时间:2024-03-15 10:41:13
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇医院信息安全管理措施范例。如需获取更多原创内容,可随时联系我们的客服老师。
医院档案信息化是指档案管理模式转变的过程,从以档案实体为重心转向以档案信息为重心。在医院档案管理活动中全面应用现代信息技术,加速实现档案管理现代化的进程,医院档案信息化建设就是在医院档案行政管理部门的统一规划和组织下,对医院档案信息资源进行处置、管理和为社会提供服务。
随着信息社会的到来,档案现代化管理和信息化建设,是医院档案工作发展的必然趋势,医院档案基础业务建设的重心也开始向信息化、现代化转移。为了研究医院档案信息化,必须首先了解什么是档案信息化,才能知道其现在面临的问题,进而找到解决的对策和方法。信息技术在国民经济和社会发展中扮演了越来越重要的角色。
在这个信息化的时代,在科学发展观的指导下,随着新医改的不断深入,医院经营管理的逐渐市场化,医院的信息化建设也渐渐被管理者所重视,成为医院基础建设的一部分,融入到医院现代化建设经营管理之中。
而档案管理则成了医院信息化的重要组成部分。通过精心设计版面,内容架构,以及对功能模块的完善,档案信息化成为医院在经营管理和竞争中不可替代的关键部分。
2 方法
2.1 医院档案信息的数字化,它是指将纸质文件、声像文件等介质文件和已归档保存的电子档案,利用数据库技术、数据压缩技术、高速扫描技术等技术手段,系统组织成具有有序结构的档案信息库。档案目录信息的数字化、档案全文信息的数字化,是档案信息数字化的内容有两个不同层次。档案信息数字化的原则:规范性原则、安全性原则、效益性原则。
2.2 档案网站建设,它是指档案网站是档案机构在公共信息服务网站上建立的站点,它一般是以主页方式提供相关档案服务和开展档案宣传。档案网站建设是档案信息化建设的重要步骤,档案网站的功能有:服务功能、宣传功能、交流功能。是医院档案部门联系整个医院及社会的重要窗口。档案工作信息、档案机构信息、档案资源信息、档案利用服务信息是档案网站的主要内容。
2.3 数字档案建设,它强调的是在数字化档案环境下用户开发利用档案信息资源的便利,它是指利用电子网络远程获取档案文件信息的一种方式。数字档案的主要特点:①功能定位上的特点,以存取为中心;②运行方式上的特点,存取档案信息的网络化;③存在方式上的特点,是一种无形的信息组织与利用环境。
3 档案信息化的存在问题及解决办法
3.1 档案升级在加强规范管理方面需要一笔较大支出,要积极扶持医院档案信息化建设以保证档案信息化建设顺利进行。
3.2 开展业务指导,提高创建技术。医院档案信息化建设涉及很多新情况、新问题,应积极开展医院档案信息化建设业务指导,加强与档案主管部门联系,有的内容专业性较强,通过组织培训、举办讲座、上门辅导等方式,普及创建技术,从而业务技能,传授档案升级方面的专业知识。
3.3 挖掘内部潜力,增强创建力量。管理档案人员少的矛盾日益突出,再抽调人员从事档案升级工作相当困难。每天需要应付日常工作,很难抽出更多的精力搞创建。应成立创建工作领导小组,保证创建工作稳步推进。
3.4 强化档案管理,完善创建条件。现有的医院档案管理水平停留在原先省一级标准基础上,对照省特一级标准差距较大,所以要不断更新观念,完善具体操作规程,推进规范化建设,进一步健全归档、保管、鉴定、借阅等各项管理制度;升档案服务水平,为档案管理升级提供基础保证,要及时引进先进档案管理设备。
3.5 加大宣传力度,提高创建认识。思想认识上的偏差,即使争创档案升级,也是办公室档案人员的事,与己无关,或者对医院档案信息化建设的重要性了解不够,认为这是可有可无的事。应组织大家学习,增强为档案升级工作服务的自觉性、积极性,提高全体人员对档案信息化建设重要性的认识。
4 结论
“采用计算机及其配套设备,缩微机及其设备,保护技术现代化”,是管理手段的现代化和保护技术的现代化。档案管理现代化、信息化,其核心是就是它们。主要是档案存储环境控制档案存储载体更新改造的科学化。要抓住机遇,提高工作水平、工作效率,提升服务质量,逐步构建起各地档案信息平台,努力把档案信息化建设作为政府电子政务建设的一个重要内容;要加强领导、提高认识,加快档案信息化建设,认真研究,合理规划,争取支持,加大投入,配备人才;要制定信息化建设的中期规划和短期目标,使档案的管理水平迈上一个新台阶,加大投入,逐渐增配软、硬件设施,争取政府和上级部门的支持,为社会创造更大的经济效益和社会效益。
参考文献:
[1]李爱军.档案信息化的现状及对策分析[J].铜陵学院学报,2006,(02).
[2]金光华.在企业信息化环境中的档案信息化定位研究[J].中国管理信息化,2005,(02).
