时间:2023-06-28 10:03:17
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇医院信息安全管理措施,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
1 引言
信息化技术当前已经深入应用到了医院的日常经营发展内容中,建立了医院整体管理运营信息系统,对提高医院的管理效率和管理质量发挥了重要的作用。而信息安全管理,也在当前医院日常管理内容中占据了更为重要的位置,同时医院信息安全管理的内容相较于传统,也变得更加的丰富,医院信息安全管理的内容包括医院的信息系统网络安全、备份信息记录安全、计算机设备病毒防治、医院信息管理系统平台安全等诸多内容,对医院的信息安全提出了更高的要求。医院应该全面清晰的认清当前信息安全的发展形势,做好相应的信息安全防治措施。
2 医院信息安全面临的主要挑战
具体来讲,在当前医院的发展过程中,医院所面临的信息安全挑战主要来自于几个方面。
2.1 医院信息安全的管理责任不够明确
正如上文所述,在信息化技术得到全面普及应用的背景下,医院的信息安全管理内容也越来越丰富,对医院的信息安全管理工作提出了极高的要求。
当前阶段,医院信息安全管理工作已经成为一项复杂的系统性管理内容,而潜藏的医院信息安全隐患则包括医院信息设备的采购、网络安全产品的采购、医院内部岗位信息的流通、医院信息数据的存储应用、医院的安全信息管理策略以及医院的信息管理安全人员等诸多方面,过多的医院信息安全管理内容很容易造成医院自身信息安全管理资源的配置不够优化,同时对于医院信息安全管理监督的执行也造成了很大影响,出现医院信息安全管理责任不够明确的现象。
在这种纷繁复杂的情况下,加强对医院的信息安全管理内容的全面分析,制定相应的医院信息安全管理规则,确定具体的医院信息安全管理责任制度,已经成为医院信息安全管理发展过程中的必然措施。
2.2 医院信息管理系统面临着诸多危害
在全面应用了信息化技术,并建立了相应医院信息管理系统以后,医院不仅需要面临来自内部的信息安全管理风险,还需要面临更加迫切的医院信息管理系统的安全隐患。
具体来讲,当前计算机病毒、黑客攻击以及系统漏洞现象等等,都是当前医院信息管理系统在使用的过程中面临的来自外界的主要危害类型,计算机病毒会造成医院信息管理系统出现系统崩溃、系统数据丢失的现象,而黑客攻击甚至可以在不知不觉中盗取医院的管理信息、用户信息以及科研信息,造成医院信息安全管理中的重要经济损失,医院信息管理系统漏洞现象也有可能被人故意利用,造成医院信息安全隐患现象,对医院的信息安全发展造成非常不利的影响。
2.3 医院信息数据管理仍然存在着漏洞
当前阶段医院信息数据管理工作也仍然存在着一定的漏洞,这种漏洞主要体现在信息数据管理工作中数据处理工作的不可逆转现象上。
具体来讲,医院在信息数据管理的过程中极有可能出现种种失误现象,例如数据删除失误、数据修改失误、数据应用错误现象,严重的数据删除失误甚至有可能造成医院信息数据管理系统崩溃现象,对医院的信息安全管理造成极大的安全隐患,而同时医院在安全产品的选择上也存在着无法有效的联动现象,造成医院无法有效的充分发挥医院信息安全设备的防护治理功能,医院整体的信息安全系统无法形成具有层次性、系统性以及规范性的保护系统,对医院信息数据安全管理的发展也造成了一定的影响。
3 医院信息安全采取的主要措施
针对当前医院在信息安全发展过程中面临的相关挑战现象,本文建议医院应该在信息安全的发展过程中采取几项措施,可以有效地达到提升医院信息安全管理质量的目的。
3.1 进一步优化医院信息安全管理机制
医院在进一步优化医院信息安全管理机制的过程中,应该全面的加强医院信息安全管理机构、管理队伍的建设,同时建立医院信息安全管理制度以及医院信息安全责任制度,针对医院信息管理工作内容进行系统性、规范性以及权责制的管理。
在安全机构和安全队伍的建设上,医院必须加强对信息安全管理意识的宣传,明确医院信息安全管理机构的权利与责任,建立相应的医院信息安全应急预案机制;而在医院信息安全管理制度的优化上,医院必须针对医院面临的信息安全管理内容进行全面细致的优化,针对医院信息安全管理的范围、信息安全管理规程、人员管理制度、设备维护制度、安全保密协议、网络安全监控制度、安全隐患排除制度等等进行明确的优化,保证医院信息安全管理机制能够全面的覆盖医院信息安全管理的诸多内容。
3.2 进一步规划医院信息安全管理流程
医院进一步规划医院信息安全管理流程的目的主要是针对医院信息安全管理机制进行更加细致的规定,医院应该在医院信息安全权限管理以及医院信息安全管理规程上尤其进行优化,达到确实加强医院信息安全管理细节建设的目的。
以医院信息安全权限管理为例,医院可以在外来用户的访问权限、内部用户的密码登录以及内部用户的权限等级上进行细致的划分,同时对用户在医院信息管理系统内部的浏览内容进行监控,对外来用户进行IP清查以及MAC地址绑定,有效的提高医院信息安全管理的细节掌控。
3.3 进一步加强医院信息安全防护技术
医院在信息安全管理工作中,应该进一步加强对信息冗余技术、数据中心检测技术、信息安全防治技术、系统监控技术等相应信息安全技术的应用,保证医院自身系统在使用的过程中不会因为数据删除失误而造成系统崩溃的现象,提高医院信息管理系统的稳定性、安全性以及可优化性,加强对数据中心的备份记录,保证医院信息安全防护技术能够充分的提升医院信息安全管理的质量。
4 结束语
本文以医院为例,具体分析医院在信息安全管理工作面临的问题现象和采取的发展措施,进而对医疗行业的信息安全发展形势进行了分析和阐述。
1 对医院电子档案信息安全管理产生影响的因素
综合分析,当前对医院电子档案信息安全管理产生影响的因素主要涉及到以下几个方面。
1.1 环境安全因素
电子档案是将电信号和磁介质作为主要载体的档案文献,因此环境中的磁场干扰和突然断电等问题都会对电子档案信息安全产生影响,出现档案数据失真问题,影响电子档案信息安全的合理管理[1]。同时供电系统的故障也可能会给电子档案信息造成严重的破坏。所以在加强电子档案信息安全管理工作的过程中,应该注意突出环境建设,以环境建设为电子档案信息安全管理提供良好的支持。
1.2 网络环境的影响
近几年随着网络信息技术的发展和其在社会上的普及性应用,网络安全问题频繁出现,网络病毒和黑客等对信息安全产生了严重的不良影响,医院电子档案信息安全管理也受到严重的威胁。所以医院应该正视来自互联网的威胁,对网络安全环境进行合理分析,进而从网络安全角度加强电子档案信息安全管理,有效促进档案管理水平的全面提升。
1.3 制度和人为影响因素
