序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術，我們為您準備了不同風格的5篇醫院信息安全管理措施，期待它們能激發您的靈感。

篇1

計算機技術所帶來的巨大生產力決定了其會在時間的推移中不斷和社會生產進行融合，發展至今，其已經融入了各大產業領域，產生了巨大的推動作用。在信息科技時代，醫療信息系統也得到了廣大人民的認可，然而，在廣大人民群眾信任的基礎上，更應當做好醫院信息的安全防護工作。醫院信息管理系統是整體工程，具有很強的關聯性，一旦系統信息出現安全問題所造成的損失將會使得醫院的各項工作停頓，給醫院造成不可估量的經濟損失，更使得人民群眾的醫療得不到保障。就當下我國的醫院信息管理系統而言，其安全防護性能過于單一，在醫院業務量不斷增加和互聯網絡通訊不斷發展的過程中，這類單一的安全防護將不能持續為復雜的業務應用提供相應的保障。因此，完善和強化醫院的信息管理系統中網絡安全的運用便是當下醫院所需要解決的一個迫切問題。

1網絡安全維護技術的要點分析

1.1備份技術

系統所涉及的功能和業務越多，其漏洞和故障可能性就越大，往往這是無法完全避免的。因此，對于保障信息系統運行而言，大多數計算機系統在設計過程中需要考慮最惡劣的情況，計劃所需的解決方案，也就是構建備份系統。所謂的備份技術是基于最惡劣狀況，在醫院信息系統出現問題，數據庫無法使用時，能夠在較短的時間重新恢復運行。這類技術需要來自于硬件設備和軟件系統的共同構建，也需要根據醫院的具體狀況制定合理備份策略，具體的備份頻率、備份時間、恢復時間等。常用的策略主要分為只備份數據庫、備份數據庫和事務日志、增量備份三類。

1.2冗余技術

冗余技術是一項保障性技術，是指在網絡及其它瞬間質量惡化的狀況下，不會因此而造成系統停機和數據庫的丟失。然而，網絡作為一種數據處理和轉發的中心，應當進行充分而全面地考慮保障。而這種網絡的保障可以利用冗余技術來完成，這類技術的應用也十分廣泛，不僅可以用于電源、處理器和設備，甚至還可以用于模塊、鏈路和以太網等。

1.3防火墻技術

防火墻是用來應對黑客侵入和保障系統安全的常用手段。防火墻通常被安置于風險區域和內部網絡之間，進行訪問的管理，形成一道內部網和外部網之間的隔離保護層（門），所有貫通兩者的連接都必須經過這道隔離保護層（門），防止非法入侵和破壞行為。

1.4加密技術信息

交換加密技術通常包括對稱和非對稱兩類加密技術，前者將同一密鑰分別應用于信息的加密和解密兩個過程，對加密工作進行了一定的簡化處理，信息交換雙方都不必彼此研究和交換專用的加密算法。然而，在非對稱加密的體系之中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一個都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密的密鑰）加以保存。

2醫院信息管理系統中網絡安全維護的具體措施

2.1醫院信息管理系統

該系統是整個醫院眾多管理子系統的綜合，子系統按照功能和應用進行劃分，其技術模式也需要依照應用和運行進行改造。例如：醫生查房系統由于涉及范圍和距離較小，可以利用無線網絡；而分院之間的信息管理系統則由于相距較遠，需要利用ADSLModem來構建與中央數據庫服務器之間的鏈接，以此提升整個醫院信息系統的安全性。在安全監管和安全維護上利用統一性的管理原則，可以使得數據的安全性與可控性得到強化，在面對不可抗力時，能夠盡量減少數據損失。

2.2醫院信息系統網絡工作環境特點及漏洞分析

就當下我國大多數醫院信息管理系統工作而言，具有非常相似的特點：首先，醫院網絡是內網，利用防火墻和外網進行隔離；其次，醫院工作人員在進行開機鏈接中央數據庫服務器時往往并不需要十分復雜的口令；最后，“禁止使用以U盤為主的存儲設備”并沒有得到醫院管理層和基層的嚴格執行。因此，不少問題就此而產生，同時，也給醫院信息管理系統埋下不少的風險因子。現階段，我國醫院大多數的信息管理系統是以Windows平臺為基礎進行構建的，因為其相對于Linux系統而言存在更多安全漏洞，容易被黑客所利用，成為攻擊的對象和目標。而且在內網和外網隔離的條件下，這類漏洞往往不會在發生的第一時間進行及時修復，形成了數據丟失風險。除此之外，由于醫院的大多數計算機都是公用型設備，為了方便工作人員進行使用，密碼相對簡單甚至沒有設置。當非相關人員打開計算機之后，就有可能出現資料泄露的風險，一旦被破壞分子利用就會造成嚴重的損失和后果。除此之外，醫院出于便捷性考慮，沒有對包括U盤和收集在內的外部移動儲設備進行限制，造成醫院信息管理系統的封閉性仍舊存在一定缺口，這一缺口也在被黑客利用之后成為入侵系統的重要渠道，所造成后果不可估量。

