医院信息安全管理措施范文

引言：寻求写作上的突破？我们特意为您精选了12篇医院信息安全管理措施范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

1网络安全维护技术的要点分析

1.1备份技术

系统所涉及的功能和业务越多，其漏洞和故障可能性就越大，往往这是无法完全避免的。因此，对于保障信息系统运行而言，大多数计算机系统在设计过程中需要考虑最恶劣的情况，计划所需的解决方案，也就是构建备份系统。所谓的备份技术是基于最恶劣状况，在医院信息系统出现问题，数据库无法使用时，能够在较短的时间重新恢复运行。这类技术需要来自于硬件设备和软件系统的共同构建，也需要根据医院的具体状况制定合理备份策略，具体的备份频率、备份时间、恢复时间等。常用的策略主要分为只备份数据库、备份数据库和事务日志、增量备份三类。

1.2冗余技术

冗余技术是一项保障性技术，是指在网络及其它瞬间质量恶化的状况下，不会因此而造成系统停机和数据库的丢失。然而，网络作为一种数据处理和转发的中心，应当进行充分而全面地考虑保障。而这种网络的保障可以利用冗余技术来完成，这类技术的应用也十分广泛，不仅可以用于电源、处理器和设备，甚至还可以用于模块、链路和以太网等。

1.3防火墙技术

防火墙是用来应对黑客侵入和保障系统安全的常用手段。防火墙通常被安置于风险区域和内部网络之间，进行访问的管理，形成一道内部网和外部网之间的隔离保护层（门），所有贯通两者的连接都必须经过这道隔离保护层（门），防止非法入侵和破坏行为。

1.4加密技术信息

交换加密技术通常包括对称和非对称两类加密技术，前者将同一密钥分别应用于信息的加密和解密两个过程，对加密工作进行了一定的简化处理，信息交换双方都不必彼此研究和交换专用的加密算法。然而，在非对称加密的体系之中，密钥被分解为一对（即公开密钥和私有密钥）。这对密钥中任何一个都可以作为公开密钥（加密密钥）通过非保密方式向他人公开，而另一把作为私有密钥（解密的密钥）加以保存。

2医院信息管理系统中网络安全维护的具体措施

2.1医院信息管理系统

该系统是整个医院众多管理子系统的综合，子系统按照功能和应用进行划分，其技术模式也需要依照应用和运行进行改造。例如：医生查房系统由于涉及范围和距离较小，可以利用无线网络；而分院之间的信息管理系统则由于相距较远，需要利用ADSLModem来构建与中央数据库服务器之间的链接，以此提升整个医院信息系统的安全性。在安全监管和安全维护上利用统一性的管理原则，可以使得数据的安全性与可控性得到强化，在面对不可抗力时，能够尽量减少数据损失。

2.2医院信息系统网络工作环境特点及漏洞分析

就当下我国大多数医院信息管理系统工作而言，具有非常相似的特点：首先，医院网络是内网，利用防火墙和外网进行隔离；其次，医院工作人员在进行开机链接中央数据库服务器时往往并不需要十分复杂的口令；最后，“禁止使用以U盘为主的存储设备”并没有得到医院管理层和基层的严格执行。因此，不少问题就此而产生，同时，也给医院信息管理系统埋下不少的风险因子。现阶段，我国医院大多数的信息管理系统是以Windows平台为基础进行构建的，因为其相对于Linux系统而言存在更多安全漏洞，容易被黑客所利用，成为攻击的对象和目标。而且在内网和外网隔离的条件下，这类漏洞往往不会在发生的第一时间进行及时修复，形成了数据丢失风险。除此之外，由于医院的大多数计算机都是公用型设备，为了方便工作人员进行使用，密码相对简单甚至没有设置。当非相关人员打开计算机之后，就有可能出现资料泄露的风险，一旦被破坏分子利用就会造成严重的损失和后果。除此之外，医院出于便捷性考虑，没有对包括U盘和收集在内的外部移动储设备进行限制，造成医院信息管理系统的封闭性仍旧存在一定缺口，这一缺口也在被黑客利用之后成为入侵系统的重要渠道，所造成后果不可估量。

2.3信息系统防御体系的设计和构建

威胁医院信息管理系统内部局域网安全的问题较多，但其大致上可以分为以下几类：一是网络设备受损；二是网络设计缺陷；三是网络环境风险较大；四是遭遇非法访问等。据此,网络安全技术应用于医院信息防御体系的设计之中时,需要进行以下的措施。首先，在整个信息系统上，采用VLAN（虚拟局域网技术）作为主要网络技术，由于其采用逻辑地址分段而不是根据其物理地址分段，使得其能够实现虚拟上的分组。其次，医院信息系统使用专门的vpn对内网进行访问，结合防火墙技术进行访问用户的内容和行为进行监控，一旦发现风险或是触发风险预警，马上进行控制，防止进一步风险或是攻击的出现。最后，为了避免漏洞在发生的第一时间不能被完全处理，医院信息管理系统应当逐步推进LINUX平台的建设，对系统漏洞进行规避，提升信息系统网络安全性能。除此之外，还需要对网络设计缺陷和网络设备状况重视起来。网络设计的缺陷会导致在某些状况下系统无法处理，这时候需要提前做好预防措施，以防止严重问题的产生。设备损坏则会直接影响信息系统的安全性。在此之中，软故障是最难以解决的一种。它会使医院处于难以运行的状态，并且排查困难，对排查人员的专业知识和熟练度要求较高，所以一旦出现软故障问题，则应该调动大量的专业人员对其进行解决与处理。

3结束语

计算机技术和网络技术的发展应用，极大地推动了我国医院信息系统的建设，为医疗信息的整理和分析提供了巨大的助力。然而，由于网络环境的复杂性，医院信息系统管理也面临了极大的风险性和不确定性。因此，医院需要从实际问题出发，对自身的信息管理系统进行网络安全性的强化，切实有效地保障自身的信息安全和系统运行安全。

参考文献

[1]刘琰瑾，张新.探析网络安全技术在医院信息系统中的应用[J].网络安全技术与应用，2015.

[2]何磊.试论新环境下医院信息网络系统的安全管理策略[J].通讯世界，2015.

[3]李安成.医院信息网络安全管理[J].电脑知识与技术，2013.

篇2

综合分析，当前对医院电子档案信息安全管理产生影响的因素主要涉及到以下几个方面。

1.1 环境安全因素

电子档案是将电信号和磁介质作为主要载体的档案文献，因此环境中的磁场干扰和突然断电等问题都会对电子档案信息安全产生影响，出现档案数据失真问题，影响电子档案信息安全的合理管理[1]。同时供电系统的故障也可能会给电子档案信息造成严重的破坏。所以在加强电子档案信息安全管理工作的过程中，应该注意突出环境建设，以环境建设为电子档案信息安全管理提供良好的支持。

1.2 网络环境的影响

近几年随着网络信息技术的发展和其在社会上的普及性应用，网络安全问题频繁出现，网络病毒和黑客等对信息安全产生了严重的不良影响，医院电子档案信息安全管理也受到严重的威胁。所以医院应该正视来自互联网的威胁，对网络安全环境进行合理分析，进而从网络安全角度加强电子档案信息安全管理，有效促进档案管理水平的全面提升。

1.3 制度和人为影响因素

现阶段我国医院档案管理工作中管理制度建设不完善以及工作人员计算机专业素质偏低的问题也对电子档案信息安全管理的优化开展产生了一定的不良影响[2]。在制度不完善的情况下，管理规范性不足，并且由于管理人员综合素质偏低，无法应对计算机系统故障和网络安全对电子档案信息安全管理产生的威胁，导致医院电子档案信息安全管理水平偏低。

