醫(yī)院信息安全管理措施精選(五篇)

序言：作為思想的載體和知識(shí)的探索者，寫作是一種獨(dú)特的藝術(shù)，我們?yōu)槟鷾?zhǔn)備了不同風(fēng)格的5篇醫(yī)院信息安全管理措施，期待它們能激發(fā)您的靈感。

篇1

計(jì)算機(jī)技術(shù)所帶來(lái)的巨大生產(chǎn)力決定了其會(huì)在時(shí)間的推移中不斷和社會(huì)生產(chǎn)進(jìn)行融合，發(fā)展至今，其已經(jīng)融入了各大產(chǎn)業(yè)領(lǐng)域，產(chǎn)生了巨大的推動(dòng)作用。在信息科技時(shí)代，醫(yī)療信息系統(tǒng)也得到了廣大人民的認(rèn)可，然而，在廣大人民群眾信任的基礎(chǔ)上，更應(yīng)當(dāng)做好醫(yī)院信息的安全防護(hù)工作。醫(yī)院信息管理系統(tǒng)是整體工程，具有很強(qiáng)的關(guān)聯(lián)性，一旦系統(tǒng)信息出現(xiàn)安全問(wèn)題所造成的損失將會(huì)使得醫(yī)院的各項(xiàng)工作停頓，給醫(yī)院造成不可估量的經(jīng)濟(jì)損失，更使得人民群眾的醫(yī)療得不到保障。就當(dāng)下我國(guó)的醫(yī)院信息管理系統(tǒng)而言，其安全防護(hù)性能過(guò)于單一，在醫(yī)院業(yè)務(wù)量不斷增加和互聯(lián)網(wǎng)絡(luò)通訊不斷發(fā)展的過(guò)程中，這類單一的安全防護(hù)將不能持續(xù)為復(fù)雜的業(yè)務(wù)應(yīng)用提供相應(yīng)的保障。因此，完善和強(qiáng)化醫(yī)院的信息管理系統(tǒng)中網(wǎng)絡(luò)安全的運(yùn)用便是當(dāng)下醫(yī)院所需要解決的一個(gè)迫切問(wèn)題。

1網(wǎng)絡(luò)安全維護(hù)技術(shù)的要點(diǎn)分析

1.1備份技術(shù)

系統(tǒng)所涉及的功能和業(yè)務(wù)越多，其漏洞和故障可能性就越大，往往這是無(wú)法完全避免的。因此，對(duì)于保障信息系統(tǒng)運(yùn)行而言，大多數(shù)計(jì)算機(jī)系統(tǒng)在設(shè)計(jì)過(guò)程中需要考慮最惡劣的情況，計(jì)劃所需的解決方案，也就是構(gòu)建備份系統(tǒng)。所謂的備份技術(shù)是基于最惡劣狀況，在醫(yī)院信息系統(tǒng)出現(xiàn)問(wèn)題，數(shù)據(jù)庫(kù)無(wú)法使用時(shí)，能夠在較短的時(shí)間重新恢復(fù)運(yùn)行。這類技術(shù)需要來(lái)自于硬件設(shè)備和軟件系統(tǒng)的共同構(gòu)建，也需要根據(jù)醫(yī)院的具體狀況制定合理備份策略，具體的備份頻率、備份時(shí)間、恢復(fù)時(shí)間等。常用的策略主要分為只備份數(shù)據(jù)庫(kù)、備份數(shù)據(jù)庫(kù)和事務(wù)日志、增量備份三類。

1.2冗余技術(shù)

冗余技術(shù)是一項(xiàng)保障性技術(shù)，是指在網(wǎng)絡(luò)及其它瞬間質(zhì)量惡化的狀況下，不會(huì)因此而造成系統(tǒng)停機(jī)和數(shù)據(jù)庫(kù)的丟失。然而，網(wǎng)絡(luò)作為一種數(shù)據(jù)處理和轉(zhuǎn)發(fā)的中心，應(yīng)當(dāng)進(jìn)行充分而全面地考慮保障。而這種網(wǎng)絡(luò)的保障可以利用冗余技術(shù)來(lái)完成，這類技術(shù)的應(yīng)用也十分廣泛，不僅可以用于電源、處理器和設(shè)備，甚至還可以用于模塊、鏈路和以太網(wǎng)等。

1.3防火墻技術(shù)

防火墻是用來(lái)應(yīng)對(duì)黑客侵入和保障系統(tǒng)安全的常用手段。防火墻通常被安置于風(fēng)險(xiǎn)區(qū)域和內(nèi)部網(wǎng)絡(luò)之間，進(jìn)行訪問(wèn)的管理，形成一道內(nèi)部網(wǎng)和外部網(wǎng)之間的隔離保護(hù)層（門），所有貫通兩者的連接都必須經(jīng)過(guò)這道隔離保護(hù)層（門），防止非法入侵和破壞行為。

1.4加密技術(shù)信息

交換加密技術(shù)通常包括對(duì)稱和非對(duì)稱兩類加密技術(shù)，前者將同一密鑰分別應(yīng)用于信息的加密和解密兩個(gè)過(guò)程，對(duì)加密工作進(jìn)行了一定的簡(jiǎn)化處理，信息交換雙方都不必彼此研究和交換專用的加密算法。然而，在非對(duì)稱加密的體系之中，密鑰被分解為一對(duì)（即公開密鑰和私有密鑰）。這對(duì)密鑰中任何一個(gè)都可以作為公開密鑰（加密密鑰）通過(guò)非保密方式向他人公開，而另一把作為私有密鑰（解密的密鑰）加以保存。

2醫(yī)院信息管理系統(tǒng)中網(wǎng)絡(luò)安全維護(hù)的具體措施

2.1醫(yī)院信息管理系統(tǒng)

該系統(tǒng)是整個(gè)醫(yī)院眾多管理子系統(tǒng)的綜合，子系統(tǒng)按照功能和應(yīng)用進(jìn)行劃分，其技術(shù)模式也需要依照應(yīng)用和運(yùn)行進(jìn)行改造。例如：醫(yī)生查房系統(tǒng)由于涉及范圍和距離較小，可以利用無(wú)線網(wǎng)絡(luò)；而分院之間的信息管理系統(tǒng)則由于相距較遠(yuǎn)，需要利用ADSLModem來(lái)構(gòu)建與中央數(shù)據(jù)庫(kù)服務(wù)器之間的鏈接，以此提升整個(gè)醫(yī)院信息系統(tǒng)的安全性。在安全監(jiān)管和安全維護(hù)上利用統(tǒng)一性的管理原則，可以使得數(shù)據(jù)的安全性與可控性得到強(qiáng)化，在面對(duì)不可抗力時(shí)，能夠盡量減少數(shù)據(jù)損失。

2.2醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)工作環(huán)境特點(diǎn)及漏洞分析

就當(dāng)下我國(guó)大多數(shù)醫(yī)院信息管理系統(tǒng)工作而言，具有非常相似的特點(diǎn)：首先，醫(yī)院網(wǎng)絡(luò)是內(nèi)網(wǎng)，利用防火墻和外網(wǎng)進(jìn)行隔離；其次，醫(yī)院工作人員在進(jìn)行開機(jī)鏈接中央數(shù)據(jù)庫(kù)服務(wù)器時(shí)往往并不需要十分復(fù)雜的口令；最后，“禁止使用以U盤為主的存儲(chǔ)設(shè)備”并沒(méi)有得到醫(yī)院管理層和基層的嚴(yán)格執(zhí)行。因此，不少問(wèn)題就此而產(chǎn)生，同時(shí)，也給醫(yī)院信息管理系統(tǒng)埋下不少的風(fēng)險(xiǎn)因子。現(xiàn)階段，我國(guó)醫(yī)院大多數(shù)的信息管理系統(tǒng)是以Windows平臺(tái)為基礎(chǔ)進(jìn)行構(gòu)建的，因?yàn)槠湎鄬?duì)于Linux系統(tǒng)而言存在更多安全漏洞，容易被黑客所利用，成為攻擊的對(duì)象和目標(biāo)。而且在內(nèi)網(wǎng)和外網(wǎng)隔離的條件下，這類漏洞往往不會(huì)在發(fā)生的第一時(shí)間進(jìn)行及時(shí)修復(fù)，形成了數(shù)據(jù)丟失風(fēng)險(xiǎn)。除此之外，由于醫(yī)院的大多數(shù)計(jì)算機(jī)都是公用型設(shè)備，為了方便工作人員進(jìn)行使用，密碼相對(duì)簡(jiǎn)單甚至沒(méi)有設(shè)置。當(dāng)非相關(guān)人員打開計(jì)算機(jī)之后，就有可能出現(xiàn)資料泄露的風(fēng)險(xiǎn)，一旦被破壞分子利用就會(huì)造成嚴(yán)重的損失和后果。除此之外，醫(yī)院出于便捷性考慮，沒(méi)有對(duì)包括U盤和收集在內(nèi)的外部移動(dòng)儲(chǔ)設(shè)備進(jìn)行限制，造成醫(yī)院信息管理系統(tǒng)的封閉性仍舊存在一定缺口，這一缺口也在被黑客利用之后成為入侵系統(tǒng)的重要渠道，所造成后果不可估量。