1 对医院电子档案信息安全管理产生影响的因素
综合分析,当前对医院电子档案信息安全管理产生影响的因素主要涉及到以下几个方面。
1.1 环境安全因素
电子档案是将电信号和磁介质作为主要载体的档案文献,因此环境中的磁场干扰和突然断电等问题都会对电子档案信息安全产生影响,出现档案数据失真问题,影响电子档案信息安全的合理管理[1]。同时供电系统的故障也可能会给电子档案信息造成严重的破坏。所以在加强电子档案信息安全管理工作的过程中,应该注意突出环境建设,以环境建设为电子档案信息安全管理提供良好的支持。
1.2 网络环境的影响
近几年随着网络信息技术的发展和其在社会上的普及性应用,网络安全问题频繁出现,网络病毒和黑客等对信息安全产生了严重的不良影响,医院电子档案信息安全管理也受到严重的威胁。所以医院应该正视来自互联网的威胁,对网络安全环境进行合理分析,进而从网络安全角度加强电子档案信息安全管理,有效促进档案管理水平的全面提升。
1.3 制度和人为影响因素
现阶段我国医院档案管理工作中管理制度建设不完善以及工作人员计算机专业素质偏低的问题也对电子档案信息安全管理的优化开展产生了一定的不良影响[2]。在制度不完善的情况下,管理规范性不足,并且由于管理人员综合素质偏低,无法应对计算机系统故障和网络安全对电子档案信息安全管理产生的威胁,导致医院电子档案信息安全管理水平偏低。
2 新时期医院加强电子档案信息安全管理的措施
当前社会上层出不穷的信息安全问题不仅对社会信息安全造成了一定的不良影响,甚至严重者还会威胁社会的稳定。所以社会各界都加强对信息安全管理工作的重视,希望借助科学合理的信息安全管理,为信息行业的稳定发展提供良好的支持。在此背景下,医院电子信息档案管理也受到高度重视,成为医院档案管理部门重点关注的问题。所以本文基于当前医院电子信息档案管理实际需求对电子档案信息安全管理的措施进行了适当的分析,以期为电子档案信息管理的全面优化提供良好的支持。
2.1 加强对安全稳定数据库环境建设工作的重视
医院新时期加强对电子档案信息安全管理工作的重视,最为关键的一点就是应该保证安全稳定环境的建设,为电子档案信息数据库的稳定运行提供良好的支持。首先,针对医院电子档案信息的实际需求,医院应该尝试构建独立的存储电子档案信息数据库室,并对数据库室内的环境进行合理布置,将其设置为暗室,注意采取适当的避光防尘措施,室内除了应该设置独立的18T的光纤通道存储设备外,也应该引入数据核心交换机、高性能刀片服务器等设备[3]。同时,针对医院的具体情况可以有选择性的配置除湿器和恒温机,保证医院数据库室整体环境保持在恒定温度和湿度范围内,并坚持远离磁场,避免数据库?子档案信息受到电子干扰。同时,由于电子档案信息数据库的稳定运行需要电源的支持,因此在环境建设工作中也注意电源保护问题,设置独立的电源,即使遇到突发停电的情况也能够保证数据库室在一段时间内的稳定运行,进而为管理者手动保存资料、关闭数据库提供充足的时间,有效规避突然断电对档案数据信息产生不良影响。这样借助良好数据库外部环境的建设,医院电子档案信息安全管理就能够获得良好的设备支持,提升管理效果。
2.2 提升网络信息技术安全保障工作质量
网络信息技术安全保障工作在医院电子档案信息安全管理工作中发挥着重要的作用,能够促进医院电子档案信息安全管理工作的顺利推进,促进管理水平的进一步提升。所以医院档案管理部门在开展档案管理工作的过程中必须保持对网络信息技术安全保障工作的高度重视,从多角度探索安全保障措施。首先,应高度重视备份工作,确保即使电子档案信息受到外部力量的冲击仍然能够进行及时的恢复,维护电子档案的安全。在开展备份保障工作的过程中,医院应该按照不同的类别实施电子档案信息的本地备份和异地备份、在线备份和离线备份、增量备份和差分备份等,保证备份的全面性和有效性,为电子档案信息安全工作的良好开展创造条件[4]。其次,电子档案信息加密保障工作,借助加密保护,有效防止病毒和黑客的入侵,并避免电子档案信息被不合理的修改泄密等,切实维护医院电子档案信息安全。一般情况下,医院电子档案管理部门在实施加密保障的过程中可以引入软硬件结合的加密措施,保证只有借助专门的软件才能够读取档案信息,维护电子档案数据安全。最后,设置高级别的防火墙,对档案资源使用者进行合理的限制,对于医院电子档案资源中非机密性的信息可以供个人或者相关组织使用,而对于机密性档案则应按照严格的借阅流程才能够使用档案资源。这样不仅能够实现对医院电子档案信息安全的合理维护,还能借助对档案机密性等级的划分,增强电子档案信息的有效利用率,为患者和社会相关组织提供相应的档案信息服务。
2.3 逐步完善档案规章管理制度,提升管理人员的综合素质
在医院电子档案信息安全管理工作中,档案规章管理制度的建设是维护档案管理信息安全的重要保障,而高素质人才则能为电子档案信息安全管理提供相应的人才保障,所以在加强电子档案信息安全管理的过程中也应该重视制度建设和人才队伍建设[5]。首先,应该结合医院电子档案信息安全管理的实际需求逐步构建相对完善的规章制度,加强对档案管理工作的规范,保证电子档案信息的全面性、完整性和安全性。其次,应注意组织档案管理人员参与相应的在职培训活动,促进管理人员综合管理素质的提升,保证管理人员能够结合医院电子档案信息安全工作的实际需求开展各项管理工作,提升安全管理工作质量。这样,医院电子档案信息安全管理工作就能够在新时期实现新发展,促进医院电子档案信息资源的合理利用。
关键词:信息安全等级保护;机构管理;信息中心随着《信息安全等级保护实施指南》和《信息安全等级保护管理办法》等一系列文件颁布以来,医院如何开展等级保护工作,确保信息安全,已经变成热门话题。其中,负责医院信息安全等级保护工作的组织管理机构,主要从管理层和用户层对医院信息安全等级保护进行管理建设。管理层的主要工作是制定医院信息安全等级保护工作的管理办法;用户层的主要工作是依据管办法要求,进行沟通合作以及运行监控和审查检查工作。
1信息安全机构管理目的
信息安全等级保护工作是解决信息安全问题的基本方法,而信息安全不仅靠物理安全、网络安全、主机安全等具体技术上的实现,还需要建立健全的信息安全机构管理制度,贯彻信息安全工作和维持信息安全的建设成果,在技术和管理两个维度下保障信息安全保护体系在持续的运营工作中发挥应有的信息安全保护作用[1]。
2信息安全机构管理思路
2.1加强安全管理建设是实现等级保护组织机构管理的基础 医院信息安全管理需要由医院信息化领导机构协调进行。为了完成和强化信息安全的管理,需要建立相应的信息安全管理机构,这是医院信息安全等级保护实施的必要条件[2]。同时,安全组织管理建设也是重要组成内容,包括健全组织体系,明确负责安全管理的主要领导、主管部门、技术支持部门和宣传部门,制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务等。
2.2相关管理办法制定是规范等级保护组织机构管理的根本保证 医院信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于医院信息系统的安全问题,不能企图单凭利用一些集成了信息安全技术的安全产品来解决,而必须配合等级保护的信息系统安全保障体系,制定相关管理办法,全方位综合解决系统安全问题。
2.3定期审查监控是实施等级保护组织机构管理的具体表现 根据医院对于信息安全等级保护的要求,安全等级保护除重视技术解决方案外,更应明确定期审查、检查和监控的必要性。包括:指定专员定期对系统进行安全巡查,检查的内容包含例如系统运行情况、系统漏洞确认、系统数据备份、现有安全技术措施有效性、安全配置与安全策略一致性、安全管理制度的执行情况等等。
3信息安全机构管理措施
医院信息安全管理体系依赖于信息安全等级保护管理建设的机构管理。根据医院当前信息安全管理需要和机构管理特点,和信息安全等级保护管理所要求的系统建设管理、系统运维管理、安全管理机构、安全管理制度和人员安全管理,笔者从岗位设置、人员配备、授权、审批、审查和沟通交流等方面分析医院信息管理机构建设,切实做到提升医院信息等级保护管理的能力。