2 新时期医院加强电子档案信息安全管理的措施

当前社会上层出不穷的信息安全问题不仅对社会信息安全造成了一定的不良影响，甚至严重者还会威胁社会的稳定。所以社会各界都加强对信息安全管理工作的重视，希望借助科学合理的信息安全管理，为信息行业的稳定发展提供良好的支持。在此背景下，医院电子信息档案管理也受到高度重视，成为医院档案管理部门重点关注的问题。所以本文基于当前医院电子信息档案管理实际需求对电子档案信息安全管理的措施进行了适当的分析，以期为电子档案信息管理的全面优化提供良好的支持。

2.1 加强对安全稳定数据库环境建设工作的重视

医院新时期加强对电子档案信息安全管理工作的重视，最为关键的一点就是应该保证安全稳定环境的建设，为电子档案信息数据库的稳定运行提供良好的支持。首先，针对医院电子档案信息的实际需求，医院应该尝试构建独立的存储电子档案信息数据库室，并对数据库室内的环境进行合理布置，将其设置为暗室，注意采取适当的避光防尘措施，室内除了应该设置独立的18T的光纤通道存储设备外，也应该引入数据核心交换机、高性能刀片服务器等设备[3]。同时，针对医院的具体情况可以有选择性的配置除湿器和恒温机，保证医院数据库室整体环境保持在恒定温度和湿度范围内，并坚持远离磁场，避免数据库?子档案信息受到电子干扰。同时，由于电子档案信息数据库的稳定运行需要电源的支持，因此在环境建设工作中也注意电源保护问题，设置独立的电源，即使遇到突发停电的情况也能够保证数据库室在一段时间内的稳定运行，进而为管理者手动保存资料、关闭数据库提供充足的时间，有效规避突然断电对档案数据信息产生不良影响。这样借助良好数据库外部环境的建设，医院电子档案信息安全管理就能够获得良好的设备支持，提升管理效果。

2.2 提升网络信息技术安全保障工作质量

网络信息技术安全保障工作在医院电子档案信息安全管理工作中发挥着重要的作用，能够促进医院电子档案信息安全管理工作的顺利推进，促进管理水平的进一步提升。所以医院档案管理部门在开展档案管理工作的过程中必须保持对网络信息技术安全保障工作的高度重视，从多角度探索安全保障措施。首先，应高度重视备份工作，确保即使电子档案信息受到外部力量的冲击仍然能够进行及时的恢复，维护电子档案的安全。在开展备份保障工作的过程中，医院应该按照不同的类别实施电子档案信息的本地备份和异地备份、在线备份和离线备份、增量备份和差分备份等，保证备份的全面性和有效性，为电子档案信息安全工作的良好开展创造条件[4]。其次，电子档案信息加密保障工作，借助加密保护，有效防止病毒和黑客的入侵，并避免电子档案信息被不合理的修改泄密等，切实维护医院电子档案信息安全。一般情况下，医院电子档案管理部门在实施加密保障的过程中可以引入软硬件结合的加密措施，保证只有借助专门的软件才能够读取档案信息，维护电子档案数据安全。最后，设置高级别的防火墙，对档案资源使用者进行合理的限制，对于医院电子档案资源中非机密性的信息可以供个人或者相关组织使用，而对于机密性档案则应按照严格的借阅流程才能够使用档案资源。这样不仅能够实现对医院电子档案信息安全的合理维护，还能借助对档案机密性等级的划分，增强电子档案信息的有效利用率，为患者和社会相关组织提供相应的档案信息服务。

2.3 逐步完善档案规章管理制度，提升管理人员的综合素质

篇3

中图分类号：TP316 文献标识码：A 文章编号：1674-098X（2014）06（a）-0038-01

1 医院信息安全现状分析

1.1 信息安全策略不明确

医院信息安全策略工作的不明确，使医院对于信息工作提出了更高的要求。医院信息安全工作的建设并不是那样的简单，有些医院只是简单的注重各种网络安全产品的采购，但是并没有制定信息安全的中、长期的计划，这些医院没有根据自己的网络安全出现的一些问题而采取一些应对措施，也没有根据自己的信息安全目标制定符合实际的安全管理策略。以上现象的出现，使医院信息安全产品不能发挥出应有的作用，不能得到适当的优化和合理的配置。

1.2 计算机病毒等危害日益严重

医院网络安全事件频繁发生，直接影响到医院活动的正常运行。据调查，网络安全问题是由病毒泛滥、黑客攻击、系统漏洞等原因造成的，网络安全事件与脆弱的用户终端和“失控”的网络密切相关，用户终端不及时升级系统补丁和病毒库，或者私设服务器、滥用政府禁用软件、私自访问外部网络的现象普遍存在，如果失控的用户终接入网络，就会使潜在的威胁趁虚而入，并大幅度的扩散开来，后果不可想象。想要解决目前医院网络安全管理问题，需要我们保证用户终端的安全、阻止威胁入侵网络和对用户的网络访问行为进行有效的控制。这样，医院网络安全才可以进入可观局面。

1.3 信息安全意识不强，安全制度不健全

信息安全事件存在多方面的不足，归结起来要么是医院未制定安全管理制度，要么制度后实际却没去实施。对于医院信息安全问题来说，医院内部人员起到很大的作用，但是实际情况下，医院内部人员的计算机知识却相对薄弱，特别是在信息安全知识和意识方面，所以医院应加强对内部员工安全知识的培训。

2 构建医院信息安全及防御体系的措施

目前，想要完成医院信息安全的任务，首先要根据医院的实际状况出发，制定出相应的措施。医院信息安全应包括安全策略、安全管理和安全技术，只有将这三个方面的安全措施做好，医院信息安全便可取得一定的效果。

2.1 提升信息安全策略

网络信息安全需要从管理和技术两方面下功夫。网络信息安全并不是一个单一或独立的问题，在根据医院网络信息实际出现的问题采取相对应的措施外，还应该严格务实的实施下去，只有这样可以提高网络信息系统安全性。我们在网络安全实施的策略及步骤上应包括以下五方面的内容： 制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况（遇攻击时可采取安全措施）、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。

2.2 完善信息安全管理

从安全管理上，要制定出相对完善的机制，遵守并实施安全管理制度，加强对医院员工的安全意识培训，引导并督促他们对安全意识深入了解，最后还要制定出网络安全应急方案等。

第一，安全机构建设。成立专门的信息管理组，并设立各个部门及其主要领导，每个部门规定相应的职责，层层推进，共同实施信息管理任务。除此之外，还应该及时的进行信息的安全检查和应急安全演练。

第二，安全队伍建设。若想要医院信息系统能够正常有序的运行，则需要建立一支较高水平、较高实力的安全管理队伍。安全管理队伍可通过引进或则培训等渠道建立。

第三，安全制度建设。为了确保医疗工作的正常运行，需要建立一套可行的安全制度，其内容包括很多方面，比如：系统与数据安全、应用安全、网络安全、信息安全、物理安全和运行安全等等。

2.3 提升医院信息安全技术水平

依据安全技术的实施结果分析，要针对检测到的安全漏洞，制定出全面且彻底的补救方案与改进措施。

（1）冗余技术。冗余技术的作用可以实现网络的可靠性，冗余技术包括：电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等。若无冗余技术的作用，医院信息网络就会就会出现故障或变化，这样会导致医院业务的瞬间质量的恶化甚至内部业务系统的中断，并且医院信息网络作用于整个医院的业务系统，需要保证网络可靠并正常的运转，这就更需要冗余技术来发挥维持网络稳定性的作用了。

（2）建立安全的数据中心。无论对于患者或是医院来说，医院的医疗数据都是非常重要的，但是由于医疗系统的数据类型非常丰富，在对数据的多次读取的和储存的同时，难免造成数据的丢失，或则被恶意破坏、非法利用等安全问题，所以，建立一个安全的数据中心成为必需。一个安全的数据中心具有以下功能：有效的杜绝安全隐患、确保病患的及时信息交互、保证各个医疗系统的健康运转和加强医疗系统的安全等级。数据交换、数据库、服务器集群、安全防护和远程优化等组件都是融合的医疗数据中心的组成部分。

2.4 安装安全监控系统

想要保持医院内部的安全策略，安全监控系统扮演着非常重要的角色。安全监控系统不仅能充分的利用了医院现有的网络投资，还可以起到监督的作用，监控各种网络行为和操作进行，可以随时随地的记录各个终端和网络设备的使用状况，而且还能起到隔离部分被攻击的组件的作用，

3 结语

医院信息安全并不是一个简单的系统，应该采取多种有效的技术手段来应对不同网络威胁，当然，也应该清醒的认识到不可能把信息安全问题彻底解决掉，绝对安全是不存在的。但是，只要我们把系统合理、安全规划，技术上制定好相应的安全防护措施并认真务实的执行下去，建立一个将误差降低最小的安全防护系统，才是我们一直追求的目标，才能实现保护医院信息安全的目的。

参考文献

[1] 魏牧.浅谈医院信息系统的安全管理[J].科技资讯，2009（8）.

