20130514-367 医院信息化建设的安全策略.pdfVIP

2013中华医院信息网络大会征文，请勿转载 医院信息化建设的安全策略 李冬梅① ①郑州大学附属肿瘤医院 河南省肿瘤医院信息中心，450008，郑州市东明路127 号 摘 要 医院信息化程度的提高，使临床、医技、管理等各部门的日常工作已经越来越依赖医院的网络和 信息系统；医院的信息网络系统中运载着大量重要的数据和信息，同时医院各部门通过互联网与外界的 交往也越来越广泛。因此，医院内部网受到病毒、黑客攻击等网络威胁的机会也越来越大。基于医院信 息系统安全的重要性，从培养工作人员的信息安全意识、信息安全管理制度的建立、监督制度的完善、 软硬件的维护和安全管理、信息系统应急预案的设立和机房的环境条件等方面进行分析，提出医院信息 系统的安全保障的目标、措施、策略和实施办法，加强网络安全防护，降低网络威胁造成的影响，是医 院信息系统稳定运行的根本保障。 关键词 网络威胁 网络安全 安全策略 信息化建设 医院信息系统 医院内部网 随着医院的不断发展和国家医疗卫生管理要求的不断提高，对计算机信息网络系统的依赖性也表现 得越来越强。但是计算机信息网络系统所表现出来的先进性，以及所带来的劳动效率提高和生产成本降 低，并不能掩饰其存在的种种安全隐患。特别是医院的信息网络系统中运载着大量重要的数据和信息， 无论是硬件、软件、环境、人为方面的影响都可能导致这些数据遭受破坏，给医院带来无法挽回的损失。 因此，如何解决信息系统的安全保障问题，保证网络信息系统的正常运行，确保整个信息系统的安全可 靠是目前各级医院刻不容缓的重要任务。 1 树立安全意识 1.1. 医院各级领导的重视 网络安全管理策略的制定和落实需要一定的人力、物力和财力，需要自上而下 的贯彻落实，因此医院各级领导要充分重视。培养医院全员的安全意识，首先要使医院各级领导具备网 络安全意识，使他们认识到在某种意义上保护网络安全就是在保护医院。 1.2. 操作人员的安全防范意识 网络安全问题是一个典型的人机关系问题，对于网络安全来说，最重要的 起点是从涉及计算机的人员开始的。对医院所有操作局域网内计算机的医务人员，要定期进行计算机安 全法律教育、职业道德教育和计算机安全技术教育，使他们认识到一个人或一台机器的不安全隐患有可 能使整个网络无法正常工作。 2 安全管理制度的建立、监督制度的完善 2.1. 设立专职的安全管理人员 建立医院信息安全管理组织,设立专职的安全管理人员，对那些给医院信 息安全带来严重隐患的行为和人员进行重点管理和监督。 2.2. 健全有关规章制度 要根据具体的实际情况，对不同类型、不同敏感度的信息规定合适的管理制度 和使用方法，禁止不良信息传播。 2.3. 应用安全管理 为了保证安全，应根据安全需求规定医务人员的工作站的使用管理制度。谨慎使用 2013中华医院信息网络大会征文，请勿转载 共享软件，同时，医务人员的工作站上尽量不装或少装应用软件。区分各个用户以及不同级别的用户组， 采用不易破解的动态密码和选用安全的口令，对用户实行身份和操作的合法性检查。 3 软、硬件的维护和安全管理 3.1. 硬件设备的维护和安全管理 3.1.1. 物理隔离 病毒和黑客侵入都需要对外的接口，物理隔离是断绝来源的最有效措施。外部网络与内 部局域网络分开，或用物理隔离卡进行隔离，是防止外部病毒侵入的最有效方法。此外封闭内部网络系 统中所有对外的接口，防止黑客、外部攻击，避免病毒的侵入。另一方面，通过物理隔离来实现网络安 全，即必须同时配备内外网两套网络设备，增加了医院的硬件投资。 3.1.2. 硬件防火墙 防火墙既是一个简单的过滤器，又是一个精心配置的网关。它除了对网络进行管理， 设定访问与被访问规则，切断被禁止的访问外，还能通过制定的控制策略对出入网络的信息流进行过滤 和监测，记录通过防火墙的信息内容和活动，对来自网络的攻击行为进行检测和报警，从而达到排除恶 意和未经授权的侵入，保护内部网络敏感数据的安全。 3.1.3. 保障服务器群及存储系统的安全 服务器是整个医院计算机网络系统的大脑和神经中枢，保证服务 器长期可靠地运行是网络信息系统安全的一个重要前提，一般通过采用设备冗余和群集技术来保证服务 器组的安全。 3.1.4. 数据备份 通过数据备份，能使医院在破坏数据的灾难事件中造成的损失降到最低。而备份