前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的医院信息安全体系主题范文,仅供参考,欢迎阅读并收藏。
一、医院电子档案信息管理原则
当前,院信息管理系统(HIS)是国内综合性医院电子档案信息传送的主要方式,它涵盖医院各类业务与业务全过程如影像存档和通讯系统(PACS)、放射科信息系统(RIS)、实验室信息系统(LIS)等医院信息管理系统。它是通过医院建立的大数据库,利用电子计算机与现代信息通设技术装备,对医院各类电子医疗数据信息进行收集、存储、处理、提取和数据交换,满足用户预约挂号、诊疗信息查询、费用结算等功能需求平台。当前电子档案信息管理有以下原则。
(一)真实完整性原则
完整性指的是电子档案信息文件件数、数量,以及相关的背景信息、数据不存在受损、篡改和丢失,使档案信息真实、完整。然而,医院档案管理,一般都是集中在院办中的综合档案室,电子档案实行的是全程管理,基本上各科室部门办理完毕需要归档的档案资料就需要向档案部门移交,但一般的科室部门都设有自己的档案资料室,为了工作方便,并没有完全移交本部门的病历医疗档案,这些会影响电子档案信息的完整性,导致电子档案的价值受到影响。
(二)全程管理原则
当前,我国对电子档案实行的是全过程管理,即对电子文件从形成到销毁或是作为档案永久保存下来的的整个生命同期中,在每一个阶段与每一个时期,都确保电子文件或是电子档案信息内容的一致性,不可以更改。确保电子档案信息从一开始到结束生命周期中内容的一致性。全程管理通过对电子档案在每个阶段如流转、利用、保管全程的控制与监控,从而确保电子档案信息的完整性。然而,由于医院档案信息资料文件来源广泛,种类多样,而从事档案管理的工作人员人手不足,或是素质高低不一,很难现实对电子档案全程管理,这必将影响到电子档案信息的真实性与完整性。
(三)前段控制原则
前段控制是基于文件生命周期的反映,将档案的形成、保存、销毁等阶段视为完整过程,具体通过对电子档案管理过程的目标、要求和规则进行系统分析和科学整合,把文件形成阶段的所需要的管理功能尽可能在前端实现,它主要作用在于减少滞后与重复作业,提高工作效率从而确保电子档案的真实可靠性、完整安全性以及长期可读性。
二、影响医院电子档案信息管理的安全因素
当前,影响到电子档案信息真实完整性的安全因素主要表现如下。
(一)环境安全因素
我们都知道,对纸质档案来说,确保纸质档案信息的安全主要是防火、防光、防湿、防尘、防虫咬等。而电子档案信息是以电信号和磁介质为媒价的数据信息存储载体,要确保磁介质中的数据信息安全,就要远离磁场的干扰,磁场的干扰会使电信号与磁介质数据发生破坏,使数据失真,从而使电子档案信息丢去真实性。同时,电源供给系统故障,也会造成电子档案信息损坏,如发突发性的断电,可能会损坏在硬盘或存储设备上的数据。
(二)来自网络安全因素
当前,互联网信息安全是一个全球性的问题,对电子档案信息安全影响的主要是来是互联网威胁。医院电子档案信息并非是封闭的、不开放的信息孤岛,它也是信息资源的重要组成部份,对于非机密的电子档案信息,对社会公众开放提供利用服务。另外,医院电子档案系统始终是处于联机的状态,这使医院电子档案信息有被计算机病毒、特洛伊木马、恶意代码和电脑黑客攻击的风险,从而造成医院电子档案信息数据文件破坏、信息被篡改,使电子文件失去了历史真实性与完整性,失去了档案的原始价值,而敏感数据信息被盗窃,将使医院机密与病人私隐被泄漏,造成不可挽回的损失与影响。因此,来自网络的威胁是医院电子档案信息最大的安全因素,这需要特别注意与认真对待。
(三)人为因素
医院电子档案信息建设是最近这几年才发展起来了,是一个较为崭新的管理课题,很多医院的规章制度还不够健全,操作还不够规范。管理者综合素质的高低直接影响医院电子档案信息管理水平。医院电子档案信息档案管理者非档案学专业的,不懂得电子档案全程管理原则、前段控制原则,就会对电子档案信息管理中随意处理,将对电子档案信息产生安全隐患;不懂得医学知识,就不知道该案卷的档案的数量、数据的份数是否准确;不懂得计算机、网络技术、数据库知识,就不能规范操作,也就不会对电子档案信息备份、对计算机硬软件杀毒,修补漏洞,医院电子档案信息的真实性、完整性与网络的安全将得不到保障。
三、医院电子档案信息安全管理对策
面对层出不穷的信息安全问题,那么怎么样才能确保电子档案信息安全呢?这需要我们从环境因素、网络安全因素、人为因素上加以解决。
(一)维护安全稳定的数据库环境
解决影响电子档案信息安全的环境,首先建设独立储存电子档案信息数据库室,把数据库室设置为暗室,避光,防尘,室内除了独立的18T的光纤通道存储设备、数据核心交换机、高性能刀片服务器,并配除湿机、恒温机,以确保室内湿度与温度保持在适度的范围,并远离磁场,防止磁干扰。同时,在电源保护方面,数据库配置独立的电源室,配有交流电源,即便突然断电,交流电源可维持一段时间,使管理者能够手动关闭数据库,避免突然断电造成的数据损坏。
(二)做好网络上信息技术安全保障
确保医院电子档案信息网络上的安全,首先是备份,备份是确保即便电子档案信息受到攻击导致数据毁失还可以对数据进行恢复,是电子档案信息安全的基本保障方法。备份按地理不同可分为本地备份与异地备份,按备分的方式可分为在线备份和离线备份,按备份的略策又可分为增量备份与差分备分。在备份的储存方面上,当前,由于备份电子档案信息数据量巨大,一般都是在磁盘阵列式储存。其次是对档案信息进行加密,防止黑客与病毒入侵,对电子档案信息实行加密技术,从而防止电子档案信息的被篡改与泄密,一般加密的方法有软件加密、硬件加密与混合加密,具体来说软件加密就是利用计算机程序对电子档案生成不可读的格式,需要用专门软件才能读取,硬件加密是通过TPM加密硬件对硬件进行加密以保护电子档案数据;混合加密是通过用户认证、身份密码、权限分配等进对电子档案数据保护。再次是设置高级别的防火墙,对档案用户采取限制访问级别的限制,对于非机密档案信息,可以对社会开放,对于限制用户数量密级的档案,按全程管理原则与前段控制原则,在电子信息形成时涉及到哪一个用户,为用户授权的访问级别,未经授权的无权访问,确保电子档案信息在合法用户范围内利用,从而防止人为对电子档案信息篡改,维护电子档案信息的真实完整。
(三)制定完善规章管理制度,提高管理者素质
一个合格的安全员首要在本人的心目中树立一个结构,晓得每天干什么作业,为什么去干这些作业……。。,比方查看灭火器,查看那些内容,怎样才算合格的,为什么去查看灭火器;比方做一个风险要素辨识、安全危险辨识,应该晓得怎么做,那些才是风险要素、安全危险,为什么去辨识这些东西。这需求咱们从一个微观的视点去树立一个结构。