[2] 管斌，孙曼凌.浅谈医院信息管理系统[J].中国社区医师（综合版），2007（18）.

篇4

1引言

随着信息化、数字化、网络化的发展，大数据和换联网+也进入了医疗卫生行业，加快了医院信息化的发展。随着医院业务的发展，医院信息系统的应用也更加广泛，医院对其依赖性会越来越强，风险也随之会提高。但医疗服务的特殊性决定了医院信息系统需要24小时不间断运行，这就对医院的信息安全管理提出了更高要求。信息安全管理是指导和控制组织关于信息安全风险相互协调的活动，它是了解体系安全状态、实现信息安全目标的重要关口，主要包括信息安全风险评估、风险管理和技术措施的控制。如何更好地进行信息安全管理成为一个不可忽视的问题，因此，在医院信息化建设的同时加强信息安全管理建设是解决医院信息安全问题的必然选择。

2我国卫生行业信息安全管理政策

2010年原卫生部制定的《卫生信息化建设指导意见与发展规划（2011-2015）》（“十二五”规划）明确提出了我国医疗信息化发展的蓝图和发展方向“35212工程”，建设信息安全体系即是最后一个“2”中的一项。按照《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函〔2011〕1126号）的要求，三级甲等医院应于2015年12月30日前全部完成信息安全等级保护建设整改工作，并通过等级测评。这标志着我国卫生行业开始通过信息安全等级保护加强对医院信息安全的管理。原卫生部、国家中医药管理局在2012年6月15日的《关于加强卫生信息化建设的指导意见》指出，要加强卫生信息安全保障体系建设，落实国家信息安全等级保护制度。国家卫生计生委规划信息司在2014中国健康大会上也指出，医疗卫生信息化是国家信息化发展的重点，已纳入“十三五”国家网络安全和信息化建设重点。

3医院信息安全管理需求

据《南方都市报》报道，2008年5月以来，香港连续爆出泄密事件：先是医管局下属医院陆续发现患者资料遗失，共涉及1.6万名患者，此事立刻轰动了全港。2010年5月23日，一张神秘的清单在网上曝光，其中列出了宁波市某医院45名医生的工号、名字和所属科室，后面还注明了他们使用药品氨曲南的数量和总价，虽然腐败得到惩戒，大快人心，但所暴露的医院的潜在威胁值得警惕。2013年7月，宁波两家医院挂号系统瘫痪事件，同样也引起了社会各界对医院信息系统安全的高度关注。2015年10月份的澳门山顶医院最大泄密事件，患者资料随街散落，也折射出医疗卫生行业信息安全问题的严峻性。信息化在给医院带来便利的同时，也带来了医院信息安全的隐患，上述严重的信息安全事件给医院的信息安全管理敲响了警钟。医院信息系统承担着整个医院的内外各项业务，其安全状况直接关乎患者隐私和健康、社会秩序及稳定等。加强信息安全、消除信息安全隐患，已经成为医院当前必须要面对的问题。

4医院信息安全管理制度的发展对策

在《信息系统安全等级保护基本要求》和医院评审的相关标准中都提到了信息管理部分，都强调了信息安全管理，并且都是对医院进行此两方面评审时的重要的评审部分。结合这两方面的评审要求，可以分别从安全管理制度、安全管理机构、人员安全管理、系统建设安全管理、系统运行安全管理五个方面，对医院信息安全进行管理。

4.1建立完善的总体安全管理制度

医院应根据自身的实际情况制订总信息安全管理制度，总信息安全管理制度是一个医院的根本管理制度，规定医院信息安全管理的根本任务和根本制度，是医院信息安全工作的总体方针、总体目标、总体原则，是其他信息安全管理制度制订的依据和基本要求。总信息安全管理制度中应严格明确制度制定与的流程、方式、范围等，应定期组织相关部门对安全管理制度进行评审与修订，以满足医院信息化不断发展的需要。

4.2应建立稳固的安全管理机构

医院应根据总体安全管理制度的基本要求设置安全管理机构和安全管理岗位，并制定《岗位设置与职责管理制度》，应明确“三员”（系统管理员、网络管理员、安全管理员）岗位与职责。医院信息安全管理不是某一个部门的职责，而是全医院相关部门都要参与，从自身做起，从上述某医院的信息安全管理机构图来看，信息安全领导小组对医院信息安全管理进行定期评审，再由医院最高领导的支持，然后直到一线的人员，每个岗位都有明解的岗位职责，达到稳固的管理，责任到人，能满足医院信息化不断发展的需要。

4.3配备专业的信息化人员，制定完善的员工信息安全管理制度

医院人事主管部门，应针对医院的实际情况例如可制定《人员录用制度》、《人员离岗制度》、《人员考核制度》、《安全教育和培训制度》、《外部人员参观访问制度》等人员工信息安全管理制度。在人员录用方面应按照制度流程对被录用人员进行资格审查，对于在医院从事关键岗位的人员应当签署保密协议等，在离职时应按照制度流程办理离职手续，例如应回收医院发放的各种身份证件、钥匙、秘钥并注销一切其所拥有的信息系统账号等；在人员考核方面应定期对各个岗位的人员进行信息安全技术及信息安全认知的考核，确保在岗人员都有维护医院信息安全的义务；在人员的安全教育和培训方面，应对各类人员定期进行信息安全教育和培训，提高其安全意识，明确责任和奖惩措施；在外部人员来医院参观访问方面，应用按照制度进行授权和审批，确保医院运行安全。

4.4完善医院各类信息系统的建设，制定切实可行的信息系统安全管理制度

信息化数字化医院建设只有起点没有终点，医院在各类信息系统建设方面应根据自身的实际情况，制定完善可行的信息系统建设规章，可保障医院相关部门在信息系统建设过程有据可依、有规可循。例如医院可制定如下关于医院信息系统建设的管理制度：《医院信息系统定级管理制度》、《医院信息系统安全方案设计管理制度》、《医院信息系统产品采购和使用制度》、《医院信息系统自行软件开发制度》、《医院信息系统外包软件开发制度》、《医院信息系统工程实施管理制度》、《医院信息系统测试验收管理制度》、《医院信息系统交付管理制度》等。

4.5制定切实可行的医院各类信息系统运行管理制度，满足医院各类业务的适时访问需求

医院各类信息系统建设的目的是为了更好地满足各类业务的需求，保障建设好的各类信息系统更好的运行。医院信息系统管理者应从管理方面制定切实可行的管理制度，同时针对不同的医院使用人员，制定不同的使用操作手册，让医院的使用者达到规范操作，这样可以大大减少人为误操作导致的系统故障，方便运维人员对系统的维护。例如医院可根据信息系统的实际情况制定如下运行管理制度：《医院信息系统环境管理制度》、《医院信息系统资产管理制度》、《医院信息化介质管理制度》、《设备管理制度》、《医院网络安全管理制度》、《医院信息系统安全管理制度》、《医院恶意代码防范管理制度》、《医院信息系统密码管理制度》、《医院信息系统备份与恢复管理制度》、《医院信息系统安全事件处置制度》、《医院信息系统应急预案管理制度》等。

5总结

信息化、数字化医院建设只有起点没有终点，医院信息系统安全伴随着信息化数字化医院建设同样没有终点。医院需要高度重视信息安全管理，制定一套切实可行的信息安全管理制度和措施，才能更好地保证医院信息系统安全、高效、稳定的运行。

参考文献：

[1]蔡文涛.浅谈医院信息系统网络安全[J].中国现代医生,2009(32):116-117.