2.3信息系統(tǒng)防御體系的設(shè)計(jì)和構(gòu)建

威脅醫(yī)院信息管理系統(tǒng)內(nèi)部局域網(wǎng)安全的問(wèn)題較多，但其大致上可以分為以下幾類：一是網(wǎng)絡(luò)設(shè)備受損；二是網(wǎng)絡(luò)設(shè)計(jì)缺陷；三是網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)較大；四是遭遇非法訪問(wèn)等。據(jù)此,網(wǎng)絡(luò)安全技術(shù)應(yīng)用于醫(yī)院信息防御體系的設(shè)計(jì)之中時(shí),需要進(jìn)行以下的措施。首先，在整個(gè)信息系統(tǒng)上，采用VLAN（虛擬局域網(wǎng)技術(shù)）作為主要網(wǎng)絡(luò)技術(shù)，由于其采用邏輯地址分段而不是根據(jù)其物理地址分段，使得其能夠?qū)崿F(xiàn)虛擬上的分組。其次，醫(yī)院信息系統(tǒng)使用專門的vpn對(duì)內(nèi)網(wǎng)進(jìn)行訪問(wèn)，結(jié)合防火墻技術(shù)進(jìn)行訪問(wèn)用戶的內(nèi)容和行為進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)風(fēng)險(xiǎn)或是觸發(fā)風(fēng)險(xiǎn)預(yù)警，馬上進(jìn)行控制，防止進(jìn)一步風(fēng)險(xiǎn)或是攻擊的出現(xiàn)。最后，為了避免漏洞在發(fā)生的第一時(shí)間不能被完全處理，醫(yī)院信息管理系統(tǒng)應(yīng)當(dāng)逐步推進(jìn)LINUX平臺(tái)的建設(shè)，對(duì)系統(tǒng)漏洞進(jìn)行規(guī)避，提升信息系統(tǒng)網(wǎng)絡(luò)安全性能。除此之外，還需要對(duì)網(wǎng)絡(luò)設(shè)計(jì)缺陷和網(wǎng)絡(luò)設(shè)備狀況重視起來(lái)。網(wǎng)絡(luò)設(shè)計(jì)的缺陷會(huì)導(dǎo)致在某些狀況下系統(tǒng)無(wú)法處理，這時(shí)候需要提前做好預(yù)防措施，以防止嚴(yán)重問(wèn)題的產(chǎn)生。設(shè)備損壞則會(huì)直接影響信息系統(tǒng)的安全性。在此之中，軟故障是最難以解決的一種。它會(huì)使醫(yī)院處于難以運(yùn)行的狀態(tài)，并且排查困難，對(duì)排查人員的專業(yè)知識(shí)和熟練度要求較高，所以一旦出現(xiàn)軟故障問(wèn)題，則應(yīng)該調(diào)動(dòng)大量的專業(yè)人員對(duì)其進(jìn)行解決與處理。

3結(jié)束語(yǔ)

計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展應(yīng)用，極大地推動(dòng)了我國(guó)醫(yī)院信息系統(tǒng)的建設(shè)，為醫(yī)療信息的整理和分析提供了巨大的助力。然而，由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性，醫(yī)院信息系統(tǒng)管理也面臨了極大的風(fēng)險(xiǎn)性和不確定性。因此，醫(yī)院需要從實(shí)際問(wèn)題出發(fā)，對(duì)自身的信息管理系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全性的強(qiáng)化，切實(shí)有效地保障自身的信息安全和系統(tǒng)運(yùn)行安全。

參考文獻(xiàn)

[1]劉琰瑾，張新.探析網(wǎng)絡(luò)安全技術(shù)在醫(yī)院信息系統(tǒng)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015.

[2]何磊.試論新環(huán)境下醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的安全管理策略[J].通訊世界，2015.

[3]李安成.醫(yī)院信息網(wǎng)絡(luò)安全管理[J].電腦知識(shí)與技術(shù)，2013.

[4]冉建忠，劉秀華.淺析醫(yī)院信息網(wǎng)絡(luò)安全管理[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2013.

篇2

信息時(shí)代的到來(lái)，不僅深刻的變革人類現(xiàn)有的生活方式，也極大加速醫(yī)院內(nèi)部各部門間的信息管理系統(tǒng)的建設(shè)進(jìn)程。當(dāng)下各大醫(yī)院之間的核心競(jìng)爭(zhēng)力之爭(zhēng)，業(yè)已由傳統(tǒng)的醫(yī)院之間的醫(yī)療設(shè)備的競(jìng)爭(zhēng)轉(zhuǎn)變向醫(yī)療機(jī)構(gòu)運(yùn)行系統(tǒng)的便民性、信息化管理，這既是信息技術(shù)時(shí)代對(duì)醫(yī)院的現(xiàn)實(shí)訴求，也是緩解長(zhǎng)期以來(lái)存在的就醫(yī)難困境的一個(gè)突破點(diǎn)。同時(shí)，由于醫(yī)院的信息管理系統(tǒng)中通常包括病患的個(gè)人信息、醫(yī)院的經(jīng)濟(jì)狀況等相對(duì)隱私的重要信息，保障現(xiàn)行醫(yī)療部門中所運(yùn)行的信息管理系統(tǒng)的安全就顯得至關(guān)重要。

1、醫(yī)院信息管理系統(tǒng)的含義

關(guān)于醫(yī)院信息管理系統(tǒng)的含義，多方學(xué)者都試圖從不同角度和側(cè)重點(diǎn)對(duì)其進(jìn)行詮釋。一位美國(guó)信息系統(tǒng)的權(quán)威學(xué)者毛瑞斯克倫就信息化管理對(duì)醫(yī)療機(jī)構(gòu)的影響力角度，給出這樣的定義：“運(yùn)用互聯(lián)網(wǎng)技術(shù)和通信設(shè)備，在整合醫(yī)療機(jī)構(gòu)內(nèi)部人流、物流和資金流的基礎(chǔ)之上。為實(shí)現(xiàn)滿足信息管理系統(tǒng)下全部授權(quán)用戶的需要，對(duì)醫(yī)療機(jī)構(gòu)內(nèi)部各部門中醫(yī)患的診療信息、組織的日常運(yùn)營(yíng)的管理數(shù)據(jù)信息進(jìn)行的集中采集、處理過(guò)程。由于醫(yī)療機(jī)構(gòu)本身特有的屬性，決定醫(yī)院的信息管理系統(tǒng)的復(fù)雜性和整合難度要遠(yuǎn)遠(yuǎn)超過(guò)同級(jí)別的其他機(jī)構(gòu)。

2、目前醫(yī)院信息管理系統(tǒng)存在的安全隱患

2.1醫(yī)院信息管理系統(tǒng)安全意識(shí)淡薄

一方面，由于在部分醫(yī)院中的管理者仍然執(zhí)行傳統(tǒng)的管理方法，沒(méi)有對(duì)信息管理系統(tǒng)安全問(wèn)題投入足夠的重視。使得下面的工作人員也會(huì)隨波逐流，對(duì)于信息管理系統(tǒng)的使用也只是流于形式，對(duì)相關(guān)信息系統(tǒng)的維護(hù)、開發(fā)工作做的不足。另一方面，由于大多數(shù)的醫(yī)院對(duì)于信息管理系統(tǒng)安全知識(shí)的普及工作做的不是很到位，加之部分醫(yī)院為了縮減人工成本，錄用的非專業(yè)工作人員素質(zhì)相對(duì)偏低，不能勝任信息系統(tǒng)的正確的使用和維護(hù)工作，這無(wú)疑會(huì)增加信息管理系統(tǒng)的主觀安全隱患。

