医院信息安全体系十篇-ag尊龙app

时间:2024-05-06 17:47:46

医院信息安全体系

医院信息安全体系篇1

【关键词】医院信息系统 医保系统 安全策略 防御体系

1 引言

随着医院信息系统与医保系统的联网,医院信息系统面向互联网的通道又增加了一个,同时医院信息系统开发与部署中采用的技术与医保系统各不相同,比如医院挂号系统采用java程序语言开发,医保系统采用c#程序语言开发;医学影像系统采用c/s体系架构,医保系统采用b/s体系架构。因此,这些系统集成在一起时,由于采用的系统架构、开发语言、数据库等不同,非常容易造成系统出现漏洞,这些漏洞为黑客攻击系统、放置木马和病毒感染系统资源带来隐患,因此需要构建一个安全防御体系,保证联网之后的系统能够安全可靠运行。

2 医院信息系统与医保系统联网潜在漏洞分析

医院信息系统与医保系统联网之后,通过对这些系统进行观察和统计发现,其存在的漏洞种类较多,比如压缩文件漏洞、服务器拒绝漏洞、升级程序漏洞、rdp漏洞、系统架构漏洞等,这些漏洞多是应用软件、异构操作系统集成时在逻辑上存在的错误或缺陷,非常容易被不法之徒利用,通过网络植入病毒或木马等攻击威胁,进而可以感染和控制整个医院信息系统或医保系统,窃取服务器中重要的患者信息、诊断信息、治疗信息、费用信息等,一些不法分子甚至会破坏整个医院信息系统。

漏洞产生的最根本原因是不同的设备、操作系统、应用软件集成时,不同的设置将会造成各个系统产生冲突或不兼容现象,这样就会造成系统降低防御配置,比如此时系统就会产生服务器拒绝漏洞,数据库服务器或web服务器拒绝用户发送的访问请求,不利于系统加工和处理逻辑业务请求信息,无法为用户提供反馈结果;升级程序漏洞是指系统在升级时,由于这些系统采用的架构不同,高级架构和低级架构存在不兼容现象,因此某些系统无法正常运行和使用。

医院信息系统已经覆盖了挂号、诊断、治疗、住院和药房管理等多个方面,医保系统也需要与这些系统进行集成,访问这些系统的资源,因此需要保证这些系统能够正常使用,比如构建一个防御体系,在产生漏洞时保护系统数据安全。

3 医院信息系统与医保系统联网安全体系构建

安全防御体系采用纵深化、层次化、主动式的原则,采用的技术主要包括安全预警功能、安全保护功能、安全监测功能术、安全响应功能和系统恢复功能。

3.1 安全预警功能

安全预警功能是医院信息化系统和医保系统联网集成之后安全体系的一个非常关键技术,安全预警功能可以采用k均值、支持向量机、关联规则、bp神经网络等大数据挖掘算法分析系统运行日志,发现系统是否存在漏洞,并且将这些漏洞进行类型划分,比如压缩文件漏洞、系统升级漏洞、服务器拒绝漏洞等,分析这些漏洞可能造成的损失或危害,然后将相关的漏洞带来的危害报告给安全保护层次。安全预警功能是防御体系的第一道关口,其可以实时地利用大数据挖掘算法发现系统中潜藏的漏洞,这样就可以保证漏洞不被黑客、病毒或木马利用。

3.2 安全保护功能

安全保护功能是防御体系的第二道防。安全预警将发现的漏洞及其类型、危害程度发送给该层之后,安全保护功能就可以启动自身携带的杀毒工具、防火墙、访问控制列表、打补丁系统、虚拟专用网络等多种防御工具,利用这些工具将通过漏洞传输过来的病毒、木马全部杀灭干净,同时也可以利用打补丁系统将每一个系统漏洞完善和堵塞上,以防止攻击威胁侵入到医院信息系统或医保系统,避免系统产生不可估量的损失。近年来,随着安全保护技术的改进和提升,安全保护系统又逐渐引入了数字签名等技术,因此安全保护可以将多种网络安全防御技术整合在一起,实现网络病毒、木马查杀,避免网络木马和病毒蔓延,防止主动防御系统被攻击和感染,扰乱主动防御系统正常使用。

3.3 安全监测功能

安全监测功能可以实时地监控系统的运行状态,抓取联网后系统的所有数据包或流量包,并且可以利用深度包过滤技术、入侵检测技术分析包内的信息,发现是否存在病毒或木马,防止他们通过漏洞攻击系统。如果监测到这些威胁,系统就可以及时地触发漏洞扫描软件,能够实时地扫描系统中存在的漏洞,及时打补丁,防止系统遭受非法入侵。

3.4 安全响应功能

安全响应功能是指某些特别强大的病毒或木马利用漏洞攻入系统,对系统造成了一定的危害,此时安全响应功能就可以触发保护软件,比如360杀毒工具、木马查杀工具等,及时地阻断病毒或木马在医院信息系统中传播,提高了信息安全性。

3.5 系统恢复功能

如果系统被病毒或木马全面侵入,系统就可以启用恢复功能,将其恢复到最近的一个正常状态。系统恢复的关键是对其进行备份,目前常用的备份技术包括在线备份、离线备份、增量备份、阶段备份等。

4 结束语

医院信息系统和医保系统联网之后,安全防御体系是动态变化的,其需要随着系统运行产生的漏洞而改进,因此为了提高系统防御能力,系统需要采用主动的防御理念,构建一个完善的防御系统,时刻采集系统运行日志发现的新漏洞或攻击威胁,触发安全保护软件和漏洞补丁系统,保护系统正常运行。

参考文献

[1]张力.异地医保与医院his信息系统接口设计与实现[j].信息与电脑:理论版,2015(13):126-127.

[2]李婧,张红,李享,等.医院与社区联网医保系统对接的探索与实现[j].中国数字医学,2015(02):96-98.

[3]朱文娟.医保信息系统医院信息系统(his)中的嵌套及其应用[j].电子技术与软件工程,2014(11):212-212.

[4]陆明健.浅谈医院信息系统的安全隐患与防范[j].网络安全技术与应用,2015(09):38-38.

医院信息安全体系篇2

关键词:信息安全 防御体系 医院信息化管理

中图分类号:tp316 文献标识码:a 文章编号:1674-098x(2014)06(a)-0038-01

1 医院信息安全现状分析

1.1 信息安全策略不明确

医院信息安全策略工作的不明确,使医院对于信息工作提出了更高的要求。医院信息安全工作的建设并不是那样的简单,有些医院只是简单的注重各种网络安全产品的采购,但是并没有制定信息安全的中、长期的计划,这些医院没有根据自己的网络安全出现的一些问题而采取一些应对措施,也没有根据自己的信息安全目标制定符合实际的安全管理策略。以上现象的出现,使医院信息安全产品不能发挥出应有的作用,不能得到适当的优化和合理的配置。

1.2 计算机病毒等危害日益严重

医院网络安全事件频繁发生,直接影响到医院活动的正常运行。据调查,网络安全问题是由病毒泛滥、黑客攻击、系统漏洞等原因造成的,网络安全事件与脆弱的用户终端和“失控”的网络密切相关,用户终端不及时升级系统补丁和病毒库,或者私设服务器、滥用政府禁用软件、私自访问外部网络的现象普遍存在,如果失控的用户终接入网络,就会使潜在的威胁趁虚而入,并大幅度的扩散开来,后果不可想象。想要解决目前医院网络安全管理问题,需要我们保证用户终端的安全、阻止威胁入侵网络和对用户的网络访问行为进行有效的控制。这样,医院网络安全才可以进入可观局面。

1.3 信息安全意识不强,安全制度不健全

信息安全事件存在多方面的不足,归结起来要么是医院未制定安全管理制度,要么制度后实际却没去实施。对于医院信息安全问题来说,医院内部人员起到很大的作用,但是实际情况下,医院内部人员的计算机知识却相对薄弱,特别是在信息安全知识和意识方面,所以医院应加强对内部员工安全知识的培训。