3.1岗位设置 信息中心内部根据岗位划分不同,设置多个安全管理岗位包括系统管理员、网络管理员、安全管理员、安全审计员岗位,各岗位人员应按照自己的岗位职责,落实本岗位的信息安全工作[3]。
以我院为例,我院信息安全管理工作由院领导负责指导和管理,同时成立了医院级别的信息安全工作领导小组,由党委书记担任领导小组组长,由信息中心负责管理工作的具体落实,制定各信息系统相关岗位的岗位职责和工作标准并形成文件。
3.2人员配备 信息中心采用安全责任层层落实制,中心主任对医院所有信息化相关系统负责,网络工程师对医院所有网络建设及维护负责,系统工程师对医院服务器、数据库、存储和信息系统负责,信息安全工程师对医院网络安全、信息安全、机房物理安全负责,安全审计工程师对所有人的信息安全工作进行监督和审计,保证信息安全工作层层做实。
3.3授权和审批 医院信息中心对于外部厂商人员的相关操作均需进行审批流程,通过软件记录其所有操作行为,并保存进档。对于中心内部工作人员执行严格的离岗流程,由所在部门主管负责回收本部门负责的相关权限,所有权限回收后方可办理正常的离职手续。
信息中心对于客户端操作系统权限、应用系统操作权限、数据库操作权限进行分级控制。内网客户端硬盘分区全部使用NTFS,管理员密码由信息中心网络组每月定时更换;对所有应用系统功能进行编号,对功能进行模块化管理,并对模块进行分级控制;同时,设置数据库用户,将不同应用的数据分别管理,赋予创建、修改、删除表及表内数据权限。
3.4审查和检查 医院信息中心日常检查由信息安全管理员进行,自检内容包括终端安全自检和软件管理自检,终端安全自检包括检查是否每台计算机安装防病毒软件,病毒库是否为最新版本,终端操作系统是否安装最新补丁,是否设置6位以上口令;软件管理自检包括检查软件是否为正版软件,软件管理的各项记录是否完整等。
构建信息安全综合防护体系保证医院各系统能够长期稳定安全运行,满足了医院不断扩展的业务应用和管理需要。本文对信息安全机构管理的目的、思路和措施进行了详细的分析阐述,对相关工作人员和机构具有一定的启示意义。同时,通过梳理分析业务特点和管理流程,依据等级保护相关政策和标准,明确安全管理需求,笔者所在医院信息管理中心整理并制定出符合医院信息系统实际情况的一套信息安全管理体系文件,并在2012年公安局等级保护测评中被评为三级。
参考文献:
[1]苏丹.医院信息系统安全与管理[J].中国信息界(e医疗),2013,(05):58-59.
【关键词】信息安全等级保护 测评实施
1 引言
医院信息化建设快速发展,信息系统应用深入到各个环节,信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LIS系统、检查PACS系统、体检系统等。保障重点信息系统的安全,规范信息安全等级保护,完善信息保护机制,提高信息系统的防护能力和应急水平,有效遏制重大网络与信息安全事件的发生,创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》,卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
2 确定测评对象与等级
我院是一所二级甲等综合医院,日门诊人次1000人左右,住院日人次400余人。医院信息系统HIS、LIS、PACS、电子病历、体检等50余个系统无缝结合,信息双向交流。按照《信息系统安全等级保护定级指南》定级原理,确定医院信息业务系统的安全保护等级为第2级,其中业务信息安全保护等级为2级,系统服务安全保护等级为2级。
2.1 招标比选测评公司
医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司,简单介绍医院信息化情况,其中有3家公司到现场进行调查,掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。
2.2 测评实施
2.2.1 准备阶段
医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》,确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研,提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的IP地址、网络互连设备的配置、网络安全设备的配置、安全文档等。
2.2.2 测评主要内容
主要针对医院信息系统技术安全和安全管理两方面实施测评,其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5;安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
2.2.3 测评方式与测评范围
测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈,了解医院业务运作以及网络运行状况;查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务,以及安全管理类测评任务;查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等;测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试,检查系统的安全有效性。
整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。
医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵,终端使用了趋势网络版本防病毒产品,抵御恶意代码。开启系统审计日志,制定和实施有效安全管理制度,加强安全管理,降低系统安全风险。网络进行了有效的区域划分,区域之间通过访问控制列表实现安全控制,与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。
2.2.5 差距分析与测评整改
通过测评,测评公司写出测评报告,提出整改建议。按照《信息系统安全等级保护基本要求》要求6,测评公司人员根据医院当前安全管理需要和管理特点,针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理,从人员、制度、运作、规范等角度,进行全面的建设7,提供技术建设措施,落实等级保护制度的各项要求,就各类人员进行安全培训,提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。
2.2.6 编制报告,成功备案
测评公司编制报告,上报市公安局备案成功,获得二级信息系统备案证书。二级信息系统,每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高,安全保护能力增强,有效保障信息化健康发展。
3 结语
网络安全问题是一个集技术、管理和法规于一体的长期系统工程,始终有其动态性,医院需要不断进行完善,加强管理,持续增加安全设备以保障医院数据安全有效,保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点,分期分批循序建设,保证医院各系统长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求8。
参考文献
[1]卫办发.〔2011〕85号,卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知,2011.
[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志,2005.
[3]王建英,陈文霞,胡雯,张鹏.医院信息安全分析及措施[J].中国病案,2013.
[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息,2013.
[5]韩作为.医院信息安全等级保护三级建设流程与要点[J].中国数字医学,2006.