现阶段我国医院档案管理工作中管理制度建设不完善以及工作人员计算机专业素质偏低的问题也对电子档案信息安全管理的优化开展产生了一定的不良影响[2]。在制度不完善的情况下,管理规范性不足,并且由于管理人员综合素质偏低,无法应对计算机系统故障和网络安全对电子档案信息安全管理产生的威胁,导致医院电子档案信息安全管理水平偏低。
2 新时期医院加强电子档案信息安全管理的措施
当前社会上层出不穷的信息安全问题不仅对社会信息安全造成了一定的不良影响,甚至严重者还会威胁社会的稳定。所以社会各界都加强对信息安全管理工作的重视,希望借助科学合理的信息安全管理,为信息行业的稳定发展提供良好的支持。在此背景下,医院电子信息档案管理也受到高度重视,成为医院档案管理部门重点关注的问题。所以本文基于当前医院电子信息档案管理实际需求对电子档案信息安全管理的措施进行了适当的分析,以期为电子档案信息管理的全面优化提供良好的支持。
2.1 加强对安全稳定数据库环境建设工作的重视
医院新时期加强对电子档案信息安全管理工作的重视,最为关键的一点就是应该保证安全稳定环境的建设,为电子档案信息数据库的稳定运行提供良好的支持。首先,针对医院电子档案信息的实际需求,医院应该尝试构建独立的存储电子档案信息数据库室,并对数据库室内的环境进行合理布置,将其设置为暗室,注意采取适当的避光防尘措施,室内除了应该设置独立的18T的光纤通道存储设备外,也应该引入数据核心交换机、高性能刀片服务器等设备[3]。同时,针对医院的具体情况可以有选择性的配置除湿器和恒温机,保证医院数据库室整体环境保持在恒定温度和湿度范围内,并坚持远离磁场,避免数据库?子档案信息受到电子干扰。同时,由于电子档案信息数据库的稳定运行需要电源的支持,因此在环境建设工作中也注意电源保护问题,设置独立的电源,即使遇到突发停电的情况也能够保证数据库室在一段时间内的稳定运行,进而为管理者手动保存资料、关闭数据库提供充足的时间,有效规避突然断电对档案数据信息产生不良影响。这样借助良好数据库外部环境的建设,医院电子档案信息安全管理就能够获得良好的设备支持,提升管理效果。
2.2 提升网络信息技术安全保障工作质量
网络信息技术安全保障工作在医院电子档案信息安全管理工作中发挥着重要的作用,能够促进医院电子档案信息安全管理工作的顺利推进,促进管理水平的进一步提升。所以医院档案管理部门在开展档案管理工作的过程中必须保持对网络信息技术安全保障工作的高度重视,从多角度探索安全保障措施。首先,应高度重视备份工作,确保即使电子档案信息受到外部力量的冲击仍然能够进行及时的恢复,维护电子档案的安全。在开展备份保障工作的过程中,医院应该按照不同的类别实施电子档案信息的本地备份和异地备份、在线备份和离线备份、增量备份和差分备份等,保证备份的全面性和有效性,为电子档案信息安全工作的良好开展创造条件[4]。其次,电子档案信息加密保障工作,借助加密保护,有效防止病毒和黑客的入侵,并避免电子档案信息被不合理的修改泄密等,切实维护医院电子档案信息安全。一般情况下,医院电子档案管理部门在实施加密保障的过程中可以引入软硬件结合的加密措施,保证只有借助专门的软件才能够读取档案信息,维护电子档案数据安全。最后,设置高级别的防火墙,对档案资源使用者进行合理的限制,对于医院电子档案资源中非机密性的信息可以供个人或者相关组织使用,而对于机密性档案则应按照严格的借阅流程才能够使用档案资源。这样不仅能够实现对医院电子档案信息安全的合理维护,还能借助对档案机密性等级的划分,增强电子档案信息的有效利用率,为患者和社会相关组织提供相应的档案信息服务。
2.3 逐步完善档案规章管理制度,提升管理人员的综合素质
在医院电子档案信息安全管理工作中,档案规章管理制度的建设是维护档案管理信息安全的重要保障,而高素质人才则能为电子档案信息安全管理提供相应的人才保障,所以在加强电子档案信息安全管理的过程中也应该重视制度建设和人才队伍建设[5]。首先,应该结合医院电子档案信息安全管理的实际需求逐步构建相对完善的规章制度,加强对档案管理工作的规范,保证电子档案信息的全面性、完整性和安全性。其次,应注意组织档案管理人员参与相应的在职培训活动,促进管理人员综合管理素质的提升,保证管理人员能够结合医院电子档案信息安全工作的实际需求开展各项管理工作,提升安全管理工作质量。这样,医院电子档案信息安全管理工作就能够在新时期实现新发展,促进医院电子档案信息资源的合理利用。
关键词:医院 信息系统 安全
中图分类号:R197.3 文献标识码:A 文章编号:1003-9082 (2017) 04-0222-01
在医院信息系统建设中,信息安全为一种重要组成部分。医院信息系统的安全性主要涉及备份方案的可靠性、网络安全、计算机病毒防治等。信息系统一旦出现安全问题,会对医院工作效率、工作质量产生严重影响。因此,加强对医院信息系统安全实施科学管理,对医疗机构相关医疗服务工作开展效率及质量的保证及提高均具有重要价值[1]。本文主要以新形势下医院在信息安全方面所面临的挑战作为切入点,对医院信息安全有效防治措施进行深入研究,旨在为医院信息系统安全性提供更多保障。
一、新形势下医院信息系统安全面临挑战
1.信息安全管理策略、责任缺乏明确性
目前,多数医院在实施信息安全管理过程中,未能制定符合医院实际情况的安全管理措施、规划,或未能及时对管理策略进行修改。同时,医院领导对信息安全管理重视程度不够,未能及时发现存在的安全隐患,未能实施预见性、针对性风险评估和防范。这导致医院信息安全管理缺乏有效、科学的防治措施,管理责任含糊不清,安全防控效果差。
2.系统数据存在安全隐患,信息安全事件频发
目前,多数医院在实施网络安全建设过程中所选用的安全产品还缺乏联动,部署存在不均衡性,安全信息未能得到有效挖掘,纵深安全防护未能形成,防护效果较低[2]。同时,随着计算机网络技术发展速度的不断加快,计算机系统漏洞、病毒泛滥等网络安全问题频发。医院网络因未能形成有效的安全防护,用户终端未能及时实施系统升级、漏洞修补、病毒查杀等,这均为网络信息系统安全埋下隐患,对医院信息安全造成巨大威胁。保证用户端的安全,通过用户端对威胁入侵网络进行阻止,对访问网络实施严格控制,为保证医院网络安全和信息安全的重要前提,同时也是医院目前信息系统安全管理中必须要解决的一个重要问题。
二、应对信息安全挑战措施
1.加强制度、队伍等建设及完善,提升安全管理水平
首先,医院须积极建设安全机构,将信息系统安全管理责任进行明确划分。同时设立专门信息安全领导小组,并将小组中各个成员的安全管理职责和责任明确,并严格把控相关责任人管理责任的落实情况。领导小组须不定期组织开展信息系统安全检查,并实施安全事件处理应急演练。其次,加强管理队伍建设,提升管理人员的安全防范意识。医院应积极建设一支高专业素质和能力的安全管理队伍,为信息系统能够正常运行提供有效保障。医院可通过院内培训、院外引进等方式,加强对管理人员实施信息安全教育和培训,促进其安全防范意识以及应急处理能力得到有效提高。再次,积极建设并不断完善安全制度,对安全管理策略进行不断改进和优化。医院须建立一套包含网络、应用、运行、信息安全等诸多个方面的,具有可行性和可行性的规章制度。同时,医院以自身信息系统实际情况作为根据,对信息安全管理的等级、范围进行明确,制订出切实可行的出入机房管理制度、网络操作使用规程、网络系统应急措施及维护制度等,积极建立起适合自身实际情况的信息安全管理策略,提高管理有效性,保证医院信息系统运行的安全性。