2 构建医院信息安全及防御体系的措施

目前,想要完成医院信息安全的任务,首先要根据医院的实际状况出发,制定出相应的措施。医院信息安全应包括安全策略、安全管理和安全技术,只有将这三个方面的安全措施做好,医院信息安全便可取得一定的效果。

2.1 提升信息安全策略

网络信息安全需要从管理和技术两方面下功夫。网络信息安全并不是一个单一或独立的问题,在根据医院网络信息实际出现的问题采取相对应的措施外,还应该严格务实的实施下去,只有这样可以提高网络信息系统安全性。我们在网络安全实施的策略及步骤上应包括以下五方面的内容: 制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。

2.2 完善信息安全管理

从安全管理上,要制定出相对完善的机制,遵守并实施安全管理制度,加强对医院员工的安全意识培训,引导并督促他们对安全意识深入了解,最后还要制定出网络安全应急方案等。

第一,安全机构建设。成立专门的信息管理组,并设立各个部门及其主要领导,每个部门规定相应的职责,层层推进,共同实施信息管理任务。除此之外,还应该及时的进行信息的安全检查和应急安全演练。

第二,安全队伍建设。若想要医院信息系统能够正常有序的运行,则需要建立一支较高水平、较高实力的安全管理队伍。安全管理队伍可通过引进或则培训等渠道建立。

第三,安全制度建设。为了确保医疗工作的正常运行,需要建立一套可行的安全制度,其内容包括很多方面,比如:系统与数据安全、应用安全、网络安全、信息安全、物理安全和运行安全等等。

2.3 提升医院信息安全技术水平

依据安全技术的实施结果分析,要针对检测到的安全漏洞,制定出全面且彻底的补救方案与改进措施。

(1)冗余技术。冗余技术的作用可以实现网络的可靠性,冗余技术包括:电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等。若无冗余技术的作用,医院信息网络就会就会出现故障或变化,这样会导致医院业务的瞬间质量的恶化甚至内部业务系统的中断,并且医院信息网络作用于整个医院的业务系统,需要保证网络可靠并正常的运转,这就更需要冗余技术来发挥维持网络稳定性的作用了。

(2)建立安全的数据中心。无论对于患者或是医院来说,医院的医疗数据都是非常重要的,但是由于医疗系统的数据类型非常丰富,在对数据的多次读取的和储存的同时,难免造成数据的丢失,或则被恶意破坏、非法利用等安全问题,所以,建立一个安全的数据中心成为必需。一个安全的数据中心具有以下功能:有效的杜绝安全隐患、确保病患的及时信息交互、保证各个医疗系统的健康运转和加强医疗系统的安全等级。数据交换、数据库、服务器集群、安全防护和远程优化等组件都是融合的医疗数据中心的组成部分。

2.4 安装安全监控系统

想要保持医院内部的安全策略,安全监控系统扮演着非常重要的角色。安全监控系统不仅能充分的利用了医院现有的网络投资,还可以起到监督的作用,监控各种网络行为和操作进行,可以随时随地的记录各个终端和网络设备的使用状况,而且还能起到隔离部分被攻击的组件的作用,

3 结语

医院信息安全并不是一个简单的系统,应该采取多种有效的技术手段来应对不同网络威胁,当然,也应该清醒的认识到不可能把信息安全问题彻底解决掉,绝对安全是不存在的。但是,只要我们把系统合理、安全规划,技术上制定好相应的安全防护措施并认真务实的执行下去,建立一个将误差降低最小的安全防护系统,才是我们一直追求的目标,才能实现保护医院信息安全的目的。

参考文献

[1] 魏牧.浅谈医院信息系统的安全管理[j].科技资讯,2009(8).

[2] 管斌,孙曼凌.浅谈医院信息管理系统[j].中国社区医师(综合版),2007(18).

[3] 黄俊星.现代化医院建设中医院信息系统管理的探索[j].江苏卫生事业管理,2007(1).

医院信息安全体系篇3

[关键词]现代医院;管理制度;信息管理制度

引言

2017年7月国务院办公厅印发《关于建立现代医院管理制度的指导意见》(国办发[2017]67号)(简称“67号文”),对建立现代医院管理制度做了系统安排。67号文指出:现代医院管理制度是中国特色基本医疗卫生制度的重要组成部分。要加快医疗服务供给侧结构性改革,实现医院治理体系和管理能力现代化,为推进健康中国建设奠定坚实基础。可见,作为医改主体和主责的公立医院,改革核心逐渐聚焦到现代医院管理制度的建立上。

1现代医院管理制度架构与对医院信息化建设的要求

1.1现代医院管理制度的政策框架

67号文是我国建立现代医院管理制度的顶层设计文件,整个制度通过宏观层面和微观层面两个维度,勾画出现代医院管理的结构框架[1],如图1所示。从宏观层面看,该顶层设计理清了三方面的关系,即明晰了政府与医院、社会与医院、党与医院之间的关系。明确了政府举办职能、落实公立医院经营管理自主权、政府监管职能三份权力清单。也明确了两种监督力量:加强社会监督和行业自律。并明确了一个方向:加强医院党建。从微观层面看,该顶层设计对医院内部治理也进行了制度安排:首先,以医院章程为基础明确了医院的运行规范;其次,明晰了医院内部决策机制;第三,明确了保障医院正常运转的八项核心制度,信息管理制度是八大核心制度之一;最后,强调通过健全民主管理制度、加强医院文化建设、实施全面便民惠民服务三种软性力量来加强医院内部治理。该顶层设计第一次把信息管理制度作为医院内部治理的核心制度之一,彰显了医院信息管理制度建设的重要性。

1.2现代医院管理制度对医院信息化建设的要求

该顶层设计指出,现代医院管理制度建设的主要目标是:到2020年,要基本形成维护公益性、调动积极性、保障可持续的公立医院运行新机制和决策、执行、监督相互协调、相互制衡、相互促进的治理机制,促进社会办医健康发展,推动各级各类医院管理规范化、精细化、科学化,基本建立权责清晰、管理科学、治理完善、运行高效、监督有力的现代医院管理制度。现代医院必须要有现代化的治理体系和管理能力[2],该主要目标中提到的“管理科学,运行高效,监督有力”的实现都需要建立在强大的医院信息系统之上。首先是管理科学,管理科学诸多先进管理理念的落地,基本都需要通过现代化的医院信息系统来实现。其次是运行高效,评价医院是否运行高效的3e指标[3],即“效益指标、效率指标、经济指标,同样需要强大的医院信息系统支持。第三是监督有力,更需要拿数据说话,比如上海申康对所属市级三级医院的监督,非常有力,主要是依靠医联信息平台上的真实数据[4]。67号文第十一部分对医院信息化建设特别提出:医院要强化信息系统标准化和规范化建设,要与医保、预算管理、药品电子监管等系统有效对接。信息化建设要完善医疗服务管理、医疗质量安全、药品耗材管理、绩效考核、财务运行、成本核算、内部审计、廉洁风险防控等功能。信息化建设要加强医院网络和信息安全建设管理,要完善患者个人信息保护制度和技术措施。如上要求可知,现代医院管理需要医院信息化全方位介入。医院最重要的医疗安全保障,越来越依赖医院信息系统的先进性。24小时连续运行的医院业务,对医院信息系统的稳定性要求也越来越高。另外由于“云大物移智”等先进技术的使用而导致的内外网融合,对医院信息系统的安全性要求也越来越高。医院信息系统需要提供给越来越多的内部和外部人员使用,这对医院信息系统的集成化要求也越来越高,也对医院信息系统建设中临床信息的标准化和规范化建设提出了越来越高的要求。研究表明,信息系统应用是否成熟,一个重要指标就是其集成化水平的高低。信息系统越集成,就越能发挥出信息系统在存储资料、传递资料和检索资料三方面的惊人能力。当医院信息系统的集成化水平越高的时候,医院的现代化管理水平也越高[5]。如图2米歇模型所示,医院信息系统集成化的发展方向是“最终用户的集成化技术”,但目前大部分医院尚处在“管理信息系统”走向“集成化系统和技术”的阶段,离“最终用户的集成化技术”尚有距离,医院信息部门还有很多的信息化、集成化的工作需要做。从现代管理的角度讲,所有这些信息化、集成化工作的推进都需要有一个好的制度保障———信息管理制度。没有规矩不成方圆,再加上《gb∕t22239-2019信息安全技术网络安全等级保护基本要求》(以下简称“等保2.0”)对安全的新要求,医院需要重新思考符合现代医院管理制度的信息管理制度的建设和健全问题。