[2]李刚.医院信息系统安全管理问题浅析[J].中国管理信息化,2013(1):39.

篇5

中图分类号：R19 文献标识码：A

随着21世纪的到来， 我国整体信息化水平的提高以及医院规模的扩大、现代设备的增加以及门诊量的提升，通过信息化手段提升医院整体管理水平，提高医院内部诊疗信息的共享率，全面增强医院服务患者水平成为现代医院新的经营理念和必然的发展趋势。本文将从技术和管理两方面介绍保障信息安全的主要方法，并结合医院的特点说明怎样的医院信息系统才是一个安全的系统。

1 医院信息化建设的安全范畴

1.1局域网络

就医院局域网建设来说，它应紧密围绕着医院管理目标，体现医院管理思想。它所面临的安全威胁主要来自非法用户利用私自连接上网的未经授权的工作站或利用一台合法工作站， 通过窃听网上通信来窃取合法用户的用户标识符（ID）和口令，冒充合法用户登录系统，窃取或修改数据。保障信息安全就必须有效地对抗这些攻击。

（1）网络的安全机制

医院信息管理系统（HIS）已在我国大部分医院启用，为防止未授权用户进入系统或合法用户访问它无权了解的信息，在用户登录系统时，对其访问资格进行认证，即身份认证。目前主要采用ID+ 口令方式。用户登录时，输入ID和口令。这种方式简单易行，但ID 和口令容易泄露，安全性差。最佳方案是采用智能IC卡技术。用户的个人信息存储在IC 卡内， IC卡使用多种安全技术确保卡内资料不会被复制和泄漏。使用时，将卡插入工作站的读卡器进行身份认证。由于费用较高，当前国内医院较少采用。但它的安全性能突出， 而且一卡多用， 是今后的发展方向。

（2）网络通信数据的保密

在网络分层通信中，保密通信安排的层次越高，则传送密文的安全路径越长，信息传输的安全性相对也越高，但相应的开销和延时也可能较大，所以网络中具体安排哪一层次进行加密和解密，仍需根据网络系统应用类型、范围及环境等因素综合考虑和规划。在这种结构的网络中，数据以广播的形式进行发送。当一台工作站与服务器通信时，网上的其他任何一台计算机都可以获得传输数据的副本。为了保证有在线窃听情况下数据的保密性，只有对数据加密。现阶段国内医院信息系统，基本选用软件加密方式。密码运算工作全部由工作站和服务器完成。如果网上数据全部加密传输，运算量极大。在通信频繁的情况下，会使整个系统的性能迅速下降。通过分析医院的信息流动情况和面临的安全威胁，可以看出：首先，医院并非高度保密单位。日常工作中使用的信息，多数保密等级并不高。其次，入侵者攻击方式和目的明确，主要是试图经网络侵入系统，通过非法修改、窃取、破坏保存在数据库中的相关数据，从而获取某种程度的利益。而不是单纯通过在线窃听网上通信来获得有用的信息。因此，将少量保密等级高的数据在网上加密传输，而大部分普通数据则直接传输，可使系统的速度和安全性能均达到满意的水平。为防止在用户登录时其ID、口令等用户安全信息被窃听，这类对系统安全至关重要的数据在网上传输时必须加密。

1.2 系统和应用软件

包括操作系统、数据库和管理信息系统。为能有效保障信息安全，软件系统应具有以下技术特性：

（1）访问控制

系统应能通过授权数据库等安全机制对用户进行分级管理，限定访问权限。从而防止无权用户对操作系统核心区域和重要文件的访问，避免系统被破坏和系统安全信息的泄漏。对数据库的访问，在任何情况下，都应通过数据库系统进行。防止用户绕过数据库系统， 直接存取库中数据。医院信息系统中的数据库，其访问控制的粒度至少要达到/“纪录”一级。例如，在病案管理中，对于病案库中的每一条纪录，只有其主管医师拥有/“修改”权限。其他一些人员可以有/ “只读”权限，有时还需要限定某些人员的查阅项目（访问控制的粒度需达到/“域”一级）。对于无权接触病案的人员，则禁止其访问。

（2）安全审计

一个安全的系统应该知道系统中何时何处谁在做什么。这就要求系统能跟踪运行中发生的事件和出现的变化，将过程记录在工作日志中。以便供安全审计人员查阅，发现问题并采取相应的防范措施。工作日志应具有很高的安全等级，并禁止修改。

（3）数据加密存储

是利用数据加密技术将数据库中的数据由明文变为密码存储，使非法攻击者即使得到数据也无法解读和使用。多数系统采用在程序中设置固定的加密算法和密钥的方式对数据库进行加密。这种加密方式容易实现，使用简便，能够提供一定的防护能力。在医院信息系统中被广泛采用。缺点是，由于始终使用同一个密钥进行加密，安全性不高。如改用可变密钥的方式，将大大增加数据库的安全性，但同时也会使数据库管理工作变得复杂。

（4）签名和校验

签名用来纪录数据录入者的身份，明确责任。校验用以检验数据在存储过程中是否被非法修改。在医院信息系统中，一般以/“纪录”或/“域”为单位进行签名。例如，在电子病案中各级医师每日的查房纪录和医嘱，都应由各人分别签名确认。签名往往与校验结合在一起，利用操作者的个人密钥，对被签名数据进行运算，生成消息验证码（MAC）与被签名数据一起存储，实现校验和签名的双重功能。

2 医院信息安全系统的管理

随着计算技术的发展和普及，计算机技术被广泛运用于各个领域，为医院信息安全系统提供重要的技术支持。计算机系统主要由硬件和软件构成，但是系统的运行却离不开其使用者。所以明确医院信息安全管理目标，加强人员的培训，加强信息系统安全管理，才能保证医院安全信息系统的正常运行。

2.1 信息安全行政管理措施

（1）明确安全管理目标及方法。每个医院信息安全问题都不同，对信息安全系统的要求也不同，所以在进行医院信息安全系统管理的时候，要依据医院的实际情况及医院的信息安全需求，明确医院信息安全系统的管理目标，并制定相应的安全管理措施，保障医院信息安全。（2）信息安全管理队伍的建立。依据医院实际情况，建立相应的安全管理队伍，合理分配管理任务，落实责任制度，保证安全管理工作的顺利进行。（3）信息安全制度的制定。信息安全制度是规范信息安全管理工作，明确信息安全工作目标，落实信息安全职责的重要原则。信息安全制度主要包括工作规程、安全原则及工作责任等。

2.2 信息安全管理工作内容

（1）提高人员的安全意识。采用职位转换的方式，避免工作人员长期担任信息安全管理工作。确保每位工作人员具有获取工作信息的权利，制定信息安全管理制度，对每位工作人员获取的信息进行有效的管理和控制，同时对每位工作人员进行信息安全管理教育，提高工作人员的信息安全意识。（2）加强信息系统设备维护和管理。管理人员将信息系统所有的设备资料进行详细的记录，记录设备的型号、名称、编号等等。安全管理人员可以依据设备档案资料对设备进行定期的检查，检查信息设备的运行情况，及时更换新设备，保证信息系统的正常运行。（3）信息安全管理工作的审核。对信息安全管理工作进行有效的审核，及时发现信息系统存在的安全问题，并制定相应的解决方法，消除信息系统存在的安全隐患，保证医院信息安全。（4）信息系统病毒的安全防范。在信息系统病毒防范上，通常采用杀毒软件来起到预防、杀毒的作用。而在信息系统安全管理中，则通过安全防范措施来达到阻止病毒入侵，保证信息系统安全的目的。病毒防范措施主要有两个方面。第一，如果病毒是通过信息网络入侵的，医院最好采用独立的局域网，与公用的网络进行隔离。同时可以在网络接口处安装杀毒软件和防火墙，可以起到一定的防治作用。第二，如果病毒是通过可移动的存储设备入侵的，在信息安全系统运行中最好禁止使用移动存储设备。对必须用到的存储设备进行有效的安全管理，在信息系统中安装杀毒软，防治病毒对信息系统的破坏。同时在技术允许的情况下，对系统设备进行严格检测，保证移动存储设备内没有病毒。