2.3信息系統防御體系的設計和構建

威脅醫院信息管理系統內部局域網安全的問題較多，但其大致上可以分為以下幾類：一是網絡設備受損；二是網絡設計缺陷；三是網絡環境風險較大；四是遭遇非法訪問等。據此,網絡安全技術應用于醫院信息防御體系的設計之中時,需要進行以下的措施。首先，在整個信息系統上，采用VLAN（虛擬局域網技術）作為主要網絡技術，由于其采用邏輯地址分段而不是根據其物理地址分段，使得其能夠實現虛擬上的分組。其次，醫院信息系統使用專門的vpn對內網進行訪問，結合防火墻技術進行訪問用戶的內容和行為進行監控，一旦發現風險或是觸發風險預警，馬上進行控制，防止進一步風險或是攻擊的出現。最后，為了避免漏洞在發生的第一時間不能被完全處理，醫院信息管理系統應當逐步推進LINUX平臺的建設，對系統漏洞進行規避，提升信息系統網絡安全性能。除此之外，還需要對網絡設計缺陷和網絡設備狀況重視起來。網絡設計的缺陷會導致在某些狀況下系統無法處理，這時候需要提前做好預防措施，以防止嚴重問題的產生。設備損壞則會直接影響信息系統的安全性。在此之中，軟故障是最難以解決的一種。它會使醫院處于難以運行的狀態，并且排查困難，對排查人員的專業知識和熟練度要求較高，所以一旦出現軟故障問題，則應該調動大量的專業人員對其進行解決與處理。

3結束語

計算機技術和網絡技術的發展應用，極大地推動了我國醫院信息系統的建設，為醫療信息的整理和分析提供了巨大的助力。然而，由于網絡環境的復雜性，醫院信息系統管理也面臨了極大的風險性和不確定性。因此，醫院需要從實際問題出發，對自身的信息管理系統進行網絡安全性的強化，切實有效地保障自身的信息安全和系統運行安全。

參考文獻

[1]劉琰瑾，張新.探析網絡安全技術在醫院信息系統中的應用[J].網絡安全技術與應用，2015.

[2]何磊.試論新環境下醫院信息網絡系統的安全管理策略[J].通訊世界，2015.

[3]李安成.醫院信息網絡安全管理[J].電腦知識與技術，2013.

[4]冉建忠，劉秀華.淺析醫院信息網絡安全管理[J].計算機光盤軟件與應用，2013.

篇2

信息時代的到來，不僅深刻的變革人類現有的生活方式，也極大加速醫院內部各部門間的信息管理系統的建設進程。當下各大醫院之間的核心競爭力之爭，業已由傳統的醫院之間的醫療設備的競爭轉變向醫療機構運行系統的便民性、信息化管理，這既是信息技術時代對醫院的現實訴求，也是緩解長期以來存在的就醫難困境的一個突破點。同時，由于醫院的信息管理系統中通常包括病患的個人信息、醫院的經濟狀況等相對隱私的重要信息，保障現行醫療部門中所運行的信息管理系統的安全就顯得至關重要。

1、醫院信息管理系統的含義

關于醫院信息管理系統的含義，多方學者都試圖從不同角度和側重點對其進行詮釋。一位美國信息系統的權威學者毛瑞斯克倫就信息化管理對醫療機構的影響力角度，給出這樣的定義：“運用互聯網技術和通信設備，在整合醫療機構內部人流、物流和資金流的基礎之上。為實現滿足信息管理系統下全部授權用戶的需要，對醫療機構內部各部門中醫患的診療信息、組織的日常運營的管理數據信息進行的集中采集、處理過程。由于醫療機構本身特有的屬性，決定醫院的信息管理系統的復雜性和整合難度要遠遠超過同級別的其他機構。

2、目前醫院信息管理系統存在的安全隱患

2.1醫院信息管理系統安全意識淡薄

一方面，由于在部分醫院中的管理者仍然執行傳統的管理方法，沒有對信息管理系統安全問題投入足夠的重視。使得下面的工作人員也會隨波逐流，對于信息管理系統的使用也只是流于形式，對相關信息系統的維護、開發工作做的不足。另一方面，由于大多數的醫院對于信息管理系統安全知識的普及工作做的不是很到位，加之部分醫院為了縮減人工成本，錄用的非專業工作人員素質相對偏低，不能勝任信息系統的正確的使用和維護工作，這無疑會增加信息管理系統的主觀安全隱患。