2医院信息管理制度的主体架构

医院信息管理制度包含的内容很多,目前各家医院并没有统一的命名规范,同样命名的制度在不同的医院其内容也不太一致。为构建医院信息管理制度的主体架构,需要有一个好的视角。鉴于医院信息安全变得越来越重要,从信息安全等级保护的角度来分析和构建信息管理制度的主体架构,可能更容易理解医院信息管理制度的体系框架。以下结合2019年5月1日最新的等保2.0,来构建信息管理制度的主体架构。

2.1信息安全等级保护的基本框架

2019年5月1日信息安全技术网络安全等级保护基本要求正式,标志信息安全技术网络安全等级保护由1.0迈入2.0,和等保1.0相比较,等保2.0的安全通用要求的框架已做调整,相关的技术细节要求也有不少变化[6]。医院信息化建设,信息管理制度构建也需要重新对标思考。总体来说,医院信息管理制度的建设应该覆盖等保2.0安全通用要求所提及的所有相关内容,包括安全物理环境,安全通信网络,安全区域边界,安全计算环境,安全管理中心,安全管理制度,安全管理机构,安全管理人员,安全建设管理,安全系统运维。等保2.0安全扩展要求主要是技术方面的考量,在信息管理制度建设上可以和安全通用要求一致。

2.2医院信息管理制度建设的策略路径

如同现代医院管理制度构建医院内部治理体系,强调首先需要建立医院章程一样,等保2.0和等保1.0一样,针对医院信息管理制度建设和健全首先提到三点建设总则,具体如下:①应对安全管理活动中的各类管理内容建立安全管理制度;②应对管理人员或操作人员执行的日常管理操作建立操作规程;③应形成由安全策略、管理制度、操作规程、记录表单等构成的全面的安全管理制度体系。上述原则特别重要,一般来说很多医院只注意制度建设,而不太重视相应的操作规程的建立以及记录表单的设计。上述原则作为医院信息管理制度建设的策略路径,严格遵照执行可以提升医院信息管理制度建设的规范性、全面性和一致性。2.3医院信息管理制度建设的主体框架根据等保2.0新的基本框架和安全要求,可以勾勒出医院信息管理制度主体框架。相应制度的具体条款及制度的建设边界的编制,需参考等保2.0中各部分的具体内容描述。另外也要部分参考《中华人民共和国网络安全法》,确保制度的建立符合法律法规的要求。

3持续改进健全医院信息管理制度

3.1大型三级医院信息管理制度健全

大型三级医院近几年通过三级等保测评或者电子病历测评等,逐步建立了相应的医院信息管理制度,但现有的信息管理制度建设也存在一些问题:(1)部分制度不太健全。很多制度有了,但可能没有明确的操作规程,也缺少相应的记录表单,需要健全。(2)部分制度需要更新。信息技术发展很快,很多的硬件技术、软件技术都在快速更替,制度中的少部分描述会显得陈旧,需要考虑予以及时更新并进行版本控制。(3)部分制度得不到有效执行。部分制度是为了应对某些测评建立的,实际工作中并没有得到有效执行。需要结合等保2.0的规范要求和医院的实际情况,对制度进行相应修订,以确保制度制定的合理性和适用性,并在实际医院信息管理工作中得到落实。

医院信息安全体系篇4

关键词:信息安全等级保护;机构管理;信息中心随着《信息安全等级保护实施指南》和《信息安全等级保护管理办法》等一系列文件颁布以来,医院如何开展等级保护工作,确保信息安全,已经变成热门话题。其中,负责医院信息安全等级保护工作的组织管理机构,主要从管理层和用户层对医院信息安全等级保护进行管理建设。管理层的主要工作是制定医院信息安全等级保护工作的管理办法;用户层的主要工作是依据管办法要求,进行沟通合作以及运行监控和审查检查工作。

1信息安全机构管理目的

信息安全等级保护工作是解决信息安全问题的基本方法,而信息安全不仅靠物理安全、网络安全、主机安全等具体技术上的实现,还需要建立健全的信息安全机构管理制度,贯彻信息安全工作和维持信息安全的建设成果,在技术和管理两个维度下保障信息安全保护体系在持续的运营工作中发挥应有的信息安全保护作用[1]。

2信息安全机构管理思路

2.1加强安全管理建设是实现等级保护组织机构管理的基础 医院信息安全管理需要由医院信息化领导机构协调进行。为了完成和强化信息安全的管理,需要建立相应的信息安全管理机构,这是医院信息安全等级保护实施的必要条件[2]。同时,安全组织管理建设也是重要组成内容,包括健全组织体系,明确负责安全管理的主要领导、主管部门、凯时k66会员登录的技术支持部门和宣传部门,制定系统安全保障方案,实施安全宣传教育、安全监管和安全服务等。

2.2相关管理办法制定是规范等级保护组织机构管理的根本保证 医院信息系统存在着来自社会环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于医院信息系统的安全问题,不能企图单凭利用一些集成了信息安全技术的安全产品来解决,而必须配合等级保护的信息系统安全保障体系,制定相关管理办法,全方位综合解决系统安全问题。

2.3定期审查监控是实施等级保护组织机构管理的具体表现 根据医院对于信息安全等级保护的要求,安全等级保护除重视技术凯时k66会员登录的解决方案外,更应明确定期审查、检查和监控的必要性。包括:指定专员定期对系统进行安全巡查,检查的内容包含例如系统运行情况、系统漏洞确认、系统数据备份、现有安全技术措施有效性、安全配置与安全策略一致性、安全管理制度的执行情况等等。

3信息安全机构管理措施

医院信息安全管理体系依赖于信息安全等级保护管理建设的机构管理。根据医院当前信息安全管理需要和机构管理特点,和信息安全等级保护管理所要求的系统建设管理、系统运维管理、安全管理机构、安全管理制度和人员安全管理,笔者从岗位设置、人员配备、授权、审批、审查和沟通交流等方面分析医院信息管理机构建设,切实做到提升医院信息等级保护管理的能力。

3.1岗位设置 信息中心内部根据岗位划分不同,设置多个安全管理岗位包括系统管理员、网络管理员、安全管理员、安全审计员岗位,各岗位人员应按照自己的岗位职责,落实本岗位的信息安全工作[3]。

以我院为例,我院信息安全管理工作由院领导负责指导和管理,同时成立了医院级别的信息安全工作领导小组,由党委书记担任领导小组组长,由信息中心负责管理工作的具体落实,制定各信息系统相关岗位的岗位职责和工作标准并形成文件。

3.2人员配备 信息中心采用安全责任层层落实制,中心主任对医院所有信息化相关系统负责,网络工程师对医院所有网络建设及维护负责,系统工程师对医院服务器、数据库、存储和信息系统负责,信息安全工程师对医院网络安全、信息安全、机房物理安全负责,安全审计工程师对所有人的信息安全工作进行监督和审计,保证信息安全工作层层做实。

3.3授权和审批 医院信息中心对于外部厂商人员的相关操作均需进行审批流程,通过软件记录其所有操作行为,并保存进档。对于中心内部工作人员执行严格的离岗流程,由所在部门主管负责回收本部门负责的相关权限,所有权限回收后方可办理正常的离职手续。

信息中心对于客户端操作系统权限、应用系统操作权限、数据库操作权限进行分级控制。内网客户端硬盘分区全部使用ntfs,管理员密码由信息中心网络组每月定时更换;对所有应用系统功能进行编号,对功能进行模块化管理,并对模块进行分级控制;同时,设置数据库用户,将不同应用的数据分别管理,赋予创建、修改、删除表及表内数据权限。

