數(shù)字化時代下醫(yī)院信息安全建設(shè)論文

時間:2022-05-11 03:05:45

導(dǎo)語:數(shù)字化時代下醫(yī)院信息安全建設(shè)論文一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

數(shù)字化時代下醫(yī)院信息安全建設(shè)論文

1數(shù)字化時代下醫(yī)院信息系統(tǒng)面臨的主要威脅

1.1來自醫(yī)院內(nèi)部的信息系統(tǒng)安全威脅

一個是來自工作人員的威脅,例如有的工作人員胡亂操作系統(tǒng),訪問來源不明的網(wǎng)站,將感染有病毒的U盤插入接入醫(yī)院信息系統(tǒng)的計(jì)算機(jī),在不具有權(quán)限的情況下,采用欺騙或是技術(shù)手段訪問醫(yī)院信息系統(tǒng)數(shù)據(jù)庫等等,都會給醫(yī)院的信息系統(tǒng)帶來安全問題;另一個是設(shè)備軟硬件故障,醫(yī)院信息系統(tǒng)需要7*24小時不間斷運(yùn)行,例如存儲設(shè)備故障、網(wǎng)絡(luò)系統(tǒng)故障、服務(wù)器故障等,都會對信息系統(tǒng)的運(yùn)行效率與安全造成威脅。

1.2來自醫(yī)院外部的信息系統(tǒng)安全威脅

來自醫(yī)院外部的信息系統(tǒng)安全威脅主要是指黑客的攻擊,病毒、木馬的入侵等等,這可能會導(dǎo)致醫(yī)院信息系統(tǒng)崩潰,患者的病歷資料信息被竊取、篡改等等。

2數(shù)字化時代下醫(yī)院信息安全建設(shè)措施

醫(yī)院信息安全的建設(shè),應(yīng)當(dāng)分為兩個層面進(jìn)行,一個是管理層面的建設(shè)措施,另一個是技術(shù)層面的建設(shè)措施。

2.1管理措施

第一,提高醫(yī)院整體對信息安全的重視力度。加強(qiáng)宣傳,讓每個工作人員都知道在當(dāng)前的數(shù)字化時代下,醫(yī)院臨床工作的開展,各部門、各系統(tǒng)的管理,患者信息資料的存儲、查閱、分析,都必須要依靠信息系統(tǒng),如果出現(xiàn)了信息安全問題,就會對整個醫(yī)院系統(tǒng)造成影響,降低醫(yī)院運(yùn)轉(zhuǎn)效率,還可能會導(dǎo)致患者的隱私泄露,使患者對醫(yī)院的可靠性產(chǎn)生質(zhì)疑,不利于醫(yī)院的發(fā)展。同時,還要加強(qiáng)對所有醫(yī)務(wù)人員的信息安全培訓(xùn)教育,讓他們熟練掌握相關(guān)的信息安全技術(shù)技巧,防止由于操作方面的失誤,對信息系統(tǒng)安全造成威脅。第二,健全完善信息系統(tǒng)安全管理制度。要針對醫(yī)院信息系統(tǒng)的特點(diǎn),制定總體安全方針與安全策略,將醫(yī)院信息安全的基本原則、范圍、目標(biāo)明確下來,對管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程,并在實(shí)踐中總結(jié)經(jīng)驗(yàn),針對信息系統(tǒng)操作應(yīng)用中所遇到的實(shí)際情況,不斷完善規(guī)程,以制度化的途徑推進(jìn)醫(yī)院信息安全建設(shè)。第三,推行信息安全等級保護(hù)。醫(yī)院應(yīng)結(jié)合自身信息系統(tǒng)的特點(diǎn),以國家頒布的信息安全等級保護(hù)相關(guān)文件為標(biāo)準(zhǔn),逐步開展信息安全等級保護(hù)工作。建設(shè)過程中要優(yōu)先保護(hù)重要信息系統(tǒng),優(yōu)先滿足重點(diǎn)信息安全的需求。在重點(diǎn)建設(shè)的基礎(chǔ)上,全面推行醫(yī)院信息安全等級保護(hù)的實(shí)施。對于新建、改建、擴(kuò)建的信息系統(tǒng),嚴(yán)格按照信息安全等級保護(hù)的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行規(guī)劃設(shè)計(jì)、建設(shè)施工.要通過建立管理制度,落實(shí)管理措施,完善保護(hù)設(shè)施這一系列舉措,形成信息安全技術(shù)防護(hù)體系與管理體系,有效保障醫(yī)院信息系統(tǒng)安全。醫(yī)院在信息安全等級保護(hù)建設(shè)工作中應(yīng)科學(xué)規(guī)劃,嚴(yán)格以國家相關(guān)標(biāo)準(zhǔn)為依據(jù),遵循自主保護(hù)、重點(diǎn)保護(hù)、同步建設(shè)、動態(tài)調(diào)整等基本原則,穩(wěn)步地開展信息安全等級建設(shè)。第四,完善信息安全應(yīng)急預(yù)案。為提高醫(yī)院信息系統(tǒng)的安全穩(wěn)定運(yùn)行和處置突發(fā)事件的能力,最大程度地預(yù)防和減少因?yàn)樾畔⑾到y(tǒng)突發(fā)事件使醫(yī)院正常工作中斷而造成的嚴(yán)重后果,保障信息系統(tǒng)對醫(yī)療系統(tǒng)的平穩(wěn)支撐,需根據(jù)實(shí)際情況不斷完善應(yīng)急預(yù)案管理制度。