2.2醫院普遍缺少信息管理系統安全預案

一方面，由于醫院科室相對較多，信息管理系統相對較分散和復雜。而且不同科室信息系統有存在重疊的可能性，這在很大程度上增加制定醫院信息管理系統安全預案的難度。加之部分領導憂心制定信息管理系統安全預案的工作繁雜，使得安全預案遲遲不能出現。另一方面，醫院信息管理系統中存在部門間和人員間協調性差的問題，加之日常沒有相關的信息管理系統是安全規范。對于突發的信息管理系統問題，很難在第一時間有明確的機構或人員做出及時應對。

2.3醫院對信息管理系統安全缺乏必要的技術防范

信息管理系統的安全有賴于數據庫的安全運行和數據的完整，而由于醫院在實際的信息管理系統使用過程中缺少必要的相關技術人員，加上懈怠疏忽的工作態度作祟，缺乏對重要數據的備份保存的工作習慣，使得醫院的信息管理系統在受到外界惡意攻擊或由于自身工作人員錯誤操作時，就會造成大量的數據流失，甚至導致醫醫療機構的信息管理系統癱瘓。這樣不僅使院方蒙受一定程度的經濟損失，由于有關病患個人信息的數據的泄露和醫院就診日常工作效率的降低，最終也會導致醫院公信力的下降。

3、保障醫院信息管理系統安全運行的措施

3.1強化加強對醫院信息系統的數據備份和安全審計

數據對整個信息管理系統的重要性不言而喻，為了降低因為信息系統突發故障或者遭受惡意供給而帶來的數據丟失現象的出現，醫院要適時的對管理信息系統內部的數據建立完備的備份和恢復方案。以能夠在最短時間內應對由不明外力而造成服務器癱瘓和相關數據丟失，將不良安全隱患帶來的影響降到最低。在提升信息管理系統化軟件穩定性的同時，可以考慮二次備份數據庫的做法。同時，可以考慮定期對醫院信息管理系統進行數據庫的網絡安全審計與日志分析，從動態角度掌握信息管理系統的實際運行狀態，可以對追蹤網路惡意攻擊和恢復系統數據提供條件。

3.2制定保障醫院信息系統安全運行的預案

首先，要強化醫療機構內部工作人員的信息系統安全意識，因為這些人是操作信息系統的主體。相關部門要制定必要的安全規范章程和操作流程標準，例如要求相關系統的操作指令要達到的安全保護程度和使用權限，都要做出明確的規定，從源頭上降低由主觀失誤造成的安全隱患。并通過日常的信息系統安全培訓學習使工作人員形成良好的操作習慣。其次，包括對醫院信息系統有關的硬件、軟件等存在的隱性安全風險和潛在故障的應急措施都應該列入安全預案之中，包括出現問題后應該由哪些具體的部門來處理，大到部門機構，小到具體的負責人員都要做好明確的分工并予以公示，一旦特殊情況出現可以在第一時間將損失降到最低。最后，要根據醫院信息管理系統安全隱患的等級劃分應對預案，并可以通過設定緊急系統安全狀況處理預案和常規系統安全狀況處理預案的方式，提升醫療機構應對信息管理系統安全問題和維穩就醫秩序的能力。

3.3實施醫院信息管理系統的流程再造

篇3

關鍵詞：醫院 信息系統 安全

中圖分類號：R197.3 文獻標識碼：A 文章編號：1003-9082 （2017） 04-0222-01

在醫院信息系統建設中，信息安全為一種重要組成部分。醫院信息系統的安全性主要涉及備份方案的可靠性、網絡安全、計算機病毒防治等。信息系統一旦出現安全問題，會對醫院工作效率、工作質量產生嚴重影響。因此，加強對醫院信息系統安全實施科學管理，對醫療機構相關醫療服務工作開展效率及質量的保證及提高均具有重要價值[1]。本文主要以新形勢下醫院在信息安全方面所面臨的挑戰作為切入點，對醫院信息安全有效防治措施進行深入研究，旨在為醫院信息系統安全性提供更多保障。

一、新形勢下醫院信息系統安全面臨挑戰

1.信息安全管理策略、責任缺乏明確性

目前，多數醫院在實施信息安全管理過程中，未能制定符合醫院實際情況的安全管理措施、規劃，或未能及時對管理策略進行修改。同時，醫院領導對信息安全管理重視程度不夠，未能及時發現存在的安全隱患，未能實施預見性、針對性風險評估和防范。這導致醫院信息安全管理缺乏有效、科學的防治措施，管理責任含糊不清，安全防控效果差。

