医院信息安全规划策略

时间:2022-08-26 06:15:19

医院信息安全规划策略

【摘要】目的:探讨医院信息系统安全现状与规划。方法:分析在医院工作环境里信息安全面临实际问题。结果:医院信息系统安全面临诸多有待解决的问题。结论:发现现有系统的缺陷并提出有效解决方案,规划应具有体系性和原则性。

【关键词】信息安全;数据库;网络应用;安全体系

1信息安全现状

1.1目前医院信息安全存在的问题根据卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知,三级甲等医院的核心业务信息系统不得低于国家安全信息保护等级三级。据此我们对信息系统的各个方面进行了安全评估,发现主要有如下的问题:

(1)物理安全:机房管理混乱问题;机房场地效用不明确;机房人员访问控制问题;

(2)网络设备安全:访问控制问题;网络设备安全漏洞;设备配置安全;

(3)系统安全:补丁问题;运行服务问题;安全策略问题;访问控制问题;默认共享问题;防病毒情况;

(4)数据安全:数据库补丁问题;SQL数据库默认账号问题;SQL数据库弱口令问题;SQL数据库默认配置问题;(5)网络区域安全:医院内网安全措施完善;医院内网的访问控制问题;医院内外网互访控制问题;

(6)安全管理:没有建立安全管理组织;没有制定总体的安全策略;没有落实各个部门信息安全的责任人;缺少安全管理文档。

1.2当前医院信息安全存在的问题,主要表现在如下的几个方面

(1)机房所处环境不合格,场地效用不明确,人员访问控制不足,管理混乱。

(2)在办公外网中,医院建立了基本的安全体系,但是还需要进一步的完善,例如办公外网总出口有单点故障的隐患、门户网站有被撰改的隐患。

(3)在医院内网中,内网与办公外网之间没有做访问控制,存在蠕虫病毒相互扩散的可能。

(4)没有成立安全应急小组,虽然有相应的应急事件预案,但缺少安全预案的应急演练;缺少安全事件应急处理流程与规范,也没有对安全事件的处理过程做记录归档。

(5)没有建立数据备份与恢复制度;缺少对备份的数据做恢复演练,保证备份数据的有效性和可用性,在出现数据故障的时候能够及时的进行恢复操作。

2医院信息安全总体规划

2.1设计目标、依据及原则

2.1.1设计目标

信息系统是医院日常工作的重要应用,存储着重要的数据资源,是医院正常运行必不可少的组成部分,所以必须从硬件设施、软件系统、安全管理等方面,加强安全保障体系的建设,为医院工作应用提供安全可靠的运行环境。

2.1.2设计依据

(1)《信息安全等级保护管理办法》;

(2)《信息技术安全技术信息技术安全性评估准则》;

(3)《卫生部卫生行业信息安全等级保护工作的指导意见》;

(4)《电子计算机场地通用规范》。

2.1.3设计原则

医院信息安全系统在整体设计过程中应遵循如下的原则:分级保护原则:以应用为主导,科学划分网络安全防护与业务安全保护的安全等级,并依据安全等级进行安全建设和管理,保证服务的有效性和快捷性。最小特权原则:整个系统中的任何主体和客体不应具有超出执行任务所需权力以外的权力。标准化与一致性原则:医院信息系统是一个庞大的系统工程,其安全保障体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个医院信息系统安全地互联互通、信息共享。多重保护原则:任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层被攻破时,其他层仍可保护系统的安全。易操作性原则:安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性;其次,措施的采用不能影响系统的正常运行。适应性及灵活性原则:安全措施必须能随着系统性能及安全需求的变化而变化,要容易适应、容易修改和升级。

2.2总体信息安全规划方案

2.2.1基础保障体系

建设信息安全基础保障体系,是一项复杂的、综合的系统工程,是坚持积极防御、综合防范方针的具体体现。目前医院基础保障体系已经初具规模,但是还存在个别问题,需要进一步的完善。

2.2.2监控审计体系

监控审计体系设计的实现,能完成对医院内网所有网上行为的监控。通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等有较全面的了解。

2.2.3应急响应体系

应急响应体系的主要功能是采取足够的主动措施解决各类安全事件。安全事件可以被许多不同的事件触发并破坏单个系统或整个网络的可用性,完整性、数据的保密性。引发或可能引发本地小范围破坏的安全问题应该就地解决,以避免加重整个医院信息网络的安全风险。

2.2.4灾难备份与恢复体系

为了保证医院信息系统的正常运行,抵抗包括地震、火灾、水灾等自然灾难,以及战争、网络攻击、设备系统故障和人为破坏等无法预料的突发事件造成的损害,应该建立一个灾难备份与恢复体系。在这个体系里主要包括下面三个部分:政务内网线路的冗余备份、主机服务器的系统备份与恢复、数据库系统的备份与恢复。

3结论

通过对医院的信息安全风险评估,我们发现了大量关于物理安全、操作系统、数据库系统、网络设备、应用系统等等方面的漏洞。为了达到对安全风险的长期有效的管理,我们进行了具有体系性和原则性并能够符合医院实际需求的规划。

参考文献

[1]王立,史明磊.医院信息系统的建设与维护[J].医学信息,2007,20(3).

[2]王洪萍,程涛.医院信息系统安全技术分析[J].医院管理杂志,2011,18(11).

[3]尚邦治.医院信息系统安全问题[J].医疗设备信息,2004,19(9).

[4]贾鑫.基于医院信息系统的网络安全分析与设计[J].中国管理信息化,2013,16(10).

作者:杜然 单位:济宁市第一人民医院

上一篇:个人信息安全风险与防范 下一篇:加强企业资金管理策略