- 相關推薦
醫(yī)院信息安全規(guī)劃策略
醫(yī)院信息系統(tǒng)安全對保障正常醫(yī)療秩序、維護患者權益、保證醫(yī)院數(shù)據(jù)安全具有重要意義。下面是小編搜集整理的相關內容的論文,歡迎大家閱讀參考。
【摘要】目的:探討醫(yī)院信息系統(tǒng)安全現(xiàn)狀與規(guī)劃。方法:分析在醫(yī)院工作環(huán)境里信息安全面臨實際問題。結果:醫(yī)院信息系統(tǒng)安全面臨諸多有待解決的問題。結論:發(fā)現(xiàn)現(xiàn)有系統(tǒng)的缺陷并提出有效解決方案,規(guī)劃應具有體系性和原則性。
【關鍵詞】信息安全;數(shù)據(jù)庫;網(wǎng)絡應用;安全體系
一、信息安全現(xiàn)狀
1.1目前醫(yī)院信息安全存在的問題根據(jù)衛(wèi)生部關于印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的通知,三級甲等醫(yī)院的核心業(yè)務信息系統(tǒng)不得低于國家安全信息保護等級三級。據(jù)此我們對信息系統(tǒng)的各個方面進行了安全評估,發(fā)現(xiàn)主要有如下的問題:
(1)物理安全:機房管理混亂問題;機房場地效用不明確;機房人員訪問控制問題;
(2)網(wǎng)絡設備安全:訪問控制問題;網(wǎng)絡設備安全漏洞;設備配置安全;
(3)系統(tǒng)安全:補丁問題;運行服務問題;安全策略問題;訪問控制問題;默認共享問題;防病毒情況;
(4)數(shù)據(jù)安全:數(shù)據(jù)庫補丁問題;SQL數(shù)據(jù)庫默認賬號問題;SQL數(shù)據(jù)庫弱口令問題;SQL數(shù)據(jù)庫默認配置問題;(5)網(wǎng)絡區(qū)域安全:醫(yī)院內網(wǎng)安全措施完善;醫(yī)院內網(wǎng)的訪問控制問題;醫(yī)院內外網(wǎng)互訪控制問題;
(6)安全管理:沒有建立安全管理組織;沒有制定總體的安全策略;沒有落實各個部門信息安全的責任人;缺少安全管理文檔。
1.2當前醫(yī)院信息安全存在的問題,主要表現(xiàn)在如下的幾個方面
(1)機房所處環(huán)境不合格,場地效用不明確,人員訪問控制不足,管理混亂。
(2)在辦公外網(wǎng)中,醫(yī)院建立了基本的安全體系,但是還需要進一步的完善,例如辦公外網(wǎng)總出口有單點故障的隱患、門戶網(wǎng)站有被撰改的隱患。
(3)在醫(yī)院內網(wǎng)中,內網(wǎng)與辦公外網(wǎng)之間沒有做訪問控制,存在蠕蟲病毒相互擴散的可能。
(4)沒有成立安全應急小組,雖然有相應的應急事件預案,但缺少安全預案的應急演練;缺少安全事件應急處理流程與規(guī)范,也沒有對安全事件的處理過程做記錄歸檔。
(5)沒有建立數(shù)據(jù)備份與恢復制度;缺少對備份的數(shù)據(jù)做恢復演練,保證備份數(shù)據(jù)的有效性和可用性,在出現(xiàn)數(shù)據(jù)故障的時候能夠及時的進行恢復操作。
二、醫(yī)院信息安全總體規(guī)劃
2.1設計目標、依據(jù)及原則
2.1.1設計目標
信息系統(tǒng)是醫(yī)院日常工作的重要應用,存儲著重要的數(shù)據(jù)資源,是醫(yī)院正常運行必不可少的組成部分,所以必須從硬件設施、軟件系統(tǒng)、安全管理等方面,加強安全保障體系的建設,為醫(yī)院工作應用提供安全可靠的運行環(huán)境。
2.1.2設計依據(jù)
(1)《信息安全等級保護管理辦法》;
(2)《信息技術安全技術信息技術安全性評估準則》;
(3)《衛(wèi)生部衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》;
(4)《電子計算機場地通用規(guī)范》。
2.1.3設計原則