2.制定规范性信息安全管理流程
首先,对信息系统登录密码实施规范化管理。单位中所使用的密码须通过“暗文”的方式进行保存,同时配上相应的修改密码记录,定期实施密码修改。其次,对系统使用权限进行规范管理。业务软件需要将原有用户取消或增加新用户时,必须要严格按照要求认真填写情况说明表,经所在科室负责人签字,之后信息科才能实施用户撤销或新用户添加操作,同时向新用户分配相应的操作权限[3]。同时,当员工需实施统计、其他操作权限变更时,须按照要求填写好说明表,交由科室负责人签字,然后交由相关行政科室进行审批,获得同意后信息科才能进行修改。再次,对第三方访问进行规范控制管理。将第三方访问者须将计算机的IP地址绑定于MAC地址,然后才能访问单位内部网络。第三方访问内部网络或出入信息科均须认真填写登记表;应要求第三方使用信息科计算机访问内部网络,其不使用信息科电脑访问网络时须填写申请表格,并有信息科负责人签字,由相关科室进行审批,同时之后才能访问。
3.运用技术加强信息安全管理
首先,积极强化冗余技术应用。医院的信息网络运行状况直接关系整个医院业务系统的运行状况,网络变化、故障的出现均会导致医院相关业务正常运行遭受严重影响,甚至可导致业务系统出现中断,因此,在信息安全管理过程中必须保证网络运行的可靠性进行充分考虑。冗余技术的运用可有效保证网络运行的可靠性。该种技术主要由处理器冗余、电源冗余、模块冗余等技术构成。其次,强化加密处理技术。为了保证信息系统涉及相关数据的安全性,必须建立可靠、安全的数据中心,杜绝相关安全隐患,增加数据安全等,保证患者信息及时交互得以实现。加强对信息实施加密处理,选用先进的驱动级加密技术、虚拟化技术等,对重要信息及文件M行加密。此外,还应加强使用先进入侵检测技术,保证被攻击组件及时得到识别被隔离,提高系统防御能力,保证信息系统安全。
三、结束语
医院信息安全管理为一项具有复杂性、系统性的工程,为了保证信息系统安全、可靠性,医院必须建立起一套健全、有效的安全管理控制及防御体系,积极应用相关先进技术实施安全防治工作。只有这样才能正在保证医院信息系统运行的安全性。
参考文献
[1]开拓.医院网络信息的不安全因素分析及防护措施分析[J].网络空间安全,2016,16(Z1):609-610.
(1)物理安全防范较为重视。从物理安全的五项指标来看,被调查的160家医院都非常注重防盗、防水、防雷、防尘、防静电及温湿度控制等物理环境安全防范,绝大部分医院对物理访问控制与物理监控(机房设备管理)也都很重视,分别达到93%与85%,但仅有1/4的医院注重设备检测,说明中国绝大部分医院设备或未做检测即投入运行,或缺乏定期进行安全评估、安全加固等保护,因而我国数字化医院还存在着一定的物理设备安全风险。
(2)系统安全威胁严重。系统安全四项指标中,采用了访问控制及备份与恢复措施的医院分别达到138家与147家,但实地调查显示非授权访问的情况还大量存在。进行系统日志审计的医院不足50家,说明我国医院系统日志还基本流于形式,缺乏深度安全审计,从而很难及时发现其中的安全隐患。进行系统开发与维护的医院也仅54家,原因主要在于目前许多医院由于受人员、设备、资金影响,或本身重视不够,导致其信息系统缺乏运营维护或维护不及时,因此其安全性和可靠性多数处于较差状态。
(3)网络通信安全较为脆弱。网络通信安全五项指标中,网络攻击防护与业务文档记录方面,医院相对比较重视,比例分别达到94%与84%,但实地调查发现其网络攻击防护还处于低水平状态。实行网络隔离与访问控制的医院仅占30%,大多数医院网络访问随意性大,医院网络可随意互访,信息流通和共享畅通无阻,这给医院信息安全带来极大的安全隐患。实行入侵检测的医院不到30%,说明中国数字化医院还处于被动防御阶段,远未达到主动防御水平,同时信息系统的纵深防护水平不高,由此导致数字化医院以计算机病毒、黑客攻击等为代表的安全事件频繁发生。实行密钥管理的医院则仅13%,说明医院网络密钥其实几乎还处于无人监管状态。
(4)人员安全隐患重重。人员安全四项指标调查结果都不容乐观,尤其是进行第三方合作合同的控制和管理的医院仅占10%,说明中国数字化医院在人员安全管理方面还远未重视,由此导致医院内部存在大量网络操作违规现象。如,网络操作人员随意将自己的登录账号转借他人,随意将一些存储介质接入信息系统,未经授权同时访问外网与内网,一些人员为了谋取个人私利,非法访问内部网络,窃取、伪造、篡改医疗数据等,这使得中国数字化医院信息安全事故频频发生。
(5)组织管理安全有待加强。组织管理安全四项指标中,160家医院都设置了安全管理组织机构,说明所有医院都很重视信息安全管理工作,但安全管理制度完整的医院仅114家,且多数在应急管理制度制定方面较为欠缺,而安全管理制度实施情况调查显示,只有40%的医院安全管理制度得到实施,这意味着60%的医院的安全管理制度形同虚设。在人力财力保障方面给予充分保障的医院不到50%,由于缺乏人力财力的保障,目前许多医院信息安全系统建设难以为继。综上所述,中国数字化医院还存在着极大的信息安全隐患。因此,数字化医院信息安全建设已迫在眉睫。
2动态网络安全模型的比较分析
面对复杂多样的信息安全风险以及日益严峻的信息安全局势,动态网络安全模型为中国数字化医院信息安全建设提供了理论基础。典型的动态网络安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等,这些安全模型各有特点,各有侧重,已广泛应用于多个领域的信息安全建设实践。环节。它强调在安全策略的指导下,综合采用防火墙、VPN等安全技术进行防护的同时,利用入侵检测系统等检测工具,发现系统的异常情况,以及可能的攻击行为,并通过关闭端口、中断连接、中断服务等响应措施将系统调整到一个比较安全的状态。其中,安全策略是核心,防护、检测和响应环节组成了一个完整、动态的安全循环,它们共同保证网络系统的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基础上增加恢复(Recovery)环节发展而来,由防护(Protection)、检测(Detection)、响应(Re-sponse)和恢复(Recovery)四个环节组成(见图2)。其核心思想是在安全策略的指导下,通过采取各种措施对需要保护的对象进行安全防护,并随时进行安全跟踪和检测以了解其安全状态,一旦发现其安全受到攻击或存在安全隐患,则马上采取响应措施,直至恢复安全保护对象的安全状态。与PPDR模型相比,PDRR模型更强调一种故障的自动恢复能力,即系统在被入侵后,能迅速采取相应措施将系统恢复到正常状态,从而保障系统的信息安全。因此,PDRR模型中的安全概念已经从信息安全扩展到了信息保障,信息保障内涵已超出传统的信息安全保密,是防护、检测、响应、恢复的有机结合。