关键词:医院;信息技术;安全管理
中图分类号:R19 文献标识码:A
随着21世纪的到来, 我国整体信息化水平的提高以及医院规模的扩大、现代设备的增加以及门诊量的提升,通过信息化手段提升医院整体管理水平,提高医院内部诊疗信息的共享率,全面增强医院服务患者水平成为现代医院新的经营理念和必然的发展趋势。本文将从技术和管理两方面介绍保障信息安全的主要方法,并结合医院的特点说明怎样的医院信息系统才是一个安全的系统。
1 医院信息化建设的安全范畴
1.1局域网络
就医院局域网建设来说,它应紧密围绕着医院管理目标,体现医院管理思想。它所面临的安全威胁主要来自非法用户利用私自连接上网的未经授权的工作站或利用一台合法工作站, 通过窃听网上通信来窃取合法用户的用户标识符(ID)和口令,冒充合法用户登录系统,窃取或修改数据。保障信息安全就必须有效地对抗这些攻击。
(1)网络的安全机制
医院信息管理系统(HIS)已在我国大部分医院启用,为防止未授权用户进入系统或合法用户访问它无权了解的信息,在用户登录系统时,对其访问资格进行认证,即身份认证。目前主要采用ID+ 口令方式。用户登录时,输入ID和口令。这种方式简单易行,但ID 和口令容易泄露,安全性差。最佳方案是采用智能IC卡技术。用户的个人信息存储在IC 卡内, IC卡使用多种安全技术确保卡内资料不会被复制和泄漏。使用时,将卡插入工作站的读卡器进行身份认证。由于费用较高,当前国内医院较少采用。但它的安全性能突出, 而且一卡多用, 是今后的发展方向。
(2)网络通信数据的保密
在网络分层通信中,保密通信安排的层次越高,则传送密文的安全路径越长,信息传输的安全性相对也越高,但相应的开销和延时也可能较大,所以网络中具体安排哪一层次进行加密和解密,仍需根据网络系统应用类型、范围及环境等因素综合考虑和规划。在这种结构的网络中,数据以广播的形式进行发送。当一台工作站与服务器通信时,网上的其他任何一台计算机都可以获得传输数据的副本。为了保证有在线窃听情况下数据的保密性,只有对数据加密。现阶段国内医院信息系统,基本选用软件加密方式。密码运算工作全部由工作站和服务器完成。如果网上数据全部加密传输,运算量极大。在通信频繁的情况下,会使整个系统的性能迅速下降。通过分析医院的信息流动情况和面临的安全威胁,可以看出:首先,医院并非高度保密单位。日常工作中使用的信息,多数保密等级并不高。其次,入侵者攻击方式和目的明确,主要是试图经网络侵入系统,通过非法修改、窃取、破坏保存在数据库中的相关数据,从而获取某种程度的利益。而不是单纯通过在线窃听网上通信来获得有用的信息。因此,将少量保密等级高的数据在网上加密传输,而大部分普通数据则直接传输,可使系统的速度和安全性能均达到满意的水平。为防止在用户登录时其ID、口令等用户安全信息被窃听,这类对系统安全至关重要的数据在网上传输时必须加密。
1.2 系统和应用软件
包括操作系统、数据库和管理信息系统。为能有效保障信息安全,软件系统应具有以下技术特性:
(1)访问控制
系统应能通过授权数据库等安全机制对用户进行分级管理,限定访问权限。从而防止无权用户对操作系统核心区域和重要文件的访问,避免系统被破坏和系统安全信息的泄漏。对数据库的访问,在任何情况下,都应通过数据库系统进行。防止用户绕过数据库系统, 直接存取库中数据。医院信息系统中的数据库,其访问控制的粒度至少要达到/“纪录”一级。例如,在病案管理中,对于病案库中的每一条纪录,只有其主管医师拥有/“修改”权限。其他一些人员可以有/ “只读”权限,有时还需要限定某些人员的查阅项目(访问控制的粒度需达到/“域”一级)。对于无权接触病案的人员,则禁止其访问。
(2)安全审计
一个安全的系统应该知道系统中何时何处谁在做什么。这就要求系统能跟踪运行中发生的事件和出现的变化,将过程记录在工作日志中。以便供安全审计人员查阅,发现问题并采取相应的防范措施。工作日志应具有很高的安全等级,并禁止修改。
(3)数据加密存储
是利用数据加密技术将数据库中的数据由明文变为密码存储,使非法攻击者即使得到数据也无法解读和使用。多数系统采用在程序中设置固定的加密算法和密钥的方式对数据库进行加密。这种加密方式容易实现,使用简便,能够提供一定的防护能力。在医院信息系统中被广泛采用。缺点是,由于始终使用同一个密钥进行加密,安全性不高。如改用可变密钥的方式,将大大增加数据库的安全性,但同时也会使数据库管理工作变得复杂。
(4)签名和校验
签名用来纪录数据录入者的身份,明确责任。校验用以检验数据在存储过程中是否被非法修改。在医院信息系统中,一般以/“纪录”或/“域”为单位进行签名。例如,在电子病案中各级医师每日的查房纪录和医嘱,都应由各人分别签名确认。签名往往与校验结合在一起,利用操作者的个人密钥,对被签名数据进行运算,生成消息验证码(MAC)与被签名数据一起存储,实现校验和签名的双重功能。
2 医院信息安全系统的管理
随着计算技术的发展和普及,计算机技术被广泛运用于各个领域,为医院信息安全系统提供重要的技术支持。计算机系统主要由硬件和软件构成,但是系统的运行却离不开其使用者。所以明确医院信息安全管理目标,加强人员的培训,加强信息系统安全管理,才能保证医院安全信息系统的正常运行。
2.1 信息安全行政管理措施
(1)明确安全管理目标及方法。每个医院信息安全问题都不同,对信息安全系统的要求也不同,所以在进行医院信息安全系统管理的时候,要依据医院的实际情况及医院的信息安全需求,明确医院信息安全系统的管理目标,并制定相应的安全管理措施,保障医院信息安全。(2)信息安全管理队伍的建立。依据医院实际情况,建立相应的安全管理队伍,合理分配管理任务,落实责任制度,保证安全管理工作的顺利进行。(3)信息安全制度的制定。信息安全制度是规范信息安全管理工作,明确信息安全工作目标,落实信息安全职责的重要原则。信息安全制度主要包括工作规程、安全原则及工作责任等。
2.2 信息安全管理工作内容
(1)提高人员的安全意识。采用职位转换的方式,避免工作人员长期担任信息安全管理工作。确保每位工作人员具有获取工作信息的权利,制定信息安全管理制度,对每位工作人员获取的信息进行有效的管理和控制,同时对每位工作人员进行信息安全管理教育,提高工作人员的信息安全意识。(2)加强信息系统设备维护和管理。管理人员将信息系统所有的设备资料进行详细的记录,记录设备的型号、名称、编号等等。安全管理人员可以依据设备档案资料对设备进行定期的检查,检查信息设备的运行情况,及时更换新设备,保证信息系统的正常运行。(3)信息安全管理工作的审核。对信息安全管理工作进行有效的审核,及时发现信息系统存在的安全问题,并制定相应的解决方法,消除信息系统存在的安全隐患,保证医院信息安全。(4)信息系统病毒的安全防范。在信息系统病毒防范上,通常采用杀毒软件来起到预防、杀毒的作用。而在信息系统安全管理中,则通过安全防范措施来达到阻止病毒入侵,保证信息系统安全的目的。病毒防范措施主要有两个方面。第一,如果病毒是通过信息网络入侵的,医院最好采用独立的局域网,与公用的网络进行隔离。同时可以在网络接口处安装杀毒软件和防火墙,可以起到一定的防治作用。第二,如果病毒是通过可移动的存储设备入侵的,在信息安全系统运行中最好禁止使用移动存储设备。对必须用到的存储设备进行有效的安全管理,在信息系统中安装杀毒软,防治病毒对信息系统的破坏。同时在技术允许的情况下,对系统设备进行严格检测,保证移动存储设备内没有病毒。