横向就是,首要晓得你地点的工厂有那些风险物质、风险物质的风险要素是什么,风险物质在工艺进程傍边可以会可以会有什么安全危险,进而会发作什么事端,把一切可以发作的事端都一一列举出来包含火灾、爆破、中毒、高处掉落、机械损伤等一切的事端。然后在依据毛病树和事端树的原理,逆向找出形成这些事端的缘由是什么,这里面包含骨干缘由和枝节缘由,咱们平常在作业傍边,首要把骨干缘由查看并扫除,然后顺着事端树原理在查看形成事端的枝节并扫除。
纵向就是安全分为作业安全和工艺安全。咱们安全员平常比拟注重查看作业安全,也是比拟好查的好把握的,对工艺安全基本不触及,工艺安全的偏重的就是工艺体系和设备自身,而安全员对工艺知之甚少,无法查看工艺安全危险,所以咱们在加强劳保用品穿戴、劳动纪律、操作人员操作等作业安全的一起,有必要知道把握本工厂的工艺,晓得工艺进程傍边的安全员危险和可以发作的事端,安全员要从设备、管道呈现的跑冒滴漏等小问题就能依据事端树的原理计算出整个工艺进程傍边可以呈现的问题,继而计算出可以发作的事端,而不是简略的如易燃物料走漏遇到明火能发作火灾这么简略的事端的计算。
若是一个安全员可以从横向和纵向熟练把握本厂的安全,在心中有一个明晰结构,晓得每天应该干什么,为什么这么干。
关键词 信息化;医院;网络安全;病毒传播
中图分类号:TP316 文献标识码:A 文章编号:1671-7597(2013)20-0157-01
现代化医院运营的必备技术支撑环境和基础设施,是医院信息系统,简称HIS。医院只有具备良好的信息管理、信息处理系统,才能实现高效的现代化管理。网络管理的安全、高效,是医院网络信息保持较高保密性、可用性、完整性,大规模信息系统的安全运作,医院各项工作的高效运转的根本性保障。
1 医院当前的信息系统管理存在的不安全因素
1.1 恶劣天气带来的安全隐患
在实际的信息系统管理中,创建的自然环境危害因素主要有:周围环境中存在的电磁辐射、不稳定的静电、雷击、供电电源以及不相适宜的温度和湿度等。尽管计算机技术发展迅速,然而其工作也深受温度的影响,在环境温度太低或者太高的情况下,网络系统无法开展正常的工作。湿度也是影响计算机能否正常工作的重要因素,过干的环境下,很容易产生较大电压的静电,损害计算机中的电子器件;过湿的环境下,会降低电路的绝缘能力,损害用于存储信息的媒体。在处于雷电的天气下,网络系统中的主交换机,可能遭受彻底的损坏。
1.2 黑客病毒等攻击的人为安全隐患
无意识失误的人为因素和恶意攻击的人为因素,是威胁信息系统网络安全的两种主要因素。影响计算机网络系统安全的人为因素是多方面的,因此,信息系统网络管理者应高度重视各种人为威胁因素。人为因素对医院信息系统的危害,重则彻底摧毁整个医院信息系统,网络系统会因此而处于瘫痪状态;轻者直接影响网络系统数据的准确性,或是出错、或者丢失、或者外泄。一般情况下,主要有用户口令选择不慎、用户安全意识较差、操作员安全配置不当、程序设计错误、内部医院人员操作失误等人为的无意失误行为。
人为因素的恶意攻击,主要体现在“黑客”、间谍、计算机犯罪分子的破坏。随着计算机科学技术的飞速发展,滋生了不少电脑高手、能手,如“黑客”、网络间谍等,他们往往蓄意碰坏网络系统,非法复制软件,窃取网络信息,是网络系统的人为恶意攻击威胁因素。当前,人为的恶意攻击,是计算机网络面临的最大威胁,造成的损失也是不可估量的。
1.3 医院计算机软件管理漏洞
计算机协议、硬件以及软件等系统安全策略、实现形式上存在的缺陷,即网络软件漏洞。通过这些网络软件漏洞,无需获得管理员的授权,恶意攻击者便可以直接访问并攻击医院网络信息系统。尽管计算机科学技术的发展,已到了一定的高度,然而目前仍然没有一款百分之百完美无缺的网络软件,甚至有不少商业软件在应用之初,便存在大量的漏洞。黑客的攻击行为,重点突破口便是这些漏洞和缺陷,也正是由于这些漏洞的存在,才会发生一系列黑客攻入网络系统内部区的案件。除此之外,部分软件工作的程序设计人员,在设计编程的过程中,为了方便管理,往往会设计不为人知的软件“后门”,假若这些软件“后门”被不法分子获知,将会直接威胁到软件的安全。
2 信息环境下做好医院信息安全的保障对策及建议
2.1 注重保护计算机硬件设施
做好计算机的物理安全工作,能够很好的预防自然灾害、人为破坏、搭线攻击等因素,确保计算机系统、网络服务器、扫描仪等硬件设施、通信链路。物理安全策略,是构建一个良好的电磁兼容计算机工作环境的重要措施。借助于一些技术手段,最大限度的减少自然环境因素对计算机的危害。比如在机房屋顶和交换设备网点安装避雷针、接地装置等防雷措施,以减少雷电对网络系统的危害;在干燥或潮湿的地方购置加湿或者去湿的设备,根据机房面积安装相适宜的空调,控制网络环境的湿度和温度;安装标准地线、铺设活动抗静电地板,减少静电对计算机网络系统的危害。
2.2 通过数据加密技术保护网络系统
为了保护数据、口令、文件和控制信息的安全性,常采用数据加密的计算机网络安全主动防御策略。数据加密技术的运用,不仅能够有效的保障信息的机密性,还能够有效的保护数据的网上传输。在加密的情况下,只有获得授权,用户才能访问、使用存储、传输的数据。在维护网络系统安全的过程中,常采用链路加密、节点加密、“端—端加密”等网络加密方法,保护网络数据信息不被未获得访问权限的侵入者识别、使用、破坏。网络加密中的链路加密法,主要是用来保护网络各节点之间的链路信息;节点加密法,主要是用来保护源节点和目的节点之间的传输链路;“端—端加密”法,主要是用来保护“源端用户”和“目的端用户”之间的数据。用户,可以根据具体需求,而选择不同的网络加密方式。运用RSA算法和DES算法等加密算法,实施对信息的加密,能够以最小的代价保护网络数据的安全。
2.3 完善医院网络防火墙的安全管控
防火墙,包括一切预防、抵御外界侵犯,保护网络信息系统安全的各种应对、防范措施。防火墙,实际上是一项访问控制技术,在内外部网络之间设置一道隔离墙,控制两个或多个网络之间的访问,以保护内部网络中的机密数据不被篡改或偷窃,监测流入内部网络的所有信息和流出内部网络的而所有信息。防火墙,不仅有效的屏蔽了需要屏蔽的信息,“阻止”了该阻止的信息,同时也能够允许信息的流通。防火墙的隔离设备,是一组能够提供网络安全的硬件、软件系统。
2.4 从规章制度上来完善网络信息安全
医院必须正确认识并认真对待医院信息管理系统网络安全问题。采用上述技术措施保障网络安全,还不够完整。因此,医院应在内部构建完整的网络安全管理规章制度。网络安全管理策略具体包括应急措施和数据质量分析评价制度、管理人员登记制度、管理员网络操作使用规程、网络技术管理规则和人员培训制度等。
3 结束语
医院医疗业务的正常开展,有赖于正常运行的信息系统,而医院信息系统安全管理工作也是一项长期、艰苦的工作。为此,医院网络管理人员应认真学习、细心搜集,不断更新知识、累计经验,全方位、多角度的考察网络安全漏洞,力争准确把控乃至消灭各种网络不安全因素,确保医院信息系统的安全、健康、持续运行。
参考文献
[1]王强.医院网络安全现状研究[J].医学信息(中旬刊),2010(05).
