當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 領(lǐng)域應(yīng)用 > 醫(yī)院管理OA系統(tǒng) > 醫(yī)院信息管理系統(tǒng)下載
醫(yī)院的信息安全分析及防護(hù)措施
1.1物理環(huán)境安全分析
信息中心機(jī)房安全對醫(yī)院信息系統(tǒng)異常重要,它是承載整個(gè)信息系統(tǒng)的基礎(chǔ)條件,直接影響信息系統(tǒng)能否正常工作。同時(shí),中心機(jī)房工作環(huán)境影響設(shè)備能否長期正常工作。根據(jù)調(diào)查,機(jī)房環(huán)境溫度每上升1度,計(jì)算機(jī)系統(tǒng)壽命減少一半;機(jī)房濕度低容易產(chǎn)生靜電,大量靜電容易損壞電路芯片,濕度太高容易腐蝕元器件等。從信息系統(tǒng)安全等級保護(hù)要求來看,物理環(huán)境安全分為設(shè)備物理安全、環(huán)境物理安全、系統(tǒng)物理安全三大方面。其中,設(shè)備物理安全主要包括靜電放電、電磁輻射騷擾、電源適應(yīng)能力等21項(xiàng)具體要求;物理環(huán)境安全主要包括場地選擇、機(jī)房防火、機(jī)房屏蔽、供電系統(tǒng)、溫濕度控制等19項(xiàng)具體要求;系統(tǒng)物理安全主要包括:災(zāi)難備份與恢復(fù)、防止非法設(shè)備接入、防止設(shè)備非法外聯(lián)等6項(xiàng)具體要求。
1.2網(wǎng)絡(luò)安全分析
在醫(yī)療行業(yè)中大家對網(wǎng)絡(luò)安全普遍的認(rèn)識是以防火墻加防病毒來進(jìn)行網(wǎng)絡(luò)安全防護(hù),但事實(shí)上網(wǎng)絡(luò)安全問題涉及的內(nèi)容很多。隨著醫(yī)院網(wǎng)絡(luò)整體應(yīng)用規(guī)模的不斷擴(kuò)大,大規(guī)模DOS侵入、黑客攻擊、蠕蟲病毒、外來工作人員等因素導(dǎo)致網(wǎng)絡(luò)安全環(huán)境日益惡化,現(xiàn)有安全技術(shù)手段逐漸暴露出安全防護(hù)力度不夠,強(qiáng)度不高等問題,由于網(wǎng)絡(luò)安全引發(fā)重要數(shù)據(jù)的丟失、破壞,將造成難以彌補(bǔ)的損失,嚴(yán)重影響到醫(yī)院網(wǎng)絡(luò)的正常運(yùn)行。從等級保護(hù)要求方面,網(wǎng)絡(luò)安全應(yīng)該從身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計(jì)、可行路徑、防抵賴等11個(gè)方面的進(jìn)行安全防護(hù)建設(shè)和防護(hù)。
1.3主機(jī)安全分析
主機(jī)是醫(yī)院信息系統(tǒng)的主要承載硬件設(shè)備,其安全性不言而喻,主機(jī)安全主要涉及:身份鑒別、訪問控制、審計(jì)安全、入侵防范、資源控制等。影響主機(jī)安全的主要因素來源于兩方面:一方面是針對操作系統(tǒng)的后門、木馬與病毒攻擊、黑客攻擊、信息篡改、信息泄露、拒絕服務(wù)攻擊等方面;另一方面是針對數(shù)據(jù)庫的審計(jì)記錄不足、拒絕服務(wù)、數(shù)據(jù)庫通訊協(xié)議泄露、身份驗(yàn)證問題等方面。
1.4數(shù)據(jù)安全分析
數(shù)據(jù)庫是醫(yī)院信息系統(tǒng)數(shù)據(jù)存儲的核心,從某種意義上說,醫(yī)療數(shù)據(jù)安全是醫(yī)院信息安全的最主要防護(hù)重點(diǎn),是整個(gè)安全防護(hù)的最重要核心。數(shù)據(jù)涉及到信息覆蓋面廣,數(shù)據(jù)量大,信息種類繁多,要保持每天24小時(shí)不間斷運(yùn)行,一旦數(shù)據(jù)破壞或丟失,都會(huì)給醫(yī)院造成不可估量的損失。
1.5應(yīng)用安全分析