结语
总之,医院信息管理对信息安全等级保护的实现有十分重要的意义和作用,为使采集的数据真实有效,要制定了工作站入网操作规程,以提高信息的准确性。在实际工作中,网络管理人员只有不断更新知识、积累经验,才能未雨绸缪,扼杀网络瘫痪,把危害降到最低,确保医院网络安全运行。
参考文献
在网络与信息技术高速发展的时代,计算机信息管理系统在各医院的经营管理中发挥着重要作用。计算机信息安全系统在带来方便的同时,也存在一定安全隐患。鉴于此,本文主要探讨了如何加强医院管理系统信息安全的策略进行了探讨,以保障医院工作的高效、安全进行。
【关键词】
医院管理系统;信息安全;策略
近年来,医疗体制改革日渐深入,社会对医院的管理水平与服务质量的要求也在提高,加上医院规模不断扩大,患者数量增加,医院信息管理也迎来了新的挑战。同时,信息技术手段的进步与发展,为医院进行信息管理提供了便利,但也存在许多问题,特别是信息安全方面的问题,严重威胁到了医院各项信息安全及完整性,影响医院各项工作的开展。所以,加强医院管理系统信息安全管理,对保障医院各项工作的正常进行具有积极作用。
1内部硬件的安全管理
在医院系统的内部硬件安全管理中,主要是对网络服务器、工作站及交换器等内部硬件的安全管理[1]。对于这些设备,必须对其进行安全管理,并对网络进行优化。在服务器与储备设备的管理中,应该形成数据管理,如保证电源故障管理的积极运作,促进网络的正常运用。为了保证系统的安全运行,关键是做好防护工作。因此,必须形成标准建构,以最大程度地保证网络安全。在硬件方面,应避免相同设备出现问题,并在数据库服务中应用集中管理系统,如硬盘选用的是磁盘阵列式,可实现在短时间内进行切换,促进整个系统的安全运用,除此之外,还应实施双路管理,即一路为UPS系统,一路使用市电,以保证服务器与网络设备的正常运行。
2网络安全管理
进行网络安全管理,主要是为了避免计算机受攻击,包括主动攻击与被动攻击。在网络正常运行的状态下,医院系统信息被截取、破坏、窃取的情况时有发生,对计算机网络与数据都造成了很大损伤[2]。网络攻击会对内网与外网都构成巨大安全威胁,故必须增加投入,改善网络安全,防范人为恶意攻击,最大限度地保证医院信息安全。基于上述认识,必须对网络安全管理予以高度重视,并在管理与技术方面加强沟通,形成有前瞻性的管理策略,以实现对网络信息安全管理的目的。
3软件系统管理
对操作系统的管理,主要是做好正版操作系统的补丁工作。例如,在屏幕保护工作中,应将数据暴露于桌面。在对软件系统进行管理时,需形成多个分区,然后分别放置操作系统、重要数据及应用系统。在管理过程中,要把多余的网络协议、服务等删除,并将不必要端口关闭,实现默认管理,并形成锁定注册表管理。需要注意的是,在医院信息系统的网络管理工作中,应将内网与互联网隔开,不可在内网中形成互联网链接,以保证内网操作系统的精准性与可靠性[3]。在杀毒软件管理方面,安装的软件必须是正版软件,并定期升级、杀毒,以保证病毒库安全。情况需要时,可利用辅助软件进行杀毒处理。对于流行性新兴病毒,应做到定期查杀,并实现对软件的实时监控,且要求在在下载升级后先杀毒再使用,与现行系统环境相结合,在促进软件升级与改善测试环境的条件下做好管理工作,保证系统的安全运行。
4数据库安全管理
在医院系统信息管理工作中,数据信息的安全管理是核心部分。做好数据库安全管理工作,可有效保证数据的安全,实现对数据的查询,并保证数据在安全存储中的合法访问,构建基础访问权限。例如,在Oracle数据库管理中,应重视并认真做好用户区别与密码保护工作。比如,在进行SYS与System特殊账户管理工作中,应严格控制网络上的DBA权限,预防远程访问[4]。对于日志文件、DBA查看警告、定期检查等,应加强监控与管理,以便第一时间发现与解决问题,实现对数据库碎片及可用空间的管理。在数据库管理中,还应对链接情况进行定期查看,并将不必要的链接清理干净。在对网络服务与网络硬件进行检查时,应保证硬件的正常运行。在开展周围性数据库管理工作时,应有较完善的数据库恢复预案。对于数据库而言,防止病毒入侵也是安全管理的一项重要内容。在医院信息安全管理中,病毒问题是威胁信息安全的重要原因,对医院各项利益均产生了很大威胁,故必须采取有效的防病毒措施。具体来说,应认真做好以下几个方面的工作:(1)认真做好数据备份工作。病毒入侵会导致数据被窃取与篡改,故应对数据进行备份,特别是重要信息,即便病毒入侵也能保证数据的完整与安全。(2)保证操作系统的安全。盗版系统的稳定性较差,且往往存在较多漏洞易被病毒攻击,无法保证信息的安全性。因此,所选系统应为正版,且要求管理人员应注意查看系统官方消息,加强系统更新与维护工作,以最大程度地保证系统的稳定性。(3)提升工作人员的安全意识。医院应定期组织对工作人员的信息管理安全教育,使工作人员树立正确的安全意识,并掌握常见的系统安全问题处理方法,以保证系统信息的安全性。(4)安装各种杀毒软件及其他防护软件,加强信息管理系统的软件屏障功能,并定期更新与维护,以保证系统的正常、安全运行。
5加强应急管理,完善事故处理预案
医院应根据实际情况制定有效的应急方案。一方面,医院平日应对相关工作人员进行专门培训,保证每位工作人员熟悉紧急预案的流程及具体措施,以便发生紧急事件时能够从容面对,将损失降至最低。另一方面,加强应急演练。医院应定期对工作人员进行各种应急演练,并根据存在的问题进行整改,以保证应急方案的实用性与针对性,减少安全事故造成的损失。除此之外,为了避免意外破坏而导致信息丢失或网络瘫痪,应在平时做好数据备份工作,并定期在服务器端进行一次联机全备份与数据恢复检验工作,以确保备份的可靠性与有效性。
6结语
总而言之,在医院信息化建设不断推进的情况下,信息安全成为医院高度重视的一个问题,因为医院信息安全事关医院、患者的切身利益。基于当前医院管理系统信息安全的情况,医院应积极采取有效措施,如加强内部硬件管理、网络安全管理、软件系统管理及数据库安全管理等,以保证医院系统信息的安全性与完整性,促进医院各项工作的顺利进行。
作者:李瑶瑶 单位:江苏省盐城市射阳县中医院
参考文献:
[1]韩盼盼.加强医院信息管理系统安全的若干策略[J].计算机光盘软件与应用,2014(24):191,193.