2.系統數據存在安全隱患，信息安全事件頻發

目前，多數醫院在實施網絡安全建設過程中所選用的安全產品還缺乏聯動，部署存在不均衡性，安全信息未能得到有效挖掘，縱深安全防護未能形成，防護效果較低[2]。同時，隨著計算機網絡技術發展速度的不斷加快，計算機系統漏洞、病毒泛濫等網絡安全問題頻發。醫院網絡因未能形成有效的安全防護，用戶終端未能及時實施系統升級、漏洞修補、病毒查殺等，這均為網絡信息系統安全埋下隱患，對醫院信息安全造成巨大威脅。保證用戶端的安全，通過用戶端對威脅入侵網絡進行阻止，對訪問網絡實施嚴格控制，為保證醫院網絡安全和信息安全的重要前提，同時也是醫院目前信息系統安全管理中必須要解決的一個重要問題。

二、應對信息安全挑戰措施

1.加強制度、隊伍等建設及完善，提升安全管理水平

首先，醫院須積極建設安全機構，將信息系統安全管理責任進行明確劃分。同時設立專門信息安全領導小組，并將小組中各個成員的安全管理職責和責任明確，并嚴格把控相關責任人管理責任的落實情況。領導小組須不定期組織開展信息系統安全檢查，并實施安全事件處理應急演練。其次，加強管理隊伍建設，提升管理人員的安全防范意識。醫院應積極建設一支高專業素質和能力的安全管理隊伍，為信息系統能夠正常運行提供有效保障。醫院可通過院內培訓、院外引進等方式，加強對管理人員實施信息安全教育和培訓，促進其安全防范意識以及應急處理能力得到有效提高。再次，積極建設并不斷完善安全制度，對安全管理策略進行不斷改進和優化。醫院須建立一套包含網絡、應用、運行、信息安全等諸多個方面的，具有可行性和可行性的規章制度。同時，醫院以自身信息系統實際情況作為根據，對信息安全管理的等級、范圍進行明確，制訂出切實可行的出入機房管理制度、網絡操作使用規程、網絡系統應急措施及維護制度等，積極建立起適合自身實際情況的信息安全管理策略，提高管理有效性，保證醫院信息系統運行的安全性。

2.制定規范性信息安全管理流程

首先，對信息系統登錄密碼實施規范化管理。單位中所使用的密碼須通過“暗文”的方式進行保存，同時配上相應的修改密碼記錄，定期實施密碼修改。其次，對系統使用權限進行規范管理。業務軟件需要將原有用戶取消或增加新用戶時，必須要嚴格按照要求認真填寫情況說明表，經所在科室負責人簽字，之后信息科才能實施用戶撤銷或新用戶添加操作，同時向新用戶分配相應的操作權限[3]。同時，當員工需實施統計、其他操作權限變更時，須按照要求填寫好說明表，交由科室負責人簽字，然后交由相關行政科室進行審批，獲得同意后信息科才能進行修改。再次，對第三方訪問進行規范控制管理。將第三方訪問者須將計算機的IP地址綁定于MAC地址，然后才能訪問單位內部網絡。第三方訪問內部網絡或出入信息科均須認真填寫登記表；應要求第三方使用信息科計算機訪問內部網絡，其不使用信息科電腦訪問網絡時須填寫申請表格，并有信息科負責人簽字，由相關科室進行審批，同時之后才能訪問。

3.運用技術加強信息安全管理

首先，積極強化冗余技術應用。醫院的信息網絡運行狀況直接關系整個醫院業務系統的運行狀況，網絡變化、故障的出現均會導致醫院相關業務正常運行遭受嚴重影響，甚至可導致業務系統出現中斷，因此，在信息安全管理過程中必須保證網絡運行的可靠性進行充分考慮。冗余技術的運用可有效保證網絡運行的可靠性。該種技術主要由處理器冗余、電源冗余、模塊冗余等技術構成。其次，強化加密處理技術。為了保證信息系統涉及相關數據的安全性，必須建立可靠、安全的數據中心，杜絕相關安全隱患，增加數據安全等，保證患者信息及時交互得以實現。加強對信息實施加密處理，選用先進的驅動級加密技術、虛擬化技術等，對重要信息及文件M行加密。此外，還應加強使用先進入侵檢測技術，保證被攻擊組件及時得到識別被隔離，提高系統防御能力，保證信息系統安全。

三、結束語

醫院信息安全管理為一項具有復雜性、系統性的工程，為了保證信息系統安全、可靠性，醫院必須建立起一套健全、有效的安全管理控制及防御體系，積極應用相關先進技術實施安全防治工作。只有這樣才能正在保證醫院信息系統運行的安全性。

參考文獻

[1]開拓.醫院網絡信息的不安全因素分析及防護措施分析[J].網絡空間安全，2016，16（Z1）：609-610.

