院档案信息安全管理对策
3.1 实体安全档案防护
重视医院的档案信息管理工作,需要从安全性角度进行科学的考量,保证实施切实有效的档案管理信息,进而构建安全防护体系,降低可能出现的信息管理问题。关注医院的档案信息安全管理工作,不仅仅要重视日常的信息管理和维护工作,还需要从档案的存放位置及地点方面进行管理。医院不仅仅保留电子信息文档,还应当保存文件的纸质本,以此为后续管理工作提供完整的信息和资料。通常为保证纸质文版档案的安全保存,需要避免储存在潮湿的地下室位置,还应当避免存在火灾安全隐患的位置。在日常的管理和储存过程当中,需要保证通风和除湿的管理,定时进行驱虫和灭鼠操作[7]。
3.2 计算机信息安全措施
关注到医院档案信息安全管理工作的重要性,应当采取积极的措施和对策,才能够满足实际的工作质量优化需求,进而提升医疗卫生行业的工作品质。针对医院的档案信息进行安全管理,需要掌握良好的计算机信息安全措施,实施高科技的有效保护,进而提升医院内部的管理工作质量。建立计算机模式的信息安全体系,需要从防病毒和防入侵方面入手,确保医院计算机体系不受病毒侵害,同时为网络系统建立防入侵体系。在日常管理工作过程当中还需要进行数据备份并且要求管理工作人员具备数据的恢复技术和能力,在适当的情况下设计符合医院工作需要的权限保护和管制,进而确保电子信息的安全性。