[2]余晋辉.医院计算机网络信息系统安全问题策略探究[J].世界最新医学信息文摘,2015,15(86):172~173.
关键词:医院信息化建设;信息安全管理;作用
DOI:10.12249/j.issn.1005-4669.2020.26.316
当前,医院在很多方面都应用了网络技术,其对信息系统的使用越来越依赖,随着而来的风险也越来越高,特别近些年来的勒索病毒,更是给医院的信息系统安全敲响了警钟。因此必须要加医院信息的安全管理,保证医院信息系统运行正常。
1加强医院信息安全管理的意义
随着医院的信息化建设不断进步,医院的信息系统很容易受到病毒的侵入以及不法分子的入侵,有资料显示,当前一些医院出现医院患者资料信息出现泄漏及勒索病毒入侵等事件,出现这些问题的原因都是没有重视信息的安全管理[1]。
2医院信息安全管理的基本内容
医院信息安全管理主要包括:1)机房管理:机房管理主要是断电、设备损坏等现象。2)网络安全:将内、外网完全隔离,设置防火墙以及配置访问,保障网络的安全。3)服务器安全:是对服务器的运行进行检查,看是否存在种种弊端以及影响系统运行的因素,一般意义都是采用两台服务器(一台运行,一台容灾)进行运作,主服务器受损后可以在短时间内用另一台服務器进行运作,在很大的程度上保证系统的正常运行。4)客户端管理:用户根据不同的人(患者或医生)有不同的访问权限。5)病毒防护:随着病毒及木马种类的不断增多,这些病毒对信息系统的危害是不容小觑的[2]。
3目前医院信息安全管理存在的问题
3.1管理意识观念不强
就目前医院信息安全管理的现象来看,医院领导的工作重心着重体现在医疗事物以及研究领域,忽略了信息安全管理的工作,普遍存在“重业务、轻安全”的现场,导致信息安全管理出现多种问题。
3.2网络安全问题日益严重
在网络时代的背景下,医院信息管理系统正在逐步走向信息化,利用互联网的特点使得信息传播的速度变得越来越快。一些病毒、木马等对信息系统的侵害日益严重,另外一些不法分子对信息系统进行入侵,例如,2011年福州某医院处方事件、2018年江苏某医院的勒索病毒事件。
3.3从业人员的专业水平以及安全意识不强
医院信息化建设过程之中,信息设备以及人才方面的投入不足,缺乏相关专业的技术人才,导致医院信息化建设很难推进。
3.4数据库的安全性不足
医院信息化建设的数据库都是用大中型数据管理工具进行管理数据,这些数据库的安全机制并不是很好,大量的信息未经加密就储存在数据库中,一经泄露就会造成恶劣的影响[3]。
4威胁医院信息安全的主要因素
由于医院的信息系统关系着患者以及医院自身的相关数据,这些数据都是非常重要的。但是由于医院的信息化建设安全防护工作不到位,就会发生安全隐患。目前威胁医院信息安全的主要因素有两类。
4.1内部因素
可以分为:人为故意和人为无意。人为无意:相关人员的操作失误造成的信息安全出现问题,比如,在访问登录页面时,操作失误造成安全漏洞。人为故意:医院内部人员为了个人的利益,监守自盗,私自入侵系统篡改患者信息,或者泄露患者以及医疗机密的相关资料。
4.2外部因素
第一种就是木马、病毒的入侵。由外部环境的产生的网络病毒传播到医院的安全系统内部,造成损害。第二种就是非法入侵,对系统的相关资料进行下载者篡改,为医院以及患者造成极大的损失[4]。
5医院信息安全管理优化建议
5.1加强医院信息安全管理意识
在医院信息化建设的过程中,医院的领导要重视这项工作,要认识到信息系统存在的安全隐患,增强管理者以及医院工作人员的信息安全管理的意识。
5.2建立并完善信息安全管理制度
首先是人员方面的管理:未经允许,不得私自添加或者删除相关的软件;不得对医院网络功能进行修改、添加或者删除等等。在设备方面,要拒绝使用质量不合格的设备设施,不得使用假冒伪劣产品等。网络:建立防火墙,相关的杀毒软件,工作人员要定期地对网络进行安全隐患的检测。
5.3提高相关人员的技术水平以及安全意识
医院要引进相关的技术人才,管理人员不仅要熟练的掌握计算机和网络的相关技术,还要对医院的相关制度以及组织框架要有一定的了解,并对医院其他的工作人员进行信息安全管理方面的培训,让全体人员加强安全防护意识。这样才能提高医院信息安全管理的水平。
5.4建立数据库的备份与恢复工作
由于医院的信息数据非常重要,在医院信息化建设的完善和实施的过程中,数据库的信息难免会出现泄露以及丢失,所以就要做好数据库的备份与恢复工作。
5.5引进先进的设备设施
医院应该引进先进的设备设施来加强安全信息的防护。利用先进的设备可以稳定的保证信息安全系统的运行,同时制定一套比较先进的安全管理模式,在服务器比较先进的情况下,可以设置一些基本的病毒防护措施,让一般的病毒不易入侵到系统中[5]。
1 医院档案信息安全现状
1.1 复杂性档案种类
医院工作过程当中会收集多方面和多元化的信息及资料,因此也就促成了医院的档案信息的复杂性问题。针对医院的档案信息进行管理和储存,才能够保证了解内容丰富和复杂的档案信息,通过科学的管理方式将医院方面的档案进行种类的划分,可以建立病历、影像诊断、科研教学、人事管理、财务信息等等档案文本内容。将以上科学划分的档案类型进行不同形式的划分,掌握纸质、电子和影像等诸多类型的档案,更加有助于降低未来医院工作方面的负担[1]。
1.2 多元化档案媒介
多元化的档案信息管理媒介能够满足当下的医疗卫生行业服务和管理工作的需求,但是同时也存在一定的问题,容易导致医院档案信息管理工作出现安全风险。从前医院的档案信息基本以纸质为主,在保存和查找方面都存在很大的难度,伴随科学技术的不断发展,信息技术支持的档案信息管理模式更加适合繁忙的医疗工作体系,但同时也存在一定的安全风险性。电子信息模式下的档案管理方式具备携带便捷和成本低廉等众多优点,但同时也存在风险问题需要不断的优化处理[2]。