3基于动态网络安全模型的中国数字化医院信息安全体系构建
结合动态网络安全模型,并依据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239—2008)、《信息安全技术信息系统等级保护安全设计技术要求》(GB/T25070—2010)等标准规范,本文试构建一个以信息安全组织机构为核心,以信息安全策略、信息安全管理、信息安全技术为维度的数字化医院信息安全体系三维立体框架。即,在进行数字化医院信息安全建设时,我们应成立一个信息安全组织机构,并以此为中心,通过制定信息安全总体策略、加强信息安全管理,利用各项信息安全技术,并将其贯彻在预警、保护、检测、响应、恢复和反击6个环节中,针对不同的安全威胁,采用不同的安全措施,从而对系统物理设备、系统软件、数据信息等受保护对象进行全方位多层次保护。
(1)信息安全组织机构是数字化医院信息安全体系构成要素中最重要的因素,在信息安全体系中处于核心地位。它由决策机构、管理机构与执行机构三部分组成。其中,决策机构是医院信息安全工作的最高领导机构,负责对医院信息安全工作进行总体规划与宏观领导,其成员由医院主要领导及其他相关职能部门主要负责人组成。管理机构在决策机构的领导下,负责信息安全体系建设规划的制定,以及信息安全的日常管理工作,其成员主要来自于信息化工作部门,也包括行政、人事等部门相关人员参与。执行机构在管理机构的领导下,负责保证信息安全技术的有效运行及日常维护,其成员主要由信息化工作部门相关技术人员及其他相关职能部门的信息安全员组成。信息安全组织机构应对医院信息安全工作进行科学规划,经常进行不定期的信息安全检查、评估和应急安全演练。其中对那些严重危及医院信息安全的行为应进行重点管理和监督,明确信息安全责任制,从而保证信息安全各项工作的有效贯彻与落实。
(2)信息安全策略是数字化医院信息安全得以实现的基础。其具体制定应依据国家信息安全战略的方针政策、法律法规,遵循指导性、原则性、可行性、动态性等原则,按照医疗行业标准规范要求,并结合医院自身的具体情况来进行,由总体方针与分项策略两个层次组成,内容涵盖技术层、管理层等各个层面的安全策略,最终实现“进不来、拿不走、看不懂、改不了、逃不掉”的安全防御目的,即在访问控制机制方面做到“进不来”、授权机制方面做到“拿不走”、加密机制方面做到“看不懂”、数据完整性机制方面做到“改不了”、审计/监控/签名机制方面做到“逃不掉”。
(3)信息安全管理是数字化医院信息安全得以实现的保障。它包括人员管理、技术管理和操作管理等方面。当前中国数字化医院在信息安全管理中普遍存在的问题:在安全管理中对人的因素重视不够、缺乏懂得管理的信息安全技术人员、信息安全意识不强、员工接受的教育和培训不够、安全管理中被动应付的较多等。因此,数字化医院一方面应加强全员信息安全意识,加大信息安全人员的引进、教育与培训力度,提高信息安全管理水平;另一方面应制定具体的信息安全管理制度,以规范与约束相关人员行为,保证信息安全总体策略的贯彻与信息安全技术的实施。
(4)信息安全技术是数字化医院信息安全得以实现的关键。数字化医院信息安全建设涉及防火墙、防病毒、黑客追踪、日志分析、异地容灾、数据加密、安全加固和紧急响应等技术手段,它们贯穿于信息安全预警、保护、检测、响应、恢复与反击六个环节。数字化医院应切实加强这六个环节的技术力量,确保其信息安全得以实现,具体体现在:①预警。医院应通过部署系统监控平台,实现对路由器、交换机、服务器、存储、加密机等系统硬件、操作系统和数据库等系统软件以及各种应用软件的监控和预警,实现设备和应用监控预警;或采用入侵防御系统,分析各种安全报警、日志信息,结合使用网络运维管理系统,实现对各种安全威胁与安全事件的预警;并将这些不同层面的预警,统一到一套集中的监控预警平台或运维管理平台,实现统一展现和集中预警。②保护。主要包括物理安全、系统安全与网络通信安全等方面的安全保护。对于中心机房、交换机、工作站、服务器等物理设备的安全防护,主要注意防水、防雷、防静电以及双机热备等安全防护工作。系统安全主要包括操作系统与数据库系统等的安全防护。操作系统的主要风险在于系统漏洞和文件病毒等。为此,医院需运用防火墙技术控制和管理用户访问权限,并定期做好监视、审计和事件日志记录和分析。所有工作站应取消光驱软驱,屏蔽USB接口,同时为各个客户端安装杀毒软件,并及时更新,从源头上预防系统感染病毒。数据库安全涉及用户安全、数据保密与数据安全等。为此,需对数据库进行权限设置。对于关键数据,应进行加密存储。对于重要数据库应做好多种形式的备份工作,如本地备份与异地备份、全量备份与增量备份等,以保证数据万无一失。对于网络通信安全防护,医院网络应采用物理隔离的双网架构,如果内网确需开展对外的WWW等服务,应单独设置VLAN,结合防火墙设备,通过设置DMZ的方式实现与外界的安全相连。同时,医院应合理的设置网络使用权限,严格进行用户网络密码管理,防止越权操作。③检测。检测是从监视、分析、审计信息网络活动的角度,发现对于信息网络的攻击、破坏活动,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御。前述防护系统能阻止大部分入侵事件的发生,但是它不能阻止所有的入侵。因此安全策略的另一个重要屏障就是检测。常用工具是入侵检测系统(IDS)和漏洞扫描工具。利用入侵检测系统(IDS)对医院系统信息安全状况进行实时监控,并定期查看入侵检测系统生成的报警日志,可及时发现信息系统是否受到安全攻击。而通过漏洞扫描工具,可及时检测信息系统中关键设备是否存在各种安全漏洞,并针对漏洞扫描结果,对重要信息系统及时进行安全加固。④响应。主要包括审计跟踪、事件报警、事件处理等。医院应在信息系统中部署安全监控与审计设备以及带有自动响应机制的安全技术或设备,当系统受到安全攻击时能及时发出安全事故告警,并自动终止信息系统中发生的安全事件。为了确保医院正常的医疗服务和就医秩序,提高医院应对突发事件的能力,医院还应成立信息安全应急响应小组,专门负责突发事件的处理,当医院信息系统出现故障时,能迅速做出响应,从而将各种损失和社会影响降到最低。其他事件处理则可通过咨询、培训和技术支持等得到妥善解决。⑤恢复。主要包括系统恢复和信息恢复两个方面。系统恢复可通过系统重装、系统升级、软件升级和打补丁等方式得以实现。信息恢复主要针对丢失数据的恢复。数据丢失可能来自于硬件故障、应用程序或数据库损坏、黑客攻击、病毒感染、自然灾害或人为错误。信息恢复跟数据备份工作密切相关,数据备份做得是否充分影响到信息恢复的程度。在信息恢复过程中要注意信息恢复的优先级别。直接影响日常生活和工作的信息必须先恢复,这样可提高信息恢复的效率。另外,恢复工作中如果涉及机密数据,需遵照机密系统的恢复要求。⑥反击。医院可采用入侵防御技术、黑客追踪技术、日志自动备份技术、安全审计技术、计算机在线调查取证分析系统和网络运维管理系统等手段,进行证据收集、追本溯源,实现医院网络安全系统遭遇不法侵害时对各种安全威胁源的反击。
