醫院信息安全規劃策略論文

　　【摘要】目的：探討醫院信息系統安全現狀與規劃。方法：分析在醫院工作環(huán)境里信息安全面臨實(shí)際問(wèn)題。結果：醫院信息系統安全面臨諸多有待解決的問(wèn)題。結論：發(fā)現現有系統的缺陷并提出有效解決方案，規劃應具有體系性和原則性。

　　【關(guān)鍵詞】信息安全；數據庫；網(wǎng)絡(luò )應用；安全體系

　　1信息安全現狀

　　1.1目前醫院信息安全存在的問(wèn)題根據衛生部關(guān)于印發(fā)《衛生行業(yè)信息安全等級保護工作的指導意見(jiàn)》的通知，三級甲等醫院的核心業(yè)務(wù)信息系統不得低于國家安全信息保護等級三級。據此我們對信息系統的各個(gè)方面進(jìn)行了安全評估，發(fā)現主要有如下的問(wèn)題：

　�。�1）物理安全：機房管理混亂問(wèn)題；機房場(chǎng)地效用不明確；機房人員訪(fǎng)問(wèn)控制問(wèn)題；

　�。�2）網(wǎng)絡(luò )設備安全：訪(fǎng)問(wèn)控制問(wèn)題；網(wǎng)絡(luò )設備安全漏洞；設備配置安全；

　�。�3）系統安全：補丁問(wèn)題；運行服務(wù)問(wèn)題；安全策略問(wèn)題；訪(fǎng)問(wèn)控制問(wèn)題；默認共享問(wèn)題；防病毒情況；

　�。�4）數據安全：數據庫補丁問(wèn)題；SQL數據庫默認賬號問(wèn)題；SQL數據庫弱口令問(wèn)題；SQL數據庫默認配置問(wèn)題；（5）網(wǎng)絡(luò )區域安全：醫院內網(wǎng)安全措施完善；醫院內網(wǎng)的訪(fǎng)問(wèn)控制問(wèn)題；醫院內外網(wǎng)互訪(fǎng)控制問(wèn)題；

　�。�6）安全管理：沒(méi)有建立安全管理組織；沒(méi)有制定總體的安全策略；沒(méi)有落實(shí)各個(gè)部門(mén)信息安全的責任人；缺少安全管理文檔。

　　1.2當前醫院信息安全存在的問(wèn)題，主要表現在如下的幾個(gè)方面

　�。�1）機房所處環(huán)境不合格，場(chǎng)地效用不明確，人員訪(fǎng)問(wèn)控制不足，管理混亂。

　�。�2）在辦公外網(wǎng)中，醫院建立了基本的安全體系，但是還需要進(jìn)一步的完善，例如辦公外網(wǎng)總出口有單點(diǎn)故障的隱患、站有被撰改的隱患。

　�。�3）在醫院內網(wǎng)中，內網(wǎng)與辦公外網(wǎng)之間沒(méi)有做訪(fǎng)問(wèn)控制，存在蠕蟲(chóng)病毒相互擴散的可能。

　�。�4）沒(méi)有成立安全應急小組，雖然有相應的應急事件預案，但缺少安全預案的應急演練；缺少安全事件應急處理流程與規范，也沒(méi)有對安全事件的處理過(guò)程做記錄歸檔。

　�。�5）沒(méi)有建立數據備份與恢復制度；缺少對備份的數據做恢復演練，保證備份數據的有效性和可用性，在出現數據故障的時(shí)候能夠及時(shí)的進(jìn)行恢復操作。

　　2醫院信息安全總體規劃

　　2.1設計目標、依據及原則

　　2.1.1設計目標

　　信息系統是醫院日常工作的重要應用，存儲著(zhù)重要的數據資源，是醫院正常運行必不可少的組成部分，所以必須從硬件設施、軟件系統、安全管理等方面，加強安全保障體系的建設，為醫院工作應用提供安全可靠的運行環(huán)境。