1.3 网络式档案信息
网络模式的档案信息管理是非常有效的工作模式之一,也是未来社会发展的主要趋势。针对医院档案信息管理工作进行研究和分析能够发现,电子信息化的档案信息管理模式非常适合应用于医院的工作,主要是源于电子信息系统具有庞大的信息收集和归纳、整理作用,能够为医疗工作者提供更加高效的工作方式和方法,是一种优化的工作途径,保证了医院档案信息管理工作的质量和效率,也是未来行业发展的趋势[3]。
2 影响医院档案信息安全的因素
2.1 安全的档案信息媒介
影响医院档案信息管理的安全性因素涉及到很多方面,针对这些问题进行客观的分析,并针对存在的影响因素和问题找到一个科学、合理的解决途径,能够保证未来医院服务和管理工作的质量。影响医院档案信息管理质量的基本原因是受到档案信息媒介安全性的影响,档案信息的媒介安全性主要是指环境因素的影响,例如火灾、虫鼠灾害、水灾等等,都会影响档案信息的保存和管理。一旦发生环境因素灾害,就会导致档案信息出现部分和全部损失的情况,进而造成医院管理方面的阻碍问题等等[4]。
2.2 计算机病毒
影响医院出现档案信息管理安全威胁的问题还涉及到计算机的病毒问题,因为计算机的工作模式会受到病毒的影响,而且计算机的病毒影响非常严重。计算机的病毒存在传播速度特别快的问题,还存在智能化程度高的问题,因此,出现计算机病毒的问题很难控制,也会造成医院的档案信息安全出现风险。最为影响医院档案信息安全管理工作的因素还源于计算机的病毒侵害杀伤力非常大,而且在不断的技术升级过程中还会出现病毒侵害力逐渐增加的情况和问题。很多计算机的小型病毒可能会在工作的过程中不断的出现作用力增强的情况,进而导致医院的档案信息安全管理工作出现危机[5]。
2.3 网络入侵
影响医院档案信息管理的安全威胁因素还包含网络入侵的问题,关注网络入侵才能够认识到医院档案管理工作过程中会出现的问题。医院建立的网络档案管理模式体系当中,发现需要通过授权才能够登录,但是网络的模式自然也存在容易侵犯的问题。黑客可能通过口令的模式达成网络的入侵,实用软件窃取相关文件档案等。另外还有特洛伊木马的黑客形式通过软件的植入造成计算机的远程干扰,最终丢失医院的档案信息。除此之外,还有监听方法和社会工程学的诸多入侵方式,更高的科学技术达成了多层面入侵的黑客模式,导致医院的档案信息管理出现风险问题。
2.4 缺失科学组织管理和先进理念
可能影响医院出现档案信息管理的安全因素有很多,缺失科学的组织管理和先进理念就是影响医院档案和信息管理的安全性。由于当下科学技术的不断发展,网络信息技术已经全面的覆盖了人们的生活。医院档案管理的过程当中也需要应用到网络信息的技术和平台,由于网络体系的安全权限设置存在不足,就会出现安全管理方面的问题。还有部分的医院档案管理从业人员对于档案信息的保存存在认知和理念层面的不足,很容易在保存档案信息方面出现缺失专业的随意性,导致医院的档案信息在网络平台上随意被窃取,严重妨碍了?t院的档案信息管理[6]。
3 医院档案信息安全管理对策
3.1 实体安全档案防护
重视医院的档案信息管理工作,需要从安全性角度进行科学的考量,保证实施切实有效的档案管理信息,进而构建安全防护体系,降低可能出现的信息管理问题。关注医院的档案信息安全管理工作,不仅仅要重视日常的信息管理和维护工作,还需要从档案的存放位置及地点方面进行管理。医院不仅仅保留电子信息文档,还应当保存文件的纸质本,以此为后续管理工作提供完整的信息和资料。通常为保证纸质文版档案的安全保存,需要避免储存在潮湿的地下室位置,还应当避免存在火灾安全隐患的位置。在日常的管理和储存过程当中,需要保证通风和除湿的管理,定时进行驱虫和灭鼠操作[7]。
3.2 计算机信息安全措施
关注到医院档案信息安全管理工作的重要性,应当采取积极的措施和对策,才能够满足实际的工作质量优化需求,进而提升医疗卫生行业的工作品质。针对医院的档案信息进行安全管理,需要掌握良好的计算机信息安全措施,实施高科技的有效保护,进而提升医院内部的管理工作质量。建立计算机模式的信息安全体系,需要从防病毒和防入侵方面入手,确保医院计算机体系不受病毒侵害,同时为网络系统建立防入侵体系。在日常管理工作过程当中还需要进行数据备份并且要求管理工作人员具备数据的恢复技术和能力,在适当的情况下设计符合医院工作需要的权限保护和管制,进而确保电子信息的安全性。
关键词:网络安全;医院;信息安全;风险管理
0引言
医疗行业是一个比较特殊且管理复杂度相对较高的领域,信息化是现代医院管理的重要基础和技术手段,医院信息化是多种网络硬件与庞大的医疗业务管理应用模块所构成的技术综合体,任何一个细小的软硬件故障或细微的安全疏忽都可能造成全院临床业务和医疗服务的中断。为此,在医院管理信息化的建设过程中,我们多花费一些时间来思考信息安全、多花费一些投入去保障信息安全则是一件十分必要且富有现实意义的工作。
1医院网络安全及信息系统安全风险的识别
信息系统安全的概念实际上已包含了硬件和软件的安全。其中的硬件即常说的网络安全,其中的软件是指满足管理要求的软件应用模块、系统、平台以及实现安全指标的各类硬件设备中所固化的程序指令代码。在学术界,一般只用信息安全这一概念,而在实际工作中经常会混淆这两个名称,口语化常用网络安全代指硬件安全,信息安全代指软件安全,均属于信息安全的学术范畴。
1.1信息安全是医院可持续发展的重要保障
医院信息化是多种网络硬件与庞大的医疗业务管理应用模块所构成的高技术综合体,医院信息化管理系统涉及临床管理、药耗品与物资管理、财务管理、行政管理、后勤管理、绩效管理等众多应用管理。近年来,远程医疗、自助服务、医保结算等网上医疗或云医疗服务的不断延伸,网络的健壮性与安全性需求已提升到一个重要的位置,任何一个细小的软硬件故障或细微的安全疏忽都可能造成全院临床业务和医疗服务的中断,这就涉及财务风险和医疗服务纠纷风险。医疗信息涉及公民个人隐私,涉及公民隐私保护的法律风险,因此医疗信息必须采取多重安全措施、备份措施。这三大风险是一家医院正常经营和持续发展的重大隐患,务必要采取相应的技术措施和管理措施予以防范。
