醫(yī)院信息安全規(guī)劃策略
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了醫(yī)院信息安全規(guī)劃策略范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
【摘要】目的:探討醫(yī)院信息系統(tǒng)安全現(xiàn)狀與規(guī)劃。方法:分析在醫(yī)院工作環(huán)境里信息安全面臨實(shí)際問題。結(jié)果:醫(yī)院信息系統(tǒng)安全面臨諸多有待解決的問題。結(jié)論:發(fā)現(xiàn)現(xiàn)有系統(tǒng)的缺陷并提出有效解決方案,規(guī)劃應(yīng)具有體系性和原則性。
【關(guān)鍵詞】信息安全;數(shù)據(jù)庫;網(wǎng)絡(luò)應(yīng)用;安全體系
1信息安全現(xiàn)狀
1.1目前醫(yī)院信息安全存在的問題根據(jù)衛(wèi)生部關(guān)于印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》的通知,三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)不得低于國家安全信息保護(hù)等級(jí)三級(jí)。據(jù)此我們對(duì)信息系統(tǒng)的各個(gè)方面進(jìn)行了安全評(píng)估,發(fā)現(xiàn)主要有如下的問題:
(1)物理安全:機(jī)房管理混亂問題;機(jī)房場地效用不明確;機(jī)房人員訪問控制問題;
(2)網(wǎng)絡(luò)設(shè)備安全:訪問控制問題;網(wǎng)絡(luò)設(shè)備安全漏洞;設(shè)備配置安全;
(3)系統(tǒng)安全:補(bǔ)丁問題;運(yùn)行服務(wù)問題;安全策略問題;訪問控制問題;默認(rèn)共享問題;防病毒情況;
(4)數(shù)據(jù)安全:數(shù)據(jù)庫補(bǔ)丁問題;SQL數(shù)據(jù)庫默認(rèn)賬號(hào)問題;SQL數(shù)據(jù)庫弱口令問題;SQL數(shù)據(jù)庫默認(rèn)配置問題;(5)網(wǎng)絡(luò)區(qū)域安全:醫(yī)院內(nèi)網(wǎng)安全措施完善;醫(yī)院內(nèi)網(wǎng)的訪問控制問題;醫(yī)院內(nèi)外網(wǎng)互訪控制問題;
(6)安全管理:沒有建立安全管理組織;沒有制定總體的安全策略;沒有落實(shí)各個(gè)部門信息安全的責(zé)任人;缺少安全管理文檔。
1.2當(dāng)前醫(yī)院信息安全存在的問題,主要表現(xiàn)在如下的幾個(gè)方面
(1)機(jī)房所處環(huán)境不合格,場地效用不明確,人員訪問控制不足,管理混亂。
(2)在辦公外網(wǎng)中,醫(yī)院建立了基本的安全體系,但是還需要進(jìn)一步的完善,例如辦公外網(wǎng)總出口有單點(diǎn)故障的隱患、門戶網(wǎng)站有被撰改的隱患。
(3)在醫(yī)院內(nèi)網(wǎng)中,內(nèi)網(wǎng)與辦公外網(wǎng)之間沒有做訪問控制,存在蠕蟲病毒相互擴(kuò)散的可能。
(4)沒有成立安全應(yīng)急小組,雖然有相應(yīng)的應(yīng)急事件預(yù)案,但缺少安全預(yù)案的應(yīng)急演練;缺少安全事件應(yīng)急處理流程與規(guī)范,也沒有對(duì)安全事件的處理過程做記錄歸檔。
(5)沒有建立數(shù)據(jù)備份與恢復(fù)制度;缺少對(duì)備份的數(shù)據(jù)做恢復(fù)演練,保證備份數(shù)據(jù)的有效性和可用性,在出現(xiàn)數(shù)據(jù)故障的時(shí)候能夠及時(shí)的進(jìn)行恢復(fù)操作。
2醫(yī)院信息安全總體規(guī)劃
2.1設(shè)計(jì)目標(biāo)、依據(jù)及原則
2.1.1設(shè)計(jì)目標(biāo)