2.2醫(yī)院普遍缺少信息管理系統(tǒng)安全預(yù)案

一方面，由于醫(yī)院科室相對(duì)較多，信息管理系統(tǒng)相對(duì)較分散和復(fù)雜。而且不同科室信息系統(tǒng)有存在重疊的可能性，這在很大程度上增加制定醫(yī)院信息管理系統(tǒng)安全預(yù)案的難度。加之部分領(lǐng)導(dǎo)憂心制定信息管理系統(tǒng)安全預(yù)案的工作繁雜，使得安全預(yù)案遲遲不能出現(xiàn)。另一方面，醫(yī)院信息管理系統(tǒng)中存在部門間和人員間協(xié)調(diào)性差的問(wèn)題，加之日常沒(méi)有相關(guān)的信息管理系統(tǒng)是安全規(guī)范。對(duì)于突發(fā)的信息管理系統(tǒng)問(wèn)題，很難在第一時(shí)間有明確的機(jī)構(gòu)或人員做出及時(shí)應(yīng)對(duì)。

2.3醫(yī)院對(duì)信息管理系統(tǒng)安全缺乏必要的技術(shù)防范

信息管理系統(tǒng)的安全有賴于數(shù)據(jù)庫(kù)的安全運(yùn)行和數(shù)據(jù)的完整，而由于醫(yī)院在實(shí)際的信息管理系統(tǒng)使用過(guò)程中缺少必要的相關(guān)技術(shù)人員，加上懈怠疏忽的工作態(tài)度作祟，缺乏對(duì)重要數(shù)據(jù)的備份保存的工作習(xí)慣，使得醫(yī)院的信息管理系統(tǒng)在受到外界惡意攻擊或由于自身工作人員錯(cuò)誤操作時(shí)，就會(huì)造成大量的數(shù)據(jù)流失，甚至導(dǎo)致醫(yī)醫(yī)療機(jī)構(gòu)的信息管理系統(tǒng)癱瘓。這樣不僅使院方蒙受一定程度的經(jīng)濟(jì)損失，由于有關(guān)病患個(gè)人信息的數(shù)據(jù)的泄露和醫(yī)院就診日常工作效率的降低，最終也會(huì)導(dǎo)致醫(yī)院公信力的下降。

3、保障醫(yī)院信息管理系統(tǒng)安全運(yùn)行的措施

3.1強(qiáng)化加強(qiáng)對(duì)醫(yī)院信息系統(tǒng)的數(shù)據(jù)備份和安全審計(jì)

數(shù)據(jù)對(duì)整個(gè)信息管理系統(tǒng)的重要性不言而喻，為了降低因?yàn)樾畔⑾到y(tǒng)突發(fā)故障或者遭受惡意供給而帶來(lái)的數(shù)據(jù)丟失現(xiàn)象的出現(xiàn)，醫(yī)院要適時(shí)的對(duì)管理信息系統(tǒng)內(nèi)部的數(shù)據(jù)建立完備的備份和恢復(fù)方案。以能夠在最短時(shí)間內(nèi)應(yīng)對(duì)由不明外力而造成服務(wù)器癱瘓和相關(guān)數(shù)據(jù)丟失，將不良安全隱患帶來(lái)的影響降到最低。在提升信息管理系統(tǒng)化軟件穩(wěn)定性的同時(shí)，可以考慮二次備份數(shù)據(jù)庫(kù)的做法。同時(shí)，可以考慮定期對(duì)醫(yī)院信息管理系統(tǒng)進(jìn)行數(shù)據(jù)庫(kù)的網(wǎng)絡(luò)安全審計(jì)與日志分析，從動(dòng)態(tài)角度掌握信息管理系統(tǒng)的實(shí)際運(yùn)行狀態(tài)，可以對(duì)追蹤網(wǎng)路惡意攻擊和恢復(fù)系統(tǒng)數(shù)據(jù)提供條件。

3.2制定保障醫(yī)院信息系統(tǒng)安全運(yùn)行的預(yù)案

首先，要強(qiáng)化醫(yī)療機(jī)構(gòu)內(nèi)部工作人員的信息系統(tǒng)安全意識(shí)，因?yàn)檫@些人是操作信息系統(tǒng)的主體。相關(guān)部門要制定必要的安全規(guī)范章程和操作流程標(biāo)準(zhǔn)，例如要求相關(guān)系統(tǒng)的操作指令要達(dá)到的安全保護(hù)程度和使用權(quán)限，都要做出明確的規(guī)定，從源頭上降低由主觀失誤造成的安全隱患。并通過(guò)日常的信息系統(tǒng)安全培訓(xùn)學(xué)習(xí)使工作人員形成良好的操作習(xí)慣。其次，包括對(duì)醫(yī)院信息系統(tǒng)有關(guān)的硬件、軟件等存在的隱性安全風(fēng)險(xiǎn)和潛在故障的應(yīng)急措施都應(yīng)該列入安全預(yù)案之中，包括出現(xiàn)問(wèn)題后應(yīng)該由哪些具體的部門來(lái)處理，大到部門機(jī)構(gòu)，小到具體的負(fù)責(zé)人員都要做好明確的分工并予以公示，一旦特殊情況出現(xiàn)可以在第一時(shí)間將損失降到最低。最后，要根據(jù)醫(yī)院信息管理系統(tǒng)安全隱患的等級(jí)劃分應(yīng)對(duì)預(yù)案，并可以通過(guò)設(shè)定緊急系統(tǒng)安全狀況處理預(yù)案和常規(guī)系統(tǒng)安全狀況處理預(yù)案的方式，提升醫(yī)療機(jī)構(gòu)應(yīng)對(duì)信息管理系統(tǒng)安全問(wèn)題和維穩(wěn)就醫(yī)秩序的能力。

3.3實(shí)施醫(yī)院信息管理系統(tǒng)的流程再造

篇3

關(guān)鍵詞：醫(yī)院 信息系統(tǒng) 安全

中圖分類號(hào)：R197.3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1003-9082 （2017） 04-0222-01

在醫(yī)院信息系統(tǒng)建設(shè)中，信息安全為一種重要組成部分。醫(yī)院信息系統(tǒng)的安全性主要涉及備份方案的可靠性、網(wǎng)絡(luò)安全、計(jì)算機(jī)病毒防治等。信息系統(tǒng)一旦出現(xiàn)安全問(wèn)題，會(huì)對(duì)醫(yī)院工作效率、工作質(zhì)量產(chǎn)生嚴(yán)重影響。因此，加強(qiáng)對(duì)醫(yī)院信息系統(tǒng)安全實(shí)施科學(xué)管理，對(duì)醫(yī)療機(jī)構(gòu)相關(guān)醫(yī)療服務(wù)工作開展效率及質(zhì)量的保證及提高均具有重要價(jià)值[1]。本文主要以新形勢(shì)下醫(yī)院在信息安全方面所面臨的挑戰(zhàn)作為切入點(diǎn)，對(duì)醫(yī)院信息安全有效防治措施進(jìn)行深入研究，旨在為醫(yī)院信息系統(tǒng)安全性提供更多保障。

一、新形勢(shì)下醫(yī)院信息系統(tǒng)安全面臨挑戰(zhàn)

1.信息安全管理策略、責(zé)任缺乏明確性

目前，多數(shù)醫(yī)院在實(shí)施信息安全管理過(guò)程中，未能制定符合醫(yī)院實(shí)際情況的安全管理措施、規(guī)劃，或未能及時(shí)對(duì)管理策略進(jìn)行修改。同時(shí)，醫(yī)院領(lǐng)導(dǎo)對(duì)信息安全管理重視程度不夠，未能及時(shí)發(fā)現(xiàn)存在的安全隱患，未能實(shí)施預(yù)見(jiàn)性、針對(duì)性風(fēng)險(xiǎn)評(píng)估和防范。這導(dǎo)致醫(yī)院信息安全管理缺乏有效、科學(xué)的防治措施，管理責(zé)任含糊不清，安全防控效果差。

