医院信息系统安全架构及实施策略.docx

医院信息系统安全架构及实施策略郑西川,张汉雄,胡燕峰,吴允真,周燕燕(上海交通大学附属第六人民医院,上海200233)[摘要]随着医院信息化建设的拓展,如何建立有效的医院信息系统安全架构,保障信息系统安全、平稳、高效,成为医院信息化建设的重要研究课题。本文从制度、管理和技术三个关键的方面对医院信息系统建设进行综合分析,简要介绍了医院信息系统安全体系的建设实践,结合医院实际,对信息系统的安全架构的实施进行了介绍。[关键词]安全策略;医院信息系统;计算机网络文章编号1007-7510(2006)03-0035-02[中图分类号R197.32文献标识码CConstructionandimplementofsecuritysystemforhospitalinformationsystemZHENGXi-chuan,ZHANGHan-xiong,HUYan-feng,WUYun-zhen,ZHOUYan-yan(TheSixthHospitalAffiliatedShanghaiJiaoTongUniversity,Shanghai200233,China)Abstract:Withexpandingofthehospitalinformationsystem,itisaimportantresearchissuetoconstructthehospitalinformationsecuritysystemandensurethesystemmoresecurity,moreefficiencyandhigherspeed.Thepapergivesacomprehensiveanalysisonthepoliticalsystem,managementandtechniquetotheconstructionofbriefintroductiontoourhospitalconstructionofsecuritysystemofHIS.Keywords:securitystrategy;hospitalinformationsystem;computernetworkHIS.Wealsogivea引言目前医院信息化建设已经成为现代化医院建设的重要标志之一,随着信息化建设的不断深入,医院信息系统的应用范围不断拓展,医院临床医疗和医院管理正逐步向网络化、信息化和自动化迈进。建设一个完整的医院信息系统安全架构,在医院信息化建设过程中显得越来越重要。一个功能完整的医院信息系统,不仅包括挂号、门诊管理、药房管理、住院管理、人事管理、后勤物资管理等系统,还包括了医院运营管理、财务成本核算系统,甚至包括了PACS、RIS、LIS等系统,几乎涵盖了医院工作的方方面面。医院信息系统7×24小时连续工作,系统的任何故障都会对医院的医疗和管理工作造成严重影响。因此建立一套科学有效的医院信息系统安全体系架构,对医院信息系统的安全平稳高效运行有至关重要的意义。1医院信息系统安全架构1.1医院信息系统安全目标医院信息系统安全是确保医院内部信息在存储、传输和利用过程中信息完整性、真实性和可用性。医院信息系统安全管理架构必须满足临床业务和行政管理的需要,信息系统安全策略必须体现医院的安全管理意志,同时要确保医院网络数据不受内部和外部各种形式攻击,与外部联网时,对外发布的信息也能保持其完整性、真实性和可用性,同时医院信息系统安全架构还须国家的有关法律法规的保护。1.2医院信息系统安全架构的内容医院信息系统安全架构内容应该是针对不安全的因素而言的,不同医院可能存在一定的差异,但理论上大致可以概括以下几个方面:①成立永久性管理组织,落实各项规章制度;②管理网络行为。对各种行为进行分类管理,规定行为的范围和期限;③加强网络边界安全,防止非法入侵和敏感信息泄露,必要时进行物理隔断;④网络用户的认证与授权。建立不同用户组,对其身份和操作的合法性进行检查,拒绝非法用户侵入;⑤操作系统安全。根据具体安全要求,规定操作系统的类型、安全级别以及使用要求,定时更新操作系统补丁;⑥应用系统安全。根据操作要求,规定应用种类和使用范围,建立相应的操作规章制度;⑦数据库安全。保护数据库安全,规定数据库系统类型、使用制度和方式;⑧病毒防护。严格病毒防护制度,减少、关闭病毒的来源,周期性对运行的程序进行防毒检查,避免因为病毒而造成损失;⑨数据备份与灾难恢复。制订必要的恢复方案和应急措施,使信息系统能够尽快恢复正常运转;⑩用户桌面安全。用户桌面是医院信息系统访问的入口,对它管理和使用不当也会造成信息的丢失或损坏,因此需要对用户使用的桌面环境进行必要的安全防护。2信息安全的技术措施医院信息系统安全体系应结合网络、应用、数据库、用户等诸方面进行安全规划,建立整个安全体系架构,从技术和管理两个方面解决医