医院信息系统安全保障措施

相关推荐

医院信息系统安全保障措施

　　随着社会不断地进步，措施的适用范围越来越广泛，措施是指针对问题的解决办法、方式、方案、途径，可以分为非常措施、应变措施、预防措施、强制措施、安全措施。措施到底怎么拟定才合适呢？下面是小编整理的医院信息系统安全保障措施，欢迎大家分享。

医院信息系统安全保障措施

　　医院信息系统安全保障措施 1

　　一、根据国家信息安全等级保护制度、信息系统安全基本要求及卫发[20XX]14号文件的要求，结合我院信息系统安全级别现状，为保障我院信息系统的安全及病患者隐私，特制订本措施。

　　二、信息系统安全保障技术措施

　　（一）、机房物理安全

　　我院建有计算机中心机房和灾备机房，机房严格按照计算机机房设计标准建设，机房具备防火、防雷击、防水防潮、防静电条件，机房内部温湿度可控并对机房内部进行电磁防护，并建立了《机房管理制度》。

　　（二）、网络安全

　　我院网络采用双核心、双链路三层网络结构设计，网络边界部署访问控制设备，并结合VLAN的`划分对整个网络不同层级、不同区域间进行访问控制。内网与外网采取物理隔离方式以提高医院内部数据安全性，对内部网络客户端可进行实时监控，同时对访问外部网络的客户端进行行为控制，并建立网络应急预案。

　　（三）、信息系统设备安全

　　我院所有信息系统服务器由综合信息科统一管理，主要业务系统服务器都具备防灾备份系统及防病毒、入侵措施，服务器硬件设备统一安放在计算机机房内并对所有设备进行标识、建立档案，定期对设备进行巡检并建立《综合信息科机房巡检制度》以确保设备正常运行。

　　（四）、信息系统应用安全

　　我院所有业务应用系统都有专用的登陆控制模块对登陆用户进行身份识别，根据不同身份的用户制定《信息系统操作权限分级制度》，严格限制所有账户的访问权限并由综合信息科统一授权。对医院信息系统数据制定《信息系统数据备份恢复管理制度》，以保障数据安全。

　　三、信息系统安全保障管理措施

　　（一）、管理机构及人员设置

　　综合信息科为医院信息系统的专门管理科室，科室在科长、副科长的领导下设立信息系统管理员、网络系统管理员、数据库管理员等岗位，制定《综合信息科岗位职责》并对各岗位权限做出严格划分。

　　（二）、系统建设管理

　　明确我院信息系统安全等级，严格按照信息系统安全保护基本要求建设我院信息系统，制定《信息系统采购工作流程》明确责任。

　　（三）、系统运维管理

　　针对我院信息系统、网络系统、数据库的运行维护制定了一系列的管理制度和反馈制度，建立信息系统管理科室与使用科室之间的沟通协调机制。综合信息科将根据我院信息化建设的发展，不断总结经验持续改进信息安全保障措施，以确保我院信息系统安全保障措施完善。

　　医院信息系统安全保障措施 2

　　一、安全管理制度

　　1、组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自觉性。

　　2、负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》使他们具备基本的网络安全知识。

　　3、接受并配合公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件。

　　二、网络安全紧急预案

　　1、信息员负责对网络使用情况进行监督、检查，提升安全理念，尤其是全面提高全院的系统安全认识，进行全面细致的'安全工作部署。

　　2、信息员负责计算机内日志文件及其他重要数据的完整性、真实性，并做好备份工作，配合各类安全检查；

　　3、定期检查各科室计算机内信息状况，对网络进行全局范围内的监控，全面了解网络中发生了什么，掌握发生的内部违规事件和外部入侵行为，对于发现的问题及时处理，可以大大降低网络被侵害的风险。

　　4、出现突发事件时，做到早发现、早确认、迅速定位、全局预警，及时采取措施使网络整体的损失降到最低。不但对已知事件能够快速响应，对未知事件也可及时处理并采取相应措施。

　　5、完善安全体系。以入侵检测为核心，联合防火墙、漏洞扫描、入侵验证等其它安全产品，进行入侵管理，对发生的安全事件进行应急响应，建立整个系统“一盘棋”的安全预警与响应体系。深入挖掘自身安全需求。有助于明确安全投入重点，量化安全投入、有效投入，让安全措施真正起到有效的作用。