3.4审查和检查 医院信息中心日常检查由信息安全管理员进行,自检内容包括终端安全自检和软件管理自检,终端安全自检包括检查是否每台计算机安装防病毒软件,病毒库是否为最新版本,终端操作系统是否安装最新补丁,是否设置6位以上口令;软件管理自检包括检查软件是否为正版软件,软件管理的各项记录是否完整等。

构建信息安全综合防护体系保证医院各系统能够长期稳定安全运行,满足了医院不断扩展的业务应用和管理需要。本文对信息安全机构管理的目的、思路和措施进行了详细的分析阐述,对相关工作人员和机构具有一定的启示意义。同时,通过梳理分析业务特点和管理流程,依据等级保护相关政策和标准,明确安全管理需求,笔者所在医院信息管理中心整理并制定出符合医院信息系统实际情况的一套信息安全管理体系文件,并在2012年公安局等级保护测评中被评为三级。

参考文献:

[1]苏丹.医院信息系统安全与管理[j].中国信息界(e医疗),2013,(05):58-59.

医院信息安全体系篇5

关键词数字化环境;医院信息;安全建设

1数字化医院信息安全建设与管理存在问题及分析

1.1信息安全建设投入成本有限

数字化医院信息安全建设与管理并不是一朝一夕就能完成的,它在整体建设上非常繁杂的,需要专业的、系统的筹备才能完成的。在网络信息技术数字化的时代下,要想充分保障信息的安全性,足够快的更新换代医院的新设备,就需要大量的资金投入,才能保证。然而很多时候,由于发展的限制,医院在资金的投入使用中都有很大的限制,这就意味着信息安全建设和管理维护工作的投入资金过低,并不能更优先的发展[1]。

1.2信息安全管理体系尚未成熟

医院的信息安全管理体系是在应用风险管控的方式管理医疗数据的基础上进行改进的工作体系。但是,部分数字化医院仍然没有成熟的信息安全管理体系,在安全防范方面能力较为薄弱。

1.3操作方面的因素

在医院信息系统的应用过程中,由于操作人员主观失误、不按规定操作等行为都会出现数据输入输出错误等现象,或者泄露了本应该保密的口令,进而影响到系统运行的稳定性。

1.4系统管理方面的因素

数字化医院信息管理系统还处于不断完善的过程中,相关的安全管理制度建立不够完善,管理人员的技术水平也没有达到相关的标准。而且在安全事故预案建设方面也不够完善,导致安全事故发生之后无法高效地应对。

2数字化下医院信息安全建设的策略

2.1完善信息安全体系

首先要加强人员对信息安全的重视度。医院应对全体医务人员进行培训,并在医院各个工作环节加强信息安全系统管理。各科室要有专业信息技术人员来执行信息安全系统的维护工作[2]。根据《网络安全法》规定:“网络产品、服务具有收集用户信息功能的,其提供者应向用户明示并取得同意;网络运营者不得泄露、篡改、毁损其收集的个人信息;任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息。”医院信息安全等级保护制度中关于用户管理制度中提到信息科对员工的账号与密码不得向任何人透露,具体规定如下:①信息科对新员工配置账号与密码;在其离院时账号与密码均应注销;人事科凭借‘已注销账号和密码’为依据批准员工离院并支付其相关费用。②员工不得将自己的账号与密码告知他人,定期修改密码。③任何人员不可以登录他人的账号与密码,在未得到授权的情况下不得将任何数据告知他人。④密码应是字母与数字的组合。信息技术人员充分的了解医院信息安全系统后,应制定科学、合理的安全管理制度,对相关的工作人员进行培训,确保其能够按照医院信息安全等级保护制度以及操作规范,并对实践中出现的问题进行总结与改进,将信息安全管理制度落实到位[3]。

2.2对基础的软硬件设备进行优化配置

数字化医院信息安全系統是医院信息系统管理的重要方式,对基础的硬件与软件设备进行优化,是建设数字化医院信息安全系统的本质所在,以此来保证系统运行的高效性与稳定性。首先,基础软件层的建设。在购买操作类与数据库类的软件上必须要进行综合地考虑。其次,在终端设备层上。在采购方面也要进行全方面的分析与考虑,在能够满足基本的业务需求的基础上,还要考虑到系统自身的升级问题,以此来确保设备的使用性能。再次,在服务层上。服务是整个系统的核心,直接地影响着系统的总能。所以要根据所应用系统的特性设备与之相匹配的服务器。而在存储上也要达到一定的要求。最后,在网络设备层上。要利用星型拓扑结构进行处理。核心层要与不同的楼宇进行连接,这样能够提高路由的交换效率。汇聚层也可以与接入层的设备进行网络直连,以此来对虚拟的局域网进行划分,避免出现网络风暴等现象,促进实际工作效率的提升。

2.3信息安全人才管理体系建设

数字化医院信息安全建设与管理说到底就是人才的建设,人与人之间的管理。信息技术本身就是服务于信息安全建设与管理的,所以医院要做到来制定符合医院具体情况的信息安全,建立一支专业的、负责任的信息安全队伍,长期规划,制定战略实施目标,根据医院的具体网络安全事态来调整原本的信息安全策略措施。在空余时间举办培训班,引进先进的人才为战略目标,加强内部员工的信息安全意识和信息安全教育的培养与提高[4]。

2.4加强数字化医院信息安全技术

首先应对信息安全系统的环境进行改善,中心机房避免建设在地下室、存在大型供电、供水设备的隔壁,机房应具有防水、防震的能力。其次,在安装设备时,要确保其安全性与稳定性,对设备要进行有效的安全管理。第三,应加强防范网络威胁,建立安全性较高的访问路径,当医院网络出现病毒、黑客入侵等不安全因素时,能够及时对服务器与客户端进行安全连接,提高信息系统的安全性。

医院信息安全体系篇6

【关键词】医院信息系统;安全性;策略

中图分类号:tp393 文献标识码:a 文章编号:1672-3791(2016)01(a)-0000-00

伴随着计算机技术的日益成熟,计算机技术与各项事业的结合日益密切。截至目前,医院信息管理系统已经被广泛地用于医院的日常管理工作过程中,并发挥着不可忽视的作用。但是,在信息化的今天,信息安全也属于全体社会成员普遍关注的热点问题。在医院的工作中,医院信息管理系统包含了医院的重要数据,关系着医院的切身利益,如果医院的信息系统出现安全问题,便会导致直接的经济损失,甚至也会对医院的社会效益以及长远发展带来严重影响。但是我们发现,在医院的信息系统管理中也存在着一些不足之处,这就会对信息的安全造成了威胁,所以需要给与高度重视。本研究旨在总结和分析医院信息系统安全的策略,期望为相关的研究与实践提供参考。

1.医院信息系统的安全访问的相关策略

医院信息管理系统的特点主要是包括两个方面:第一是人员的分散性,第二便是资源的共享性。这也就是说,在医院的信息管理系统中,医生、护士、医疗技术人员、行政管理人员乃至后勤管理人员等均属于这一系统中的比较分散的操作用户,所以这一系统的人员构成比较复杂,除此之外,用户的工作职责也不尽相同。在这种情况下,要注意结合用户的工作性质和工作职责为其分配用户名以及密码,并为其设置相应的操作权限。在这一模式下,不同的用户登录后,只可在自己被授予的权限内访问相应的数据资源并执行相应的操作,这有助于减少甚至避免用户非法进入情况,能够有效地保障系统的安全性。需要注意的是,在医院信息管理系统中,系统管理员能够访问所有的资源,这就要求严格限制系统管理员的账号数量,同时要注意设置比较复杂的密码,以提高密码的安全等级,与此同时,要定期更换账户密码,以增强信息系统的安全性,防止数据信息的泄露,也能够有效地避免数据信息被他人恶意篡改[1]。