4结束语
关键词:医院;信息技术;安全管理
中图分类号:R19 文献标识码:A
随着21世纪的到来, 我国整体信息化水平的提高以及医院规模的扩大、现代设备的增加以及门诊量的提升,通过信息化手段提升医院整体管理水平,提高医院内部诊疗信息的共享率,全面增强医院服务患者水平成为现代医院新的经营理念和必然的发展趋势。本文将从技术和管理两方面介绍保障信息安全的主要方法,并结合医院的特点说明怎样的医院信息系统才是一个安全的系统。
1 医院信息化建设的安全范畴
1.1局域网络
就医院局域网建设来说,它应紧密围绕着医院管理目标,体现医院管理思想。它所面临的安全威胁主要来自非法用户利用私自连接上网的未经授权的工作站或利用一台合法工作站, 通过窃听网上通信来窃取合法用户的用户标识符(ID)和口令,冒充合法用户登录系统,窃取或修改数据。保障信息安全就必须有效地对抗这些攻击。
(1)网络的安全机制
医院信息管理系统(HIS)已在我国大部分医院启用,为防止未授权用户进入系统或合法用户访问它无权了解的信息,在用户登录系统时,对其访问资格进行认证,即身份认证。目前主要采用ID+ 口令方式。用户登录时,输入ID和口令。这种方式简单易行,但ID 和口令容易泄露,安全性差。最佳方案是采用智能IC卡技术。用户的个人信息存储在IC 卡内, IC卡使用多种安全技术确保卡内资料不会被复制和泄漏。使用时,将卡插入工作站的读卡器进行身份认证。由于费用较高,当前国内医院较少采用。但它的安全性能突出, 而且一卡多用, 是今后的发展方向。
(2)网络通信数据的保密
在网络分层通信中,保密通信安排的层次越高,则传送密文的安全路径越长,信息传输的安全性相对也越高,但相应的开销和延时也可能较大,所以网络中具体安排哪一层次进行加密和解密,仍需根据网络系统应用类型、范围及环境等因素综合考虑和规划。在这种结构的网络中,数据以广播的形式进行发送。当一台工作站与服务器通信时,网上的其他任何一台计算机都可以获得传输数据的副本。为了保证有在线窃听情况下数据的保密性,只有对数据加密。现阶段国内医院信息系统,基本选用软件加密方式。密码运算工作全部由工作站和服务器完成。如果网上数据全部加密传输,运算量极大。在通信频繁的情况下,会使整个系统的性能迅速下降。通过分析医院的信息流动情况和面临的安全威胁,可以看出:首先,医院并非高度保密单位。日常工作中使用的信息,多数保密等级并不高。其次,入侵者攻击方式和目的明确,主要是试图经网络侵入系统,通过非法修改、窃取、破坏保存在数据库中的相关数据,从而获取某种程度的利益。而不是单纯通过在线窃听网上通信来获得有用的信息。因此,将少量保密等级高的数据在网上加密传输,而大部分普通数据则直接传输,可使系统的速度和安全性能均达到满意的水平。为防止在用户登录时其ID、口令等用户安全信息被窃听,这类对系统安全至关重要的数据在网上传输时必须加密。
1.2 系统和应用软件
包括操作系统、数据库和管理信息系统。为能有效保障信息安全,软件系统应具有以下技术特性:
(1)访问控制
系统应能通过授权数据库等安全机制对用户进行分级管理,限定访问权限。从而防止无权用户对操作系统核心区域和重要文件的访问,避免系统被破坏和系统安全信息的泄漏。对数据库的访问,在任何情况下,都应通过数据库系统进行。防止用户绕过数据库系统, 直接存取库中数据。医院信息系统中的数据库,其访问控制的粒度至少要达到/“纪录”一级。例如,在病案管理中,对于病案库中的每一条纪录,只有其主管医师拥有/“修改”权限。其他一些人员可以有/ “只读”权限,有时还需要限定某些人员的查阅项目(访问控制的粒度需达到/“域”一级)。对于无权接触病案的人员,则禁止其访问。
(2)安全审计
一个安全的系统应该知道系统中何时何处谁在做什么。这就要求系统能跟踪运行中发生的事件和出现的变化,将过程记录在工作日志中。以便供安全审计人员查阅,发现问题并采取相应的防范措施。工作日志应具有很高的安全等级,并禁止修改。
(3)数据加密存储
是利用数据加密技术将数据库中的数据由明文变为密码存储,使非法攻击者即使得到数据也无法解读和使用。多数系统采用在程序中设置固定的加密算法和密钥的方式对数据库进行加密。这种加密方式容易实现,使用简便,能够提供一定的防护能力。在医院信息系统中被广泛采用。缺点是,由于始终使用同一个密钥进行加密,安全性不高。如改用可变密钥的方式,将大大增加数据库的安全性,但同时也会使数据库管理工作变得复杂。
(4)签名和校验
签名用来纪录数据录入者的身份,明确责任。校验用以检验数据在存储过程中是否被非法修改。在医院信息系统中,一般以/“纪录”或/“域”为单位进行签名。例如,在电子病案中各级医师每日的查房纪录和医嘱,都应由各人分别签名确认。签名往往与校验结合在一起,利用操作者的个人密钥,对被签名数据进行运算,生成消息验证码(MAC)与被签名数据一起存储,实现校验和签名的双重功能。
2 医院信息安全系统的管理
随着计算技术的发展和普及,计算机技术被广泛运用于各个领域,为医院信息安全系统提供重要的技术支持。计算机系统主要由硬件和软件构成,但是系统的运行却离不开其使用者。所以明确医院信息安全管理目标,加强人员的培训,加强信息系统安全管理,才能保证医院安全信息系统的正常运行。
2.1 信息安全行政管理措施
(1)明确安全管理目标及方法。每个医院信息安全问题都不同,对信息安全系统的要求也不同,所以在进行医院信息安全系统管理的时候,要依据医院的实际情况及医院的信息安全需求,明确医院信息安全系统的管理目标,并制定相应的安全管理措施,保障医院信息安全。(2)信息安全管理队伍的建立。依据医院实际情况,建立相应的安全管理队伍,合理分配管理任务,落实责任制度,保证安全管理工作的顺利进行。(3)信息安全制度的制定。信息安全制度是规范信息安全管理工作,明确信息安全工作目标,落实信息安全职责的重要原则。信息安全制度主要包括工作规程、安全原则及工作责任等。
2.2 信息安全管理工作内容
