医院信息系统安全研究.docVIP

医院信息系统安全研究 　　摘要：分析了数据安全在医院信息系统中的重要作用，提出了实施有效的数据安全管理的措施。 　　关键词：信息系统；数据安全； 　　中图分类号：TP311文献标识码：A文章编号：1009-3044(2008)32-1086-02 　　Study of Hospital Information System Security 　　YU Yang 　　(Information Center,Jilin Oil Field General Hospital, Songyuan 138000, China) 　　Abstract: Analysis of the data security at the hospital information system to the important role that made effective management of data security. 　　Key words: information system; data security 　　 　　1 引言 　　 　　信息安全历来是信息领域的中心课题。信息的安全防护，包括所获取的客观的信息与加工的主观信息的相符性，信息满足利用需求的完整性，防破坏、利用的保密性，运行的稳定性。在医院信息系统开发利用过程中，有大量的涉密信息在各类计算机中处理，在磁盘等介质上存储，在信息网络等信道中传递，加之开发利用信息的电子设备固有的脆弱性、医院信息本身特有的扩散性，如果没有科学有效的安全防护措施，必然会造成难以弥补的损失。随着信息技术的发展和医院信息化进程的加快，人们方便、快捷地开发利用信息系统的同时，也给医院信息的安全防护带来严峻的挑战。信息安全是开发利用信息系统的前提，贯穿于整个开发利用的全过程。 　　 　　2 实施有效数据安全管理 　　 　　医院信息系统(HIS)一旦投入运行，其数据安全问题就成为系统能否持续正常运行的关键。作为一个联机事务系统，要求能每天24小时不间断运行，像门诊收费、挂号这样的系统，不能想象有30分钟的中断，也绝对不允许数据丢失，稍有不慎就会造成灾难性后果和巨大损失。而造成数据不安全问题的原因是多方面的，包括因特网黑客侵入、内部局域网非法用户侵入、系统或人为故障等。 　　来自因特网的病毒和黑客侵入是很难防范的，因此应将内部信息系统和外部因特网在物理上隔离起来。内部局域网主要是非法用户的侵入，可采用多级动态密码体系，并用Windows优化大师和超级兔子魔法设置等软件把与局域网内业务无关的系统功能锁起来。尽量使用无盘工作站，有硬盘的应安装防毒、防黑软件。人为或系统故障主要采取严格的安全管理和冗余技术来减少该类损害。 　　想要实施有效的数据安全管理，仅采取以上措施是远远不够的，还需要建立起一个完善的安全管理体系。以下分类进行深入探讨： 　　2.1 风险管理 　　研究信息系统存在的漏洞缺陷、面临的风险与威胁，可以通过安全风险评估技术来实现，对于可能发现的漏洞、风险，规定相应的补救方法，或者取消一些相应的服务。例如，我们也可以采用主动防御的方法，口令攻击软件和黑客攻击软件，并在自己的网络上利用他们来寻找可能包含系统信息的文件，这样，我们也许能够发现某些我们还未察觉到的安全风险。 　　2.2 行为管理 　　对网络行为、各种操作进行实时的监控，对各种行为进行分类管理，规定行为的范围和期限。 　　2.3 信息管理 　　信息是IT业的重要资产，由于它的特殊性，因此必须采用特殊的方式和方法进行管理，根据具体的实际情况，对不同类型、不同敏感度的信息，规定合适的管理制度和使用方法，禁止不良信息的传播。 　　2.4 安全边界 　　信息系统与外部环境的连接处是防御外来攻击的关口，根据具体情况，必须规定系统边界上的连接情况，防止非法用户的入侵以及系统敏感信息的外泄，如可以利用防火墙对进出的连接情况进行过滤和控制。 　　2.5 系统安全 　　操作系统是信息系统运行的基础平台，它的安全也是信息安全的基础。根据具体的安全需求，应该规定所要采用的操作系统类型、安全级别以及使用要求。为了实现这个目的，可以采用不同安全级别的操作系统，或者在现有的操作系统上添加安全外壳。如今可以选择的安全的服务器系统有UNIX、 WindowsNT、Novell等，关键服务器最好使用UNIX系统。很多服务器系统都被发现有不少漏洞，服务商会不断在网上发布系统的补丁，为了保证系统的安全性，应随时关注这些信息，及时完善自己的系统。 　　2.6 身份认证与授权 　　信息系统是为广大用户提供服务的，为了区分各个用户以及不同级别的用户组，需要对他们的身份和操作的合法性进行检查。体系应该规定实现身份认证与权限检查的方式