　　6、医院内网的使用人员应当强化思想意识，自觉遵守网络法规，积极配合本单位网络管理员做好本院计算机网络信息安全工作。

　　医院信息系统安全保障措施 3

　　1、医院信息安全问题分析

　　1.1物理环境安全分析

　　信息中心机房安全对医院信息系统异常重要,它是承载整个信息系统的基础条件,直接影响信息系统能否正常工作。同时,中心机房工作环境影响设备能否长期正常工作。根据调查,机房环境温度每上升1度,计算机系统寿命减少一半;机房湿度低容易产生静电,大量静电容易损坏电路芯片,湿度太高容易腐蚀元器件等。从信息系统安全等级保护要求来看,物理环境安全分为设备物理安全、环境物理安全、系统物理安全三大方面。其中,设备物理安全主要包括静电放电、电磁辐射骚扰、电源适应能力等21项具体要求;物理环境安全主要包括场地选择、机房防火、机房屏蔽、供电系统、温湿度控制等19项具体要求;系统物理安全主要包括:灾难备份与恢复、防止非法设备接入、防止设备非法外联等6项具体要求。

　　1.2网络安全分析

　　在医疗行业中大家对网络安全普遍的认识是以防火墙加防病毒来进行网络安全防护,但事实上网络安全问题涉及的内容很多。随着医院网络整体应用规模的不断扩大,大规模DOS侵入、黑客攻击、蠕虫病毒、外来工作人员等因素导致网络安全环境日益恶化,现有安全技术手段逐渐暴露出安全防护力度不够,强度不高等问题,由于网络安全引发重要数据的丢失、破坏,将造成难以弥补的损失,严重影响到医院网络的正常运行。从等级保护要求方面,网络安全应该从身份鉴别、自主访问控制、强制访问控制、安全审计、可行路径、防抵赖等11个方面的进行安全防护建设和防护。

　　1.3主机安全分析

　　主机是医院信息系统的主要承载硬件设备,其安全性不言而喻,主机安全主要涉及:身份鉴别、访问控制、审计安全、入侵防范、资源控制等。影响主机安全的主要因素来源于两方面:一方面是针对操作系统的后门、木马与病毒攻击、黑客攻击、信息篡改、信息泄露、拒绝服务攻击等方面;另一方面是针对数据库的审计记录不足、拒绝服务、数据库通讯协议泄露、身份验证问题等方面。

　　1.4数据安全分析

　　数据库是医院信息系统数据存储的核心,从某种意义上说,医疗数据安全是医院信息安全的最主要防护重点,是整个安全防护的最重要核心。数据涉及到信息覆盖面广,数据量大,信息种类繁多,要保持每天24小时不间断运行[2],一旦数据破坏或丢失,都会给医院造成不可估量的损失。

　　1.5应用安全分析

　　众所周知,我国信息安全采用信息安全等级保护制度,按照应用系统的安全等级进行划分,应用系统是等级保护的核心,所处的IT环境包括主机、数据库、网络传输、物理等,这些因素从客观上增加了应用系统的安全风险,这些风险是必然存在的。应用系统从自身架构上基本包含数据采集、数据处理与汇总分析、人机界面以及各层之间的API接口,这些组成部分从主观上增加了应用系统本身的安全风险,而应用系统本身安全又包括应用系统架构设计安全、模块间数据通讯安全、数据存储安全设计、访问控制、身份认证等主要方面,因此每个层面都需要在系统设计时进行安全考虑和设计。

　　2、医院信息安全防护措施

　　2.1加强安全意识教育

　　人是信息安全环节中最重要的因素[3],既是信息安全最大的防护者,也是信息安全问题的制造者。不仅要加强医务人员和信息管理人员自身的信息安全教育,同时也要提高信息安全意识。要做到思想上认识到信息安全工作的重要性,进一步确立信息化条件下医院信息安全防护的指导思想。通过开展信息安全教育,把人员思想与单位制定的信息安全标准、规范、制度等紧密结合,高度统一。建立健全信息安全教育相关培训制度和机制。

　　2.2建立完善的安全管理体系

　　加强医院信息系统安全防护制度建设、加强和建立技术防护规划和体系建设、建立人员安全防护体系、建立资产管理体系。形成制度、技术、人员管理和资产管理相结合的立体安全防护体系。信息安全工作要根据医疗行业、军队、国家的相关信息安全要求,从信息安全工作的宏观出发,着手微观。宏观上要制定总体方针和安全策略,建立起整套的信息安全管理机构。微观上要制定信息安全管理机构的工作目标、工作的边界、工作的原则、建立信息系统安全域以及信息系统的安全框架。完善安全管理活动中的各类安全防护标准、制度、规范以及工作流程。应设立专门的安全岗位并确定职责,应成立指导和管理信息安全工作的领导小组,其最高领导由单位主管领导委任或者授权。同时,应根据国家和行业的信息安全要求,例如:信息安全等级保护、风险评估等建立起适合本医院的信息安全等级保护制度基线。从应用系统定级到测评和改造建立起一套行之有效、适合自身的等级保护测评制度和流程,形成完善的信息安全生命周期环,使医院信息安全建设能够伴随着应用系统建设不断滚动健全。