[2]张震江.医院网络安全现状分析及研究[J].计算机系统应用,2006(07).
[3]姚征.医院网络建设的一些误区分析[J].科技资讯,2007(29).
【关键词】医院网络;系统安全;管理技术
1引言
当前医院不断推进信息化建设,信息的集成、共享也顺利实现,能够使得医院的医疗业务水平得到提升。医院网络系统的运行需要有完善的网络环境作保障,但是网络建设中有诸多风险,信息的安全性并不强,如果出现问题将对医疗服务的质量产生影响,所以必须要提高对医院网络安全防护体系的构建,使得医院的信息化平台能够安全建立并运行,消除不安全因素,使得医院能够正常工作。
2医院计算机网络安全的重要性分析
在信息化占领全世界的现在,计算机网络也已经占领了大多数的医院工作。最主要的就是利用计算机的便捷对患者信息进行整理归类、促进医患人员在平台上展开交流等等,这些给患者就诊开启了很多便利。对此可以看出,其实医院在一定程度上掌握了很多公民的私人信息,除了信息以外还有其他涉及到公民安全的信息。在展开调查的几家医院中,其实医院对这些信息是非常重视并本着患者为上,不会对其进行任何泄露。但是调查中有一大部分医院其实已经存在了计算机网络不安全因素,这些不安全有很重大的隐患,最直接的就是导致部分急救患者得不到及时的治疗,重者因此失去宝贵的生命。所以医院的计算机网络安全对于医院的各项医疗、护理工作至关重要,所有采取了信息化的医院都应该重视起计算机安全问题。
3医院网络安全防护的现状分析
3.1管理存在较大难度
当前医院的网络建设逐步完善,系统运行也顺利推进,要实现这一目标也需要有完善的设备以及软件作为支持,但是目前我国医院使用的软件以及设备等基本上都是从外部引进的,并且一般都是单独配置。桌面终端的部分呈现分散性,缺少统一的种类,使得系统的管理难度逐渐增大。尽管当前医院医务人员在不断学习信息技术,但是由于部分工作人员年纪比较大并且信息技术的专业性较高,因此信息技术的接受水平不高,系统运行风险大,管理难度增大。
3.2系统性不强
网络环境运行过程中会面临很多风险,当前医院网络系统的功能逐步完善,呈现出复杂化的结构特点,不同环节间的联系也日益密切,如果系统受到安全威胁,任何一个环节出现问题,整个系统的运行效果就会受到影响。但是目前医院的网络安全防护效果还没有达到理想的效果,缺乏系统性,不能做到统一的管理,对于出现的漏洞也无法有效防护,存在着反复建设的情况,使得防护效果受到影响。
4医院信息网络建设中的安全技术体系
4.1完善软件系统
4.1.1建立数据库就当前来看,大多数医院在对网络结构进行选择时常常会运用双机系统结构,在选择这类系统结构时还要考虑到集群的问题,为此,将会运用两台服务器来一起构建完成,如果在运行的过程中主服务器产生了相应的故障,则能够自动的从服务器中接管所有的工作,这种方式可以有效防止数据的丢失[1]。除此之外,医院还可以选择双电源的磁盘列阵工作电源,如果电源产生故障时,也能够很好的降低数据丢失的风险。与此同时,医院也可建立远程容灾机制,将其数据库的相关内容传送至异地的同时还可加以备份,在保护较为机密数据时可选择此方式,确保数据的完整性,即使数据库遭到恶意破坏后也能够通过恢复备份数据来确保数据库的完整度。4.1.2操作系统通常情况下,在对相关应用程序加以运行时都会用到相应的操作系统,当操作系统被破坏之后(瘫痪状态下)将无法继续运行[2]。为了防止瘫痪的形式,医院可以选择建立与之对应的补丁服务器,之后便可以自动并且及时的在应用程序打上最新的补丁。不论在哪一个工作站中尽量对系统进行备份。对于主机,不仅需要安全应用程序与操作系统,而且还必须选择相应的杀毒软件安装下来,与此同时,采用CHOST软件克隆电脑C盘当中的全部系统(分区进行),然后把克隆好的系统保存于D盘中,当系统产生了不可修复的故障时,医院则利用D盘对其加以恢复。
4.2硬件系统的安全与管理
4.2.1中心机房服务器一般情况下,中心机房在医院中主要对信息进行处理的场所,为此,医院需要确保服务器可以24h不间断的正常运行。为了确保其安全性,首先需要对服务器置放的房屋进行选择,室内温度要控制在25℃左右,温度最好保持在在40~70%之间,机房的选择主要为半封闭式的并且没有人员流动,同时没有灰尘的房间,在房间内还要对其配备专用空调、防火墙面、铝合金玻璃隔断以及抗静电地板[2]等,除此之外,为了预防磁场与雷电的干扰,医院还必须安装有效的装置。为了防止因停电或者电源问题产生的故障,医院可以对其准备两套UPS电源。4.2.2网络设备为了保证其基本性能,医院需要定时对做好光纤收发器以及交换机的检查工作,而且还要预防雷电、灰尘以及火灾。在对网络加以布线时,为了防止网络信息受到外界干扰,尽量避开那些有着较强电场以及磁场的区域。对于内网与外网也要加强隔离效果,可以铺设好两套线路(分开进行),使其与外网、医院的信息网进行分别连接,在外网与内网的接入口设置千兆防火墙,将服务器与其他工作站划分于不一样的VLAN中,防火墙在这种情况下才能够完全确保服务器不会受到攻击。为了防止非法入侵,医院必须定时对数据库以及操作系统的密码加以更新。4.2.3终端终端内包含了一切进入至医院信息网络中的计算机,当然,其中同时也包括了护士站、医生站等相关站内的调用中心服务器系统,在对这些系统加以管理时,通常会通过网管软件来限制一些非法访问行为,并且,还对其他相连的操作给予限制。屏蔽USB接口,数据共享在医院内也不被允许,安排一个专门负责的工作人员来做好防尘防水的基础工作。
4.3网络技术维护