(1)提高人员的安全意识。采用职位转换的方式,避免工作人员长期担任信息安全管理工作。确保每位工作人员具有获取工作信息的权利,制定信息安全管理制度,对每位工作人员获取的信息进行有效的管理和控制,同时对每位工作人员进行信息安全管理教育,提高工作人员的信息安全意识。(2)加强信息系统设备维护和管理。管理人员将信息系统所有的设备资料进行详细的记录,记录设备的型号、名称、编号等等。安全管理人员可以依据设备档案资料对设备进行定期的检查,检查信息设备的运行情况,及时更换新设备,保证信息系统的正常运行。(3)信息安全管理工作的审核。对信息安全管理工作进行有效的审核,及时发现信息系统存在的安全问题,并制定相应的解决方法,消除信息系统存在的安全隐患,保证医院信息安全。(4)信息系统病毒的安全防范。在信息系统病毒防范上,通常采用杀毒软件来起到预防、杀毒的作用。而在信息系统安全管理中,则通过安全防范措施来达到阻止病毒入侵,保证信息系统安全的目的。病毒防范措施主要有两个方面。第一,如果病毒是通过信息网络入侵的,医院最好采用独立的局域网,与公用的网络进行隔离。同时可以在网络接口处安装杀毒软件和防火墙,可以起到一定的防治作用。第二,如果病毒是通过可移动的存储设备入侵的,在信息安全系统运行中最好禁止使用移动存储设备。对必须用到的存储设备进行有效的安全管理,在信息系统中安装杀毒软,防治病毒对信息系统的破坏。同时在技术允许的情况下,对系统设备进行严格检测,保证移动存储设备内没有病毒。
结语
总之,医院信息管理对信息安全等级保护的实现有十分重要的意义和作用,为使采集的数据真实有效,要制定了工作站入网操作规程,以提高信息的准确性。在实际工作中,网络管理人员只有不断更新知识、积累经验,才能未雨绸缪,扼杀网络瘫痪,把危害降到最低,确保医院网络安全运行。
参考文献
关键词:医院信息系统安全体系网络安全数据安全
中国医院信息化建设经过20多年的发展历程目前已经进入了一个高速发展时期。据2007年卫生部统计信息中心对全国3765所医院(其中:三级以上663家:三级以下31O2家)进行信息化现状调查显示,超过80%的医院建立了信息系统…。随着信息网络规模的不断扩大,医疗和管理工作对信息系统的依赖性会越来越强。信息系统所承载的信息和服务安全性越发显得重要。
1、医院信息安全现状分析
随着我们对信息安全的认识不断深入,目前医院信息安全建设存在诸多问题。
1.1信息安全策略不明确
医院信息化工作的特殊性,对医院信息安全提出了很高的要求。医院信息安全建设是一个复杂的系统工程。有些医院只注重各种网络安全产品的采购没有制定信息安全的中、长期规划,没有根据自己的信息安全目标制定符合医院实际的安全管理策略,或者没有根据网络信息安全出现的一些新问题,及时调整医院的信息安全策略。这些现象的出现,使医院信息安全产品不能得到合理的配置和适当的优化,不能起到应有的作用。
1.2以计算机病毒、黑客攻击等为代表的安全事件频繁发生,危害日益严重
病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到医院的正常运营。目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起的。在医院网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设服务器、私自访问外部网络、滥用政府禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证医院网络安全运行的前提,也是目前医院网络安全管理急需解决的问题。
1.3安全孤岛现象严重
目前,在医院网络安全建设中网络、应用系统防护上虽然采取了防火墙等安全产品和硬件冗余等安全措施,但安全产品之间无法实现联动,安全信息无法挖掘,安全防护效果低,投资重复,存在一定程度的安全孤岛现象。另外,安全产品部署不均衡,各个系统部署了多个安全产品,但在系统边界存在安全空白,没有形成纵深的安全防护。
1.4信息安全意识不强,安全制度不健全
从许多安全案例来看,很多医院要么未制定安全管理制度,要么制定后却得不到实施。医院内部员工计算机知识特别是信息安全知识和意识的缺乏是医院信息化的一大隐患。加强对员工安全知识的培训刻不容缓。
2、医院信息安全防范措施
医院信息安全的任务是多方面的,根据当前信息安全的现状,医院信息安全应该是安全策略、安全技术和安全管理的完美结合。
2.1安全策略
医院信息系统~旦投入运行,其数据安全问题就成为系统能否持续正常运行的关键。作为一个联机事务系统,一些大中型医院要求每天二十四小时不问断运行,如门诊挂号、收费、检验等系统,不能有太长时间的中断,也绝对不允许数据丢失,稍有不慎就会造成灾难性后果和巨大损失医院信息系统在医院各部门的应用,使得各类信息越来越集中,构成医院的数据、信息中心,如何合理分配访问权限,控制信息泄露以及恶意的破坏等信息的访问控制尤其重要:PACS系统的应用以及电子病历的应用,使得医学数据量急剧膨胀,数据多样化,以及数据安全性、实时性的要求越来越高,要求医院信息系统(HIS)必须具有高可用性,完备可靠的数据存储、备份。医院要根据自身网络的实际情况确定安全管理等级和安全管理范围,制订有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等,建立适合自身的网络安全管理策略。网络信息安全是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。
在网络安全实施的策略及步骤上应遵循轮回机制考虑以下五个方面的内容:制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。
2.2安全管理
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,加强安全培训,增强医务人员的安全防范意识以及制定网络安全应急方案等。
2.2.1安全机构建设。设立专门的信息安全领导小组,明确主要领导、分管领导和信息科的相应责任职责,严格落实信息管理责任l。领导小组应不定期的组织信息安全检查和应急安全演练。
2.2.2安全队伍建设。通过引进、培训等渠道,建设一支高水平、稳定的安全管理队伍,是医院信息系统能够正常运行的保证。
2.2.3安全制度建设。建立一整套切实可行的安全制度,包括:物理安全、系统与数据安全、网络安全、应用安全、运行安全和信息安全等各方面的规章制度,确保医疗工作有序进行。
2.2.4应急预案的制定与应急演练
依据医院业务特点,以病人的容忍时间为衡量指标,建立不同层面、不同深度的应急演练。定期人为制造“故障点”,进行在线的技术性的分段应急演练和集中应急演练。同时信息科定期召开“系统安全分析会”。从技术层面上通过数据挖掘等手段,分析信息系统的历史性能数据,预测信息系统的运转趋势,提前优化系统结构,从而降低信息系统出现故障的概率;另一方面,不断总结信息系统既往故障和处理经验,不断调整技术安全策略和团队应急处理能力,确保应急流程的时效性和可用性。不断人为制造“故障点”不仅是对技术架构成熟度的考验,而且还促进全员熟悉应急流程,提高应急处理能力,实现了技术和非技术的完美结合。