结语

总之，医院信息管理对信息安全等级保护的实现有十分重要的意义和作用，为使采集的数据真实有效，要制定了工作站入网操作规程，以提高信息的准确性。在实际工作中，网络管理人员只有不断更新知识、积累经验，才能未雨绸缪，扼杀网络瘫痪，把危害降到最低，确保医院网络安全运行。

篇6

文件明确规定了信息安全等级保护工作的工作目标、工作原则、工作机制、工作任务、工作要求，工作任务别强调了“三级甲等医院的核心业务信息系统”应进行定级备案。

1.2浙江省卫生厅文件

为加强医疗卫生行业信息安全管理，提高信息安全意识，以信息安全等级保护标准促进全行业的信息安全工作，提高全省卫生系统信息安全保护与信息安全技术水平，强化信息安全的重要性。2011年6月7日，浙江省卫生厅和浙江省公安厅联合下发《关于做好全省医疗卫生行业重要信息系统信息安全等级保护工作的通知》（浙卫发〔2011〕131号），并一同下发了《浙江省医疗卫生行业信息安全等级保护工作实施方案》和《浙江省卫生行业信息系统安全等级保护定级工作指导意见》。为进一步指导我省卫生行业单位开展信息安全等级保持工作，浙江省卫生信息中心于2012年4月6日下发了《关于印发<浙江省卫生行业信息安全等级保护工作指导意见细则>的函》。上述文件详细规定了工作目标、工作流程和工作进度，并明确了医疗卫生单位重要信息系统的划分和定级，具有很强的指导性和操作性。

2医院信息安全等级保护

依据上述行业文件要求，全省医院重要信息系统信息安全等级保护工作由省卫生厅和各级卫生局、公安局分级负责，按照系统定级、系统备案、等级测评、安全整改[1]四个工作步骤实施。

2.1系统定级

2.1.1确定对象

我省医院信息化发展较早，各类系统比较完善，但数量繁多。将出现多达几十甚至上百个定级对象的状况，这与要求重点保护、控制建设成本、优化资源配置[2]的原则相违背，不利于医院重要信息系统开展信息安全等级保护工作。依据《计算机信息系统安全保护等级划分准则（GB17859-1999）》等标准，结合我省医院信息化现状及发展需要，经卫生信息化专家和信息安全专家多次论证，本着突出重点、按类归并、相对独立、节约费用的原则，从系统管理、业务使用者、系统服务对象和运行环境等多方面综合考虑，把医院信息系统划分为以下几类，如表1所示。

2.1.2等级评定

医院重要信息系统的信息安全和系统服务应用被破坏时，产生的危害主要涉及公民的个人隐私、就医权利及合法权益，对社会秩序和公共利益的损害属于“损害”或“严重损害”程度。参考《信息安全等级保护管理办法》及省卫生信息中心指导意见细则要求[3]，即属于“第二级”或“第三级”范畴。因此医院信息系统对信息安全防护和服务能力保护的要求较高，结合业务服务及系统应用范畴，实行保护重点、以点带面原则，参考定级如表2所示。

2.2系统定级备案

省卫生厅及省级医疗卫生单位信息系统、全省统一联网或跨市联网运行的信息系统由省公安厅受理备案；各市卫生局及其下属单位、辖区内医院信息系统由属地公安机关受理备案。各市卫生局应将辖区内医疗卫生单位备案汇总情况和《信息系统安全等级保护备案表》等材料以电子文件形式向省卫生厅报备。定级备案流程示意图如图1所示。

2.3等级保护测评

医院重要信息系统完成定级备案后，应依据《浙江省信息安全等级保护工作协调小组关于公布信息安全等级报测评机构的通知》（浙等保〔2010〕9号）选择浙江省信息安全等级保护工作协调小组办公室推荐的等级测评机构，启动等级测评工作，结合所属等级要求对系统进行逐项测评。通过对医院系统进行查验、访谈、现场测试等方式收集相关信息，详细了解信息安全保护现状，分析所收集的资料和数据，查找发现医院重要信息系统漏洞和安全隐患，针对测评报告结果进行分析反馈、沟通协商，明确等级保护整改工作目标、整改流程及注意事项，共同制定等级保护整改建议方案用于指导后续整改工作。对第二级以上的信息系统要定期开展等级测评。信息系统测评后，医院应及时将测评机构出具的《信息系统等级测评报告》向所属地公安机关报备。

2.4等级保护规划建设整改

根据《信息系统安全等级保护实施指南》及省实施方案，结合医院信息系统的安全需求分析，判断安全保护现状，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施规划[4]等，用以指导信息系统安全建设工程实施。引进第三方安全技术服务商，协助完成系统安全规划、建设及整改工作。建设，整改实施过程中按照详细设计方案，设置安全产品采购、安全控制开发与集成、机构和人员配置、安全管理制度建设、人员安全技能培训等环节[5]，将规划设计阶段的安全方针和策略，切实落实到医院系统的信息安全规划、建设、评估、运行和维护等各个环节。其核心是根据系统的实际信息安全需求、业务特点及应用重点，并结合医院自身信息安全建设的实际需求，建设一套全面保护、重点突出、持续运行的安全保障体系，确保医院系统的信息安全。等级保护工程及管理体系建设整改流程如图2所示。

3医院重要信息系统安全等级保护成效

各级医院按照国家有关信息安全等级保护政策、标准，结合卫生行业政策和要求，全面落实信息系统信息安全等级保护工作，保障信息系统安全可靠运行，提高安全管理运维水平。

3.1明确系统安全保护目标

通过推行各级医院信息安全等级保护工作，梳理卫生信息系统资产、网络边界、网络安全设备部署及运行状况。根据系统风险评估、危害的覆盖范围及影响性判定安全等级，从而根据标准全面、系统、深入地掌握系统潜在的风险隐患，安全漏洞。明确需要重点保护的应用系统及信息资产，提出行之有效的保护措施，有针对性地提高保护等级，实现重点目标重点保护。

3.2建立安全管理保障体系

安全管理保障体系是开展信息安全工作的保障，指导落实各项安全指标要求。信息安全等级保护基本要求中明确要求加强主管及安全责任部门领导，配备信息安全专员督导安全检查、维护、培训工作。建立健全信息安全管理保障制度体系，包括机房安全管理制度、人员安全管理制度、运维安全管理规范。建立行之有效的安全应急响应预案及常规化的信息安全培训及预防演练，形成长期的安全风险管控机制。

3.3加强安全意识和管理能力

通过落实等级保护制度的各项要求，认识安全意识在信息安全工作中的重要性和必要性，调动安全保护的自觉主动性，加大安全保护的资金投入力度，优化安全管理资源及策略，主动提升安全保护能力。同时重视常规化的信息安全管理教育和培训，强化安全管理员和责任人的安全意识，提高风险分析和安全性评估等能力，信息系统安全整体管理水平将得到提高。

3.4强化安全保护技术实施

医院开展信息安全等级保护工作可加深分级、分域的纵深防御理念，进一步结合终端安全、身份认证、网络安全、容灾技术，建立统一的安全监控平台和安全运行中心。根据测评报告及建设整改建议，增强对应用系统的授权访问，终端计算机的安全控制，网络流量的异常监控，业务与数据安全保障，恶意软件和攻击行为的防御、发现及阻击等功能，深层次提高抵御外部和内部信息安全威胁的能力。