2.系統(tǒng)數(shù)據(jù)存在安全隱患，信息安全事件頻發(fā)

目前，多數(shù)醫(yī)院在實(shí)施網(wǎng)絡(luò)安全建設(shè)過(guò)程中所選用的安全產(chǎn)品還缺乏聯(lián)動(dòng)，部署存在不均衡性，安全信息未能得到有效挖掘，縱深安全防護(hù)未能形成，防護(hù)效果較低[2]。同時(shí)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展速度的不斷加快，計(jì)算機(jī)系統(tǒng)漏洞、病毒泛濫等網(wǎng)絡(luò)安全問(wèn)題頻發(fā)。醫(yī)院網(wǎng)絡(luò)因未能形成有效的安全防護(hù)，用戶終端未能及時(shí)實(shí)施系統(tǒng)升級(jí)、漏洞修補(bǔ)、病毒查殺等，這均為網(wǎng)絡(luò)信息系統(tǒng)安全埋下隱患，對(duì)醫(yī)院信息安全造成巨大威脅。保證用戶端的安全，通過(guò)用戶端對(duì)威脅入侵網(wǎng)絡(luò)進(jìn)行阻止，對(duì)訪問(wèn)網(wǎng)絡(luò)實(shí)施嚴(yán)格控制，為保證醫(yī)院網(wǎng)絡(luò)安全和信息安全的重要前提，同時(shí)也是醫(yī)院目前信息系統(tǒng)安全管理中必須要解決的一個(gè)重要問(wèn)題。

二、應(yīng)對(duì)信息安全挑戰(zhàn)措施

1.加強(qiáng)制度、隊(duì)伍等建設(shè)及完善，提升安全管理水平

首先，醫(yī)院須積極建設(shè)安全機(jī)構(gòu)，將信息系統(tǒng)安全管理責(zé)任進(jìn)行明確劃分。同時(shí)設(shè)立專門信息安全領(lǐng)導(dǎo)小組，并將小組中各個(gè)成員的安全管理職責(zé)和責(zé)任明確，并嚴(yán)格把控相關(guān)責(zé)任人管理責(zé)任的落實(shí)情況。領(lǐng)導(dǎo)小組須不定期組織開展信息系統(tǒng)安全檢查，并實(shí)施安全事件處理應(yīng)急演練。其次，加強(qiáng)管理隊(duì)伍建設(shè)，提升管理人員的安全防范意識(shí)。醫(yī)院應(yīng)積極建設(shè)一支高專業(yè)素質(zhì)和能力的安全管理隊(duì)伍，為信息系統(tǒng)能夠正常運(yùn)行提供有效保障。醫(yī)院可通過(guò)院內(nèi)培訓(xùn)、院外引進(jìn)等方式，加強(qiáng)對(duì)管理人員實(shí)施信息安全教育和培訓(xùn)，促進(jìn)其安全防范意識(shí)以及應(yīng)急處理能力得到有效提高。再次，積極建設(shè)并不斷完善安全制度，對(duì)安全管理策略進(jìn)行不斷改進(jìn)和優(yōu)化。醫(yī)院須建立一套包含網(wǎng)絡(luò)、應(yīng)用、運(yùn)行、信息安全等諸多個(gè)方面的，具有可行性和可行性的規(guī)章制度。同時(shí)，醫(yī)院以自身信息系統(tǒng)實(shí)際情況作為根據(jù)，對(duì)信息安全管理的等級(jí)、范圍進(jìn)行明確，制訂出切實(shí)可行的出入機(jī)房管理制度、網(wǎng)絡(luò)操作使用規(guī)程、網(wǎng)絡(luò)系統(tǒng)應(yīng)急措施及維護(hù)制度等，積極建立起適合自身實(shí)際情況的信息安全管理策略，提高管理有效性，保證醫(yī)院信息系統(tǒng)運(yùn)行的安全性。

2.制定規(guī)范性信息安全管理流程

首先，對(duì)信息系統(tǒng)登錄密碼實(shí)施規(guī)范化管理。單位中所使用的密碼須通過(guò)“暗文”的方式進(jìn)行保存，同時(shí)配上相應(yīng)的修改密碼記錄，定期實(shí)施密碼修改。其次，對(duì)系統(tǒng)使用權(quán)限進(jìn)行規(guī)范管理。業(yè)務(wù)軟件需要將原有用戶取消或增加新用戶時(shí)，必須要嚴(yán)格按照要求認(rèn)真填寫情況說(shuō)明表，經(jīng)所在科室負(fù)責(zé)人簽字，之后信息科才能實(shí)施用戶撤銷或新用戶添加操作，同時(shí)向新用戶分配相應(yīng)的操作權(quán)限[3]。同時(shí)，當(dāng)員工需實(shí)施統(tǒng)計(jì)、其他操作權(quán)限變更時(shí)，須按照要求填寫好說(shuō)明表，交由科室負(fù)責(zé)人簽字，然后交由相關(guān)行政科室進(jìn)行審批，獲得同意后信息科才能進(jìn)行修改。再次，對(duì)第三方訪問(wèn)進(jìn)行規(guī)范控制管理。將第三方訪問(wèn)者須將計(jì)算機(jī)的IP地址綁定于MAC地址，然后才能訪問(wèn)單位內(nèi)部網(wǎng)絡(luò)。第三方訪問(wèn)內(nèi)部網(wǎng)絡(luò)或出入信息科均須認(rèn)真填寫登記表；應(yīng)要求第三方使用信息科計(jì)算機(jī)訪問(wèn)內(nèi)部網(wǎng)絡(luò)，其不使用信息科電腦訪問(wèn)網(wǎng)絡(luò)時(shí)須填寫申請(qǐng)表格，并有信息科負(fù)責(zé)人簽字，由相關(guān)科室進(jìn)行審批，同時(shí)之后才能訪問(wèn)。

3.運(yùn)用技術(shù)加強(qiáng)信息安全管理

首先，積極強(qiáng)化冗余技術(shù)應(yīng)用。醫(yī)院的信息網(wǎng)絡(luò)運(yùn)行狀況直接關(guān)系整個(gè)醫(yī)院業(yè)務(wù)系統(tǒng)的運(yùn)行狀況，網(wǎng)絡(luò)變化、故障的出現(xiàn)均會(huì)導(dǎo)致醫(yī)院相關(guān)業(yè)務(wù)正常運(yùn)行遭受嚴(yán)重影響，甚至可導(dǎo)致業(yè)務(wù)系統(tǒng)出現(xiàn)中斷，因此，在信息安全管理過(guò)程中必須保證網(wǎng)絡(luò)運(yùn)行的可靠性進(jìn)行充分考慮。冗余技術(shù)的運(yùn)用可有效保證網(wǎng)絡(luò)運(yùn)行的可靠性。該種技術(shù)主要由處理器冗余、電源冗余、模塊冗余等技術(shù)構(gòu)成。其次，強(qiáng)化加密處理技術(shù)。為了保證信息系統(tǒng)涉及相關(guān)數(shù)據(jù)的安全性，必須建立可靠、安全的數(shù)據(jù)中心，杜絕相關(guān)安全隱患，增加數(shù)據(jù)安全等，保證患者信息及時(shí)交互得以實(shí)現(xiàn)。加強(qiáng)對(duì)信息實(shí)施加密處理，選用先進(jìn)的驅(qū)動(dòng)級(jí)加密技術(shù)、虛擬化技術(shù)等，對(duì)重要信息及文件M行加密。此外，還應(yīng)加強(qiáng)使用先進(jìn)入侵檢測(cè)技術(shù)，保證被攻擊組件及時(shí)得到識(shí)別被隔離，提高系統(tǒng)防御能力，保證信息系統(tǒng)安全。

三、結(jié)束語(yǔ)

醫(yī)院信息安全管理為一項(xiàng)具有復(fù)雜性、系統(tǒng)性的工程，為了保證信息系統(tǒng)安全、可靠性，醫(yī)院必須建立起一套健全、有效的安全管理控制及防御體系，積極應(yīng)用相關(guān)先進(jìn)技術(shù)實(shí)施安全防治工作。只有這樣才能正在保證醫(yī)院信息系統(tǒng)運(yùn)行的安全性。

參考文獻(xiàn)

[1]開拓.醫(yī)院網(wǎng)絡(luò)信息的不安全因素分析及防護(hù)措施分析[J].網(wǎng)絡(luò)空間安全，2016，16（Z1）：609-610.