2.3安全技术
从安全技术实施上,要进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案。
2.3.1冗余技术
医院信息网络由于运行整个医院的业务系统,需要保证网络的正常运行,不因网络的故障或变化引起医院业务的瞬间质量恶化甚至内部业务系统的中断。网络作为数据处理及转发中心,应充分考虑可靠性。网络的可靠性通过冗余技术实现,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。
2.3.2建立安全的数据中心
医疗系统的数据类型丰富,在不断的对数据进行读取和存储的同时,也带来了数据丢失,数据被非法调用,数据遭恶意破坏等安全隐患。为了保证系统数据的安全,建立安全可靠的数据中心,能够很有效的杜绝安全隐患,加强医疗系统的数据安全等级,保证各个医疗系统的健康运转,确保病患的及时信息交互。融合的医疗系统数据中心包括了数据交换、安全防护、数据库、存储、服务器集群、灾难备份/恢复,远程优化等各个组件。
2.3.3加强客户机管理
医院信息的特点是分散处理、高度共享,用户涉及医生、护士、医技人员和行政管理人员,因此需要制定一套统一且便于管理的客户机管理方案。通过设定不同的访问权限,加强网络访问控制的安全措施,控制用户对特定数据的访问,使每个用户在整个系统中具有唯一的帐号,限定各用户一定级别的访问权限,如对系统盘符读写、光驱访问、usb口的访问、更改注册表和控制面板的限制等。同时捆绑客户机的IP与MAC地址以防用户随意更改IP地址和随意更换网络插口等恶意行为,检查用户终端是否安装了信息安全部门规定的安全软件、防病毒软件以及漏洞补丁等,从而阻止非法用户和非法软件入网以确保只有符合安全策略规定的终端才能连入医疗网络。
2.3.4安装安全监控系统
安全监控系统可充分利用医院现有的网络和安全投资,随时监控和记录各个终端以及网络设备的运行情况,识别、隔离被攻击的组件。与此同时,它可以强化行为管理,对各种网络行为和操作进行实施监控,保持医院内部安全策略的符合性。
2.3.5物理隔离
根据物理位置、功能区域、业务应用或者管理策略等划分安全区域,不同的区域之间进行物理隔离。封闭医疗网络中所有对外的接口,防止黑客、外部攻击、避免病毒的侵入。
前言
随着网络时代的到来,各项科技技术获得了极大的突破,也在实际生活中得以应用。而在现代医院运行管理中,计算机网络信息技术的综合运用便是极为明显的可靠实例。通过加强改进医院计算机系统管理与风险控制,改善医疗整体服务质量与业务能力。通过对现代医院计算机信息系统重要性分析阐述,并对其风险控制方法提出建议。
1 医院计算机信息网络系统建立的重要性
由于网络技术的飞速发展,已经对现代社会,生活,政治,经济等各方面产生深远影响,深入渗透。尤其在医院现代化管理中,医院信息网络化管理,资源数据化带来了非常大的便利,也是现代化医院建立的必要条件。借助计算机网络工具,提高服务质量,医疗水平,促进医疗事业的发展。通过信息网络管理后,使医院运营得更加规范科学。不仅推动了医院现代化改革,也对整个医疗事业的发展提供了助力,其意义与作用不言而喻。
传统的医院管理中,由于缺乏网络信息,往往花费大量的财力物力人力对进行日常维护。随着医院计算机信息系统的引入,不断地智能化科学化,在很大程度上对医院的资源配置进行合理优化,提高了整体的医疗竞争力。而在信息分析处理中,因为计算机的决策整合,使得最终处理结果更加合理精确。例如在对患者病情记录分析中,职员考察考核等等,都可以高速便捷的展开研究。
2 计算机软件信息安全维护
在医院计算机使用过程中,要做到医院计算机自身终端完全不受干扰破坏是不可能的,只有通过提高免疫防御能力,才能减少被感染可能性。但是由于有的高危病毒,传播速度惊人,破坏力极大,并且顽固复杂,难以彻底清除,在短时间内就能造成大量客户计算机无法工作,对医院日常的工作带来了极大的影响。应用系统在数据交换过程中可以对其进行审计,其中记录的事件内容,可能包括客户机地址,具体操作时间,与其他用户结果信息数据。在日常维护处理中,就可以对报告结果导出分析。对于用户私人数据,也应该建立严格的保护机制,安全性,只有通过权限授予才能访问读取相关的信息数据。同时为了保证关联性,可以对用户设置多个角色。系统根据角色类别进行权限操作限制,不仅可以越权操作,还可以设置角色属性限制期的功能,权限的多样化和灵活性大大保证了医院计算机信息系统的安全性。
3 计算机信息安全管理制度建立
在安全管理中,可以实施责任制度。例如成立医院信息安全管理组,医院相关负责人,以职能为参考标准,负责安全线的各项工作,定期安排任务与会议总结,发现问题,总结问题,进而深化部署医院计算机信息安全管理工作。在制度的建立中,可以参考服务器,网络设备,技术人员,数据文档相关系列的安全管理制度体系。指定人员定期维护,保存记录,做好应急预案与应急措施,做到日志化管理。
对于信息安全操作规范,也需要加强管理。指定系统软件,数据操作规范流程,没有授权不能进行文件复制,数据共享,系统的修改增删。定期维护服务器状态检查,分析日志,并且观测数据是否存在问题,及时发现异常点,做好日志记录,保证完整性与可靠性。可以制定培训计划,在整个培训中,目标,流程,结果应该清晰有效,如果信息安全管理小组发生变化可以及时跟进培训配合,建立独立操作局域网,模拟真实的信息系统环境,帮助相关人员快速准确掌握方法。
4 信息系统安全管理控制升级
4.1 信息安全细节化设计
医院网络安全数字化是一个长期整体的系统工程,主要围绕防护警示,检测检查,修改恢复这一过程循环运行。如果这一程序链中出现错误,某个环节没有按照预定设置完成,将会产生诸多负面影响。控制好每一个环节的处理,并且严格落实,通过一系列的管理制度与措施,监督责任到位,确保整个信息安全系统安全高效,持续稳定的工作。由于网络技术的不断发展,漏洞与不足暴露得越来越多,对于新应用新技术推广的同时,还需要加强培训,以满足业务工作需要。
就信息网络系统自身而言,采用符合实际操作情况与工作状态的结构系统,安全等级与维护难度都将能够降低难度,易于操作。构建多层次,体系化的设计使用户角色等级,权限操作,优先等级分布到更多层次,更多日志记录。那么后续维护,控制分配也将更加灵敏。结合具体的业务情况,在可用性与安全性之间寻找平衡点,在符合安全的大前提下,开拓业务,提升服务质量。
4.2 医院计算机信息安全风险控制升级