2.2技術(shù)措施

第一,改善環(huán)境安全。在信息安全等級保護(hù)規(guī)定中,機(jī)房屬于物理部分,每個醫(yī)院都有一個或數(shù)個用于存放主要信息系統(tǒng)硬件設(shè)備的機(jī)房,是醫(yī)院信息系統(tǒng)的核心物理區(qū)域。信息系統(tǒng)的安全在很大程度上受著機(jī)房環(huán)境條件的影響,因此必須要通過加強(qiáng)環(huán)境安全建設(shè),來確保信息系統(tǒng)的安全。機(jī)房的建設(shè)規(guī)劃最好是采用“異地雙機(jī)房模式”,并且要避免將機(jī)房安置在地下室或建筑高層,機(jī)房隔壁或上層最好不要有大型的供水、用水設(shè)備,且要具有良好的防水能力、防震能力。為確保信息系統(tǒng)的持續(xù)高效運(yùn)轉(zhuǎn),應(yīng)當(dāng)配備不間斷的冗余電源,機(jī)房室內(nèi)安裝可調(diào)節(jié)空氣溫度與濕度的設(shè)備,在進(jìn)出和主要的區(qū)域安裝攝像頭,基本的防火、防盜保護(hù)要做到位。第二,加強(qiáng)設(shè)備安全管理。設(shè)備安全包括服務(wù)器、交換機(jī)、存儲、終端主機(jī)等設(shè)備的安全。醫(yī)院信息系統(tǒng)中的重要設(shè)備需盡可能的采用冗余方式配置,以提高系統(tǒng)的穩(wěn)定性。同時服務(wù)器應(yīng)嚴(yán)格限制默認(rèn)賬戶的訪問權(quán)限。及時刪除多余的、過期的賬戶,避免共享賬戶的存在。依據(jù)安全策略嚴(yán)格控制用戶對有敏感標(biāo)記重要信息資源的操作,啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問。根據(jù)管理用戶的角色分配權(quán)限,實(shí)現(xiàn)管理用戶的權(quán)限分離。另外,所有服務(wù)器均需開啟全部安全審核策略,所有數(shù)據(jù)庫開啟C2審核跟蹤,同時安裝主機(jī)入侵防御系統(tǒng)及最新操作系統(tǒng)補(bǔ)丁。服務(wù)器還應(yīng)安裝統(tǒng)一的防病毒軟件。在終端主機(jī)方面,利用桌面管理軟件對設(shè)備接口進(jìn)行管理和控制,例如USB接口管理,禁止外來移動存儲隨意接入電腦,防止病毒感染。終端電腦除了及時安裝系統(tǒng)補(bǔ)丁和更新防病毒軟件外,還需加強(qiáng)密碼復(fù)雜度和開啟賬戶鎖定策略。人員離開后,一定時間內(nèi)自動退出和鎖定。第三,嚴(yán)防網(wǎng)絡(luò)威脅。在現(xiàn)代網(wǎng)絡(luò)的作用下,不論是醫(yī)院內(nèi)部各科室、各部門,還是醫(yī)院外部的任何機(jī)構(gòu)單位,都可以進(jìn)行高效率的溝通交流與信息共享,這在很大程度上提高了醫(yī)院的業(yè)務(wù)處理能力。但由于目前的網(wǎng)絡(luò)缺少強(qiáng)有力的監(jiān)管,所以有大量的不安全因素活躍在網(wǎng)絡(luò)中,例如上面所提到的病毒、木馬以及黑客等,這對醫(yī)院的信息安全造成了極大的威脅。