4.3.1安装杀毒软件计算机一旦传染病毒,则传播速度较快,引发的负面影响较大。对于计算机病毒的处理,需强化预防理念,安装高效的杀毒软件,并且定期对计算机中的病毒进行查杀。同时,不定期联网更新病毒库,从而提升医院信息系统的安全性和稳定性。此外,需要应用虚拟局域网技术对网路内的传输进行管控,也可将物理网络分化为多个逻辑子网,而子网之间可以相互访问并控制信息,从而有效抑制病毒的传播[3]。4.3.2安全隔离网络安全威胁以及风险主要存在于物理层、协议层和应用层。若网络线路被切断,或者是通信中断,则表明物理层遭受到恶意攻击。网络地址伪装、Teardrop碎片攻击、SYNFlood等都属于协议层攻击。非法URL提交、网页恶意代码、邮件病毒等都属于应用层攻击。从以往的工作经验来看,物理层遭受的恶意攻击较少,而网络层和应用层安全风险相对较高,且风险类型较多,可控性较低。因此,需要保证信息系统服务器与互联网的物理隔离,技术原理如图1所示.4.3.3防火墙设置防火墙是医院信息系统防护的屏障,可以有效阻碍外人的恶意攻击,保护网络内的信息。防火墙将内外网相隔离,对网络的访问人员信息进行采集,在用户登陆网络时,需要先对用户进行审核,审核通过后才可登陆。通过登陆权限限制,可有效避免非法用户入侵、破坏、干扰等问题,如图2所示。但是专业入侵检测系统对提高防火墙的性能自然是不容忽视的,此系统既能够弥补防火墙技术的不足,还能够通过跟踪和系统恢复等方式收集入侵证据。入侵检测系统常规应用方法主要有入侵检测、基于主机的入侵检测、古典型查找检测,三种方法相辅相成,协调应用。
5结束语
综上所述,随着科学技术的快速发展,医院信息化发展程度不断提高。为了保证安全技术体系的科学有效,需基于当前的发展水平,积极采用安全技术,完善管理方案。医院信息系统的安全和管理密切相关,积极采用先进的网络技术,加强网络管理,推进信息系统网络安全建设,以此提升医院的整体质量和水平。这就需要医院根据自身实际情况,制定与之相适应的信息系统,并不断更新和完善,从而保证医院网络的安全运行。
参考文献
[1]王颖,刘书恩,赵妍.新医改下医院信息网络的建设[J].医学信息旬刊,2010,5(6):1581.
[2]卓星.医院信息网络安全防护体系建设[J].福建电脑,2010,26(10):165~166.
[关键词] 职工医保联网;居民医保联网
[中图分类号]R197 [文献标识码]B [文章编号]1673-7210(2008)10(b)-074-02
随着我国各项事业改革的深入发展,市场经济逐步发展成熟,医疗保障制度也在不断完善。自1998年以来已经建立了城镇职工基本医疗保险制度、新型农村合作医疗制度以及城镇居民基本医疗保险制度。医疗保险信息系统是医疗保险政策的体现,随着医疗保险制度的不断完善以及医保业务需求的不断变化,医疗保险信息系统也需要不断地得到完善,与医疗保险中心相连的定点医疗机构需要按照医疗保险中心信息系统的变化不断完善医院管理信息系统。如何在与医疗保险中心相连的情况下,也就是外部网络相连的情况下,建立有效的医院信息系统安全架构,保障信息系统安全、平稳、高效,成为医院信息化建设的重要内容。本文结合我院实际的网络体系结构,介绍医院信息管理系统(HIS)与城镇职工医疗保险系统(简称职工医保)、城镇居民基本医疗保险系统(简称居民医保)的实时联网的实现方法以及网络安全架构。
1 信息系统的安全架构
1.1 信息系统的安全问题
医院信息系统是利用计算机及其网络通讯设备和技术,对医院内外的相关信息进行自动收集、处理、存储、传输和利用,为临床和管理服务的应用信息系统。随着信息技术和网络技术的飞速发展,医院信息系统在医院得到了广泛应用。一个功能齐全的医院信息系统,不仅包括挂号系统、门诊管理系统、药房管理系统、药库管理系统、住院管理系统、病案管理系统、物质管理系统、人事管理系统等,甚至集成了医学影像归档与传输系统(PACS)、检验信息系统(LIS)、放射信息系统(RIS)等,几乎涵盖了医院工作的方方面面[1-2]。医院信息系统(HIS)一旦投入运行,其数据安全和网络安全问题就成为系统能否持续正常运行的关键。作为一个联机事务系统,要求能每天24 h不间断运行,像门诊收费、挂号这样的系统,不能有30 s的中断,也绝对不允许数据丢失,稍有不慎就会造成灾难性后果和巨大损失。而造成数据不安全和网络不安全问题的原因是多方面的,包括因特网黑客侵入、内部局域网非法用户侵入、系统或人为故障等。来自因特网的病毒和黑客侵入是很难防范的,因此我院将内部信息系统和外部因特网在物理上隔离起来,内部局域网不能和外界直接进行物理相连。为了与医疗保险管理系统相连,这种局部封闭的环境被彻底打破,HIS必须和外面网络相连,HIS的安全问题变得更加敏感、严峻,因此,医保联网要做好防护安全措施。对于联网安全问题,我院增加了一台前置服务器,安装网络防毒软件,以防止非法用户威胁或破坏整个信息系统安全。
1.2 与医保中心相连的架构设计
医疗保险的实施,是一项复杂的社会系统工程,涉及到参保单位、医疗保险管理部门以及定点医院等机构,需要医保信息系统和医院信息系统衔接,要求医院使用的医疗保险的管理软件应与医保中心的信息系统相匹配,并留有与之相连接的接口以及网络连接,以满足医保中心的要求,实现实时传送数据。
徐州市城镇职工医疗保险信息系统自2001年开始运行,现已运行了7年,全市与医保中心直接联网的定点医疗机构在不断增加,系统的应用规模也在不断扩大,而且经过几年的完善,系统已逐渐趋于平稳,但是医疗保险信息系统中的职工医保系统也存在以下不足:首先,医疗保险系统的费用结算种类多种多样,参保人员医疗费用结算功能模块放在定点医疗机构来处理,这就使定点医疗机构的程序变得异常复杂;其次,当由于政策的改变或其他原因所引起的计算方法发生变化时,定点医疗机构的计算调整及时性和准确性都无法保证,如果定点医疗机构与医疗保险中心不能同步,就会造成系统数据的不一致,从而导致系统之间不能协同一致地工作。而城镇居民医疗保险信息系统从2008年4月开始试运行,医院信息系统与居民医保信息系统联网的定点医疗机构只有几家大型医疗机构。医保中心提供的居民医保接口解决了职工医保的不足,但是也提供了与职工医保完全不同的联网方法与体系结构。下面具体介绍我院信息系统与医保中心的职工医保与居民医保实时联网的实现方法及网络体系机构。