篇4

關(guān)鍵詞：醫(yī)療衛(wèi)生行業(yè)；信息安全；等級(jí)保護(hù)；管理制度

1引言

隨著信息化、數(shù)字化、網(wǎng)絡(luò)化的發(fā)展，大數(shù)據(jù)和換聯(lián)網(wǎng)+也進(jìn)入了醫(yī)療衛(wèi)生行業(yè)，加快了醫(yī)院信息化的發(fā)展。隨著醫(yī)院業(yè)務(wù)的發(fā)展，醫(yī)院信息系統(tǒng)的應(yīng)用也更加廣泛，醫(yī)院對(duì)其依賴性會(huì)越來(lái)越強(qiáng)，風(fēng)險(xiǎn)也隨之會(huì)提高。但醫(yī)療服務(wù)的特殊性決定了醫(yī)院信息系統(tǒng)需要24小時(shí)不間斷運(yùn)行，這就對(duì)醫(yī)院的信息安全管理提出了更高要求。信息安全管理是指導(dǎo)和控制組織關(guān)于信息安全風(fēng)險(xiǎn)相互協(xié)調(diào)的活動(dòng)，它是了解體系安全狀態(tài)、實(shí)現(xiàn)信息安全目標(biāo)的重要關(guān)口，主要包括信息安全風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理和技術(shù)措施的控制。如何更好地進(jìn)行信息安全管理成為一個(gè)不可忽視的問(wèn)題，因此，在醫(yī)院信息化建設(shè)的同時(shí)加強(qiáng)信息安全管理建設(shè)是解決醫(yī)院信息安全問(wèn)題的必然選擇。

2我國(guó)衛(wèi)生行業(yè)信息安全管理政策

2010年原衛(wèi)生部制定的《衛(wèi)生信息化建設(shè)指導(dǎo)意見(jiàn)與發(fā)展規(guī)劃（2011-2015）》（“十二五”規(guī)劃）明確提出了我國(guó)醫(yī)療信息化發(fā)展的藍(lán)圖和發(fā)展方向“35212工程”，建設(shè)信息安全體系即是最后一個(gè)“2”中的一項(xiàng)。按照《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》（衛(wèi)辦綜函〔2011〕1126號(hào)）的要求，三級(jí)甲等醫(yī)院應(yīng)于2015年12月30日前全部完成信息安全等級(jí)保護(hù)建設(shè)整改工作，并通過(guò)等級(jí)測(cè)評(píng)。這標(biāo)志著我國(guó)衛(wèi)生行業(yè)開始通過(guò)信息安全等級(jí)保護(hù)加強(qiáng)對(duì)醫(yī)院信息安全的管理。原衛(wèi)生部、國(guó)家中醫(yī)藥管理局在2012年6月15日的《關(guān)于加強(qiáng)衛(wèi)生信息化建設(shè)的指導(dǎo)意見(jiàn)》指出，要加強(qiáng)衛(wèi)生信息安全保障體系建設(shè)，落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度。國(guó)家衛(wèi)生計(jì)生委規(guī)劃信息司在2014中國(guó)健康大會(huì)上也指出，醫(yī)療衛(wèi)生信息化是國(guó)家信息化發(fā)展的重點(diǎn)，已納入“十三五”國(guó)家網(wǎng)絡(luò)安全和信息化建設(shè)重點(diǎn)。

3醫(yī)院信息安全管理需求

據(jù)《南方都市報(bào)》報(bào)道，2008年5月以來(lái)，香港連續(xù)爆出泄密事件：先是醫(yī)管局下屬醫(yī)院陸續(xù)發(fā)現(xiàn)患者資料遺失，共涉及1.6萬(wàn)名患者，此事立刻轟動(dòng)了全港。2010年5月23日，一張神秘的清單在網(wǎng)上曝光，其中列出了寧波市某醫(yī)院45名醫(yī)生的工號(hào)、名字和所屬科室，后面還注明了他們使用藥品氨曲南的數(shù)量和總價(jià)，雖然腐敗得到懲戒，大快人心，但所暴露的醫(yī)院的潛在威脅值得警惕。2013年7月，寧波兩家醫(yī)院掛號(hào)系統(tǒng)癱瘓事件，同樣也引起了社會(huì)各界對(duì)醫(yī)院信息系統(tǒng)安全的高度關(guān)注。2015年10月份的澳門山頂醫(yī)院最大泄密事件，患者資料隨街散落，也折射出醫(yī)療衛(wèi)生行業(yè)信息安全問(wèn)題的嚴(yán)峻性。信息化在給醫(yī)院帶來(lái)便利的同時(shí)，也帶來(lái)了醫(yī)院信息安全的隱患，上述嚴(yán)重的信息安全事件給醫(yī)院的信息安全管理敲響了警鐘。醫(yī)院信息系統(tǒng)承擔(dān)著整個(gè)醫(yī)院的內(nèi)外各項(xiàng)業(yè)務(wù)，其安全狀況直接關(guān)乎患者隱私和健康、社會(huì)秩序及穩(wěn)定等。加強(qiáng)信息安全、消除信息安全隱患，已經(jīng)成為醫(yī)院當(dāng)前必須要面對(duì)的問(wèn)題。

4醫(yī)院信息安全管理制度的發(fā)展對(duì)策

在《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》和醫(yī)院評(píng)審的相關(guān)標(biāo)準(zhǔn)中都提到了信息管理部分，都強(qiáng)調(diào)了信息安全管理，并且都是對(duì)醫(yī)院進(jìn)行此兩方面評(píng)審時(shí)的重要的評(píng)審部分。結(jié)合這兩方面的評(píng)審要求，可以分別從安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)安全管理、系統(tǒng)運(yùn)行安全管理五個(gè)方面，對(duì)醫(yī)院信息安全進(jìn)行管理。

4.1建立完善的總體安全管理制度

醫(yī)院應(yīng)根據(jù)自身的實(shí)際情況制訂總信息安全管理制度，總信息安全管理制度是一個(gè)醫(yī)院的根本管理制度，規(guī)定醫(yī)院信息安全管理的根本任務(wù)和根本制度，是醫(yī)院信息安全工作的總體方針、總體目標(biāo)、總體原則，是其他信息安全管理制度制訂的依據(jù)和基本要求。總信息安全管理制度中應(yīng)嚴(yán)格明確制度制定與的流程、方式、范圍等，應(yīng)定期組織相關(guān)部門對(duì)安全管理制度進(jìn)行評(píng)審與修訂，以滿足醫(yī)院信息化不斷發(fā)展的需要。

4.2應(yīng)建立穩(wěn)固的安全管理機(jī)構(gòu)

醫(yī)院應(yīng)根據(jù)總體安全管理制度的基本要求設(shè)置安全管理機(jī)構(gòu)和安全管理崗位，并制定《崗位設(shè)置與職責(zé)管理制度》，應(yīng)明確“三員”（系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員）崗位與職責(zé)。醫(yī)院信息安全管理不是某一個(gè)部門的職責(zé)，而是全醫(yī)院相關(guān)部門都要參與，從自身做起，從上述某醫(yī)院的信息安全管理機(jī)構(gòu)圖來(lái)看，信息安全領(lǐng)導(dǎo)小組對(duì)醫(yī)院信息安全管理進(jìn)行定期評(píng)審，再由醫(yī)院最高領(lǐng)導(dǎo)的支持，然后直到一線的人員，每個(gè)崗位都有明解的崗位職責(zé)，達(dá)到穩(wěn)固的管理，責(zé)任到人，能滿足醫(yī)院信息化不斷發(fā)展的需要。