篇4

關鍵詞：醫療衛生行業；信息安全；等級保護；管理制度

1引言

隨著信息化、數字化、網絡化的發展，大數據和換聯網+也進入了醫療衛生行業，加快了醫院信息化的發展。隨著醫院業務的發展，醫院信息系統的應用也更加廣泛，醫院對其依賴性會越來越強，風險也隨之會提高。但醫療服務的特殊性決定了醫院信息系統需要24小時不間斷運行，這就對醫院的信息安全管理提出了更高要求。信息安全管理是指導和控制組織關于信息安全風險相互協調的活動，它是了解體系安全狀態、實現信息安全目標的重要關口，主要包括信息安全風險評估、風險管理和技術措施的控制。如何更好地進行信息安全管理成為一個不可忽視的問題，因此，在醫院信息化建設的同時加強信息安全管理建設是解決醫院信息安全問題的必然選擇。

2我國衛生行業信息安全管理政策

2010年原衛生部制定的《衛生信息化建設指導意見與發展規劃（2011-2015）》（“十二五”規劃）明確提出了我國醫療信息化發展的藍圖和發展方向“35212工程”，建設信息安全體系即是最后一個“2”中的一項。按照《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》（衛辦綜函〔2011〕1126號）的要求，三級甲等醫院應于2015年12月30日前全部完成信息安全等級保護建設整改工作，并通過等級測評。這標志著我國衛生行業開始通過信息安全等級保護加強對醫院信息安全的管理。原衛生部、國家中醫藥管理局在2012年6月15日的《關于加強衛生信息化建設的指導意見》指出，要加強衛生信息安全保障體系建設，落實國家信息安全等級保護制度。國家衛生計生委規劃信息司在2014中國健康大會上也指出，醫療衛生信息化是國家信息化發展的重點，已納入“十三五”國家網絡安全和信息化建設重點。

3醫院信息安全管理需求

據《南方都市報》報道，2008年5月以來，香港連續爆出泄密事件：先是醫管局下屬醫院陸續發現患者資料遺失，共涉及1.6萬名患者，此事立刻轟動了全港。2010年5月23日，一張神秘的清單在網上曝光，其中列出了寧波市某醫院45名醫生的工號、名字和所屬科室，后面還注明了他們使用藥品氨曲南的數量和總價，雖然腐敗得到懲戒，大快人心，但所暴露的醫院的潛在威脅值得警惕。2013年7月，寧波兩家醫院掛號系統癱瘓事件，同樣也引起了社會各界對醫院信息系統安全的高度關注。2015年10月份的澳門山頂醫院最大泄密事件，患者資料隨街散落，也折射出醫療衛生行業信息安全問題的嚴峻性。信息化在給醫院帶來便利的同時，也帶來了醫院信息安全的隱患，上述嚴重的信息安全事件給醫院的信息安全管理敲響了警鐘。醫院信息系統承擔著整個醫院的內外各項業務，其安全狀況直接關乎患者隱私和健康、社會秩序及穩定等。加強信息安全、消除信息安全隱患，已經成為醫院當前必須要面對的問題。

4醫院信息安全管理制度的發展對策

在《信息系統安全等級保護基本要求》和醫院評審的相關標準中都提到了信息管理部分，都強調了信息安全管理，并且都是對醫院進行此兩方面評審時的重要的評審部分。結合這兩方面的評審要求，可以分別從安全管理制度、安全管理機構、人員安全管理、系統建設安全管理、系統運行安全管理五個方面，對醫院信息安全進行管理。

4.1建立完善的總體安全管理制度

醫院應根據自身的實際情況制訂總信息安全管理制度，總信息安全管理制度是一個醫院的根本管理制度，規定醫院信息安全管理的根本任務和根本制度，是醫院信息安全工作的總體方針、總體目標、總體原則，是其他信息安全管理制度制訂的依據和基本要求。總信息安全管理制度中應嚴格明確制度制定與的流程、方式、范圍等，應定期組織相關部門對安全管理制度進行評審與修訂，以滿足醫院信息化不斷發展的需要。

4.2應建立穩固的安全管理機構

醫院應根據總體安全管理制度的基本要求設置安全管理機構和安全管理崗位，并制定《崗位設置與職責管理制度》，應明確“三員”（系統管理員、網絡管理員、安全管理員）崗位與職責。醫院信息安全管理不是某一個部門的職責，而是全醫院相關部門都要參與，從自身做起，從上述某醫院的信息安全管理機構圖來看，信息安全領導小組對醫院信息安全管理進行定期評審，再由醫院最高領導的支持，然后直到一線的人員，每個崗位都有明解的崗位職責，達到穩固的管理，責任到人，能滿足醫院信息化不斷發展的需要。