　　2.1.2設計依據

　�。�1）《信息安全等級保護管理辦法》；

　�。�2）《信息技術(shù)安全技術(shù)信息技術(shù)安全性評估準則》；

　�。�3）《衛生部衛生行業(yè)信息安全等級保護工作的指導意見(jiàn)》；

　�。�4）《電子計算機場(chǎng)地通用規范》。

　　2.1.3設計原則

　　醫院信息安全系統在整體設計過(guò)程中應遵循如下的原則：分級保護原則：以應用為主導，科學(xué)劃分網(wǎng)絡(luò )安全防護與業(yè)務(wù)安全保護的安全等級，并依據安全等級進(jìn)行安全建設和管理，保證服務(wù)的有效性和快捷性。最小特權原則：整個(gè)系統中的任何主體和客體不應具有超出執行任務(wù)所需權力以外的權力。標準化與一致性原則：醫院信息系統是一個(gè)龐大的系統工程，其安全保障體系的設計必須遵循一系列的標準，這樣才能確保各個(gè)分系統的一致性，使整個(gè)醫院信息系統安全地互聯(lián)互通、信息共享。多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個(gè)多重保護系統，各層保護相互補充，當一層被攻破時(shí)，其他層仍可保護系統的安全。易操作性原則：安全措施需要人去完成，如果措施過(guò)于復雜，對人的要求過(guò)高，本身就降低了安全性；其次，措施的采用不能影響系統的正常運行。適應性及靈活性原則：安全措施必須能隨著(zhù)系統性能及安全需求的變化而變化，要容易適應、容易修改和升級。

　　2.2總體信息安全規劃方案

　　2.2.1基礎保障體系

　　建設信息安全基礎保障體系，是一項復雜的、綜合的系統工程，是堅持積極防御、綜合防范方針的具體體現。目前醫院基礎保障體系已經(jīng)初具規模，但是還存在個(gè)別問(wèn)題，需要進(jìn)一步的完善。

　　2.2.2監控審計體系

　　監控審計體系設計的實(shí)現，能完成對醫院內網(wǎng)所有網(wǎng)上行為的監控。通過(guò)此體系監控到的數據能對醫院內部網(wǎng)絡(luò )的使用率、數據流量、應用提供比例、安全事件記錄、網(wǎng)絡(luò )設備的動(dòng)作情況、網(wǎng)絡(luò )內人員的網(wǎng)上行為記錄、網(wǎng)絡(luò )整體風(fēng)險情況等有較全面的了解。

　　2.2.3應急響應體系

　　應急響應體系的主要功能是采取足夠的主動(dòng)措施解決各類(lèi)安全事件。安全事件可以被許多不同的事件觸發(fā)并破壞單個(gè)系統或整個(gè)網(wǎng)絡(luò )的可用性，完整性、數據的保密性。引發(fā)或可能引發(fā)本地小范圍破壞的安全問(wèn)題應該就地解決，以避免加重整個(gè)醫院信息網(wǎng)絡(luò )的安全風(fēng)險。

　　2.2.4災難備份與恢復體系

　　為了保證醫院信息系統的正常運行，抵抗包括地震、火災、水災等自然災難，以及戰爭、網(wǎng)絡(luò )攻擊、設備系統故障和人為破壞等無(wú)法預料的突發(fā)事件造成的損害，應該建立一個(gè)災難備份與恢復體系。在這個(gè)體系里主要包括下面三個(gè)部分：政務(wù)內網(wǎng)線(xiàn)路的冗余備份、主機服務(wù)器的系統備份與恢復、數據庫系統的備份與恢復。

　　3結論

　　通過(guò)對醫院的信息安全風(fēng)險評估，我們發(fā)現了大量關(guān)于物理安全、操作系統、數據庫系統、網(wǎng)絡(luò )設備、應用系統等等方面的漏洞。為了達到對安全風(fēng)險的長(cháng)期有效的管理，我們進(jìn)行了具有體系性和原則性并能夠符合醫院實(shí)際需求的規劃。

　　參考文獻

　　[1]王立，史明磊.醫院信息系統的建設與維護[J].醫學(xué)信息，2007，20（3）.

　　[2]王洪萍，程濤.醫院信息系統安全技術(shù)分析[J].解放軍醫院管理雜志，2011，18（11）.

　　[3]尚邦治.醫院信息系統安全問(wèn)題[J].醫療設備信息，2004，19（9）.

　　[4]賈鑫.基于醫院信息系統的網(wǎng)絡(luò )安全分析與設計[J].中國管理信息化，2013，16（10）.

【醫院信息安全規劃策略論文】相關(guān)文章：

電子檔案信息安全管理策略論文08-17

畢業(yè)論文:基于IIS的信息安全策略09-14

投資理財的策略與規劃論文提綱10-22

探析醫院信息安全保障系統建設及策略10-17

數字圖書(shū)館信息安全策略研究論文07-14

企業(yè)網(wǎng)絡(luò )信息安全影響因素與維護策略論文09-28

環(huán)保管理醫院策略論文07-29

關(guān)于社區醫院管理策略論文06-27

大數據下計算機信息安全及防護策略論文09-26

計算機信息安全防范策略論文三篇09-13