3.5优化第三方技术服务

与安全技术服务机构建立长期稳定的合作关系，引进并优化第三方技术资源，搭建安全保护技术的学习桥梁与交流平台。在安全技术与管理方面加固信息安全防护措施，完善信息安全管理制度，同时通过安全技术管理培训强化医院工作人员信息安全保护意识，提高信息安全队伍的技术与管理水平，共同为医院系统信息化建设的快速发展保驾护航。总之，医院开展信息安全等级保护工作将有效提高医院信息化建设的整体水平，有利于医院信息化建设过程中同步建设信息安全设施，保障信息安全与信息化建设相协调；有利于为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务；有利于优化信息安全资源的配置，重点保障基础信息网络、个人隐私、医疗资源和社会公共卫生等方面的重要信息系统的安全[6]。

篇7

【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158（2013）01―0087-02

中央县医院能力建设使基层医院信息化建设得到了迅猛发展，医院信息系统已成为建设现代化医院不可缺少的基础设施和支撑环境。随着越来越多的传统的手工流程逐步转变为软件信息处理流程，医院业务对于信息系统的依赖也越来越强，但信息安全是网络时代产生的一个困扰所有使用者的问题，尤其是医院业务所产生的数据具有隐私程度更高的特点，对于数据传输与数据存储的安全性的要求更高，因此保障医院信息的安全性成为医院信息化建设过程中必须重视的关键问题。信息安全管理是通过维护信息的机密性、完整性与可用性来管理并保护组织所有的信息资产的一项体制。

1 医院信息安全现状

文献对湖北省医院信息安全状况进行了调查和分析，调查结果如下：

医院网络安全措施方面，湖北省98.10%的二级及以上医院已采用网络安全措施，其中应用情况比较好的有防火墙设备、上网行为管理和域用户管理模式，应用比例如图1所示。

体系结构安全措施方面，医院信息系统体系结构安全措施主要包括服务器双机热备、服务器集群、容错机、服务器负载均衡等，湖北省二级及以上医院信息系统总体采用率如图2所示。

数据安全措施方面，数据安全是通过数据冗余、密码认证等措施以防数据因系统硬件或软件故障而引起数据丢失或泄漏的一种措施。调查结果显示：应用率较高的安全措施，如数据库镜像备份、数据冷备份和数据离线存储的应用率如图3所示。

医院信息安全制度和应急预案方面，93.51的二级医院已制定医院信息系统应急预案，其中制定比较完善的占30.93%；95.35%的三级医院制定了医院信息系统安全制度与措施，其中比较完善的占46.42%。

卫生部印发的卫办综发[2011]39号《基于电子病历的医院信息平台建设技术解决方案（1.0版）》中对医院信息平台的安全体系框架给予了指导说明，如图4所示。

基于电子病历的医院信息平台安全体系总体框架包括：安全基础设施、安全技术、安全管理三部分：

（1）安全基础设施主要为基于电子病历的医院信息平台安全运行所需的防护部件，通过安全基础设施的安全互联、接入控制与边界防护、区域安全、通信安全、数据传输安全和安全管理等，为形成一体化的安全防护体系奠定基础。

（2）安全技术包含安全计算环境、安全区域边界、安全通信网络、屋里安全及安全管理中心五个方面。

（3）安全管理建设需建立相应的信息安全管理机构、制定相应的信息安全管理制度、设置平台运行所需的人员、岗位，建立对系统在运行开发过程中的制度，同时通过日常巡检、咨询、评估等运行管理来发现安全隐患并予以改进与提升。

2 医院信息安全管理实践措施

孝感市某医院自2008年起开始全面建设医院信息化，在软件信息系统功能不断提升改进的同时，也不断地探索实践信息安全保障的方式，形成了如图5所示的医院信息安全管理体系框架。

2.1 网络安全管理

2.1.1 安全网关技术

采用路由器与防火墙相结合的Juniper SSG安全专用网关，通过网络和应用层防护技术，用于阻断蠕虫、间谍软件、木马、恶意软件和其他新兴攻击。此外，SSG安全网关设备还整合了防火墙系统ScreenOS，Juniper J系列路由器的广域网接口模块以及JUNOS系统广域网封装协议，以提供整合的安全和路由特性，可同时部署为防火墙和路由设备。

（1）内外网隔离：医院内网与外部互联网通过防火墙设置实现了内外网隔离，保证内网安全性。

（2）安全防护与效能：通过使用验证的防火墙与丨 PSec VPN，加上UTM安全防护功能，包括IPS、防毒（包括防间谍软件、防广告软件、防钓鱼攻击）、防垃圾邮件，以及Web过滤。

（3）网路分段功能：提供一组网络分区特性，如安全区域、虚拟路由器和虚拟局域网等，允许管理员将网络分割成不同的安全区域以部署不同的安全策略，从而为不同的用户群提供不同级别的安全性。

（4）防火墙技术：通过防火墙技术，实现网络攻击检测、DoS和DDoS防护、用于数据包碎片保护的TCP重组、异常数据包防护等功能。

（5）入侵检测与防御系统：通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。通过将入侵检测与防御软件安装在硬件防火墙上，实现高端安全功能整合。

（6）日志记录和监视：日志记录和监视功能能够实现监控多个服务器的系统日志，可进行路由跟踪，可使用VPN隧道监视器。

（7）管理：具有本地管理员数据库与外部的管理员数据库，用户级别分为根管理员、管理员和只读用户级别。

2.1.2 上网行为管理

通过将上网行为管理硬件部署在防火墙与交换机之间，实现P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面的功能。

（1）防止带宽资源滥用：通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽，保障院内业务应用获得足够的带宽支持，提升上网速度和网络办公应用的使用效率。

（2）防止无关网络行为影响工作效率：上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为，并可根据各组织不同要求进行授权的灵活调整，包括基于不同用户身份差异化授权、智能提醒等。

（3）记录上网轨迹满足法规要求：上网行为管理产品可以帮助组织详尽记录用户的上网轨迹，做到网络行为有据可查，满足组织对网络行为记录的相关要求、规避可能的法规风险。

（4）管控外发信息，降低泄密风险：上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为，从事前防范、事中告警、事后追踪等多方面防范泄密，为组织保护信息资产安全，降低网络风险。

（5）为网络管理与优化提供决策依据：上网行为管理产品提供了丰富的网络可视化报表，能够提供详细报告让管理者清晰掌握互联网流量的使用情况，找到造成网络故障的原因和网络瓶颈所在，从而对精细化管理网络并持续加以优化提供了有效依据。

（6）防止病毒木马等网络风险：通过上网行为管理产品，利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等，从源头上切断病毒、木马的潜入，再结合终端安全强度检查与网络准入，DOS防御、ARP欺骗防护等多种安全手段，实现立体式安全护航，确保组织安全上网。

2.2 外部访问安全控制管理

2.2.1 外部公众访问医院宣传网站的安全管理

对于医院对外宣传网站服务器，通过内网IP映射为外网IP，实现外部访问，同时也保证了内部网站服务器的安全性。

2.2.2 外部开发与维护人员远程访问系统安全管理

医院外部开发与维护人员远程访问系统皆通过VPN进行访问（虚拟专用网络）。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术保证连接的安全。

（1）为不同接入用户分别建立独立的VPN连接用户：不同类别用户各自拥有独立的VPN连接用户，例如，对于信息中心人员，每位员工拥有各自VPN用户名及密码，对于外部厂商人员，为每个厂商分配了VPN连接用户，以在需要时区分远程连接操作的操作者。