眾所周知,我國信息安全采用信息安全等級保護(hù)制度,按照應(yīng)用系統(tǒng)的安全等級進(jìn)行劃分,應(yīng)用系統(tǒng)是等級保護(hù)的核心,所處的IT環(huán)境包括主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)傳輸、物理等,這些因素從客觀上增加了應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)是必然存在的。應(yīng)用系統(tǒng)從自身架構(gòu)上基本包含數(shù)據(jù)采集、數(shù)據(jù)處理與匯總分析、人機(jī)界面以及各層之間的API接口,這些組成部分從主觀上增加了應(yīng)用系統(tǒng)本身的安全風(fēng)險(xiǎn),而應(yīng)用系統(tǒng)本身安全又包括應(yīng)用系統(tǒng)架構(gòu)設(shè)計(jì)安全、模塊間數(shù)據(jù)通訊安全、數(shù)據(jù)存儲安全設(shè)計(jì)、訪問控制、身份認(rèn)證等主要方面,因此每個(gè)層面都需要在系統(tǒng)設(shè)計(jì)時(shí)進(jìn)行安全考慮和設(shè)計(jì)。
2醫(yī)院信息安全防護(hù)措施
2.1加強(qiáng)安全意識教育
人是信息安全環(huán)節(jié)中最重要的因素,既是信息安全最大的防護(hù)者,也是信息安全問題的制造者。不僅要加強(qiáng)醫(yī)務(wù)人員和信息管理人員自身的信息安全教育,同時(shí)也要提高信息安全意識。要做到思想上認(rèn)識到信息安全工作的重要性,進(jìn)一步確立信息化條件下醫(yī)院信息安全防護(hù)的指導(dǎo)思想。通過開展信息安全教育,把人員思想與單位制定的信息安全標(biāo)準(zhǔn)、規(guī)范、制度等緊密結(jié)合,高度統(tǒng)一。建立健全信息安全教育相關(guān)培訓(xùn)制度和機(jī)制。
2.2建立完善的安全管理體系
加強(qiáng)醫(yī)院信息系統(tǒng)安全防護(hù)制度建設(shè)、加強(qiáng)和建立技術(shù)防護(hù)規(guī)劃和體系建設(shè)、建立人員安全防護(hù)體系、建立資產(chǎn)管理體系。形成制度、技術(shù)、人員管理和資產(chǎn)管理相結(jié)合的立體安全防護(hù)體系。信息安全工作要根據(jù)醫(yī)療行業(yè)、軍隊(duì)、國家的相關(guān)信息安全要求,從信息安全工作的宏觀出發(fā),著手微觀。宏觀上要制定總體方針和安全策略,建立起整套的信息安全管理機(jī)構(gòu)。微觀上要制定信息安全管理機(jī)構(gòu)的工作目標(biāo)、工作的邊界、工作的原則、建立信息系統(tǒng)安全域以及信息系統(tǒng)的安全框架。
完善安全管理活動(dòng)中的各類安全防護(hù)標(biāo)準(zhǔn)、制度、規(guī)范以及工作流程。應(yīng)設(shè)立專門的安全崗位并確定職責(zé),應(yīng)成立指導(dǎo)和管理信息安全工作的領(lǐng)導(dǎo)小組,其最高領(lǐng)導(dǎo)由單位主管領(lǐng)導(dǎo)委任或者授權(quán)。同時(shí),應(yīng)根據(jù)國家和行業(yè)的信息安全要求,例如:信息安全等級保護(hù)、風(fēng)險(xiǎn)評估等建立起適合本醫(yī)院的信息安全等級保護(hù)制度基線。從應(yīng)用系統(tǒng)定級到測評和改造建立起一套行之有效、適合自身的等級保護(hù)測評制度和流程,形成完善的信息安全生命周期環(huán),使醫(yī)院信息安全建設(shè)能夠伴隨著應(yīng)用系統(tǒng)建設(shè)不斷滾動(dòng)健全。
2.3建立完善的安全技術(shù)體系
我國信息安全等級保護(hù)要求,以信息系統(tǒng)作為定級和保護(hù)對象,從物理安全、網(wǎng)絡(luò)安全等5個(gè)層面進(jìn)行了不同等級間、細(xì)顆粒度的具體要求。醫(yī)院信息系統(tǒng)按照信息安全等級保護(hù)標(biāo)準(zhǔn)進(jìn)行安全防護(hù)建設(shè),從機(jī)房和網(wǎng)絡(luò)的公共基礎(chǔ)安全防護(hù)到數(shù)據(jù)和應(yīng)用的系統(tǒng)化安全防護(hù),醫(yī)院信息系統(tǒng)安全防護(hù)主要分為以下幾個(gè)環(huán)節(jié)進(jìn)行防護(hù):
2.3.1物理防護(hù)層面
機(jī)房屬于信息安全等級保護(hù)中規(guī)定的物理部分,它承載著應(yīng)用系統(tǒng)所依賴的IT硬件環(huán)境,因此機(jī)房位置的選擇至關(guān)重要,從等級保護(hù)測評細(xì)項(xiàng)上要求機(jī)房所在樓宇需要對防震、防雨、防風(fēng)等進(jìn)行強(qiáng)度要求。同時(shí)為避免內(nèi)澇和雷擊的危險(xiǎn),機(jī)房要求避免設(shè)置在地下或者頂層。同時(shí),機(jī)房是IT資產(chǎn)的重要區(qū)域,要求相關(guān)人員進(jìn)出要有門禁控制和相應(yīng)的音視頻監(jiān)控,對出入人員進(jìn)行鑒別、控制、記錄。在物理機(jī)房防護(hù)上還應(yīng)注意防火、防盜竊和防破壞等。具體措施可根據(jù)醫(yī)院實(shí)際情況進(jìn)行整改建設(shè)。