4.3配備專業的信息化人員，制定完善的員工信息安全管理制度

醫院人事主管部門，應針對醫院的實際情況例如可制定《人員錄用制度》、《人員離崗制度》、《人員考核制度》、《安全教育和培訓制度》、《外部人員參觀訪問制度》等人員工信息安全管理制度。在人員錄用方面應按照制度流程對被錄用人員進行資格審查，對于在醫院從事關鍵崗位的人員應當簽署保密協議等，在離職時應按照制度流程辦理離職手續，例如應回收醫院發放的各種身份證件、鑰匙、秘鑰并注銷一切其所擁有的信息系統賬號等；在人員考核方面應定期對各個崗位的人員進行信息安全技術及信息安全認知的考核，確保在崗人員都有維護醫院信息安全的義務；在人員的安全教育和培訓方面，應對各類人員定期進行信息安全教育和培訓，提高其安全意識，明確責任和獎懲措施；在外部人員來醫院參觀訪問方面，應用按照制度進行授權和審批，確保醫院運行安全。

4.4完善醫院各類信息系統的建設，制定切實可行的信息系統安全管理制度

信息化數字化醫院建設只有起點沒有終點，醫院在各類信息系統建設方面應根據自身的實際情況，制定完善可行的信息系統建設規章，可保障醫院相關部門在信息系統建設過程有據可依、有規可循。例如醫院可制定如下關于醫院信息系統建設的管理制度：《醫院信息系統定級管理制度》、《醫院信息系統安全方案設計管理制度》、《醫院信息系統產品采購和使用制度》、《醫院信息系統自行軟件開發制度》、《醫院信息系統外包軟件開發制度》、《醫院信息系統工程實施管理制度》、《醫院信息系統測試驗收管理制度》、《醫院信息系統交付管理制度》等。

4.5制定切實可行的醫院各類信息系統運行管理制度，滿足醫院各類業務的適時訪問需求

醫院各類信息系統建設的目的是為了更好地滿足各類業務的需求，保障建設好的各類信息系統更好的運行。醫院信息系統管理者應從管理方面制定切實可行的管理制度，同時針對不同的醫院使用人員，制定不同的使用操作手冊，讓醫院的使用者達到規范操作，這樣可以大大減少人為誤操作導致的系統故障，方便運維人員對系統的維護。例如醫院可根據信息系統的實際情況制定如下運行管理制度：《醫院信息系統環境管理制度》、《醫院信息系統資產管理制度》、《醫院信息化介質管理制度》、《設備管理制度》、《醫院網絡安全管理制度》、《醫院信息系統安全管理制度》、《醫院惡意代碼防范管理制度》、《醫院信息系統密碼管理制度》、《醫院信息系統備份與恢復管理制度》、《醫院信息系統安全事件處置制度》、《醫院信息系統應急預案管理制度》等。

5總結

信息化、數字化醫院建設只有起點沒有終點，醫院信息系統安全伴隨著信息化數字化醫院建設同樣沒有終點。醫院需要高度重視信息安全管理，制定一套切實可行的信息安全管理制度和措施，才能更好地保證醫院信息系統安全、高效、穩定的運行。

參考文獻：

[1]蔡文濤.淺談醫院信息系統網絡安全[J].中國現代醫生,2009(32):116-117.

[2]李剛.醫院信息系統安全管理問題淺析[J].中國管理信息化,2013(1):39.

[3]楊棟,劉立輝,任志剛.醫院信息安全管理與措施[J].中國醫療設備,2011,26(6):70-72.

篇5

1 引言

 

隨著醫院的發展和信息化的進步，信息系統滲透到醫院的各個角落。醫院的醫療業務、教學、研究對信息系統的依賴性是不容置疑的。醫院的信息安全不僅是保證醫院有效秩序的前提 ，還是保障醫院的財務管理等方面巨大的支撐，并且安全的醫療信息數據才能夠有效地提高病人的治療效果、維護病人的權益。因此加強管理和監控，加強醫院有關信息安全系統方面的建設 ，是醫院良好有序發展的前提以及客觀要求[1]。因此對信息安全的認識從方方面面都得到了前所未有的重視。作為走在信息安全研究前列的大國，美、俄、日等國家都已制定自己的信息安全發展戰略和計劃，確保信息安全沿著正確的方向發展。2000年初美國出臺了電腦空間安全計劃，旨在加強關鍵基礎設施、計算機系統網絡免受威脅的防御能力。2000年7月日本信息技術戰略本部及信息安全會擬定了信息安全指導方針。2000年9月俄羅斯批準了《國家信息安全構想》，明確了保護信息安全的措施。

 

我國對信息安全研究起步較晚，目前已初步建成了國家信息安全組織保障體系[2]。我國在1994年頒布了《中華人民共和國計算機信息系統安全保護條例》。在以后的十幾年中，國家又出臺了多個法律、法規，對信息安全等級保護的具體內容、職責和工作方法做了具體的規定。在2007年公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室出臺了《信息安全等級保護管理辦法》。首都醫科大學附屬醫院北京婦產醫院(以下簡稱“北京婦產醫院”)正是借著《信息安全等級保護管理辦法》的實行，促進了院信息安全工作的發展，提高了信息安全的水平。從2007年到今天，院信息安全等級保護工作已經走到了第十個年頭。這十年信息安全建設大約分為兩個階段。