醫(yī)院信息安全系統(tǒng)在整體設計過程中應遵循如下的原則:分級保護原則:以應用為主導,科學劃分網(wǎng)絡安全防護與業(yè)務安全保護的安全等級,并依據(jù)安全等級進行安全建設和管理,保證服務的有效性和快捷性。最小特權原則:整個系統(tǒng)中的任何主體和客體不應具有超出執(zhí)行任務所需權力以外的權力。標準化與一致性原則:醫(yī)院信息系統(tǒng)是一個龐大的系統(tǒng)工程,其安全保障體系的設計必須遵循一系列的標準,這樣才能確保各個分系統(tǒng)的一致性,使整個醫(yī)院信息系統(tǒng)安全地互聯(lián)互通、信息共享。多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統(tǒng),各層保護相互補充,當一層被攻破時,其他層仍可保護系統(tǒng)的安全。易操作性原則:安全措施需要人去完成,如果措施過于復雜,對人的要求過高,本身就降低了安全性;其次,措施的采用不能影響系統(tǒng)的正常運行。適應性及靈活性原則:安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化,要容易適應、容易修改和升級。
2.2總體信息安全規(guī)劃方案
2.2.1基礎保障體系
建設信息安全基礎保障體系,是一項復雜的、綜合的系統(tǒng)工程,是堅持積極防御、綜合防范方針的具體體現(xiàn)。目前醫(yī)院基礎保障體系已經初具規(guī)模,但是還存在個別問題,需要進一步的完善。
2.2.2監(jiān)控審計體系
監(jiān)控審計體系設計的實現(xiàn),能完成對醫(yī)院內網(wǎng)所有網(wǎng)上行為的監(jiān)控。通過此體系監(jiān)控到的數(shù)據(jù)能對醫(yī)院內部網(wǎng)絡的使用率、數(shù)據(jù)流量、應用提供比例、安全事件記錄、網(wǎng)絡設備的動作情況、網(wǎng)絡內人員的網(wǎng)上行為記錄、網(wǎng)絡整體風險情況等有較全面的了解。
2.2.3應急響應體系
應急響應體系的主要功能是采取足夠的主動措施解決各類安全事件。安全事件可以被許多不同的事件觸發(fā)并破壞單個系統(tǒng)或整個網(wǎng)絡的可用性,完整性、數(shù)據(jù)的保密性。引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應該就地解決,以避免加重整個醫(yī)院信息網(wǎng)絡的安全風險。
2.2.4災難備份與恢復體系
為了保證醫(yī)院信息系統(tǒng)的正常運行,抵抗包括地震、火災、水災等自然災難,以及戰(zhàn)爭、網(wǎng)絡攻擊、設備系統(tǒng)故障和人為破壞等無法預料的突發(fā)事件造成的損害,應該建立一個災難備份與恢復體系。在這個體系里主要包括下面三個部分:政務內網(wǎng)線路的冗余備份、主機服務器的系統(tǒng)備份與恢復、數(shù)據(jù)庫系統(tǒng)的備份與恢復。
三、結論
通過對醫(yī)院的信息安全風險評估,我們發(fā)現(xiàn)了大量關于物理安全、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設備、應用系統(tǒng)等等方面的漏洞。為了達到對安全風險的長期有效的管理,我們進行了具有體系性和原則性并能夠符合醫(yī)院實際需求的規(guī)劃。
參考文獻
[1]王立,史明磊.醫(yī)院信息系統(tǒng)的建設與維護[J].醫(yī)學信息,2007,20(3).
[2]王洪萍,程濤.醫(yī)院信息系統(tǒng)安全技術分析[J].解放軍醫(yī)院管理雜志,2011,18(11).
[3]尚邦治.醫(yī)院信息系統(tǒng)安全問題[J].醫(yī)療設備信息,2004,19(9).
[4]賈鑫.基于醫(yī)院信息系統(tǒng)的網(wǎng)絡安全分析與設計[J].中國管理信息化,2013,16(10).
【醫(yī)院信息安全規(guī)劃策略】相關文章:
探析醫(yī)院信息安全保障系統(tǒng)建設及策略10-17
電腦信息安全的威脅和管理策略08-03
電子檔案信息安全管理策略論文08-17
淺談關于醫(yī)院管理策略中統(tǒng)計信息的運用探索06-07
信息產品定價策略10-09
數(shù)字圖書館信息安全策略研究論文07-14