　　2.3建立完善的安全技术体系

　　我国信息安全等级保护要求,以信息系统作为定级和保护对象,从物理安全、网络安全等5个层面进行了不同等级间、细颗粒度的`具体要求。医院信息系统按照信息安全等级保护标准进行安全防护建设,从机房和网络的公共基础安全防护到数据和应用的系统化安全防护,医院信息系统安全防护主要分为以下几个环节进行防护:

　　2.3.1物理防护层面

　　机房属于信息安全等级保护中规定的物理部分,它承载着应用系统所依赖的IT硬件环境,因此机房位置的选择至关重要,从等级保护测评细项上要求机房所在楼宇需要对防震、防雨、防风等进行强度要求。同时为避免内涝和雷击的危险,机房要求避免设置在地下或者顶层。同时,机房是IT资产的重要区域,要求相关人员进出要有门禁控制和相应的音视频监控,对出入人员进行鉴别、控制、记录。在物理机房防护上还应注意防火、防盗窃和防破坏等。具体措施可根据医院实际情况进行整改建设。

　　2.3.2网络防护层面

　　网络是整个信息化工作的高速公路,承载着各种业务。目前各医院医疗工作基本实现无纸化,医疗数据传递依靠网络系统,一套业务处理能力强、带宽高且有冗余的网络系统才能够满足医疗业务高峰需求。应根据应用需求建立网络安全访问路径,对客户端和核心服务器间进行路由控制,对不同医疗部门根据工作职能、重要程度和信息敏感性等要素划分不同的网段,并对不同网段按照重要程度划分安全域。根据医疗业务、管理业务等系统进行数据流向的访问控制,建立端口级的细粒度控制。应能够对网络系统中的流量、设备状态,用户访问行为进行控制和记录,并能够根据记录数据进行分析,生成审计报表。对非授权设备私自连到内部网络的行为进行检查,并确定位置,进行有效阻断。应能够在检测到攻击行为时,记录攻击源IP、攻击类型、目的、时间等,在发生严重入侵事件时进行入侵报警进行防范。同时,还要在网络边界处对恶意代码进行检测和清除,做到边界层的恶意代码防范。

　　2.3.3主机安全防护层面

　　应对登录操作系统和数据库系统的用户进行身份标识和鉴别,要有防假冒和伪装的功能,针对登录失败要具有结束会话、限制非法登陆次数和自动退出等措施。应对管理用户进行三权分立设置,根据管理用户的角色分派权限,实现管理用户的权限分离。应能够对服务器和重要客户端上的每个操作系统用户和数据库用户进行审计,进行防抵赖等功能设计,杜绝管理人员带来的安全风险,应能对主机进行入侵防范,在遭到攻击时能够记录入侵源IP、攻击类型等。应对主机进行恶意代码防护,并与网络恶意代码防护采用不同的恶意代码库。应对服务器主机资源包括CPU、硬盘、内存、网络等资源使用情况进行监视。

　　2.3.4数据安全层面

　　应能够保证数据的完整性、保密性、可用性。对医疗数据在传输和存储过程中能够检测到数据完整性是否受到破坏。应对重要业务数据进行时间小颗粒度的数据备份,同时要做到异地数据备份和备份介质场外存放。要采用冗余技术设计网络拓扑,避免关键节点、数据节点存在单点故障[4]。同时应对数据所承载网络设备、通信线路和数据处理系统进行硬件冗余,保证系统的高可用性。

　　2.3.5应用安全层面

　　针对医院医疗应用系统的特点,医疗应用系统应具有身份鉴别[5],采用密码技术保证通信过程中数据的完整性,即应用系统中应提供三权分立即分权分角色的用户身份控制模块,以及登录控制模块对登录用户进行身份标识和鉴别,且提供用户身份标识唯一和鉴别信息复杂度检查等功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不被冒用。医院医疗业务的高速发展离不开信息化,医疗信息化改变了医院的医疗模式,医疗系统的信息安全必须依照国家信息系统等级保护制度要求进行安全防护与建设,在医疗信息系统中建立信息安全的防护基线,设计整个信息系统安全指标的阀值,医院信息部门建立对整个信息系统完善的安全设计规划、建设、防护和运维的相关制度。信息化所带来的信息安全问题是医院信息化过程中不可规避的重要方面。医院信息系统安全管理必须要依托国家信息安全等级保护制度和卫生行业信息安全等级保护工作的指导意见,从制度建设、安全技术建设、人员安全管理、资产管理等多方面入手,全面展开系统安全规划和建设。通过安全技术手段与管理相结合,建立起医院信息安全防护体系,最终达到保护医院信息系统安全,更好的为患者提供医疗服务。

【医院信息系统安全保障措施】相关文章：

安全保障措施08-01

供货保障措施08-25

医院信息系统安全管理制度（通用11篇）10-05