信息系統(tǒng)是醫(yī)院日常工作的重要應(yīng)用,存儲(chǔ)著重要的數(shù)據(jù)資源,是醫(yī)院正常運(yùn)行必不可少的組成部分,所以必須從硬件設(shè)施、軟件系統(tǒng)、安全管理等方面,加強(qiáng)安全保障體系的建設(shè),為醫(yī)院工作應(yīng)用提供安全可靠的運(yùn)行環(huán)境。
2.1.2設(shè)計(jì)依據(jù)
(1)《信息安全等級(jí)保護(hù)管理辦法》;
(2)《信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則》;
(3)《衛(wèi)生部衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》;
(4)《電子計(jì)算機(jī)場地通用規(guī)范》。
2.1.3設(shè)計(jì)原則
醫(yī)院信息安全系統(tǒng)在整體設(shè)計(jì)過程中應(yīng)遵循如下的原則:分級(jí)保護(hù)原則:以應(yīng)用為主導(dǎo),科學(xué)劃分網(wǎng)絡(luò)安全防護(hù)與業(yè)務(wù)安全保護(hù)的安全等級(jí),并依據(jù)安全等級(jí)進(jìn)行安全建設(shè)和管理,保證服務(wù)的有效性和快捷性。最小特權(quán)原則:整個(gè)系統(tǒng)中的任何主體和客體不應(yīng)具有超出執(zhí)行任務(wù)所需權(quán)力以外的權(quán)力。標(biāo)準(zhǔn)化與一致性原則:醫(yī)院信息系統(tǒng)是一個(gè)龐大的系統(tǒng)工程,其安全保障體系的設(shè)計(jì)必須遵循一系列的標(biāo)準(zhǔn),這樣才能確保各個(gè)分系統(tǒng)的一致性,使整個(gè)醫(yī)院信息系統(tǒng)安全地互聯(lián)互通、信息共享。多重保護(hù)原則:任何安全措施都不是絕對(duì)安全的,都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng),各層保護(hù)相互補(bǔ)充,當(dāng)一層被攻破時(shí),其他層仍可保護(hù)系統(tǒng)的安全。易操作性原則:安全措施需要人去完成,如果措施過于復(fù)雜,對(duì)人的要求過高,本身就降低了安全性;其次,措施的采用不能影響系統(tǒng)的正常運(yùn)行。適應(yīng)性及靈活性原則:安全措施必須能隨著系統(tǒng)性能及安全需求的變化而變化,要容易適應(yīng)、容易修改和升級(jí)。
2.2總體信息安全規(guī)劃方案
2.2.1基礎(chǔ)保障體系
建設(shè)信息安全基礎(chǔ)保障體系,是一項(xiàng)復(fù)雜的、綜合的系統(tǒng)工程,是堅(jiān)持積極防御、綜合防范方針的具體體現(xiàn)。目前醫(yī)院基礎(chǔ)保障體系已經(jīng)初具規(guī)模,但是還存在個(gè)別問題,需要進(jìn)一步的完善。
2.2.2監(jiān)控審計(jì)體系
監(jiān)控審計(jì)體系設(shè)計(jì)的實(shí)現(xiàn),能完成對(duì)醫(yī)院內(nèi)網(wǎng)所有網(wǎng)上行為的監(jiān)控。通過此體系監(jiān)控到的數(shù)據(jù)能對(duì)醫(yī)院內(nèi)部網(wǎng)絡(luò)的使用率、數(shù)據(jù)流量、應(yīng)用提供比例、安全事件記錄、網(wǎng)絡(luò)設(shè)備的動(dòng)作情況、網(wǎng)絡(luò)內(nèi)人員的網(wǎng)上行為記錄、網(wǎng)絡(luò)整體風(fēng)險(xiǎn)情況等有較全面的了解。
2.2.3應(yīng)急響應(yīng)體系
應(yīng)急響應(yīng)體系的主要功能是采取足夠的主動(dòng)措施解決各類安全事件。安全事件可以被許多不同的事件觸發(fā)并破壞單個(gè)系統(tǒng)或整個(gè)網(wǎng)絡(luò)的可用性,完整性、數(shù)據(jù)的保密性。引發(fā)或可能引發(fā)本地小范圍破壞的安全問題應(yīng)該就地解決,以避免加重整個(gè)醫(yī)院信息網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。