（2）安全特性：VPN后台管理可以为设置VPN访问策略；可以通过连接监控器管理历史VPN连接访问记录。

2.3 数据库安全管理

数据库是医院信息系统数据存储的核心，数据不仅是各个应用系统的基础，也是医院的重要资源。数据安全是医院信息系统安全的核心部分。

数据库的安全威胁主要有三种：篡改、损坏、窃取。在数据库安全管理层面，提供4种安全管理策略。

2.3.1 用户注册管理

系统管理员为不同类别用户注册不同用户名，以方面针对性地进行权限管理与权限控制。

2.3.2 身份验证管理

身份验证管理包括数据库服务器登录的身份验证管理与数据库本身的登录身份验证管理。所有的用户登录均需要通过验证用户名与密码。系统管理员按操作规程定期修改数据库服务器密码。

2.3.3 存取控制管理

对分配给数据库进行操作的用户根据用户类型进行存取权限控制管理。例如管理员类用户具有最高的读写、删除权限。

2.4 应用系统权限管理

医院所有应用系统通过集成平台集成到统一的医院门户中。门户下的应用权限分为两级权限管理：门户权限管理与应用系统内部权限管理。门户系统权限设置基于用户角色进行权限分配，医院员工通过分配相应角色使用门户功能；系统功能权限主要控制操作人是否可以进入该功能。

2.4.1 角色设置

医院对相关的角色进行整体分类，划分了以下角色：医生、护士、药剂科、门办、医务处、医保办等、职能科室负责人、医院副职领导、院长、系统管理员、其他角色。

2.4.2 系统功能权限设置

将系统功能进行类别的划分，例如业务处理、财务状况、医疗动态、药品信息、病人资料、人事行政、总务后勤、其他信息、系统维护。

2.4.3 角色具体权限分配

对所建立的角色分配权限，当新用户加入时，通过为用户分配角色，实现相应功能权限的分配。例如000586王新军药剂科管理员，具有药库系统；药库查询；药库报表；药库维护；门诊发药；工作报表；统计查询等权限。

2.5 院内终端设备安全管理

2.5.1 操作系统登录用户设置

院内所有终端电脑登录用户设置为不具有操作系统管理权限，同时对涉及安全操作功能对登录用户进行了屏蔽。保证了用户登录操作系统进行应用系统操作的同时，也不会因其他误操作引起终端电脑产生安全漏洞。

2.5.2 终端电脑设置不能访问外网

院内所有终端电脑安装默认设置为不能访问外网，只需接入医院内网以满足医院业务应用操作需要。如因业务需要确实需要接入外网的终端，须经院内审核后进行设置。防止因终端电脑任意访问外网所导致的网络病毒的威胁及黑客攻击。

2.5.3 终端电脑禁用USB接口

院内所有终端电脑操作系统设置为禁止使用USB接口。如因业务需要确实需要开通USB接口，须经院内审批后进行设置开通。防止因接入可能存在病毒及木马的USB设备而引起的终端电脑病毒感染，避免终端电脑的文件及信息被窃取。

2.5.4 终端电脑安装安全防护软件

院内所有终端电脑上都安装安全防护软件对终端电脑进行系统与文件的安全保护，对有威胁的文件进行过滤及清除。及时发现、定位及清除病毒文件，为终端电脑提供实时的安全防护。

3 结束语

医院信息安全作为医院信息化管理的关键工作之一，是一个复杂的系统工程，医院需要建立一套完整的信息安全管理体系，采用多种技术手段，建立有效、健全的安全防御体系来全方位的防止来自网络内外的威胁，最终达到保护医院信息安全的目的。

参考文献

[1]孟一清.浅谈医院信息安全管理[J].中国卫生产业，2011，8（12）：168-169

[2]陈敏，郑见立.湖北省医院信息安全状况调查与分析[J].中国医院管理，2011，31（5）：20-21

[3]石凌云，詹建国.计算机网络安全服务器入侵与防御研究[J].电脑知识与技术，2010，6（15）：4116-4119

[4]房宁.基于VPN技术及其应用的研究[J].计算机光盘软件与应用，2012，11：32-33

[5]陈凌平，马宗庆，郭振华.医院信息系统安全与管理建设浅谈[J].中国医疗器械信息，2010，16（3）：21-25

篇8

1.1 复杂性档案种类

医院工作过程当中会收集多方面和多元化的信息及资料，因此也就促成了医院的档案信息的复杂性问题。针对医院的档案信息进行管理和储存，才能够保证了解内容丰富和复杂的档案信息，通过科学的管理方式将医院方面的档案进行种类的划分，可以建立病历、影像诊断、科研教学、人事管理、财务信息等等档案文本内容。将以上科学划分的档案类型进行不同形式的划分，掌握纸质、电子和影像等诸多类型的档案，更加有助于降低未来医院工作方面的负担[1]。

1.2 多元化档案媒介

多元化的档案信息管理媒介能够满足当下的医疗卫生行业服务和管理工作的需求，但是同时也存在一定的问题，容易导致医院档案信息管理工作出现安全风险。从前医院的档案信息基本以纸质为主，在保存和查找方面都存在很大的难度，伴随科学技术的不断发展，信息技术支持的档案信息管理模式更加适合繁忙的医疗工作体系，但同时也存在一定的安全风险性。电子信息模式下的档案管理方式具备携带便捷和成本低廉等众多优点，但同时也存在风险问题需要不断的优化处理[2]。

1.3 网络式档案信息

网络模式的档案信息管理是非常有效的工作模式之一，也是未来社会发展的主要趋势。针对医院档案信息管理工作进行研究和分析能够发现，电子信息化的档案信息管理模式非常适合应用于医院的工作，主要是源于电子信息系统具有庞大的信息收集和归纳、整理作用，能够为医疗工作者提供更加高效的工作方式和方法，是一种优化的工作途径，保证了医院档案信息管理工作的质量和效率，也是未来行业发展的趋势[3]。

2 影响医院档案信息安全的因素

2.1 安全的档案信息媒介

影响医院档案信息管理的安全性因素涉及到很多方面，针对这些问题进行客观的分析，并针对存在的影响因素和问题找到一个科学、合理的解决途径，能够保证未来医院服务和管理工作的质量。影响医院档案信息管理质量的基本原因是受到档案信息媒介安全性的影响，档案信息的媒介安全性主要是指环境因素的影响，例如火灾、虫鼠灾害、水灾等等，都会影响档案信息的保存和管理。一旦发生环境因素灾害，就会导致档案信息出现部分和全部损失的情况，进而造成医院管理方面的阻碍问题等等[4]。

2.2 计算机病毒

影响医院出现档案信息管理安全威胁的问题还涉及到计算机的病毒问题，因为计算机的工作模式会受到病毒的影响，而且计算机的病毒影响非常严重。计算机的病毒存在传播速度特别快的问题，还存在智能化程度高的问题，因此，出现计算机病毒的问题很难控制，也会造成医院的档案信息安全出现风险。最为影响医院档案信息安全管理工作的因素还源于计算机的病毒侵害杀伤力非常大，而且在不断的技术升级过程中还会出现病毒侵害力逐渐增加的情况和问题。很多计算机的小型病毒可能会在工作的过程中不断的出现作用力增强的情况，进而导致医院的档案信息安全管理工作出现危机[5]。

2.3 网络入侵

影响医院档案信息管理的安全威胁因素还包含网络入侵的问题，关注网络入侵才能够认识到医院档案管理工作过程中会出现的问题。医院建立的网络档案管理模式体系当中，发现需要通过授权才能够登录，但是网络的模式自然也存在容易侵犯的问题。黑客可能通过口令的模式达成网络的入侵，实用软件窃取相关文件档案等。另外还有特洛伊木马的黑客形式通过软件的植入造成计算机的远程干扰，最终丢失医院的档案信息。除此之外，还有监听方法和社会工程学的诸多入侵方式，更高的科学技术达成了多层面入侵的黑客模式，导致医院的档案信息管理出现风险问题。