所以,醫(yī)院應(yīng)當(dāng)建立信息系統(tǒng)網(wǎng)絡(luò)安全訪問路徑,采用路由控制的方式,來確保客戶端與服務(wù)器之間的安全連接。對不同醫(yī)療部門根據(jù)工作職能、重要程度和信息敏感性等要素劃分不同的網(wǎng)段,并對不同網(wǎng)段按照重要程度劃分安全域,對信息敏感、重要性程度高的網(wǎng)段,應(yīng)進(jìn)行IP與MAC綁定,避免遭到ARP欺騙攻擊。在信息系統(tǒng)的網(wǎng)絡(luò)邊界,應(yīng)當(dāng)安裝防火墻,部署入侵檢測系統(tǒng),對蠕蟲攻擊、緩沖區(qū)溢出攻擊、木馬攻擊、端口掃描等惡意操作進(jìn)行監(jiān)測,將攻擊發(fā)生的時間、類型以及攻擊源IP等信息詳細(xì)的記錄下來,提供給網(wǎng)絡(luò)安全部門。第四,保障數(shù)據(jù)安全。在醫(yī)院的信息系統(tǒng)當(dāng)中,存儲著大量的數(shù)據(jù),這些數(shù)據(jù)既包括患者的個人隱私資料,也包括醫(yī)院自身運(yùn)轉(zhuǎn)所需的各種基礎(chǔ)信息,這些信息的準(zhǔn)確性對臨床工作的開展來說,具有非常大的影響。為了保障信息系統(tǒng)的數(shù)據(jù)安全,數(shù)據(jù)庫管理賬戶的登錄方式應(yīng)當(dāng)設(shè)置為KEY+口令的方式,且口令的設(shè)置要負(fù)責(zé)、隨機(jī),并且要定時更換。不同崗位對數(shù)據(jù)庫的訪問權(quán)限應(yīng)當(dāng)進(jìn)行合理的劃分,僅需要確保人員能夠獲得開展工作所需的數(shù)據(jù)即可。采用數(shù)據(jù)庫審計(jì)設(shè)備對各個賬戶的行為進(jìn)行監(jiān)控、記錄,如果發(fā)現(xiàn)有違規(guī)操作,應(yīng)當(dāng)及時通報并查明原因。為了確保信息系統(tǒng)數(shù)據(jù)的可用性與完整性,在傳輸醫(yī)療數(shù)據(jù)的時候,必須要進(jìn)行完整性檢測,如果發(fā)現(xiàn)數(shù)據(jù)破壞,應(yīng)重新傳輸數(shù)據(jù)或是進(jìn)行數(shù)據(jù)修復(fù)。所有的數(shù)據(jù)信息都應(yīng)當(dāng)進(jìn)行定時備份,最好是異地備份,防止數(shù)據(jù)庫服務(wù)器受到外力破壞,例如水淹、火燒,導(dǎo)致原始數(shù)據(jù)和備份數(shù)據(jù)一同丟失。

3結(jié)語

在數(shù)字化時代下,信息系統(tǒng)已經(jīng)成為了醫(yī)院的重要組成部分,必須要確保其安全,才能保障醫(yī)院的正常、高效運(yùn)轉(zhuǎn),避免患者隱私泄露。因此,各個醫(yī)院都應(yīng)當(dāng)從管理層面、技術(shù)層面出發(fā),搞好自身的信息安全建設(shè),防止醫(yī)院信息系統(tǒng)受到破壞。

作者:張蕊單位:山東省泰安市腫瘤防治院