2.医院信息系统的数据的备份以及恢复的策略

2.1系统的备份与恢复策略

在实际应用过程中,医院信息管理系统可以正常运行的一个重要的前提条件就是系统的绝对安全,但是由于受到软硬件质量、人为操作等因素的影响,医院的信息系统也会存在系统崩溃等安全事故,这就对数据信息的安全性和准确性造成了一定的威胁。所以要做好系统的备份以及恢复工作。在日常工作中,我们多是使用一键ghost进行备份与恢复工作,在对计算机系统进行安装时,要注意将硬盘分为若干区域,将所安装的操作系统集中于一个区域内,然后借助于ghost软件对一份映射文件进行复制并将其放到另一个分区中,这样做的目的在于:当系统出现故障或者安全问题时,能够迅速地借助于一键ghost软件恢复数据信息[2]。

2.2后台数据的备份与恢复

在计算机系统中,后台的数据库的功能包括计划任务和启动任务,设定定时的方法有助于定期操作,可以方便地对日志进行备份和恢复,这有助于防止数据的丢失。与此同时,数据库也有还原的特殊作用,能够及时、迅速地恢复数据库中的数据信息,在医院信息系统的安全管理中,要注意充分地发挥数据库的重要作用,增强数据信息储存的安全性。

3.防治病毒的策略

计算机病毒是伴随着计算机技术的日益发展而产生的,常常会威胁系统的整体安全。这也就是说,要注意健全病毒的防治体制,及时地建立健全相关的规章制度,具体要做好以下几个方面的工作:(1)及时地备份数据服务器,尤其是要备份重要的数据,以确保系统数据的完整性,确保日常工作在系统瘫痪后也能够及时地获得正确的数据信息。(2)要注意选用正版的电脑软件,下载软件时要选用官方网站,不随便下载插件,并要定期更新,增强医院信息系统的自我防护能力。(3)充分发挥ghost软件的功能,在安装电脑软件时要为每一台电脑安装这一软件,并教会用户争取的使用方法,以便于对数据信息进行备份、恢复和还原[3]。(4)增强系统内用户的计算机知识,使其可以准确地辨别计算机病毒,自此基础上,也要增强其病毒防范意识,为其深入地介绍计算机病毒盗取数据信息、损害信息系统的严重影响,同时告知用户若发现计算机病毒,需要及时地使用杀毒软件进行杀毒,也可以汇报给网络管理部门。(5)选用正版的杀毒软件,同时也要及时地升级或者更新,以便于及时地发现并杀灭计算机病毒,维护数据安全。(6)及时地安装防火墙,以有效地防御外部恶意程序的入侵。(7)及时地完善相关的规章制度,以规范计算机的使用,要落实责任到人制度,明确每一个用户的责任,若信息系统出现故障或者安全事故,要及时地追究相关用户的责任,如果情节特别严重,则要依法追究其法律责任。(8)加强对优盘、硬盘等外部存储连接设备的管理,在连接使用前,需要首先进行全面的杀毒工作,避免将携带的病毒复制到计算机上。(9)谨慎使用内网和外网,要注意结合各个科室的实际工作需要配备内外网,若科室只需要使用外网,那么就要尽量避免连接内网[4]。

4.小结

伴随着信息技术的广泛普及的便是医院的信息化,而在此过程中,一个十分重要的组成部分便是医院信息管理系统,这一系统设计到医院日常工作的方方面面,与医院的经济利益和社会利益密切相关。鉴于此,有关医院信息管理系统的安全问题也应当引起广大医务工作者的密切关注。在医院信息管理系统中,每一个用户对于医院信息系统的有序、安全运行都有着不可推卸的责任。鉴于此,在医院信息管理系统的管理过程中,医院要定期对全部用户进行培训,培训的重点内容就是安全知识,其目的在于有效地增强每一个用户的安全防范意识,并要注意教会其应对紧急事件时的处理能力。与此同时,医院也要注意建立健全相关的安全管理规章制度,以为医院信息管理系统的安全运行提供坚实的制度保障。

参考文献:

[1]于京杰,刘方斌,马锡坤等.数字化医院信息系统的安全问题[j].中国医疗设备,2013,28(6):88-90.

[2]张云,王胤涛.医院信息系统安全等保实践――信息系统安全策略[j].网络安全技术与应用,2013,(4):26-28.

医院信息安全体系篇7

虽然信息化建设在医院越来越引起重视,但我们距离真正意义上的数字化医院还很远。医院信息化是指利用电子计算机、网络和通信技术、数据库技术及其他通讯设备,在一定的深度和广度上控制和集成化管理医疗、护理、财务、药品、物资及科研、教学等活动中的所有信息的收集、存储、处理、提取和交换,实现医院内、外信息的共享和有效利用,并满足所有授权用户的功能需求。

自从2002年开始,兴安盟医院开始使用计算机系统,并建成局域网,使用医院管理信息系统。

几年来,系统的建设和稳定运行,为医院医疗业务及各项管理工作的正常运转提供了重要保障。对提高医院的服务质量发挥了积极作用,为下一步信息化建设的发展奠定了一定的基础。

信息化建设的现状

现代化医院的服务对象呈现多元化,风险增高,信息化已成为现代化医院的必要支撑。兴安盟医院领导非常重视信息化建设,成立以院长为组长的信息化领导小组,领导小组负责制定医院信息系统建设和应用总体规划及阶段实施计划,审查和制定系统应用中的工作流程、技术规范、性能指标、有关人员职责和规章制度。

计算机信息中心人员全面负责系统规则、计划、系统配置,负责系统调试、维护、安全管理及人员培训等技术管理工作。以科学规范的医院管理体系为基础,充分利用计算机信息技术,优化医院工作流程,近几年医院管理信息系统his的稳定性有了很大提升,为临床信息系统建设、数字化医院工程的实施打好基础。

完善管理信息系统his功能,通过拓展深化信息技术在医院管理中的应用,较大幅度地提升医院管理水平。职工计算机应用能力得到较大程度的普及和提高。信息系统his、lis、pacs、电子病历、体检系统、合理用药系统、电子医嘱、护理管理软件、医生排班模块、分诊叫号、远程会诊、ca系统等软件陆续上线。

近几年兴安盟医院对信息化建设投入力度逐年提高,2009年投入了160万,到目前为止已经先后投入2000多万,主要购置了计算机、打印机、软件等。先后购置了600多台电脑,400多台打印机,软件有his系统、pacs系统、电子病历系统、体检系统、电子医嘱、临床路径、手术室管理系统、合理用药、排队叫号、医生排班、护理管理软件、ca签名医嘱上线。

信息化建设所面临的问题

人们都说信息化建设是“一把手工程”,而实际上由于医院信息化建设的过程较长、投入巨大,短期效果不明显、又无显性的经济效益,医院对信息化建设的重视不够,普遍认为信息化建设没有直接的经济收入,由于医院的作业模式还保持传统的模式,管理上多因循守旧,网络的应用效果不明显。医院信息化物资投入不足。信息化建设是一项耗资巨大、不断投入和更新的漫长工程。

医院信息化建设是需要长期稳定资金投入和凯时k66会员登录的技术支持的基本建设,并非一次性投入就可以永久解决所有问题,医院信息化人才缺乏,医院信息化需要大量的综合性专业人才。兴安盟医院信息化主要投资在硬件上。高素质人才缺乏会直接导致技术落后,最终导致医院信息化建设滞后。

加快推进信息化建设对策

一是提高对医院信息化建设的重视。形成有效的医院领导群体,全面认识到医院信息化建设对医院发展的重大意义。

医院信息化能够提供科学的管理手段、减轻医务人员的劳动强度、简化患者就医流程、为医院管理层提供科学的决策支持、促进医疗水平的提高,不应该以直接的经济效益来衡量。提高对信息化建设的重视程度,重视并赞同信息技术的使用,提高信息技术的实施与应用,促进医院信息化建设的可持续发展。