 

2 第一階段：夯實制度基礎，加強邊界防護

 

北京婦產醫院于2007年10月根據《信息安全等級保護管理辦法》的要求和醫院的實際情況，把醫院的核心系統HIS和LIS系統定為二級系統。在隨后的幾年中嚴格按照等級保護二級系統的規范進行建設。

 

2.1 制定和完善制度，促進安全管理

 

任何技術都只是手段，而人是最重要的因素，能把兩者有效的、高效的結合在一起的是管理。管理又是通過制度實現的。參照等級保護的要求，增加制定了網絡安全管理制度、計算機病毒防治管理制度、業務網絡安全管理規定、信息安全數據使用授權制度和重大信息安全事件報告制度等制度，基本做到了制度完備。通過信息安全管理相關規范的制訂與，確立信息安全方針，對信息安全管理體系文檔的制訂、、修訂、評審進行約定，以保證信息安全管理規范文檔的嚴肅性。通過制訂全院統一的信息安全策略，有效指導信息安全管理與技術工作的開展，為全院建立了統一的信息安全策略標準。

 

2.2 提高信息安全意識

 

在領導層面，北京婦產醫院建立了醫院信息系統安全領導小組，明確信息安全工作由院長負責，成員包括信息科、院辦、醫務科等相關科室領導。在基層層面，根據技術專長和日常工作把工作人員安排為信息安全管理員、安全審計員、系統管理員等。這樣不僅使每個人了解信息安全，還要負責信息安全的事，同時也讓工作人員時時刻刻有信息安全的意識，還把信息安全內容納入到每年進修人員和新入職人員培訓日程之中。

 

2.3 加強中心機房的安全建設和管理

 

北京婦產醫院參照《信息系統安全等級保護基本要求》進行信息化基礎設施建設。中心機房配置門禁系統，機房出入口安排專人值守，控制、鑒別和記錄進入的人員。外來人員進出機房須獲得機房管理員的授權，對人員及設備進出情況進行記錄。中心機房內服務器、網絡設備均安置在機柜內并固定，對設備與走線進行了標識。中心機房設置防盜報警系統、視頻監控系統、自動消防系統、空調周圍安裝漏水檢測報警系統等物理安全設備。目前中心機房物理環境基本達到了等級保護三級系統所要求的物理環境，物理安全防護措施相對完善。

 

2.4 部署了基線網絡監控管理系統

 

此系統能夠通過SNMP協議獲得被監控網絡設備、服務器、通訊線路、網段、應用等有關信息，包括系統信息、網絡連接、TCP連接、程序運行、 ARP表、路由表以及CPU負荷等。網絡管理員可以通過此系統對全網絡可以實時的監控。此系統還可以對IP地址的全局使用情況有一個清晰準確的統計，對于 IP地址使用的管理、分配都可以起到很好的輔助作用。

 

2.5 部署了桌面管理系統

 

此系統能夠遠程維護、遠程控制為網絡的管理、維護與故障診斷提供了全方位的平臺。在管理、維護或故障排除需要時，網絡管理員可以通過本功能遠程登錄客戶機，當服務器顯示客戶機桌面后，即可以對其進行相應的操作。通過桌面管理系統可以管理外部設備，我院業務網禁用了U盤、軟驅、光驅、UBS等各種各樣的外部存儲設備，減少病毒通過外部存儲設備進入到業務網中的可能。通過桌面管理系統指定部分關鍵終端進行IP地址綁定，進一步提升了業務網的安全性。桌面管理系統還不斷地進行更新、升級，以提升網絡的防護水平。

 

北京婦產醫院通過信息系統的等級保護定級工作，對醫院的信息安全狀況進行了一次較為全面的摸底，認識到自身信息安全水平和問題所在。針對信息安全投入了相當的力量，通過以上和其他措施加強了防篡改、防病毒、防泄密等方面的安全，提升了業務網的邊界防護能力，使其處于基本安全的環境中。

 

3 第二階段：持續性推進，再上臺階

 

2007年至2012年，北京婦產醫院年門診量從7萬人次增長11萬人次;年出院人次從2.5萬人次增長到約3萬人次;病房手術人次從1.9 萬人次增長到2.5萬人次。HIS系統的主要用戶醫生、護士、醫技人員也從500余個增加到約1200余個。HIS系統的應用大大提高了醫院工作效率，使醫院的資源得到了更合理的優化配置。但是同時對信息系統的依賴性越高，也就對信息系統的安全有了更高的要求。在2012年《北京地區衛生行業信息安全等級保護工作實施細則》中提出：“三級甲等醫院的核心業務信息系統的安全保護等級原則上不低于第三級”。針對過去的問題和三級的要求，積極進行整改和推動信息安全工作，在2014年將核心系統 - HIS系統原定級2級提升為3級系統。