1.2信息安全是推动医疗行业向现代化医院发展的重要基础
随着区域医疗资源的大整合、分级诊疗制度的落地实施以及全国医保跨区结算体系的建立,医院管理的信息化已不再是一家医院自己内部的事情了,所有的信息必须走出医院、走出地市、走向全国,实现全国范围内医疗信息的互联互通,这是一个大趋势,所以,在信息安全方面达不到相应安全等级保护(等保)的医院,则没有资格接入这一全国范围内的互联互通医疗信息网络,不跨过这一门槛,医院的发展以及向现代化医院推进的理想就只能是一朵浮云。
2医院网络及信息系统的安全管理
医院信息系统中的医疗信息数据、财务信息数据等内容众多,运用病毒查杀软件、建立防火墙等网络技术,加强软硬件双重管理,保证内部业务交流、数据信心安全以及对入侵监测的管理,强化用户的层级管理,对用户的认证与业务处理范围进行管控,强化内部管控的提升,从容应对外部黑客、病毒等问题对系统及网络的攻击,保障医院信息系统可靠运行,促进医院现代化管理水平不断提升。
2.1建立完善的防火墙及安全检测策略
防火墙技术和安全策略是医院信息系统安全的可靠保障,通过多层安全策略的保护机制,为医院医疗数据及资源、财务相关数据提供有效保证,并能够提升工作效率,和谐医患关系,保证业务流程的顺利,实现医疗和医院信息管理系统的健康运行。(1)防火墙能够将内网与外网进行有效分隔,建立可靠的网络互联关卡,提升网络用户的访问、认证及有效数据过滤,防范外来数据的攻击,是安全的重要边界,同时也是保护敏感的可靠数据服务应用。尤其针对外来入侵及病毒的监测,加强地址、及身份认证进行深化管理。重视将内外网络的监控及隔离,医院的数据库内含有大量病患资料、研究资料及财务数据等众多内容,众多的信息及数据资源访问及流通,需要具有深入拦截及管控能力的防火墙,对关键、敏感及热点访问连接进行多层设置,防止因出现网络安全出现攻击等问题对全局造成停止影响。对内外部连接区域的数据交换尤为重要,加强运行保障,提升安全区域的等级划分,实施网络访问等级划分,对不同业务的需求进行权限管理,对内部人员进一步进行管理,运用过滤技术的防火墙,为医院信息系统建立安全管理的第一道防线。(2)医院信息系统的安全管控第二个关键门卡是入侵检测,对防火墙薄弱的内部攻击及未知攻击进行防范,加强网络的监测力度,建立共同的系统网络防范有效措施,对系统管理员员监控、识别等响应能力进行关注,提升安全管理的能力。运用入侵检测对系统内网络、用户活动情况进行关注,对不同网段的传感器、日志、流量及文件和软件的非正常改变进行控制,信息与程序执行情况及时进行对比,迅速分析,合理运用检测引擎对各项信息及数据进行检测,对出现网络入侵情况及系统非正常变化进行匹配模式分析,关注重点及热点区域文件数据信息是否完整,对统计对象的属性阙值进行统计分析,加强入侵监测设备的参数定义,及时进行内部权限多层管理模式,可采用二到七层分级管理方式,保障信息的有效性及可控性,为不同权限人员提供不同的系统服务。
2.2加强信息安全管理的综合管控
医院对信息通建设具有明确的管理制度,加强安全管理的系统性,加大信息安全等保投入,提升网络安全的管理及建设标准,强化用户的日志及权限管理,医院信息系统运行是24小时无停息,重视对防火墙、入侵检测等多重管控,提升整体管控意识,合理进行多终端系统管理,实现操作运行的规范及标准性,运用杀毒软件、防火墙及入侵检测等多个防范措施进行防范,还可以利用黑盾等软件接入认证,提升主机通信加密管理,防范地址欺骗,实现信息网络的管理安全,保证医院系统平稳运行。注重软硬件共同的安全管理,强化软件管控及技术提升,注重硬件使用的审批手续及可靠管理,满足系统安全管理整体管控需求。
2.3加强无线网络安全管理管控
随着近年来无线终端设备的迅速普及,医院信息系统中无线应用迅速普及,提供日常检查、咨询及反馈等多种信息交流,重视对网络秘钥的管控,对非法访问或黑客入侵从源头上进行把握,防止因SSID广播的应用造成不必要的信息泄露与安全管控问题,强化病患隐私与医疗数据的管理,提升用户信息处理能力,分层级进行身份验证,对局域网内人员行为进行可靠的约束,加强巡视及比对,对出现非法越权及数据波动加大用户进行管控,实现无线网络的安全管控。
2.4提升信息系统网络硬件的安全等级
网络安全及医院信息系统需要大量的硬件,且医院科室众多并与都医患信息、财务信息相联系,加强多终端硬件的管理,对外来U盘、移动硬盘等硬件应用需要加强,防止从内部侵害网络安全,健全规章管理制度及审批手续,完善硬件设备、文件利用及机房环境、线路连接等管控,并加强相关管理制度的。尤其是医疗文件、财务文件的读取与拷贝,必须经过层层审批,在拷贝过程中要进行监督及检查,对外来硬件进行查杀、筛选后进行应用,从源头进行安全管理,实行可靠运行,为信息系统软件与硬件管理形成可靠保障。
3结语
医院信息系统及网络安全管理是医院业务运行的重要保障,加强网络安全管理,为医院营造稳定、健康的网络环境,提供更为优质的服务,降低重复、枯燥的工作,提升医院服务效率,满足患者不同需求。加强医院内外网的管控,强化防火墙、杀毒软件、入侵检测等环节的能力及水平,防范黑客、病毒等多方面的攻击,强化无线网络的服务与管理,提升安全性,妥善保障医院内部信息,为更多患者提供个,促进我国网络系统安全运行与维护能力提升,推动我国医疗行业信息化管理的整体大发展。
参考文献:
[1]王玉珍,贺滢,马婧等.医院信息系统安全保障体系存在的风险分析[J].医疗卫生装备,2007.
[2]郑西川,张汉雄,胡燕峰等.医院信息系统安全架构及实施策略[J].中国医疗设备,2006.