1.2.1 与职工医保相连医疗保险信息系统中的职工医保子系统是通过前置机与定点医院的前置机相连。定点医院信息系统只要将参保人员的医疗费用数据发送到医院的前置机上,由前置机通过网络将信息发送到医保中心的前置机上进行信息处理,定点医院通过前置机从医疗保险中心的前置机上下载参保人员的基本信息。这个过程是双向的,信息处理完毕后,医保中心的主机即刻给予回应,将个人帐户、现金、统筹基金等各项应支付的金额数发回医院端,作为医院端的收费标准。为了实现与医保中心的实时联网,我院的信息系统通过医保前置机,通过综合业务数字网(ISDN)专线直接与医保中心的前置机相连。我院医保前置机配有两块网卡,一块与路由器相连,一块与内部局域网相连。医保前置机软件由医保信息中心统一维护,运行着数据传送模块。网络体系结构如图1所示:
1.2.2 与居民医保相连医保中心提供的居民医保子系统采用了动态链接库的方案。动态链接库由医保中心统一开发维护,定期更新到联网的定点医院使用。医保接口动态链接库向医院的HIS系统提供若干供调用的函数集,帮助医院的HIS系统完成医保待遇的计算和数据的存储与传输,医院系统改造过程中,在不用理解医保政策的情况下,按照一定的规则,即可快速、安全的完成HIS与医保系统的接口改造工作。动态链接库中的函数全部采用被动调用的方式操作数据,即将动态链接库嵌入到原来的HIS系统中,由HIS系统调用动态链接库中的函数,来完成某个指定的动作。这种方案解决了职工医保联网方法的不足,即定点医院不用理解居民医保政策的结算方法,直接调用医保中心提供的函数,定点医院的程序处理也相对简单容易,即使计算方法发生变化,定点医院也不用修改程序,医保中心修改相应的动态链接库就可以使定点医院与医保中心保持同步。由于没有前置机与医保中心实时联网,定点医院信息系统的终端要调用医保中心的动态链接库,就要求终端能够与医保中心联网。由于定点医院要调用医保中心动态链接库的终端比较多,如收费系统、挂号系统、住院管理系统以及药品项目对照、收费项目对照等共有十几台终端。考虑到每台机器都使用双网卡,一块与路由器相连,一块与内部局域网相连不太现实,最后我们用一台单机安装两块网卡,一块与路由器相连,一块与内部局域网相连。网络体系结构如图2所示:
图2 居民医保联网体系结构图
2 总结
HIS系统与医保联网建设实际上是医院信息管理系统建设的一部分,是有效的补充和完善,必须采用符合医院自身特点的方案和方法进行建设。
[参考文献]
[1]任忠敏,马国胜,姚鸣红,等.医院信息系统安全体系的建立[J].医学信息,2004,17(7):408-410.
[2]宋颖杰,于明臻.医院信息系统的网络安全管理与维护[J].中国现代医生,2007,45(17):104,110.
【关键词】医院 信息系统 安全威胁 防御
1 引言
计算机技术、网络技术和数据库技术的快速发展促进了医院电子信息系统的普及和应用。目前,医院在行政管理、诊断治疗等方面已经开发了OA系统、财务管理系统、人事管理系统、住院病房管理系统、药品管理系统、医院影像拍摄与存储系统、患者病历档案管理系统等,为医院行政管理提供了信息化支撑,并且能够在诊断治疗过程中,采集患者信息,提高医护人员的工作效率和诊疗质量,更好地为患者提供临床咨询、辅助诊疗和临床决策服务,具有重要的作用和意义。为了提高患者、医院行政管理人员、医护人员使用的方便性,共享数据资源,医院信息系统集成规模越来越大,各种系统采用的开发技术多种多样,比如 JSP技术、ASP技术、技术等,隐藏的漏洞和风险也越来越多,因此需要采用严格的安全防御系统,保证医院信息系统的正常工作和运行。
2 医院电子信息系统面临的安全问题现状分析
2.1 医院信息系统安全风险评估处于初级阶段
目前,医院信息系统通常由医院自己招聘的网络管理团队进行维护,而信息系统安全风险评估技术涉及多学科知识,其不仅是一个技术性问题,也是一个管理学问题,而许多医院的信息系统没有进行过风险评估,因此无法及时、准确地获取医院信息系统存在的安全漏洞和攻击威胁风险,不能够及时地采取安全防范措施进行预防和保护。
另外,医院信息系统应用背景复杂,包括药品管理、医学诊断、医学治疗等方面的知识,在医院信息系统风险评估过程中,风险评估缺乏规范化的标准,导致风险评估主体和客体不清晰,无法明确划分参与者的工作内容,并且承担相关的角色,因此医院风险评估效果较差。
2.2 医院电子信息系统攻击技术逐渐增强
云计算、分布式移动和移蛹扑慵际蹩焖俜⒄梗其不但促进了电子信息系统在医院行业中的应用,同时也提高了网络黑客、木马和病毒攻击技术,网络安全威胁更加智能化,尤其是网络威胁更加隐蔽,潜伏的周期更长,给医院信息系统带来的安全威胁也更加严重,非常容易导致患者病历资料丢失,无法长期跟踪患者身体健康状况,不能够优化患者治疗方案,提供最佳的治疗服务。
2.3 医院电子信息系统操作人员安全意识薄弱
医院电子信息系统用户角色包括医生、护士、行政管理人员和普通的患者,用户通常为非计算机专业人员,在操作系统的过程中,不能够严格按照医院电子信息系统的操作规范进行,时常携带含有病毒的优盘、硬盘或网络传输文件,随意插拔,非常容易感染医院网络平台内的其他终端或系统,导致系统崩溃或数据资源被盗。
2.4 网络攻击和威胁形式呈现多样化
传统网络攻击和威胁多来源于黑客、病毒和木马,并且由于医院信息系统孤立存在,因此导致网络攻击威胁不能够达到目的。近年来,由于移动互联网、光纤网络的快速发展和进步,分布式管理系统基于互联网连接在一起,登录终端包括PC、iPad、iPhone等智能终端,因此网络病毒传播途径越来越多,呈现多样化。
2.5 电子信息系统网络漏洞数量居高不下
医院电子信息系统集成应用软件越来越多,各种软件在开发和实现过程中采用技术种类不同、采用的开发工具也不尽相同,因此在集成和融合过程中,无法避免将会产生各种漏洞。随着网络攻击技术的提高,电子信息系统的网络漏洞将会成为入侵攻击的选择点,为电子信息系统的应用带来困难。
3 医院电子信息系统安全防御技术探讨
3.1 应用层数据加密传输
医院电子信息系统关联的用户在操作过程中,通常位于网络的不同位置,比如内网核心位置、内网普通位置、外网位置等,因此为了保证应用层数据信息输入的安全性,可以采用 IPSec VPN和SSL VPN技术加密通信渠道,实现数据的加密传输。