2.2.4災(zāi)難備份與恢復(fù)體系
為了保證醫(yī)院信息系統(tǒng)的正常運(yùn)行,抵抗包括地震、火災(zāi)、水災(zāi)等自然災(zāi)難,以及戰(zhàn)爭、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障和人為破壞等無法預(yù)料的突發(fā)事件造成的損害,應(yīng)該建立一個(gè)災(zāi)難備份與恢復(fù)體系。在這個(gè)體系里主要包括下面三個(gè)部分:政務(wù)內(nèi)網(wǎng)線路的冗余備份、主機(jī)服務(wù)器的系統(tǒng)備份與恢復(fù)、數(shù)據(jù)庫系統(tǒng)的備份與恢復(fù)。
3結(jié)論
通過對(duì)醫(yī)院的信息安全風(fēng)險(xiǎn)評(píng)估,我們發(fā)現(xiàn)了大量關(guān)于物理安全、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等等方面的漏洞。為了達(dá)到對(duì)安全風(fēng)險(xiǎn)的長期有效的管理,我們進(jìn)行了具有體系性和原則性并能夠符合醫(yī)院實(shí)際需求的規(guī)劃。
參考文獻(xiàn)
[1]王立,史明磊.醫(yī)院信息系統(tǒng)的建設(shè)與維護(hù)[J].醫(yī)學(xué)信息,2007,20(3).
[2]王洪萍,程濤.醫(yī)院信息系統(tǒng)安全技術(shù)分析[J].解放軍醫(yī)院管理雜志,2011,18(11).
[3]尚邦治.醫(yī)院信息系統(tǒng)安全問題[J].醫(yī)療設(shè)備信息,2004,19(9).
[4]賈鑫.基于醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全分析與設(shè)計(jì)[J].中國管理信息化,2013,16(10).
作者:杜然 單位:濟(jì)寧市第一人民醫(yī)院
相關(guān)熱門標(biāo)簽
相關(guān)文章閱讀
- 1醫(yī)院統(tǒng)計(jì)與醫(yī)院管理關(guān)系研討
- 2醫(yī)院創(chuàng)建老年友善醫(yī)院實(shí)踐淺析
- 3醫(yī)院文化與醫(yī)院管理
- 4醫(yī)院統(tǒng)計(jì)管理研究
- 5醫(yī)院成本管控分析
- 6醫(yī)院會(huì)計(jì)制度對(duì)公立醫(yī)院財(cái)務(wù)的影響
- 7醫(yī)院成本核算促進(jìn)醫(yī)院經(jīng)濟(jì)管理
- 8醫(yī)院財(cái)務(wù)會(huì)計(jì)制度對(duì)醫(yī)院運(yùn)行的影響
- 9醫(yī)院成本核算促進(jìn)醫(yī)院經(jīng)濟(jì)管理探究
- 10新醫(yī)院財(cái)務(wù)會(huì)計(jì)制度下的醫(yī)院成本管理
相關(guān)期刊推薦
-
現(xiàn)代醫(yī)院
級(jí)別:省級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
-
實(shí)用醫(yī)院臨床
級(jí)別:統(tǒng)計(jì)源期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊
-
醫(yī)院領(lǐng)導(dǎo)決策參考
級(jí)別:部級(jí)期刊
榮譽(yù):--
-
中國醫(yī)院
級(jí)別:北大期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫
-
中國醫(yī)院統(tǒng)計(jì)
級(jí)別:部級(jí)期刊
榮譽(yù):中國優(yōu)秀期刊遴選數(shù)據(jù)庫