2.3.2網(wǎng)絡(luò)防護(hù)層面
網(wǎng)絡(luò)是整個(gè)信息化工作的高速公路,承載著各種業(yè)務(wù)。目前各醫(yī)院醫(yī)療工作基本實(shí)現(xiàn)無紙化,醫(yī)療數(shù)據(jù)傳遞依靠網(wǎng)絡(luò)系統(tǒng),一套業(yè)務(wù)處理能力強(qiáng)、帶寬高且有冗余的網(wǎng)絡(luò)系統(tǒng)才能夠滿足醫(yī)療業(yè)務(wù)高峰需求。應(yīng)根據(jù)應(yīng)用需求建立網(wǎng)絡(luò)安全訪問路徑,對客戶端和核心服務(wù)器間進(jìn)行路由控制,對不同醫(yī)療部門根據(jù)工作職能、重要程度和信息敏感性等要素劃分不同的網(wǎng)段,并對不同網(wǎng)段按照重要程度劃分安全域。根據(jù)醫(yī)療業(yè)務(wù)、管理業(yè)務(wù)等系統(tǒng)進(jìn)行數(shù)據(jù)流向的訪問控制,建立端口級的細(xì)粒度控制。
應(yīng)能夠?qū)W(wǎng)絡(luò)系統(tǒng)中的流量、設(shè)備狀態(tài),用戶訪問行為進(jìn)行控制和記錄,并能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析,生成審計(jì)報(bào)表。對非授權(quán)設(shè)備私自連到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查,并確定位置,進(jìn)行有效阻斷。應(yīng)能夠在檢測到攻擊行為時(shí),記錄攻擊源IP、攻擊類型、目的、時(shí)間等,在發(fā)生嚴(yán)重入侵事件時(shí)進(jìn)行入侵報(bào)警進(jìn)行防范。同時(shí),還要在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除,做到邊界層的惡意代碼防范。
2.3.3主機(jī)安全防護(hù)層面
應(yīng)對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識和鑒別,要有防假冒和偽裝的功能,針對登錄失敗要具有結(jié)束會(huì)話、限制非法登陸次數(shù)和自動(dòng)退出等措施。應(yīng)對管理用戶進(jìn)行三權(quán)分立設(shè)置,根據(jù)管理用戶的角色分派權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離。應(yīng)能夠?qū)Ψ?wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶進(jìn)行審計(jì),進(jìn)行防抵賴等功能設(shè)計(jì),杜絕管理人員帶來的安全風(fēng)險(xiǎn),應(yīng)能對主機(jī)進(jìn)行入侵防范,在遭到攻擊時(shí)能夠記錄入侵源IP、攻擊類型等。應(yīng)對主機(jī)進(jìn)行惡意代碼防護(hù),并與網(wǎng)絡(luò)惡意代碼防護(hù)采用不同的惡意代碼庫。應(yīng)對服務(wù)器主機(jī)資源包括CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源使用情況進(jìn)行監(jiān)視。
2.3.4數(shù)據(jù)安全層面
應(yīng)能夠保證數(shù)據(jù)的完整性、保密性、可用性。對醫(yī)療數(shù)據(jù)在傳輸和存儲過程中能夠檢測到數(shù)據(jù)完整性是否受到破壞。應(yīng)對重要業(yè)務(wù)數(shù)據(jù)進(jìn)行時(shí)間小顆粒度的數(shù)據(jù)備份,同時(shí)要做到異地?cái)?shù)據(jù)備份和備份介質(zhì)場外存放。要采用冗余技術(shù)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)?,避免關(guān)鍵節(jié)點(diǎn)、數(shù)據(jù)節(jié)點(diǎn)存在單點(diǎn)故障[4].同時(shí)應(yīng)對數(shù)據(jù)所承載網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)進(jìn)行硬件冗余,保證系統(tǒng)的高可用性。