3.2 数据传输控制
由于不同的用户分属于医院行政管理部门、业务科室等,因此为了不同角色的用户实现网络服务器的安全存取控制,可以将医院内部网络的IP地址进行分段、分类管理。
具体地,医院电子信息系统IP地址归属不同的子网、VLAN和VPN,并且与计算机的MAC地址、用户名等进行一一关联,形成良好的映射关系。不但可以有效地控制网络应用的访问和存取权限,同时也可以非常容易且方便地管理和监测网络中的所有用户。同时采用ROST技术实施强制访问控制,所有用户(包括最高权限用户)都无法访问受保护的网络资源。因此,医院网络设计过程中,IP地址划分、VLAN设计和ROST技术,将是一项非常重要的工作。
3.3 服务器安全防护
医院电子信息系统服务器在操作过程中,要构建严格的防病毒体系,采用防火墙、入侵检测控制、安全审计、访问控制列表等,控制服务器操作系统用户的权限和角色,使其能够按照规则进行操作,保证医院信息化系统服务器不会受到网络木马、病毒和黑客的攻击。
3.4 用户角色控制
医院电子信息系统用户数目多,各个系统用户具有不同的访问权限,因此为了控制医院电子信息系统的操作规程,系统在访问权限控制过程中,采用角色权限进行动态的调控,以便能够灵活管理用户,限制用户的系统操作功能和服务器访问权限,采用统一的访问认证系统和单点登录认证机制,保证用户获取系统服务器的授权,保证安全访问系统的服务资源。
4 结束语
随着云计算、移动计算、分布式计算技术的快速发展,医院电子信息系统的种类也越来越多,比如开发和实现了患者病床护理系统、呼叫系统、临床路径管理系统等,因此医院信息化安全防御也是一个重要的组成部分和关键环节,需要增加安全防御软件和安全防御设备,构建一个更加完善的、可靠的安全管理系统。医院电子信息化系统是一个动态的、复杂的安全防御工程,其需要随着网络黑客、木马和病毒技术的提高而增强,以便能够不断地适应现代化医院防御需求。
参考文献
[1]朱玉林.计算机网络安全现状与防御技术研究[J].信息安全与技术,2013,4(01):27-28.
[2]吕剑,郭丽敏.基于网络安全技术的医院信息系统设计[J].信息与电脑:理论版,2010(09).
[3]苏玉召,赵妍.计算机网络信息安全及其防护策略的研究[J].网络安全技术与应用,2006(05):12-12.
[4]龚旭峰.医院管理信息系统的安全的现状与防御[J].信息与电脑:理论版,2010(11).
1夯实基础设施安全体系建设
基础设施安全体系建设,即病案信息化系统环境建设,包括开发并完善用于病案信息建立、存储、传递、利用的软硬件设备和网络交换设备。基础设施安全体系构建是信息安全保障体系的重中之重,是安全保障体系的核心。建立基础设施安全体系时,要做好网络边界防护、系统主机防护、入侵检测与审计工作,并建立完整的防病毒体系,辅之以远程访问接入及终端准入控制,构造出切合实际、行之有效、相对先进、稳定可靠的网络安全系统平台;要保护计算机网络设备、设施免遭水灾、火灾、地震等事故破坏以及人为操作失误和各种计算机犯罪行为导致的破坏,并定期对存放设备的场地进行安全检查;在共享医疗档案信息时,要建立医疗档案信息共享监控平台,确保数字病案图像采用加密格式存储,在第三方合法公司的软件中使用,以防非法盗用;病案数字化制作与应用所使用的服务器管理必须置于整个医院系统的安全审计工作范围中,还要为服务器、各工作站安装防病毒软件。为便于回溯追踪,系统必须把用户在系统内操作形成的所有日志自动记录下来;要重视移动存储中数据交换和共享的安全问题,对接入终端的移动存储设备进行认证、数据加密和共享受控管理,确保只有通过认证的移动存储设备才能够被授权的用户使用,还要对移动存储设备接入进行审计并记录,一旦发现有非法使用的情况要第一时间处理,以避免数据泄漏;病案服务器数据库参数注册表、人员登录信息数据库、病案主信息数据库都需加密存储,并实行内外网物理隔离措施。
2重视应用安全体系建设
应用安全体系以密码服务为核心、身份认证为基础。医务人员访问病案时,可以按规定权限使用数字化病案,对无权访问的病案需提交电子申请,经审批通过后在可授权时段内访问或利用,并且只可以访问所属科室的病案,如需访问其他科室的病案则需要申请;医保、商业保险公司以及公检法等用户可按该体系临时授予的权限访问病案,如果需要访问所有用户以及默认无权限访问的病案,则要办理电子申请审批手续,在得到批准后方可访问。病案访问权限分为阅读、打印和导出三类,每一级权限向下兼容,权限具体分用户组权限、科室权限、有效期限制、医学分类限制、IP地址限制、显示字段限制和特殊病案锁定等。若系统在一定时限内检测到所在页面没有操作行为发生时,即视为工作人员已经离开,便会自动开启锁定,再次操作时须验证密码,以避免工作人员离开后他人恶意操作的情况发生。系统可提供人员身份认证、数据加密等功能,用于网络接入及应用服务等过程。其中,加强认证措施可弥补访问控制方面的诸多缺陷,数据加密可为整个系统提供纵深防御。该体系具有禁止打印、复制病案图像以及截屏等功能,并能通过阅读水印和完备的日志记录防范有人使用数码相机偷拍病案图像,一旦发现偷拍行为即可通过加密的水印进行追查。该体系通过特定软件获取数字化病案图片,防止非法获取病案图像,还可通过架设多台Web服务器来实现负载均衡。
3加强运维安全体系建设
P键词:医院信息系统;三级等保;信息安全
1 引言
随着网络与信息技术的发展,尤其是互联网的广泛普及和应用,网络正深刻影响并改变着人类的生活和工作方式。越来越多的医院建立了依赖于网络的业务信息系统,比如HIS、OA、财务系统等等,它们提供了日常办公所需的业务,便利了工作。互联网对社会各行各业产生了巨大深远的影响,与此同时,信息安全的重要性也在不断提升。
医院信息系统是医院实现办公电子化、网络化、无纸化的重要平台,同时也是开展日常工作的重要平台。然而,近年来,随着网络信息安全的快速发展,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客恶意攻击、蠕虫病毒、木马等,有可能会给医院的信息网络和核心系统造成严重的破坏。所以,建设一个全面、安全的信息系统已刻不容缓。