将知识管理、积累的经验和领导力量与医院信息化建设相互结合,促进医院信息化建设的长期发展。

二是增加信息化建设资金投入。医院在新时期对信息的要求要远高于以往,在软硬件选型上引入了国际国内先进理念,属于高起点、高标准、高要求。

医院信息化建设是一项复杂、庞大的系统工程,信息化建设除了软硬件投入外,在人员培训和管理咨询方面的费用也相当大,各阶段除了需要前期的大量硬件投入和软件投入,还必须保证相应的运行和维护成本,必须要有大量的资金投入到软硬件设备的购置、维护与信息化人才的培养等方面,以保证医院信息系统的正常运行和升级,并不断地满足医院发展的需求。

三是重视医院信息化人才的培养。医院的信息化建设需要大量的专业人才,进行相关人才培训。兴安盟医院的信息化建设费用主要花在硬件投资上,大约占总费用的80%~90%,医院信息化人才是医院信息化建设的关键,在推进医院信息化建设的过程中,一支强有力的凯时k66会员登录的技术支持队伍至关重要。

医院需要投入更多的精力和金钱以加强医疗信息化人才培养,医院应该培养一批既了解计算机网络又了解医学知识的人才。要加强计算机人员的待遇,从而吸引大部分计算机人才。建立充满活力、具有高水平的复合型信息化人才队伍,不断更新知识,并进一步完善知识结构,更大程度地实现自我价值。

医院信息安全体系篇8

 

前言

 

随着网络时代的到来,各项科技技术获得了极大的突破,也在实际生活中得以应用。而在现代医院运行管理中,计算机网络信息技术的综合运用便是极为明显的可靠实例。通过加强改进医院计算机系统管理与风险控制,改善医疗整体服务质量与业务能力。通过对现代医院计算机信息系统重要性分析阐述,并对其风险控制方法提出建议。

 

1 医院计算机信息网络系统建立的重要性

 

由于网络技术的飞速发展,已经对现代社会,生活,政治,经济等各方面产生深远影响,深入渗透。尤其在医院现代化管理中,医院信息网络化管理,资源数据化带来了非常大的便利,也是现代化医院建立的必要条件。借助计算机网络工具,提高服务质量,医疗水平,促进医疗事业的发展。通过信息网络管理后,使医院运营得更加规范科学。不仅推动了医院现代化改革,也对整个医疗事业的发展提供了助力,其意义与作用不言而喻。

 

传统的医院管理中,由于缺乏网络信息,往往花费大量的财力物力人力对进行日常维护。随着医院计算机信息系统的引入,不断地智能化科学化,在很大程度上对医院的资源配置进行合理优化,提高了整体的医疗竞争力。而在信息分析处理中,因为计算机的决策整合,使得最终处理结果更加合理精确。例如在对患者病情记录分析中,职员考察考核等等,都可以高速便捷的展开研究。

 

2 计算机软件信息安全维护

 

在医院计算机使用过程中,要做到医院计算机自身终端完全不受干扰破坏是不可能的,只有通过提高免疫防御能力,才能减少被感染可能性。但是由于有的高危病毒,传播速度惊人,破坏力极大,并且顽固复杂,难以彻底清除,在短时间内就能造成大量客户计算机无法工作,对医院日常的工作带来了极大的影响。应用系统在数据交换过程中可以对其进行审计,其中记录的事件内容,可能包括客户机地址,具体操作时间,与其他用户结果信息数据。在日常维护处理中,就可以对报告结果导出分析。对于用户私人数据,也应该建立严格的保护机制,安全性,只有通过权限授予才能访问读取相关的信息数据。同时为了保证关联性,可以对用户设置多个角色。系统根据角色类别进行权限操作限制,不仅可以越权操作,还可以设置角色属性限制期的功能,权限的多样化和灵活性大大保证了医院计算机信息系统的安全性。

 

3 计算机信息安全管理制度建立

 

在安全管理中,可以实施责任制度。例如成立医院信息安全管理组,医院相关负责人,以职能为参考标准,负责安全线的各项工作,定期安排任务与会议总结,发现问题,总结问题,进而深化部署医院计算机信息安全管理工作。在制度的建立中,可以参考服务器,网络设备,技术人员,数据文档相关系列的安全管理制度体系。指定人员定期维护,保存记录,做好应急预案与应急措施,做到日志化管理。

 

对于信息安全操作规范,也需要加强管理。指定系统软件,数据操作规范流程,没有授权不能进行文件复制,数据共享,系统的修改增删。定期维护服务器状态检查,分析日志,并且观测数据是否存在问题,及时发现异常点,做好日志记录,保证完整性与可靠性。可以制定培训计划,在整个培训中,目标,流程,结果应该清晰有效,如果信息安全管理小组发生变化可以及时跟进培训配合,建立独立操作局域网,模拟真实的信息系统环境,帮助相关人员快速准确掌握方法。

 

4 信息系统安全管理控制升级

 

4.1 信息安全细节化设计

 

医院网络安全数字化是一个长期整体的系统工程,主要围绕防护警示,检测检查,修改恢复这一过程循环运行。如果这一程序链中出现错误,某个环节没有按照预定设置完成,将会产生诸多负面影响。控制好每一个环节的处理,并且严格落实,通过一系列的管理制度与措施,监督责任到位,确保整个信息安全系统安全高效,持续稳定的工作。由于网络技术的不断发展,漏洞与不足暴露得越来越多,对于新应用新技术推广的同时,还需要加强培训,以满足业务工作需要。

 

就信息网络系统自身而言,采用符合实际操作情况与工作状态的结构系统,安全等级与维护难度都将能够降低难度,易于操作。构建多层次,体系化的设计使用户角色等级,权限操作,优先等级分布到更多层次,更多日志记录。那么后续维护,控制分配也将更加灵敏。结合具体的业务情况,在可用性与安全性之间寻找平衡点,在符合安全的大前提下,开拓业务,提升服务质量。

 

4.2 医院计算机信息安全风险控制升级

 

在某些医院中,计算机网络防御等级较低,需要通过加强安全性对整个系统进行升级。首先需要确保医院计算机信息网络服务器保持正常。要确定系统的长期安全。注意机房服务供电情况,布线合理,温度湿度,雷电预防等问题。保证医院服务器不间断供电,保持电源线路通畅。同时主要设备与核心设备固定器维护与检查,及时发现问题与前兆,快速有效处理。保证计算机中心温控与散热条件良好,使得整个服务器中心环境到达理想状态。保持清洁,除尘保洁,重视物理环境的维护,并且确保数据的及时正确备份。

 

另外,对于医院计算机信息主要管理人员的素质,仍然需要加强,明确权力责任,落实到点。这也关系到医院信息安全工作能否安全运行。对于网络用户也应该严格限制管理,分清患者、医务职员、管理人员的角色职能。对用户和密码加强管理,这样可以有效的避免危险数据与不明软件对服务器的攻击与伤害。

 

同时重视日常计算机系统相关记录数据。在常规服务日志的检测基础上,加以分析预判,进而实施下一步相关措施。例如服务器启动停止,异常运行数等等,都可以有助于信息系统管理者对医院计算机信息系统的全面了解,从而进行评估,得出相关结论。依托数据对系统的安全等级展开定级,制定有效制度措施防范解决问题,确保整个信息系统的安全和高效,达到风险管理控制的目的。

 

5 结束语

 

提高安全防范意识,完善制度,对于医院计算机信息安全风险管理控制方法不仅仅需要从技术角度入手,自身也需要意识到它的重要性。这不仅关系到医院的整体协作与工作效率,还影响所有部门员工统一性。需要全面了解当前信息系统中的安全问题,并积极应对。因此在提高技术的同时,依靠建立制度对员工进行规范管理,提高防范意识,确保医院计算机信息系统安全。