2.3.5應(yīng)用安全層面
針對醫(yī)院醫(yī)療應(yīng)用系統(tǒng)的特點(diǎn),醫(yī)療應(yīng)用系統(tǒng)應(yīng)具有身份鑒別[5],采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性,即應(yīng)用系統(tǒng)中應(yīng)提供三權(quán)分立即分權(quán)分角色的用戶身份控制模塊,以及登錄控制模塊對登錄用戶進(jìn)行身份標(biāo)識和鑒別,且提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查等功能,保證應(yīng)用系統(tǒng)中不存在重復(fù)用戶身份標(biāo)識,身份鑒別信息不被冒用。醫(yī)院醫(yī)療業(yè)務(wù)的高速發(fā)展離不開信息化,醫(yī)療信息化改變了醫(yī)院的醫(yī)療模式,醫(yī)療系統(tǒng)的信息安全必須依照國家信息系統(tǒng)等級保護(hù)制度要求進(jìn)行安全防護(hù)與建設(shè),在醫(yī)療信息系統(tǒng)中建立信息安全的防護(hù)基線,設(shè)計(jì)整個(gè)信息系統(tǒng)安全指標(biāo)的閥值,醫(yī)院信息部門建立對整個(gè)信息系統(tǒng)完善的安全設(shè)計(jì)規(guī)劃、建設(shè)、防護(hù)和運(yùn)維的相關(guān)制度。信息化所帶來的信息安全問題是醫(yī)院信息化過程中不可規(guī)避的重要方面。
醫(yī)院信息系統(tǒng)安全管理必須要依托國家信息安全等級保護(hù)制度和衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見,從制度建設(shè)、安全技術(shù)建設(shè)、人員安全管理、資產(chǎn)管理等多方面入手,全面展開系統(tǒng)安全規(guī)劃和建設(shè)。通過安全技術(shù)手段與管理相結(jié)合,建立起醫(yī)院信息安全防護(hù)體系,最終達(dá)到保護(hù)醫(yī)院信息系統(tǒng)安全,更好的為患者提供醫(yī)療服務(wù)。
- 1淺談醫(yī)院如何開展全面預(yù)算管理
- 2初建型醫(yī)院團(tuán)隊(duì)的管理技巧
- 3淺談新加坡的醫(yī)院的管理特色
- 4大型醫(yī)院藥品管理環(huán)節(jié)質(zhì)量控制
- 5結(jié)合現(xiàn)代醫(yī)院特征總結(jié)醫(yī)院競爭戰(zhàn)略模型
- 6對醫(yī)院信息化建設(shè)與管理的思考
- 7正確引領(lǐng)醫(yī)院航行的"PC"管理模式
- 8強(qiáng)化財(cái)務(wù)管理才能成就高效醫(yī)院
- 9審視護(hù)士管理 思考醫(yī)院建設(shè)
- 10護(hù)士綜合素質(zhì)在醫(yī)療實(shí)踐的作用
- 11醫(yī)院選擇人才比培訓(xùn)員工更重要
- 12現(xiàn)行醫(yī)院會(huì)計(jì)制度存在的問題及新準(zhǔn)則的借鑒
- 13醫(yī)院管理者應(yīng)加強(qiáng)重視的六大惡習(xí)
- 14用積分制管理促進(jìn)民營醫(yī)院文化建設(shè)
- 15現(xiàn)代醫(yī)院管理創(chuàng)新的新視角
- 16加強(qiáng)門診管理提高醫(yī)院科學(xué)管理水平
- 17構(gòu)建和諧醫(yī)院過程中的人文管理
- 18淺談醫(yī)院財(cái)務(wù)報(bào)表的分析與管理
- 19醫(yī)院提高醫(yī)療質(zhì)量管理的一些做法
- 20醫(yī)院急救室如何進(jìn)行科學(xué)化管理
- 21醫(yī)院護(hù)士分級管理的實(shí)施方案
- 22醫(yī)院的信息安全分析及防護(hù)措施
- 23醫(yī)院科室管理中的醫(yī)學(xué)道德
- 24操作基礎(chǔ)管理背后的醫(yī)院文化
- 25門診導(dǎo)診在醫(yī)院服務(wù)新理念中的應(yīng)用
- 26潔凈手術(shù)室應(yīng)用中的問題及風(fēng)險(xiǎn)管理