2 系统现状安全分析
医院信息系统现状拓扑图如上图1所示,从整个网络拓扑图可以看出,现阶段医院主要有两个网络出口,包括连接医保专网及连接互联网,互联网区域主要提供给外端用户通过VPN连接接入到内部服务器。在安全防护方面,除了在医保专网的出口边界区域部署有防火墙外,其他地方都没有部署有相应的安全防护措施,主要表现在以下几点:
1)网络出口边界区域缺少相应的入侵防护系统,无法对来自外部的蠕虫、木马、病毒、恶意软件及僵尸网络进行安全防护;
2)在互联网边界区域缺乏相应的防病毒系统,无法对来自互联网的恶意代码攻击、病毒等进行检测和拦截;
3)在内部网络中缺乏相应的安全审计系统,无法对内部的网络行为、服务器访问操作行为等进行审计和日志记录;
4)在Web类服务器前端缺少相应的Web安全防护设备,无法对针对Web服务器的SQL注入、跨站脚本(XSS)、跨站伪造攻击等进行安全防护,同时缺乏相应的网页防篡改系统;
网络内部缺乏漏洞扫描设备,无法对内部服务器系统进行漏洞扫描及漏洞管理;
5)在内部网络缺乏相应的运维审计系统,无法针对内部服务器、数据库、网络设备及安全设备进行统一的安全运维;内部重要服务器上没有安装防病毒系统,无法对服务器进行安全防护,容易遭受病毒的攻击。
3 建设思路
3.1 建设方法
信息安全体系框架是实施安全建设的灵魂和核心,它提供了构建和管理信息系统安全性的理论指南、流程、工具和指标。定义了全面风险管理和安全措施部署的设计路线和方针。使信息系统安全建设在标准化和完备的设计依据中进行,使建设过程具体而可控。从而维护信息价值从输入端至输出端的可信性和可控性;形成完备的事前监控预警、事中防御控制、事后审查追溯的防护机制。呈现持续改进的安全运行管理闭环。
医院信息系统的信息安全建设会同时依据国家/行业政策标准的指导,因而需要结合现实的业务特点与管理情况,构建各类别各层面信息系统的差异化、本地化保护能力,并通过制订运行管理策略,形成面向当前安全措施及关键系统的运行配置、未知风险的预警与控制情况。
适度化的安全建设思想能够将上述的方法论贯穿于信息资产的运行周期中,使各阶段、各层面的安全机制相互补足而形成体系,避免了安全建设的重复实施和过度投资。
3.2 方案效果
在等级保护要求中,医院信息系统安全提出网络访问控制、网络入侵防护、恶意代码防范(防病毒)、安全审计、漏洞管理、运维审计、安全集中管理等需求。本次信息系统安全建设需要完成以下目标:
1)边界安全防护
在医院专网互联区边界处部署防火墙,对内部服务器进行基础安全防护,实现边界的网络安全访问控制,保证服务器的安全。(利旧)
2)恶意代码防护
在医院互联网边界处部署绿盟NF防病毒系统(NF),对来自外网的病毒文件进行安全拦截,保证内部服务器的安全,实现内部网络的恶意代码防护。
3)网络入侵防护
在医院服务器前端部署绿盟入侵防护系统(NIPS),对来自外网、专网及内部用户的木马、病毒、蠕虫以及各类网络攻击行为等进行拦截,保证内部服务器的安全。
4)Web安全防护
在服务器区如果部署有Web类服务器系统(OA办公系统等),需要在服务器前段部署Web应用防护系统(WAF),对来自互联网的针对Web应用的攻击进行安全防护,如SQL注入、跨站脚本、恶意扫描等攻击进行阻断防护,同时,在服务器上部署防篡改软件系统,对文件进行 安全保护。
5)安全审计系统
在医院核心交换机处旁路部署安全审计系统(SAS),通过网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规网络行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,做到出现问题时有源可溯。
6)运维安全管理
在运维管理区部署安全运维堡垒主机(SAS-H),对日常所有网络设备以及服务器等的运维进行详细的记录,保障系统运维的安全性。
7)系统安全管理
在医院运维区处部署漏洞扫描系统,可以利用漏洞扫描系统对网络中的系统、网络设备等进行扫描,第一时间主动对网络中的资产进行细致深入的漏洞检测、分析,并给出专业、有效的漏洞防护建议,让攻击者无机可乘。
在医院内部服务器及主机部署防病毒软件,可以有效地对内部终端和服务器等进行病毒防护,保证系统不会因为受病毒感染而造成系统宕机、数据受损等严重事件。
8)集中安全管理
在运维管理区部署安全管理平台(ESPC),对所有的安全设备进行统一管理,实现整个信息系统安全状态的在线分析、在线监控、在管理,提高安全管理效率。
3.3 项目效益
安全技术设施足以保障系统的核心区域,关键信息安全管理制度初步形成,并借助外力形成一定的安全支撑能力,整体信息系统安全和稳定得到保证。
通过完善安全运维管理支撑体系,保证运维的安全、稳定,使得医院信息系统自身具有较高的安全运维能力。
信息系统符合三级等保标准关键要点的要求,确保信息系统通过等级保护测评(覆盖等级保护基本80%以上要素,整个信息系统基本符合等级保护要求)。
4 总结
信息安全没有绝对性,从技术复杂度来说,单一防护模式很容易被突破,只有实施多层防护,才能消除单点隐患。通过建立“一个中心下的三重防护体系”才能增加突破难度,降低安全风险;做到全可达、全可控、全可查。层层防护旨在实现非法破坏“进不来”,即使进来也“拿不走”,即使拿走也“读不懂”,即使有恶意行为也“跑不了”。
医院信息系统的安全管理是一个不断变化的管理过程,随着时间的推移,管理理念、信息技术以及医院信息化程度的不断变化,医院信息系统安全管理的发展思路也应该要与时俱进的不断变化,要根据阶段性的信息安全目标不断的对安全管理体系加以校验和调整,以保证医院信息安全管理体系始终适应和满足实际情况的发展需要,只有做到这样的管理模式,才能够建设更健康的、合理的、有效地使医院信息系统更安全。
参考文献:
[1] 迪普科技助力新疆医疗系统[J]. 数字通信世界,2014(4).