医院信息安全体系篇9

关键词:信息安全建设;风险;存在问题;途径

中图分类号:r197.3 文献标识码:a 文章编号:1007-9599 (2012) 12-0000-02

在新的时代和社会背景下,为了提升自身的核心竞争力,在激烈的市场竞争中把握一定的主动权,各个医院都在努力加快信息化建设的步伐,以适应国际形势发展的需要,可以说当前医院的信息化建设水平已经成为衡量医院现代化程度的一项重要标志。与传统的管理模式相比,信息化管理模式具有方便快捷的优势,在很大程度上提高了管理工作的质量和效率,但是由于网络信息平台具有一定的安全风险,因此医院的信息化建设也面临着安全威胁。为此,医院相关部门和人员必须要对此有一个正确的认识和了解,积极采取有效措施加强医院信息安全建设,尽可能地将安全风险降到最低,提高医院的经济效益与社会效益。

一、医院信息安全所面临的风险

(一)外部网络安全风险

为了满足医生查房以及传染病信息的及时上报等工作需要,在医院的很多区域都设置了无线网络,一般只要经过简单的认证就能够进入到医院的内部网络系统中,这就为攻击者的入侵活动提供了便利。再加上一些行政办公人员的网络安全意识淡薄,在打开网页或者使用邮件的过程中容易感染病毒,从而使医院内部信息系统面临严重的安全威胁。

(二)系统内部安全风险

当前我国不少医院的信息系统没有设置严格的访问权限,用户所享用的权限要比实际授予的多,并且对于调离医院的工作人员不能及时取消他们的用户权限,从而容易出现他人使用医院权限的现象。再加上一些工具软件与应用程序的设置不太科学,客户端安装了一些不必要的应用程序,使得系统内部安全风险大大增加。

(三)医院信息系统数据存在安全风险

在医院信息系统建设中,一旦服务器出现故障就可能会导致医院信息网络陷入全面瘫痪的状态,而医院信息系统数据主要是存储在服务器系统磁盘上的,因此服务器损坏会给医院的各项经营管理活动带来很大的不便,严重损害医院的经济效益和社会效益。同时,由于人为操作失误或者是感染病毒等原因,也会造成重要文件和资料被修改或者是删除。

二、当前医院信息安全建设中存在的主要问题

(一)硬件安全问题

硬件设备是确保信息系统顺利运行的基础和前提,它主要包括服务器、网络设备、以及存储设备等构件,这些硬件设备的运行状况会在很大程度上影响到信息系统的安全性和稳定性。一般医院硬件安全问题主要包括设备陈旧老化、应急设备不足、以及电压不稳定等。特别是当服务器或者是中心交换机等一些关键设备出现问题时会造成整个信息系统陷入瘫痪状态,这时一旦缺少备用设备就会使信息数据面临不可挽回的损失。

(二)软件安全问题

信息系统可以说是一个比较庞杂的人机系统,一旦操作人员进行不当操作或者是软件本身存在问题就会在很大程度上影响信息系统的正常运作。医院信息系统软件安全方面存在的主要问题一般表现为以下几个方面:首先是由于人员的操作失误导致忘记登陆密码、不能进入系统结算、无法摆药、无法打印等;其次,由于不当使用存储介质而带来的安全问题,具体来说就是随着移动存储设备的大量应用,病毒入侵现象越来越突出,单纯依靠杀毒软件与维护人员难以对病毒实施有效控制;此外,软件的意外行为也会造成安全问题,比如软件实现升级后一般会要求重启计算机,一旦没有及时保存相关数据就会造成数据的丢失。

(三)网络安全问题

在医院信息安全建设中存在的网络安全问题主要包括两大方面:1)伴随医院网络系统应用的不断开放,我国不少医院的信息网络已经逐渐变成公共信息平台的一个组成部分,并对医疗保险网络提供数据,这就不可避免地增加了人为恶意攻击或者是网络病毒入侵对医院信息系统所产生的威胁。2)当前随着计算机信息技术的不断发展,医院信息系统面临的安全威胁更多的来自内部网络,特别是近年来内部工作人员对信息系统的有意或者是无意攻击行为越来越多,从而给医院内部安全技术防范与管理工作带来了不小的压力。

三、医院信息安全建设途径

(一)加强对医院信息安全建设的管理力度

加强对医院信息安全建设的管理工作主要从以下两个方面来进行:1)制定和完善各项管理制度与操作规范,从而有效制约有关计算机操作的不规范行为,确保医院信息系统的有效运行。一般制定管理制度的最终目标是为了充分发挥和利用信息系统功能,从而提高信息系统效率,并确保信息数据质量。具体来说需要制定岗前培训制度、考核制度、网络管理制度、用户权限制度、数据备份制度、以及口令管理制度等,同时还要规范各子系统的操作流程和操作方法。2)加强对信息安全知识的宣传工作。医院大部分信息数据的采集工作都是依靠人工来完成的,一旦工作人员的信息安全意识和责任意识淡薄,就容易产生信息安全隐患,因此必须要加强对信息安全知识的宣传力度,最大限度地确保所采集信息的安全性,从源头上消除信息安全隐患。

(二)确保硬件、软件、以及网络的安全运行

主要从以下三个方面来进行:1)中心机房。由于中心机房会对服务器的安全运行产生非常重要的影响,因此在中心机房选址时要尽可能地远离各种有害气体与强电磁波的干扰,机房环境要充分满足采光、隔音、以及防尘等条件,并且要对照明灯具、湿度设备、以及空调等的配置进行综合考虑。同时,中心机房内要为计算机设备设置专门的动力配电箱,实现与其他电力负荷之间的分别供电,确保积分那个用电安全。2)服务器。作为医院信息系统的核心部分,服务器的安全运行直接关系到信息系统的安全,一旦服务器出现故障,轻则数据丢失,重则系统瘫痪。因此必须要根据医院的实际业务量来合理选择服务器,最好要配备双服务器,在主服务器出现问题的情况下由从服务器来代替其继续工作。同时还要建立健全服务器档案和运行日志,,对服务器的运行情况实施全程监管。3)网络设备。网络设备主要是用来传输信息数据的,因此网络设备的正常运行与医院信息安全关系密切,这就需要定期对路由器、集线器、交换机、以及光纤收发器等进行检查和维护。

(三)注重对病毒的防治工作

医院网络立足于互联网平台,因此必然会面临各种病毒的恶意攻击,而一旦受到感染就会造成机器罢工,甚至会迅速蔓延到其他机器上,因此必须要积极采取有效措施加强对计算机病毒的防治工作。这就需要在工作站禁止安装光驱和软驱,并禁用usb端口;如果一些工作站安装有光驱和软驱等设备,就需要配备有防病毒软件,并不断进行系统升级。同时要积极应用防火墙技术,对流经数据进行实时监控,尽可能地减少外网病毒入侵,从而避免病毒对医院信息资源所造册很难过的破坏。

(四)强化对信息数据的安全管理

数据安全是医院信息系统安全的重点和关键,因此在提高操作人员信息安全意识的同时还要建立健全数据备份和恢复策略。在信息系统中,最重要的东西不是硬件设备,而是信息数据,因此建立健全数据备份和数据恢复策略,尽可能地减少数据丢失就显得至关重要。具体来说就是要备份归档日志文件,并定期将所有文件转存到光盘或者是磁带等载体中进行异地存放;而在数据恢复策略中,要根据实际需要进行数据的完全或者是不完全恢复,以确保信息的安全。

四、结束语

在现代化医院的建设过程中,计算机信息技术的应用必不可少,当前计算机信息技术的应用水平已经成为衡量医院软实力的一项重要指标。但是计算机信息技术本身存在的安全隐患以人为因素的影响为医院信息安全建设带来了一定的难题,为此医院方面必须要加强对医院信息安全建设的认识,采取一些有效措施加以应对,促进医院的健康长远发展。

参考文献:

[1]毛琳琳.医院信息安全保障系统建设及策略分析[j].中国医学装备,2010(03)

[2]孙琦.构建安全可靠的医院信息化系统[j].中国信息界(医疗),2010(06)

[3]陈凌平,马宗庆,郭振华.医院信息系统的安全与管理[j].医院管理论坛,2010(02)