在某些医院中,计算机网络防御等级较低,需要通过加强安全性对整个系统进行升级。首先需要确保医院计算机信息网络服务器保持正常。要确定系统的长期安全。注意机房服务供电情况,布线合理,温度湿度,雷电预防等问题。保证医院服务器不间断供电,保持电源线路通畅。同时主要设备与核心设备固定器维护与检查,及时发现问题与前兆,快速有效处理。保证计算机中心温控与散热条件良好,使得整个服务器中心环境到达理想状态。保持清洁,除尘保洁,重视物理环境的维护,并且确保数据的及时正确备份。
另外,对于医院计算机信息主要管理人员的素质,仍然需要加强,明确权力责任,落实到点。这也关系到医院信息安全工作能否安全运行。对于网络用户也应该严格限制管理,分清患者、医务职员、管理人员的角色职能。对用户和密码加强管理,这样可以有效的避免危险数据与不明软件对服务器的攻击与伤害。
同时重视日常计算机系统相关记录数据。在常规服务日志的检测基础上,加以分析预判,进而实施下一步相关措施。例如服务器启动停止,异常运行数等等,都可以有助于信息系统管理者对医院计算机信息系统的全面了解,从而进行评估,得出相关结论。依托数据对系统的安全等级展开定级,制定有效制度措施防范解决问题,确保整个信息系统的安全和高效,达到风险管理控制的目的。
5 结束语
提高安全防范意识,完善制度,对于医院计算机信息安全风险管理控制方法不仅仅需要从技术角度入手,自身也需要意识到它的重要性。这不仅关系到医院的整体协作与工作效率,还影响所有部门员工统一性。需要全面了解当前信息系统中的安全问题,并积极应对。因此在提高技术的同时,依靠建立制度对员工进行规范管理,提高防范意识,确保医院计算机信息系统安全。
1 医院档案信息安全现状
1.1 复杂性档案种类
医院工作过程当中会收集多方面和多元化的信息及资料,因此也就促成了医院的档案信息的复杂性问题。针对医院的档案信息进行管理和储存,才能够保证了解内容丰富和复杂的档案信息,通过科学的管理方式将医院方面的档案进行种类的划分,可以建立病历、影像诊断、科研教学、人事管理、财务信息等等档案文本内容。将以上科学划分的档案类型进行不同形式的划分,掌握纸质、电子和影像等诸多类型的档案,更加有助于降低未来医院工作方面的负担[1]。
1.2 多元化档案媒介
多元化的档案信息管理媒介能够满足当下的医疗卫生行业服务和管理工作的需求,但是同时也存在一定的问题,容易导致医院档案信息管理工作出现安全风险。从前医院的档案信息基本以纸质为主,在保存和查找方面都存在很大的难度,伴随科学技术的不断发展,信息技术支持的档案信息管理模式更加适合繁忙的医疗工作体系,但同时也存在一定的安全风险性。电子信息模式下的档案管理方式具备携带便捷和成本低廉等众多优点,但同时也存在风险问题需要不断的优化处理[2]。
1.3 网络式档案信息
网络模式的档案信息管理是非常有效的工作模式之一,也是未来社会发展的主要趋势。针对医院档案信息管理工作进行研究和分析能够发现,电子信息化的档案信息管理模式非常适合应用于医院的工作,主要是源于电子信息系统具有庞大的信息收集和归纳、整理作用,能够为医疗工作者提供更加高效的工作方式和方法,是一种优化的工作途径,保证了医院档案信息管理工作的质量和效率,也是未来行业发展的趋势[3]。
2 影响医院档案信息安全的因素
2.1 安全的档案信息媒介
影响医院档案信息管理的安全性因素涉及到很多方面,针对这些问题进行客观的分析,并针对存在的影响因素和问题找到一个科学、合理的解决途径,能够保证未来医院服务和管理工作的质量。影响医院档案信息管理质量的基本原因是受到档案信息媒介安全性的影响,档案信息的媒介安全性主要是指环境因素的影响,例如火灾、虫鼠灾害、水灾等等,都会影响档案信息的保存和管理。一旦发生环境因素灾害,就会导致档案信息出现部分和全部损失的情况,进而造成医院管理方面的阻碍问题等等[4]。
2.2 计算机病毒
影响医院出现档案信息管理安全威胁的问题还涉及到计算机的病毒问题,因为计算机的工作模式会受到病毒的影响,而且计算机的病毒影响非常严重。计算机的病毒存在传播速度特别快的问题,还存在智能化程度高的问题,因此,出现计算机病毒的问题很难控制,也会造成医院的档案信息安全出现风险。最为影响医院档案信息安全管理工作的因素还源于计算机的病毒侵害杀伤力非常大,而且在不断的技术升级过程中还会出现病毒侵害力逐渐增加的情况和问题。很多计算机的小型病毒可能会在工作的过程中不断的出现作用力增强的情况,进而导致医院的档案信息安全管理工作出现危机[5]。
2.3 网络入侵
影响医院档案信息管理的安全威胁因素还包含网络入侵的问题,关注网络入侵才能够认识到医院档案管理工作过程中会出现的问题。医院建立的网络档案管理模式体系当中,发现需要通过授权才能够登录,但是网络的模式自然也存在容易侵犯的问题。黑客可能通过口令的模式达成网络的入侵,实用软件窃取相关文件档案等。另外还有特洛伊木马的黑客形式通过软件的植入造成计算机的远程干扰,最终丢失医院的档案信息。除此之外,还有监听方法和社会工程学的诸多入侵方式,更高的科学技术达成了多层面入侵的黑客模式,导致医院的档案信息管理出现风险问题。
2.4 缺失科学组织管理和先进理念
可能影响医院出现档案信息管理的安全因素有很多,缺失科学的组织管理和先进理念就是影响医院档案和信息管理的安全性。由于当下科学技术的不断发展,网络信息技术已经全面的覆盖了人们的生活。医院档案管理的过程当中也需要应用到网络信息的技术和平台,由于网络体系的安全权限设置存在不足,就会出现安全管理方面的问题。还有部分的医院档案管理从业人员对于档案信息的保存存在认知和理念层面的不足,很容易在保存档案信息方面出现缺失专业的随意性,导致医院的档案信息在网络平台上随意被窃取,严重妨碍了?t院的档案信息管理[6]。
3 医院档案信息安全管理对策
3.1 实体安全档案防护
重视医院的档案信息管理工作,需要从安全性角度进行科学的考量,保证实施切实有效的档案管理信息,进而构建安全防护体系,降低可能出现的信息管理问题。关注医院的档案信息安全管理工作,不仅仅要重视日常的信息管理和维护工作,还需要从档案的存放位置及地点方面进行管理。医院不仅仅保留电子信息文档,还应当保存文件的纸质本,以此为后续管理工作提供完整的信息和资料。通常为保证纸质文版档案的安全保存,需要避免储存在潮湿的地下室位置,还应当避免存在火灾安全隐患的位置。在日常的管理和储存过程当中,需要保证通风和除湿的管理,定时进行驱虫和灭鼠操作[7]。
3.2 计算机信息安全措施
关注到医院档案信息安全管理工作的重要性,应当采取积极的措施和对策,才能够满足实际的工作质量优化需求,进而提升医疗卫生行业的工作品质。针对医院的档案信息进行安全管理,需要掌握良好的计算机信息安全措施,实施高科技的有效保护,进而提升医院内部的管理工作质量。建立计算机模式的信息安全体系,需要从防病毒和防入侵方面入手,确保医院计算机体系不受病毒侵害,同时为网络系统建立防入侵体系。在日常管理工作过程当中还需要进行数据备份并且要求管理工作人员具备数据的恢复技术和能力,在适当的情况下设计符合医院工作需要的权限保护和管制,进而确保电子信息的安全性。