医疗保险信息管理系统风险与对策.docVIP

医疗保险信息管理系统风险与对策 　　一、医疗保险信息管理系统风险主要表现在硬件风险、软件风险、信息管理风险和计算机及网络犯罪四个方面。 　　 　　（一）硬件风险 　　1.实体风险。实体风险是人为地对计算机中心及其设施、设备进行攻击和破坏。医疗保险信息系统存储着参保人员和参保单位的基本信息、缴费信息，实时结算参保人员的医疗费用，信息网络系统安全问题事关稳定大局。据媒体报道，在国外，曾发生多起攻击计算机中心、炸毁计算机设备的案件。这就警示我们，对医疗保险信息中心计算机设备实体的安全和风险防范就应当引起足够的重视。有相当一部分机房设计简陋，防护装置达不到规定标准，人为助长了计算机实体风险。 　　2.硬件外在风险。计算机房设计、安装达不到国家规定的计算机安全运行环境的有关标准而造成的安全隐患；由于不可抗力，如火灾、水灾、地震、雷击、电、磁、温度等等难以预料的突发性灾害对计算机系统资源带来的损害；供电系统不稳、后备电源不足或电信部门通讯故障造成的业务中断而带来的损害；计算机及网络设计没有可靠接地、缺乏防雷防尘设备而造成的计算机故障。 　　3.硬件内在风险。短路、断线、接触不良、设备老化、电脑超期服役、损坏性的使用计算机去做非法业务性活动，人为减少计算机运行寿命等由计算机本身及相关设备、部件或元件带来的风险。 　　4.网络风险。网络作为一种构建在开放性技术协议基础上的信息流通渠道，它的防卫能力和抗攻击性较弱，网络风险就是当电子信息在网络上传输时，由于网络设备的故障导致风险。 　　 　　（二）软件风险 　　软件风险中主要问题有软件操作风险，软件操作风险指的是在处理业务中，由于某些操作人员素质跟不上电子化建设的步伐，对某种软件功能不熟悉等原因所造成的操作过程中出现的风险。其主要表现为：(1)业务人员操作权限界定不清，密码使用混乱，基本上处于透明状态。在计算机安全管理中，权限和密码作为两个非常重要的概念，都应该有严格的规定。但在实际业务操作中，系统管理员往往可以操作业务管理系统，而操作员之间用户名混用，密码没有进行定期更换，这些现象的存在都导致风险的发生。(2)操作不当或操作失误风险。业务人员操作结束或临时离开电脑没有退出操作画面，给非法操作者提供可乘之机，使其很方便地进入业务系统进行非法操作，在计算机业务处理系统中修改数据或其他破坏性程序致计算机系统瘫痪，造成了不必要风险发生。(3)自然消失风险。也就是因磁存储介质保管不当，使其存储在其上的信息丢失或者无法读取造成的风险。因缺少有效的数据备份或数据备份不及时，而数据备份则是故障恢复和账务安全的重要保证；如果没有有效、完整的备份数据，当数据库一旦发生损坏则无法将所有数据完全恢复。 　　 　　（三）信息管理风险 　　1.体制风险。所谓体制风险，主要是指在管理上缺乏统一的组织和领导所引发的风险。在信息管理方面往往只注重计算机业务中的应用，过分强调科技的服务职能，而忽略了计算机安全管理工作，忽视监管。科技人员单兵作战，除了承担业务软件的推广应用，还要负责全行设备的维护与管理，往往是顾此失彼。各业务职能部门还没有将计算机安全作为一项重要工作来抓，计算机风险管理几乎是一片空白。 　　2.制度风险。所谓制度风险，主要是指在处理业务中，由于制度制定有漏洞或执行不到位所造成的潜在风险。网络安全运行管理、密码专人管理、操作员管理、数据备份媒体存放管理等制度还有待于进一步完善。尤其是内控制度的落实情况更是建设中一项薄弱环节。随着业务内容的增多和因特网出现，一机双网、一人持有多个操作员号的现象时有发生，形成了业务集中、内控制度难以执行的状况。 　　3.人员素质风险。所谓人员素质风险，主要是指因人员素质参差不齐而引发计算机及网络系统的风险。目前普遍存在缺乏专业高素质人员，一般业务人员素质还不能与先进的管理手段、先进的管理工具的要求相适应；在具体的业务操作中更是无法有效地利用现有的资源。也正因此，人员素质的滞后对计算机及网络的安全同样是一个潜在的风险。 　　 　　（四）计算机及网络犯罪 　　计算机及网络犯罪主要是指针对计算机及网络的犯罪或不正当使用计算机及网络的犯罪。其主要特征是以有关计算机及网络技术知识作为必不可少的要素的犯罪。在计算机及网络犯罪中，常见的有两种情况：一是把计算机及网络作为侵占、盗窃账户资金工具使用而引起的犯罪；二是把计算机及网络本身作为犯罪的目标，如对数据、系统的有意破坏、消除和改变等。 　　 　　二、医疗保险信息管理系统风险的防范 　　 　　（一）针对计算机信息系统可能面对的实体风险、硬件外（内）在风险、网络风险应当做好：1.要建立重大灾害性事故如火灾、水灾、地震的预案，采取异地备份等切实有效的防范措施，同时要加强对常见自然灾害的防范，做好防雷避雷及防鼠