[4]黄慧勇,黄冠朋,胡名坚.医院信息系统安全风险与应对[j].医学信息.2009(06)

医院信息安全体系篇10

[关键词]医院;信息化;系统;安全建设;重要性

doi:10.3969/j.issn.1673 - 0194.2016.18.108

[中图分类号]r197.324 [文献标识码]a [文章编号]1673-0194(2016)18-0-02

医院信息化系统安全防护措施的建设对保证医院系统的安全性和稳定性具有重要的意义,其网络安全管理水平直接关系到医院中各个医疗部门的正常运作。一旦出现信息安全问题,将会导致网络瘫痪、大量数据丢失,为医院的正常运行和患者带来难以弥补的损失。因此,医院应建立健全信息化系统安全防护体系,制定相关的安全防护措施,从而建立高效、安全、稳定的医院信息化体系。

1 医院信息化系统建设的基本手段

1.1 建立完善的网络安全管理制度

建立完善的网络安全管理制度是医院信息化系统建设的基本制度保障,科学的网络安全管理制度能够保障网络运营的安全性及稳定性。为此,医院应根据自身需求,对网络系统进行科学管理,制定与各部门相关的网络安全执行规定。同时,对医院人员进行定期网络安全知识培训,使医护人员能够科学地利用信息化网络,促进医疗服务水平的提高。通过培训提升网络意识以及制定安全管理制度两方面展开工作,从制度上及意识上提升网络安全的执行效率,提高人们的安全意识。另外,落实网络安全责任制,将医院的各个环节网络安全工作责任落实到人,促进团队到个人的监督工作,通过层层问责、层层监督的形式,实现网络安全管理,与此同时,也能够实现网络安全人人有责,提升医护人员网络安全的责任心,使之能够更加用心地维护网络安全、科学使用网络,避免由于个人操作失误、人为破坏及意外泄露等原因造成网络安全问题。

1.2 加强人员管理与制度管理

医院的信息化系统与网络安全管理制度归根结底是人在使用,因此在进行网络安全建设过程中最重要的是对人的管理。第一,对人员素质及人员品质进行考核,促进人员集体意识及服务意识的加强,摒弃个人利己主义,以防止由于利益、职位等因素造成医院数据及信息的泄露。第二,在对人员素质品质进行考核的基础上要有针对地进行网络安全培训,提升网络操作的科学性,通过培训给予医护工作者正确的网络使用指引,引导医护工作者充分利用信息系统提供医疗服务的同时能够自觉维护网络安全。第三,针对一些重要的部门以及人员信息应进行网络隔离监管。由于某些部门数据的重要性以及文件的机密性,信息一旦泄露将会造成不可估量的损失,因此针对一些重要的部门以及人员信息应进行网络隔离监管,使重要数据以及医院机密文件得以保持其机密性,防止黑客攻击或网络漏洞造成的数据泄露,使医院的重要信息包括患者病例以及医院人事档案等外泄。通过以上三点具体措施来促进人对制度进行科学管理,同时也实现制度对人的行为的监督制约作用。以此促进二者协调可持续发展。

1.3 完善网络应急管理措施及事故处置方案

完善的网络安全应急措施以及事故处置方案,能够在网络安全灾难发生后切实减少网络瘫痪时间,及时恢复系统及数据,降低事故损失。为此,完善的网络应急管理措施应包括:网络监督维护工作、数据档案备份工作及事故应急处理工作。网络监督维护工作主要是指对网络安全系统的漏洞进行及时排查、修复,对可能存在的风险予以规避,避免由于监督疏忽造成的病毒侵入等问题。数据档案备份工作是指利用备份软件进行有层次有部门的数据备份工作,使医院系统数据有一个较完整的备份,一旦发生网络安全问题,可以及时恢复数据,尽可能地减少数据丢失问题。而事故应急处理工作是对网络安全事故第一时间做出反应,以减小事故损失及社会影响为基本着眼点,采取应急措施等一系列事故应急方案,保障事故的影响降低到最小.

2 医院信息化系统安全建设的重要性

2.1 促进医院系统的正常运行以及数字化管理

由于网络信息化实现了电子化病例与地域医疗系统等信息化手段的结合,为医疗工作提供了大量的医疗信息,保证了医疗手段的先进性以及获取病患信息的及时性。目前,医院各个繁杂的项目都极其依赖于网络的功能性,因此医院网络必须保证其安全覆盖24小时安全运营。故而医院网络系统的安全性对医院能否正常运行具有重要的影响作用,同时对病患得到及时高效的就医具有重要作用。可以说,医院系统安全建设是保证医院网络安全运行的前提及数字化管理的重要手段。在目前医疗系统的不断推进过程中,医院的信息网络具有较强的开放性,在给患者带来便利的同时,在一定程度上为医院的网络安全带来隐患。医院进行信息化系统安全建设时要做好实时监督,并化解医院信息网络中存在的风险,最大限度使医院各个系统避免网络攻击带来的侵害,且规避网络泄露对医院造成的经济损失和社会影响,确保医疗系统的正常运行,保证医院各项工作的顺利开展。

2.2 优化工作环境,提高医护工作效率

安全的网络信息系统能够促进系统的有序进行,优化医院的就医环境,提高医护的工作效率及病患的就医体验。应用信息系统,患者可以通过网络挂号、预约,医护人员通过信息化系统查看患者的病例以及检查结果,形成电子病历,同时针对外地客户通过互联网能够及时地获取病患病史及医治信息,优化患者看病的程序,减少患者等待时间,实现医疗模式的规范化,为患者提供更加优质的医疗服务。另外,针对敏感性部门以及管理层人员的网络,采取子网分离的安全隔离措施能够有效地排除不允许访问用户的访问请求,减少信息泄露的可能,提高重要数据和机密文件的安全性和保密性,使各部门处于安全有序的信息化系统环境中,提升医护人员的工作效率,促进现代医疗机构管理水平的全面提升。

2.3 优化经费管理,提高经济效益

安全的信息化系统能够有效防止人为恶意入侵,降低人为更改系统内数据的可能性,保证系统内数据的真实有效性。通过信息化系统,能够清晰地查看医院的医疗经费和物资管理,实现经费的合理利用,减少医院不必要的开支,提高经济效益。同时,针对于病患的医药费,患者可以通过医院各角落的终端实现药品划价,使医患就医实现公平透明化,解决患者的就医疑问。通过安全的信息化系统管理,能够优化财政系统,减少医疗经费管理漏洞,提高患者就医费用的透明度,保护医患双方利益。

2.4 能够提高医护人员网络安全意识

医院信息化系统安全的建设能够促使医院实现科学的网络安全管理制度,提高医院工作人员的网络安全意识,以使工作人员在进行医疗系统使用时,注重安全细节,减少不当的网络利用行为,例如:不在网络终端机上使用u盘、光驱等外界存储,不在终端机上拷贝等以防止病毒的偶然入侵以及数据信息的泄露。与此同时,建立网络安全信息要求各个系统的使用者建立难度系数较高的口令,以提高系统的安全性。

2.5 提升应对病毒的能力

目前,由于信息科技手段的不断提高,计算机病毒水平也不断复杂化,建立安全的信息化系统能够有效地预防病毒的侵入,通过杀毒软件部署及时修复系统漏洞,减少系统的缺陷性,使病毒无处可侵。与此同时,实现网络系统安全化能够实现网络安全管理者对客户端应用程序进行管控,提升病毒应对能力、病毒检测及病毒修复能力,有效的病毒应对能力,能够提升网络系统的安全性。而安全的网络系统能够不断提升病毒应对能力,两者相互作用能促进医院信息系统处于优化循环中。

3 结 语

医院信息化系统安全建设能够行之有效地为患者提供透明化的服务,使之账目透明,用药透明及管理透明,提高患者对医院消费的了解程度,减少医患纠纷。基于安全的网络信息系统下的医院能够利用数字化管理提升管理工作简洁性真心落实医院“以人为本”的管理理念,促进管理的有序进行,推动现代医院管理制度的完善。

主要参考文献