浅议医院信息系统中安全管理.docVIP

浅议医院信息系统中安全管理 　　【摘要】本文主要介绍了医院信息系统中存在的安全问题，并提出了一些信息系统安全的管理措施。 【关键词】医院，信息系统，安全管理 中图分类号： TU714 文献标识码： A 文章编号： 一、前言 随着现在科学技术的发展，医院的管理也变得更加的信息化和系统化，这给医院的管理和医疗活动的进行带来了很大的方便。但是，在医院的网络信息系统中，还存在很多的不安全因素。因此，我们要加强医院的信息系统的安全管理工作。 二、医院信息系统中存在的安全问题 目前医院信息系统(HIS)硬件和系统软件的配置已具有较高的安全级别，但是笔者认为信息系统还存在着以下一些安全问题需要解决。 1．访问口令限制不严 现有HIS一般采取用户连接信息简单加密的方式以限制其他非法用户获取数据库口令。但是在C／S模式下的客户端仍然存放着直接访问数据库的用户名和密码，可以被简单破解或侦听。 2．网络访问随意性大 医院网络可随意互访，信息流通和共享畅通无阻，在任何一个工作站点，均可随意访问整个网络的资源，数据很易被非法窃取。 3．数据库访问无监测 现有HIS中很少有对数据库访问的用户进行监测、存档和登记工作，即使数据库的关键数据被窃取或破坏时，也无从查起。 4．客户端硬件访问无封锁 现有的客户端均带有USB等硬件接口，可随意接入移动硬盘等外部设备，将危害信息安全的软件流入医院的内部网络。 5．数据库用户控制不严 目前很多HIS在数据库用户上没有做严格的权限区分，往往只设1～2个用户便可以访问整个数据库所有信息，这对信息安全是很不利的。 6．普通办公PC机可以浏览到关键业务用机 普通用户可以进入重要的数据服务器系统；外来人员用便携式电脑可接入医院内部局域网络对服务器进行攻击或对数据进行窃取等。 7．数据安全备份缺乏相对完整的数据备份计划和检查落实，容易引起数据丢失。 8．病毒的防范能力弱 体现在内外网互连、非安全设备的接入，又没有部署病毒防护软件。 9．机房建设、综合布线缺乏全面的规划、建设不规范，存在安全隐患；没有必要的设备冗余，难以应对突发情况。 三、医院信息系统中的安全管理措施 1.硬件安全 系统安全的硬指标考虑的问题是多方面的，主要包括： （一）硬件设备的预防性维护是确保信息系统正常运行的行之有效的好办法 设备工作时产生静电极易吸附灰尘，大量的灰尘存积不但会缩短机器的使用寿命，而且还可能导致元器件短路，使机器过早的损坏。定期对主机、显示器、打印机等设备内部除尘，更换达到老化程度的零部件。定期运行磁盘碎片整理程序、磁盘清理程序，优化硬盘设置，优化每个工作站子系统，确保系统运行环境的安全。 （二）服务器、核心交换机等机房设备安全 双机备份技术使服务器连续可靠运行的重要保证，简单地说是两台服务器同时处于工作状态，当一台机器出现问题后另一台机器能快速接替主服务器的工作；核心交换机采用双冗余进行备份，确保该交换机出现故障后备份交换机能迅速接替工作；磁盘阵列进行冗余配置，采用RAID技术保证数据库的可靠性，保证在硬盘损坏时数据不丢失。 （三）中心机房的工作环境是保证系统正常工作的一个重要条件 自然环境一般包括雷电、静电、温度、湿度、洁净度、周围空间的电磁辐射和供电电源的不稳定等。在设计机房时，按《计算机场地技术条件))要求，安装避雷设备、机房铺设活动抗静电地板、安装标准接地线、定期测试接地电阻值是否合格。安装适合机房面积的空调，安装恒温恒湿设备。机房要远离强磁干扰和有害气体。采用专线供电和大容量长延时在线式UPS，有条件的要准备冗余UPS。注意防火、防盗、防尘。保证服务器、交换机、工作站、打印机等硬件免受自然灾害、人为破坏和攻击，确保网络设备有良好的工作环境。 2.软件系统的安全管理 （一）操作系统，数据库系统应选择正版的安全漏洞较少的操作系统和数据库系统，并时常更新漏洞补丁，对操作系统和数据库系统进行合理的安全策略配置，管理好超级用户并定期更换其密码是非常重要的。对操作系统、数据库的关键操作应开启审计，并记录用户的误操作或恶意行为，以便事后跟踪及管理。同时也要加强对数据的冗余备份与恢复工作。 （二）应用程序 HIS系统的特点是涉及部门多，系统复杂。医院信息系统的外包依赖程度比其他行业系统明显偏高，使得医院的核心业务程序或数据火量暴露在外部不可控的专业人员面前，一旦这些外部人员有恶意动机，将对医院造成巨大的安全损失。因此，医院在建设HIS系统时一定要选择技术力量雄厚、信誉良好的公司的产品，以保证数据安全和良好的后期服务。 （三）病毒防治