4.3配備專業(yè)的信息化人員，制定完善的員工信息安全管理制度

醫(yī)院人事主管部門，應(yīng)針對(duì)醫(yī)院的實(shí)際情況例如可制定《人員錄用制度》、《人員離崗制度》、《人員考核制度》、《安全教育和培訓(xùn)制度》、《外部人員參觀訪問(wèn)制度》等人員工信息安全管理制度。在人員錄用方面應(yīng)按照制度流程對(duì)被錄用人員進(jìn)行資格審查，對(duì)于在醫(yī)院從事關(guān)鍵崗位的人員應(yīng)當(dāng)簽署保密協(xié)議等，在離職時(shí)應(yīng)按照制度流程辦理離職手續(xù)，例如應(yīng)回收醫(yī)院發(fā)放的各種身份證件、鑰匙、秘鑰并注銷一切其所擁有的信息系統(tǒng)賬號(hào)等；在人員考核方面應(yīng)定期對(duì)各個(gè)崗位的人員進(jìn)行信息安全技術(shù)及信息安全認(rèn)知的考核，確保在崗人員都有維護(hù)醫(yī)院信息安全的義務(wù)；在人員的安全教育和培訓(xùn)方面，應(yīng)對(duì)各類人員定期進(jìn)行信息安全教育和培訓(xùn)，提高其安全意識(shí)，明確責(zé)任和獎(jiǎng)懲措施；在外部人員來(lái)醫(yī)院參觀訪問(wèn)方面，應(yīng)用按照制度進(jìn)行授權(quán)和審批，確保醫(yī)院運(yùn)行安全。

4.4完善醫(yī)院各類信息系統(tǒng)的建設(shè)，制定切實(shí)可行的信息系統(tǒng)安全管理制度

信息化數(shù)字化醫(yī)院建設(shè)只有起點(diǎn)沒(méi)有終點(diǎn)，醫(yī)院在各類信息系統(tǒng)建設(shè)方面應(yīng)根據(jù)自身的實(shí)際情況，制定完善可行的信息系統(tǒng)建設(shè)規(guī)章，可保障醫(yī)院相關(guān)部門在信息系統(tǒng)建設(shè)過(guò)程有據(jù)可依、有規(guī)可循。例如醫(yī)院可制定如下關(guān)于醫(yī)院信息系統(tǒng)建設(shè)的管理制度：《醫(yī)院信息系統(tǒng)定級(jí)管理制度》、《醫(yī)院信息系統(tǒng)安全方案設(shè)計(jì)管理制度》、《醫(yī)院信息系統(tǒng)產(chǎn)品采購(gòu)和使用制度》、《醫(yī)院信息系統(tǒng)自行軟件開發(fā)制度》、《醫(yī)院信息系統(tǒng)外包軟件開發(fā)制度》、《醫(yī)院信息系統(tǒng)工程實(shí)施管理制度》、《醫(yī)院信息系統(tǒng)測(cè)試驗(yàn)收管理制度》、《醫(yī)院信息系統(tǒng)交付管理制度》等。

4.5制定切實(shí)可行的醫(yī)院各類信息系統(tǒng)運(yùn)行管理制度，滿足醫(yī)院各類業(yè)務(wù)的適時(shí)訪問(wèn)需求

醫(yī)院各類信息系統(tǒng)建設(shè)的目的是為了更好地滿足各類業(yè)務(wù)的需求，保障建設(shè)好的各類信息系統(tǒng)更好的運(yùn)行。醫(yī)院信息系統(tǒng)管理者應(yīng)從管理方面制定切實(shí)可行的管理制度，同時(shí)針對(duì)不同的醫(yī)院使用人員，制定不同的使用操作手冊(cè)，讓醫(yī)院的使用者達(dá)到規(guī)范操作，這樣可以大大減少人為誤操作導(dǎo)致的系統(tǒng)故障，方便運(yùn)維人員對(duì)系統(tǒng)的維護(hù)。例如醫(yī)院可根據(jù)信息系統(tǒng)的實(shí)際情況制定如下運(yùn)行管理制度：《醫(yī)院信息系統(tǒng)環(huán)境管理制度》、《醫(yī)院信息系統(tǒng)資產(chǎn)管理制度》、《醫(yī)院信息化介質(zhì)管理制度》、《設(shè)備管理制度》、《醫(yī)院網(wǎng)絡(luò)安全管理制度》、《醫(yī)院信息系統(tǒng)安全管理制度》、《醫(yī)院惡意代碼防范管理制度》、《醫(yī)院信息系統(tǒng)密碼管理制度》、《醫(yī)院信息系統(tǒng)備份與恢復(fù)管理制度》、《醫(yī)院信息系統(tǒng)安全事件處置制度》、《醫(yī)院信息系統(tǒng)應(yīng)急預(yù)案管理制度》等。

5總結(jié)

信息化、數(shù)字化醫(yī)院建設(shè)只有起點(diǎn)沒(méi)有終點(diǎn)，醫(yī)院信息系統(tǒng)安全伴隨著信息化數(shù)字化醫(yī)院建設(shè)同樣沒(méi)有終點(diǎn)。醫(yī)院需要高度重視信息安全管理，制定一套切實(shí)可行的信息安全管理制度和措施，才能更好地保證醫(yī)院信息系統(tǒng)安全、高效、穩(wěn)定的運(yùn)行。

參考文獻(xiàn)：

[1]蔡文濤.淺談醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全[J].中國(guó)現(xiàn)代醫(yī)生,2009(32):116-117.

[2]李剛.醫(yī)院信息系統(tǒng)安全管理問(wèn)題淺析[J].中國(guó)管理信息化,2013(1):39.

[3]楊棟,劉立輝,任志剛.醫(yī)院信息安全管理與措施[J].中國(guó)醫(yī)療設(shè)備,2011,26(6):70-72.

篇5

1 引言

 

隨著醫(yī)院的發(fā)展和信息化的進(jìn)步，信息系統(tǒng)滲透到醫(yī)院的各個(gè)角落。醫(yī)院的醫(yī)療業(yè)務(wù)、教學(xué)、研究對(duì)信息系統(tǒng)的依賴性是不容置疑的。醫(yī)院的信息安全不僅是保證醫(yī)院有效秩序的前提 ，還是保障醫(yī)院的財(cái)務(wù)管理等方面巨大的支撐，并且安全的醫(yī)療信息數(shù)據(jù)才能夠有效地提高病人的治療效果、維護(hù)病人的權(quán)益。因此加強(qiáng)管理和監(jiān)控，加強(qiáng)醫(yī)院有關(guān)信息安全系統(tǒng)方面的建設(shè) ，是醫(yī)院良好有序發(fā)展的前提以及客觀要求[1]。因此對(duì)信息安全的認(rèn)識(shí)從方方面面都得到了前所未有的重視。作為走在信息安全研究前列的大國(guó)，美、俄、日等國(guó)家都已制定自己的信息安全發(fā)展戰(zhàn)略和計(jì)劃，確保信息安全沿著正確的方向發(fā)展。2000年初美國(guó)出臺(tái)了電腦空間安全計(jì)劃，旨在加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施、計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)免受威脅的防御能力。2000年7月日本信息技術(shù)戰(zhàn)略本部及信息安全會(huì)擬定了信息安全指導(dǎo)方針。2000年9月俄羅斯批準(zhǔn)了《國(guó)家信息安全構(gòu)想》，明確了保護(hù)信息安全的措施。

 

我國(guó)對(duì)信息安全研究起步較晚，目前已初步建成了國(guó)家信息安全組織保障體系[2]。我國(guó)在1994年頒布了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。在以后的十幾年中，國(guó)家又出臺(tái)了多個(gè)法律、法規(guī)，對(duì)信息安全等級(jí)保護(hù)的具體內(nèi)容、職責(zé)和工作方法做了具體的規(guī)定。在2007年公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室出臺(tái)了《信息安全等級(jí)保護(hù)管理辦法》。首都醫(yī)科大學(xué)附屬醫(yī)院北京婦產(chǎn)醫(yī)院(以下簡(jiǎn)稱“北京婦產(chǎn)醫(yī)院”)正是借著《信息安全等級(jí)保護(hù)管理辦法》的實(shí)行，促進(jìn)了院信息安全工作的發(fā)展，提高了信息安全的水平。從2007年到今天，院信息安全等級(jí)保護(hù)工作已經(jīng)走到了第十個(gè)年頭。這十年信息安全建設(shè)大約分為兩個(gè)階段。

 

2 第一階段：夯實(shí)制度基礎(chǔ)，加強(qiáng)邊界防護(hù)

 