 

3.1 確定保護對象及其區域邊界，打好建設基礎。

 

根據北京婦產醫院業務的發展需要，原有的內、外網物理的隔離的網絡拓撲將隨著區域衛生平臺、網上預約掛號等業務的推進而發生結構性的改變。如圖1所示。

 

因此，醫院原有相對獨立的業務網將會受到來自互聯網以及其他第三方網絡威脅源的攻擊。北京婦產醫院與時俱進，根據《信息系統安全等級保護基本要求》首先確定了保護對象及其區域邊界。根據醫院信息系統的計算環境劃分情況，圍繞信息系統確定出區域邊界：

 

(1)東院業務域計算環境區域邊界;

 

(2)西院業務域計算環境區域邊界;

 

(3)東院終端控制域計算環境區域邊界;

 

(4)外網業務應用域計算環境區域邊界;

 

(5)內網數據交換前置域計算環境區域邊界;

 

(6)外網無線網絡域邊界;

 

(7)安全管理域計算環境區域邊界;

 

(8)內網辦公終端域計算環境區域邊界;

 

(9)外網辦公終端域計算環境區域邊界。

 

保護對象及其區域邊界的確定，為以后的計算環境、區域邊界、通信網絡等安全保護設計和實施奠定了堅實地基礎。

 

3.2 完善日常安全管理，切實落實安全制度

 

北京婦產醫院以前更多地關注技術的提升，有了等級保護要求之后，使得大家能全方位來看待信息安全。從安全管理平臺角度來看，技術安全和管理安全同等重要，而在實際工作中，網絡維護人員常常忽視管理層面的安全防護，如安全制度的建立和長期執行，機房登記制度等[3]。

 

北京婦產醫院的信息安全制度根據實際情況進行不定期修改，使其具有科學性和可操作性。為保證信息安全制度及各種安全管理手段與技術的落實，信息科制定了完善的巡檢制度。巡檢人員按規定時間、內容及技術路線對設備進行巡回檢查，巡檢的內容涵蓋了全院。硬件包括中心機房的服務器、交換機;門診大廳的自助打印機、排號機;中心機房和各個樓層設備間的環境監控和消防等，軟件包括數據庫監控、病毒監控和移動存儲設備的監控;磁盤空間容量、系統運行情況等。巡檢人員每日巡檢項目11大類504小項，巡檢內容還要及時向上級進行反饋，以保證各種安全隱患的得到及時處理。同時還記錄每天的程序改動、軟件問題等信息，便于事后追溯。

 

3.3 提高數據備份與恢復能力，降低安全事件帶來影響和損失

 

北京婦產醫院原有利用東、西兩院區各自獨立的機房，采用了后臺磁盤陣列之間的遠程鏡像技術，實現東、西兩院區數據同步和遠程容災。通過存儲在不同存儲設施上的鏡像數據，可以實現醫院內部關鍵業務數據的備份與快速恢復。醫院對數據保護的方式主要是采用雙機高可用和備份系統。但是，雙機熱備系統也只能避免由于網絡故障、服務器故障、物理硬盤故障造成的系統停機問題，如果應用數據受到病毒感染、人為誤刪除、黑客攻擊、甚至是共享磁盤陣列故障，應用系統也是無法運行的。

 

隨著等保工作和信息化建設的推進，醫院又配置了CDP保護設備，實現重要數據實時保護;1-3分鐘內找回丟失的數據，同時可以恢復到毫秒級的數據版本狀態，保障核心業務數據的完整性、一致性、可用性，從而保證核心業務系統正常、穩定、連續運行;數據恢復過程簡單方便;后端重建系統，無停機時間;僅復制上次復制后已更改的增量數據，進行有效的系統及數據備份;大大縮短恢復過程，從而減少停機時間并保持生產力;如果出現應用程序故障或硬盤崩潰，可以可靠地捕捉啟動應用程序服務器所需的數據。CDP設備部署如2圖所示。

 

CDP設備不僅能夠輕而易舉的實現本地的應用系統保護和恢復，而且能夠很輕松的將保護延伸到遠程，建立起更為強大的異地容災系統。

 

4 結束語

 

信息安全是動態的，隨著技術的發展而變化。信息安全防護沒有完全單一而又絕對保險的安全措施[4]。如果墨守成規，止步不前，必然會影響信息安全的整體水平。每年按照等級保護的要求進行自查，可以讓醫院查缺補漏，對醫院的信息安全是很好的督促。醫院在等級保護制度的指導下，持續性的推進信息安全工作，必然會明顯地降低信息安全的風險。等級保護制度還促進了衛生行業信息安全建設的標準化和規范化。我們有理由認為信息安全等級保護制度對醫院信息安全的建設、管理等方方面面都有極大的促進作用。