关键词:医疗卫生行业;信息安全;等级保护;管理制度
1引言
随着信息化、数字化、网络化的发展,大数据和换联网+也进入了医疗卫生行业,加快了医院信息化的发展。随着医院业务的发展,医院信息系统的应用也更加广泛,医院对其依赖性会越来越强,风险也随之会提高。但医疗服务的特殊性决定了医院信息系统需要24小时不间断运行,这就对医院的信息安全管理提出了更高要求。信息安全管理是指导和控制组织关于信息安全风险相互协调的活动,它是了解体系安全状态、实现信息安全目标的重要关口,主要包括信息安全风险评估、风险管理和技术措施的控制。如何更好地进行信息安全管理成为一个不可忽视的问题,因此,在医院信息化建设的同时加强信息安全管理建设是解决医院信息安全问题的必然选择。
2我国卫生行业信息安全管理政策
2010年原卫生部制定的《卫生信息化建设指导意见与发展规划(2011-2015)》(“十二五”规划)明确提出了我国医疗信息化发展的蓝图和发展方向“35212工程”,建设信息安全体系即是最后一个“2”中的一项。按照《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)的要求,三级甲等医院应于2015年12月30日前全部完成信息安全等级保护建设整改工作,并通过等级测评。这标志着我国卫生行业开始通过信息安全等级保护加强对医院信息安全的管理。原卫生部、国家中医药管理局在2012年6月15日的《关于加强卫生信息化建设的指导意见》指出,要加强卫生信息安全保障体系建设,落实国家信息安全等级保护制度。国家卫生计生委规划信息司在2014中国健康大会上也指出,医疗卫生信息化是国家信息化发展的重点,已纳入“十三五”国家网络安全和信息化建设重点。
3医院信息安全管理需求
据《南方都市报》报道,2008年5月以来,香港连续爆出泄密事件:先是医管局下属医院陆续发现患者资料遗失,共涉及1.6万名患者,此事立刻轰动了全港。2010年5月23日,一张神秘的清单在网上曝光,其中列出了宁波市某医院45名医生的工号、名字和所属科室,后面还注明了他们使用药品氨曲南的数量和总价,虽然腐败得到惩戒,大快人心,但所暴露的医院的潜在威胁值得警惕。2013年7月,宁波两家医院挂号系统瘫痪事件,同样也引起了社会各界对医院信息系统安全的高度关注。2015年10月份的澳门山顶医院最大泄密事件,患者资料随街散落,也折射出医疗卫生行业信息安全问题的严峻性。信息化在给医院带来便利的同时,也带来了医院信息安全的隐患,上述严重的信息安全事件给医院的信息安全管理敲响了警钟。医院信息系统承担着整个医院的内外各项业务,其安全状况直接关乎患者隐私和健康、社会秩序及稳定等。加强信息安全、消除信息安全隐患,已经成为医院当前必须要面对的问题。
4医院信息安全管理制度的发展对策
在《信息系统安全等级保护基本要求》和医院评审的相关标准中都提到了信息管理部分,都强调了信息安全管理,并且都是对医院进行此两方面评审时的重要的评审部分。结合这两方面的评审要求,可以分别从安全管理制度、安全管理机构、人员安全管理、系统建设安全管理、系统运行安全管理五个方面,对医院信息安全进行管理。
4.1建立完善的总体安全管理制度
医院应根据自身的实际情况制订总信息安全管理制度,总信息安全管理制度是一个医院的根本管理制度,规定医院信息安全管理的根本任务和根本制度,是医院信息安全工作的总体方针、总体目标、总体原则,是其他信息安全管理制度制订的依据和基本要求。总信息安全管理制度中应严格明确制度制定与的流程、方式、范围等,应定期组织相关部门对安全管理制度进行评审与修订,以满足医院信息化不断发展的需要。
4.2应建立稳固的安全管理机构
医院应根据总体安全管理制度的基本要求设置安全管理机构和安全管理岗位,并制定《岗位设置与职责管理制度》,应明确“三员”(系统管理员、网络管理员、安全管理员)岗位与职责。医院信息安全管理不是某一个部门的职责,而是全医院相关部门都要参与,从自身做起,从上述某医院的信息安全管理机构图来看,信息安全领导小组对医院信息安全管理进行定期评审,再由医院最高领导的支持,然后直到一线的人员,每个岗位都有明解的岗位职责,达到稳固的管理,责任到人,能满足医院信息化不断发展的需要。
4.3配备专业的信息化人员,制定完善的员工信息安全管理制度
医院人事主管部门,应针对医院的实际情况例如可制定《人员录用制度》、《人员离岗制度》、《人员考核制度》、《安全教育和培训制度》、《外部人员参观访问制度》等人员工信息安全管理制度。在人员录用方面应按照制度流程对被录用人员进行资格审查,对于在医院从事关键岗位的人员应当签署保密协议等,在离职时应按照制度流程办理离职手续,例如应回收医院发放的各种身份证件、钥匙、秘钥并注销一切其所拥有的信息系统账号等;在人员考核方面应定期对各个岗位的人员进行信息安全技术及信息安全认知的考核,确保在岗人员都有维护医院信息安全的义务;在人员的安全教育和培训方面,应对各类人员定期进行信息安全教育和培训,提高其安全意识,明确责任和奖惩措施;在外部人员来医院参观访问方面,应用按照制度进行授权和审批,确保医院运行安全。
4.4完善医院各类信息系统的建设,制定切实可行的信息系统安全管理制度
信息化数字化医院建设只有起点没有终点,医院在各类信息系统建设方面应根据自身的实际情况,制定完善可行的信息系统建设规章,可保障医院相关部门在信息系统建设过程有据可依、有规可循。例如医院可制定如下关于医院信息系统建设的管理制度:《医院信息系统定级管理制度》、《医院信息系统安全方案设计管理制度》、《医院信息系统产品采购和使用制度》、《医院信息系统自行软件开发制度》、《医院信息系统外包软件开发制度》、《医院信息系统工程实施管理制度》、《医院信息系统测试验收管理制度》、《医院信息系统交付管理制度》等。
4.5制定切实可行的医院各类信息系统运行管理制度,满足医院各类业务的适时访问需求
医院各类信息系统建设的目的是为了更好地满足各类业务的需求,保障建设好的各类信息系统更好的运行。医院信息系统管理者应从管理方面制定切实可行的管理制度,同时针对不同的医院使用人员,制定不同的使用操作手册,让医院的使用者达到规范操作,这样可以大大减少人为误操作导致的系统故障,方便运维人员对系统的维护。例如医院可根据信息系统的实际情况制定如下运行管理制度:《医院信息系统环境管理制度》、《医院信息系统资产管理制度》、《医院信息化介质管理制度》、《设备管理制度》、《医院网络安全管理制度》、《医院信息系统安全管理制度》、《医院恶意代码防范管理制度》、《医院信息系统密码管理制度》、《医院信息系统备份与恢复管理制度》、《医院信息系统安全事件处置制度》、《医院信息系统应急预案管理制度》等。
5总结
信息化、数字化医院建设只有起点没有终点,医院信息系统安全伴随着信息化数字化医院建设同样没有终点。医院需要高度重视信息安全管理,制定一套切实可行的信息安全管理制度和措施,才能更好地保证医院信息系统安全、高效、稳定的运行。
参考文献:
[1]蔡文涛.浅谈医院信息系统网络安全[J].中国现代医生,2009(32):116-117.
[2]李刚.医院信息系统安全管理问题浅析[J].中国管理信息化,2013(1):39.
[3]杨栋,刘立辉,任志刚.医院信息安全管理与措施[J].中国医疗设备,2011,26(6):70-72.