北京婦產(chǎn)醫(yī)院于2007年10月根據(jù)《信息安全等級(jí)保護(hù)管理辦法》的要求和醫(yī)院的實(shí)際情況，把醫(yī)院的核心系統(tǒng)HIS和LIS系統(tǒng)定為二級(jí)系統(tǒng)。在隨后的幾年中嚴(yán)格按照等級(jí)保護(hù)二級(jí)系統(tǒng)的規(guī)范進(jìn)行建設(shè)。

 

2.1 制定和完善制度，促進(jìn)安全管理

 

任何技術(shù)都只是手段，而人是最重要的因素，能把兩者有效的、高效的結(jié)合在一起的是管理。管理又是通過(guò)制度實(shí)現(xiàn)的。參照等級(jí)保護(hù)的要求，增加制定了網(wǎng)絡(luò)安全管理制度、計(jì)算機(jī)病毒防治管理制度、業(yè)務(wù)網(wǎng)絡(luò)安全管理規(guī)定、信息安全數(shù)據(jù)使用授權(quán)制度和重大信息安全事件報(bào)告制度等制度，基本做到了制度完備。通過(guò)信息安全管理相關(guān)規(guī)范的制訂與，確立信息安全方針，對(duì)信息安全管理體系文檔的制訂、、修訂、評(píng)審進(jìn)行約定，以保證信息安全管理規(guī)范文檔的嚴(yán)肅性。通過(guò)制訂全院統(tǒng)一的信息安全策略，有效指導(dǎo)信息安全管理與技術(shù)工作的開展，為全院建立了統(tǒng)一的信息安全策略標(biāo)準(zhǔn)。

 

2.2 提高信息安全意識(shí)

 

在領(lǐng)導(dǎo)層面，北京婦產(chǎn)醫(yī)院建立了醫(yī)院信息系統(tǒng)安全領(lǐng)導(dǎo)小組，明確信息安全工作由院長(zhǎng)負(fù)責(zé)，成員包括信息科、院辦、醫(yī)務(wù)科等相關(guān)科室領(lǐng)導(dǎo)。在基層層面，根據(jù)技術(shù)專長(zhǎng)和日常工作把工作人員安排為信息安全管理員、安全審計(jì)員、系統(tǒng)管理員等。這樣不僅使每個(gè)人了解信息安全，還要負(fù)責(zé)信息安全的事，同時(shí)也讓工作人員時(shí)時(shí)刻刻有信息安全的意識(shí)，還把信息安全內(nèi)容納入到每年進(jìn)修人員和新入職人員培訓(xùn)日程之中。

 

2.3 加強(qiáng)中心機(jī)房的安全建設(shè)和管理

 

北京婦產(chǎn)醫(yī)院參照《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》進(jìn)行信息化基礎(chǔ)設(shè)施建設(shè)。中心機(jī)房配置門禁系統(tǒng)，機(jī)房出入口安排專人值守，控制、鑒別和記錄進(jìn)入的人員。外來(lái)人員進(jìn)出機(jī)房須獲得機(jī)房管理員的授權(quán)，對(duì)人員及設(shè)備進(jìn)出情況進(jìn)行記錄。中心機(jī)房?jī)?nèi)服務(wù)器、網(wǎng)絡(luò)設(shè)備均安置在機(jī)柜內(nèi)并固定，對(duì)設(shè)備與走線進(jìn)行了標(biāo)識(shí)。中心機(jī)房設(shè)置防盜報(bào)警系統(tǒng)、視頻監(jiān)控系統(tǒng)、自動(dòng)消防系統(tǒng)、空調(diào)周圍安裝漏水檢測(cè)報(bào)警系統(tǒng)等物理安全設(shè)備。目前中心機(jī)房物理環(huán)境基本達(dá)到了等級(jí)保護(hù)三級(jí)系統(tǒng)所要求的物理環(huán)境，物理安全防護(hù)措施相對(duì)完善。

 

2.4 部署了基線網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)

 

此系統(tǒng)能夠通過(guò)SNMP協(xié)議獲得被監(jiān)控網(wǎng)絡(luò)設(shè)備、服務(wù)器、通訊線路、網(wǎng)段、應(yīng)用等有關(guān)信息，包括系統(tǒng)信息、網(wǎng)絡(luò)連接、TCP連接、程序運(yùn)行、 ARP表、路由表以及CPU負(fù)荷等。網(wǎng)絡(luò)管理員可以通過(guò)此系統(tǒng)對(duì)全網(wǎng)絡(luò)可以實(shí)時(shí)的監(jiān)控。此系統(tǒng)還可以對(duì)IP地址的全局使用情況有一個(gè)清晰準(zhǔn)確的統(tǒng)計(jì)，對(duì)于 IP地址使用的管理、分配都可以起到很好的輔助作用。

 

2.5 部署了桌面管理系統(tǒng)

 

此系統(tǒng)能夠遠(yuǎn)程維護(hù)、遠(yuǎn)程控制為網(wǎng)絡(luò)的管理、維護(hù)與故障診斷提供了全方位的平臺(tái)。在管理、維護(hù)或故障排除需要時(shí)，網(wǎng)絡(luò)管理員可以通過(guò)本功能遠(yuǎn)程登錄客戶機(jī)，當(dāng)服務(wù)器顯示客戶機(jī)桌面后，即可以對(duì)其進(jìn)行相應(yīng)的操作。通過(guò)桌面管理系統(tǒng)可以管理外部設(shè)備，我院業(yè)務(wù)網(wǎng)禁用了U盤、軟驅(qū)、光驅(qū)、UBS等各種各樣的外部存儲(chǔ)設(shè)備，減少病毒通過(guò)外部存儲(chǔ)設(shè)備進(jìn)入到業(yè)務(wù)網(wǎng)中的可能。通過(guò)桌面管理系統(tǒng)指定部分關(guān)鍵終端進(jìn)行IP地址綁定，進(jìn)一步提升了業(yè)務(wù)網(wǎng)的安全性。桌面管理系統(tǒng)還不斷地進(jìn)行更新、升級(jí)，以提升網(wǎng)絡(luò)的防護(hù)水平。

 

北京婦產(chǎn)醫(yī)院通過(guò)信息系統(tǒng)的等級(jí)保護(hù)定級(jí)工作，對(duì)醫(yī)院的信息安全狀況進(jìn)行了一次較為全面的摸底，認(rèn)識(shí)到自身信息安全水平和問(wèn)題所在。針對(duì)信息安全投入了相當(dāng)?shù)牧α浚ㄟ^(guò)以上和其他措施加強(qiáng)了防篡改、防病毒、防泄密等方面的安全，提升了業(yè)務(wù)網(wǎng)的邊界防護(hù)能力，使其處于基本安全的環(huán)境中。

 

3 第二階段：持續(xù)性推進(jìn)，再上臺(tái)階

 

2007年至2012年，北京婦產(chǎn)醫(yī)院年門診量從7萬(wàn)人次增長(zhǎng)11萬(wàn)人次;年出院人次從2.5萬(wàn)人次增長(zhǎng)到約3萬(wàn)人次;病房手術(shù)人次從1.9 萬(wàn)人次增長(zhǎng)到2.5萬(wàn)人次。HIS系統(tǒng)的主要用戶醫(yī)生、護(hù)士、醫(yī)技人員也從500余個(gè)增加到約1200余個(gè)。HIS系統(tǒng)的應(yīng)用大大提高了醫(yī)院工作效率，使醫(yī)院的資源得到了更合理的優(yōu)化配置。但是同時(shí)對(duì)信息系統(tǒng)的依賴性越高，也就對(duì)信息系統(tǒng)的安全有了更高的要求。在2012年《北京地區(qū)衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作實(shí)施細(xì)則》中提出：“三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)的安全保護(hù)等級(jí)原則上不低于第三級(jí)”。針對(duì)過(guò)去的問(wèn)題和三級(jí)的要求，積極進(jìn)行整改和推動(dòng)信息安全工作，在2014年將核心系統(tǒng) - HIS系統(tǒng)原定級(jí)2級(jí)提升為3級(jí)系統(tǒng)。

 

3.1 確定保護(hù)對(duì)象及其區(qū)域邊界，打好建設(shè)基礎(chǔ)。

 

