2011 中华医院信息网络大会论文 20110419-134 医院信息系统安全问题研究.pdfVIP

医院信息系统安全问题研究 李羚① ①东莞市大朗医院, 523770,东莞市大朗镇金朗中路85 号 摘 要 目前医院的安全意识相对淡薄，在实际工作中，存在利用业务系统登录口令过于简单的漏洞， 私自访问不安全网站，下载并安装与工作无关的软件，私自接入不安全设备等问题，这些都给医院 信息系统造成了极大的安全隐患和威胁。因此，医院要下大力气做好医院职工信息系统安全知识的 宣传教育和培训工作，使职工自觉遵守医院信息管理的各项规定，增强其系统安全意识，保证信息 系统安全。本文分析了医院信息系统网络安全问题。 关键词 医院 信息系统 网络安全 广东省东莞市大朗镇大朗医院是珠三角上一所规模完善、较为现代化的二级甲等医 院，现有床位506 张，年门诊量100 万人次，住院病人2.3 万人次。我院的信息化建设 从 2000 年开始，目前已经是基本成型的数字化医院。我院定制的东莞纳信信息系统有 限公司的医院管理信息系统（HIS），南方医科大学的南方惠桥检验信息管理系统（LIS）， 深圳安科信息系统有限公司的医学影像存储与管理系统（PACS）„„的投入运行后，几 大系统纵横交错，构成了庞大的计算机网络系统。 我院网络覆盖全院的每个部门，涵盖病人来院就诊的各个环节，300 多台计算机同 时运行，支持各方面的管理，成为医院开展医疗服务的业务平台，医院信息系统的安全 性直接关系到医院医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给医院和病人 带来巨大的灾难和难以弥补的损失。因此，医院计算机网络系统的安全工作非常重要。 结合多年的计算机网络维护经验，从以下几方面谈谈加强网络安全维护措施，确保医院 计算机网络系统持久、稳定、高效、安全地运行。 1 建立一套较完善的、操作性强的管理制度 根据实际情况，对不同类型、不同敏感度的信息，规定合适的管理制度和使用方法， 制定详细的安全管理制度，保证医院信息系统安全风险规避管理有章可循，有法可依， 促使每个系统管理人员和使用人员将系统安全风险规避管理形成一种习惯。制定系统安 全奖惩制度，对于违反制度者视情节轻重给予相应的经济惩罚或行政处分，情节特别恶 劣的可提起法律诉讼，对违规制度者进行举报的人员给予适当的奖励。院内每人都有义 1 务和责任举报任何系统不安全现象和行为。 安全管理制度包括中心机房安全管理制度、子系统使用人员安全管理制度、系统设 备安全管理制度、网络安全管理制度、病毒防范安全管理制度、安全管理登记制度、应 答制度、考核制度等。做好设备的运行情况记录，检查记录，日常维护记录及用户的监 控记录等。 2 制定详细而周密的应急预案 充分考虑各种系统故障，设计与各管理岗位相符的系统安全风险规避管理常规处理 预案和紧急处理预案，根据安全事件的严重程度适时采用，以保证医院正常的医疗服务 和就医秩序，提高医院应对突发事件的能力。在医院信息系统出现故障时，将系统中断 时间、故障损失和社会影响降到最低。由分管院长、相应科室及计算机中心组成故障排 除小组，当灾难发生时应用应急预案进行恢复。应定期进行应急预案的演练，查找问题， 加以整改，提高其针对性和实用性。 应急预案包括服务器、硬件、软件、网络等方面的系统安全风险应急措施、具体的 协调部门及相应的工作、常用的应急电话等。应急预案须明显张贴，使应急操作人员方 便地看到。 3 建立系统安全监控体系 设立安全管理人员，对那些给医院信息系统安全带来严重隐患的行为和人员进行重 点管理和监督。建立医疗、财务、药品物资数据质量监控体系和数据操作员、职能科室、 部门领导三个层次的数据质量监控层，对医院信息系统数据安全具有重要意义。建立信 息系统数据质量考评和反馈制度，如挂号数据可由门诊收费复查，门诊收费执行科室与 开单科室可实行双向数据核查，医疗科可定期进行信息系统数据质量讲评，考核结果与 科室全面责任制考评挂钩。 4 建立健全风险评估和检测机制 可采取与专业安全服务公司建立长期合作的策略实现安全风险评估机制的建立，加 强多部门之间的安全信息沟通与共享，积极利用其在安全风险评估技术、方法等方面的 优势，结合医院信息系统安全实际，建立符合信息安全要求的风险评估与管理机制，不 断研究和发现信息系统存在的漏洞、缺陷以及面临的风险与威胁，并积极寻找相应的补