根據(jù)北京婦產(chǎn)醫(yī)院業(yè)務(wù)的發(fā)展需要，原有的內(nèi)、外網(wǎng)物理的隔離的網(wǎng)絡(luò)拓?fù)鋵㈦S著區(qū)域衛(wèi)生平臺(tái)、網(wǎng)上預(yù)約掛號(hào)等業(yè)務(wù)的推進(jìn)而發(fā)生結(jié)構(gòu)性的改變。如圖1所示。

 

因此，醫(yī)院原有相對(duì)獨(dú)立的業(yè)務(wù)網(wǎng)將會(huì)受到來(lái)自互聯(lián)網(wǎng)以及其他第三方網(wǎng)絡(luò)威脅源的攻擊。北京婦產(chǎn)醫(yī)院與時(shí)俱進(jìn)，根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》首先確定了保護(hù)對(duì)象及其區(qū)域邊界。根據(jù)醫(yī)院信息系統(tǒng)的計(jì)算環(huán)境劃分情況，圍繞信息系統(tǒng)確定出區(qū)域邊界：

 

(1)東院業(yè)務(wù)域計(jì)算環(huán)境區(qū)域邊界;

 

(2)西院業(yè)務(wù)域計(jì)算環(huán)境區(qū)域邊界;

 

(3)東院終端控制域計(jì)算環(huán)境區(qū)域邊界;

 

(4)外網(wǎng)業(yè)務(wù)應(yīng)用域計(jì)算環(huán)境區(qū)域邊界;

 

(5)內(nèi)網(wǎng)數(shù)據(jù)交換前置域計(jì)算環(huán)境區(qū)域邊界;

 

(6)外網(wǎng)無(wú)線網(wǎng)絡(luò)域邊界;

 

(7)安全管理域計(jì)算環(huán)境區(qū)域邊界;

 

(8)內(nèi)網(wǎng)辦公終端域計(jì)算環(huán)境區(qū)域邊界;

 

(9)外網(wǎng)辦公終端域計(jì)算環(huán)境區(qū)域邊界。

 

保護(hù)對(duì)象及其區(qū)域邊界的確定，為以后的計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等安全保護(hù)設(shè)計(jì)和實(shí)施奠定了堅(jiān)實(shí)地基礎(chǔ)。

 

3.2 完善日常安全管理，切實(shí)落實(shí)安全制度

 

北京婦產(chǎn)醫(yī)院以前更多地關(guān)注技術(shù)的提升，有了等級(jí)保護(hù)要求之后，使得大家能全方位來(lái)看待信息安全。從安全管理平臺(tái)角度來(lái)看，技術(shù)安全和管理安全同等重要，而在實(shí)際工作中，網(wǎng)絡(luò)維護(hù)人員常常忽視管理層面的安全防護(hù)，如安全制度的建立和長(zhǎng)期執(zhí)行，機(jī)房登記制度等[3]。

 

北京婦產(chǎn)醫(yī)院的信息安全制度根據(jù)實(shí)際情況進(jìn)行不定期修改，使其具有科學(xué)性和可操作性。為保證信息安全制度及各種安全管理手段與技術(shù)的落實(shí)，信息科制定了完善的巡檢制度。巡檢人員按規(guī)定時(shí)間、內(nèi)容及技術(shù)路線對(duì)設(shè)備進(jìn)行巡回檢查，巡檢的內(nèi)容涵蓋了全院。硬件包括中心機(jī)房的服務(wù)器、交換機(jī);門診大廳的自助打印機(jī)、排號(hào)機(jī);中心機(jī)房和各個(gè)樓層設(shè)備間的環(huán)境監(jiān)控和消防等，軟件包括數(shù)據(jù)庫(kù)監(jiān)控、病毒監(jiān)控和移動(dòng)存儲(chǔ)設(shè)備的監(jiān)控;磁盤空間容量、系統(tǒng)運(yùn)行情況等。巡檢人員每日巡檢項(xiàng)目11大類504小項(xiàng)，巡檢內(nèi)容還要及時(shí)向上級(jí)進(jìn)行反饋，以保證各種安全隱患的得到及時(shí)處理。同時(shí)還記錄每天的程序改動(dòng)、軟件問(wèn)題等信息，便于事后追溯。

 

3.3 提高數(shù)據(jù)備份與恢復(fù)能力，降低安全事件帶來(lái)影響和損失

 

北京婦產(chǎn)醫(yī)院原有利用東、西兩院區(qū)各自獨(dú)立的機(jī)房，采用了后臺(tái)磁盤陣列之間的遠(yuǎn)程鏡像技術(shù)，實(shí)現(xiàn)東、西兩院區(qū)數(shù)據(jù)同步和遠(yuǎn)程容災(zāi)。通過(guò)存儲(chǔ)在不同存儲(chǔ)設(shè)施上的鏡像數(shù)據(jù)，可以實(shí)現(xiàn)醫(yī)院內(nèi)部關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份與快速恢復(fù)。醫(yī)院對(duì)數(shù)據(jù)保護(hù)的方式主要是采用雙機(jī)高可用和備份系統(tǒng)。但是，雙機(jī)熱備系統(tǒng)也只能避免由于網(wǎng)絡(luò)故障、服務(wù)器故障、物理硬盤故障造成的系統(tǒng)停機(jī)問(wèn)題，如果應(yīng)用數(shù)據(jù)受到病毒感染、人為誤刪除、黑客攻擊、甚至是共享磁盤陣列故障，應(yīng)用系統(tǒng)也是無(wú)法運(yùn)行的。

 

隨著等保工作和信息化建設(shè)的推進(jìn)，醫(yī)院又配置了CDP保護(hù)設(shè)備，實(shí)現(xiàn)重要數(shù)據(jù)實(shí)時(shí)保護(hù);1-3分鐘內(nèi)找回丟失的數(shù)據(jù)，同時(shí)可以恢復(fù)到毫秒級(jí)的數(shù)據(jù)版本狀態(tài)，保障核心業(yè)務(wù)數(shù)據(jù)的完整性、一致性、可用性，從而保證核心業(yè)務(wù)系統(tǒng)正常、穩(wěn)定、連續(xù)運(yùn)行;數(shù)據(jù)恢復(fù)過(guò)程簡(jiǎn)單方便;后端重建系統(tǒng)，無(wú)停機(jī)時(shí)間;僅復(fù)制上次復(fù)制后已更改的增量數(shù)據(jù)，進(jìn)行有效的系統(tǒng)及數(shù)據(jù)備份;大大縮短恢復(fù)過(guò)程，從而減少停機(jī)時(shí)間并保持生產(chǎn)力;如果出現(xiàn)應(yīng)用程序故障或硬盤崩潰，可以可靠地捕捉啟動(dòng)應(yīng)用程序服務(wù)器所需的數(shù)據(jù)。CDP設(shè)備部署如2圖所示。

 

CDP設(shè)備不僅能夠輕而易舉的實(shí)現(xiàn)本地的應(yīng)用系統(tǒng)保護(hù)和恢復(fù)，而且能夠很輕松的將保護(hù)延伸到遠(yuǎn)程，建立起更為強(qiáng)大的異地容災(zāi)系統(tǒng)。

 

4 結(jié)束語(yǔ)

 

信息安全是動(dòng)態(tài)的，隨著技術(shù)的發(fā)展而變化。信息安全防護(hù)沒(méi)有完全單一而又絕對(duì)保險(xiǎn)的安全措施[4]。如果墨守成規(guī)，止步不前，必然會(huì)影響信息安全的整體水平。每年按照等級(jí)保護(hù)的要求進(jìn)行自查，可以讓醫(yī)院查缺補(bǔ)漏，對(duì)醫(yī)院的信息安全是很好的督促。醫(yī)院在等級(jí)保護(hù)制度的指導(dǎo)下，持續(xù)性的推進(jìn)信息安全工作，必然會(huì)明顯地降低信息安全的風(fēng)險(xiǎn)。等級(jí)保護(hù)制度還促進(jìn)了衛(wèi)生行業(yè)信息安全建設(shè)的標(biāo)準(zhǔn)化和規(guī)范化。我們有理由認(rèn)為信息安全等級(jí)保護(hù)制度對(duì)醫(yī)院信息安全的建設(shè)、管理等方方面面都有極大的促進(jìn)作用。