2.4 缺失科学组织管理和先进理念

可能影响医院出现档案信息管理的安全因素有很多，缺失科学的组织管理和先进理念就是影响医院档案和信息管理的安全性。由于当下科学技术的不断发展，网络信息技术已经全面的覆盖了人们的生活。医院档案管理的过程当中也需要应用到网络信息的技术和平台，由于网络体系的安全权限设置存在不足，就会出现安全管理方面的问题。还有部分的医院档案管理从业人员对于档案信息的保存存在认知和理念层面的不足，很容易在保存档案信息方面出现缺失专业的随意性，导致医院的档案信息在网络平台上随意被窃取，严重妨碍了?t院的档案信息管理[6]。

3 医院档案信息安全管理对策

3.1 实体安全档案防护

重视医院的档案信息管理工作，需要从安全性角度进行科学的考量，保证实施切实有效的档案管理信息，进而构建安全防护体系，降低可能出现的信息管理问题。关注医院的档案信息安全管理工作，不仅仅要重视日常的信息管理和维护工作，还需要从档案的存放位置及地点方面进行管理。医院不仅仅保留电子信息文档，还应当保存文件的纸质本，以此为后续管理工作提供完整的信息和资料。通常为保证纸质文版档案的安全保存，需要避免储存在潮湿的地下室位置，还应当避免存在火灾安全隐患的位置。在日常的管理和储存过程当中，需要保证通风和除湿的管理，定时进行驱虫和灭鼠操作[7]。

3.2 计算机信息安全措施

篇9

进入二十一实际，科学技术飞速发展，面对信息技术在应用领域中发挥作用，随着计算机网络的迅速发展，已逐渐渗透到社会的各个领域中。面对信息化建设和发展的浪潮，计算机网络技术已经成为社会各行业发展的主要动力。医院为了更好地发展，开始积极引进现代计算机网络技术，加强自身的发展和管理。随着大量网络技术的应运而生，网络管理不断地创新。网络管理技术的应用中，采取有效的维护手段，有助于网络的完整性，以促进计算机技术在医院的有效运用，提高其效能。

1 .网络安全管理在医院计算机中应用的重要性

随着计算机技术的普及，计算机的使用已经成为现代社会人群中获取有效信息的重要途径，由于互联网的开放程度高，已实现人人共享的普及程度，可以给人们带来相对的便利，但也同时存在着网络安全信息遭到破坏的情况。比如非法网络的入侵、数据被损坏、网络病毒的传播等网络风险，对计算机使用过程中的稳定性、安全性和有效性造成损害。因为医院是信息集中的场所，对患者的隐私有绝对的保密义务，为了有效的避免医院发生患者个人信息泄露、内部数据缺失等情况，就需要对医院内部的计算机发生故障情况有正确的认识，并要结合实际的发展要求积极学習先进的网络知识，要采取有效的控制措施，避免发生相关的安全隐患。

1.1 网络安全管理在医院计算机中应用可以节省人财物

网络安全管理在医院计算机中应用，可以强化网络安全管理，为医院的管理提供基本保障。在计算机网络建设过程中，作为高科技产品，将其使用性能用于医院管理中，可以超过人工操作，使得医院的各项工作在网络环境中展开，维护医疗安全。各部门的工作可以由操作人员控制，加之计算机网络的信息快速传输，网络建设所构建的系统基本上构成了自动化管理系统，使得医院的流程得以优化，而且可以提高系统的性能，使得运营商的工作量减少，为医院省钱。

1.2 网络安全管理在医院计算机中有助于提高医院管理的科学规范性

计算机网络安全管理中，有利于医院管理的科学性和规范性。医院的管理体制比普通的科室管理要有一定的难度。构建公共事业管理体制，实施人事管理和药品管理等等工作，应用计算机网络可以使得工作系统化展开，繁琐的工作简单化了，提高了工作效率。传统的人工模式往往难免有缺陷，这就成为医院管理中需要重点关注的问题，直接影响医院管理的质量和管理效率，使得计算机网络安全管理有计划地展开。实现复杂冗余数据信息在计算机数据库中进行，数据信息可以自动记录，并完善数据信息，保证数据信息安全，在很大程度上提高了医院的管理水平。

2 .医院计算机发生故障的维护策略

针对医院的计算机发生故障的情况提供相应的维护策略，对医院整体形象的提升都有积极重要的意义，有利于提高医院的综合竞争力、保持良好的发展状态。明确医院信息系统可能存在的安全风险，研究相关的安全风险维护措施。

2.1 针对物理性因素的维护措施

医院的物理性因素危害主要是通过控制中心机房情况，为避免该现象的发生首先要采取规范的安全制度，以此来确保机房的安全性能，有效的避免怀有恶意的不法分子非法操作。医院计算机网络的重要核心是服务器，通过采用繁冗复杂的计算机设置，以此保证服务器运行的稳定性。与此同时可以使用多个机器备份等情况保证服务器可以高质量的运行，也对工作时间加长不用切断电源达到良好的效果。计算机在使用的过程中有多个接口，要使用加锁的柜子来进行保护，在医院内相关管理人员也要建立管理制度，提高医院计算机网络安全工作效果。

2.2 多部门协同合作，不断提高信息安全

保证医院的计算机网络安全可以有效保障医院各项工作的顺利开展，因此建立网络管理制度对医院各项工作的开展具有重要的意义。

（1 ）针对医院中计算机网络安全要设置专项部门制定并制定相关的管理制度和有效的维护措施，以此来保证医院的网络信息安全。

（2 ）通过采用培训的形式提升医护人员的计算机使用水平，进行规范的操作，降低医院计算机网络的安全隐患，并提高网络安全维护人员的专业技术水平，切实提高工作人员的责任感。

（3 ）可以采用张贴海报等方式来宣传网络安全信息知识，保证医院的网络信息安全达到良好的效果。

2.3 建立健全安全数据中心

医院的科室和部门众多，计算机网络信息的安全如果朝著多样化发展可以有效的保证医院各个科室部门的顺利进行。由于网络数据广泛，会给医院的网络信息安全维护带来诸多困难，为避免造成数据的丢失，留下安全隐患，需要建立安全系数高的数据处理中心，避免医院的各项信息泄露。医院的各个信息分布较杂乱，如果共享患者数据等情况，必须通过统一的处理后上传至安全数据中心。因此需要医院网络管理人员增加对安全数据中心的管理，采用限制人员访问、设置访问权限等措施来提高医院安全情况。

3 .结语

计算机技术和网络技术的不断发展，给人们的生活带来很大的便利条件，医院的机房也是重要的组成部分，医院计算机网络的安全管理，需要全医院各个科室从多方面来共同维护，通过建立稳定性系数高的信息系统来提高医院计算机抵抗外部侵害的能力，有效规避因为人为因素造成的消极影响，确保医院系统的有效稳定运行，确保医院的信息化稳定健康发展。

参考文献

[1]木又青.疗养院计算机网络安全管理的难点及对策研究[J].电子技术与软件工程，2015 （07 ）.

篇10

信息安全其实质是防止信息网络或信息系统中的资源受到各式各样的干扰、威胁以及破坏,即保证信息的安全性。医院中的信息安全政策类似于国家制定的法律法规,具体而言,医院中的信息安全政策给出了相关的信息系统用户要遵守的规定,这样便可以在很大程度上降低信息安全事故发生的频率并有效地降低由信息安全事故造成的损失,进一步保护整个信息系统中的软硬件。

近年来,随着医院信息化系统 (Hospital Information System,HIS)、实验室信息管理系统(Laboratory Information Management System,LIS)、临床管理信息系统(Clinic Information System,CIS)、医学影像存档与通讯系统“PACS”(Picture Archiving and Communication Systems)等信息化系统的迅速发展和普及,使得医院的信息网络架构逐渐开始从传统的小型局域网向着大型的三层网络架构演化,现代化的大中型医院网络规模日益庞大,这就使得相关信息网络系统中的各种安全问题成为网络管理工作中的一项重要课题。总体看来,医院网络安全管理问题不仅直接影响到医院工作的稳定性和正常进行,也会对医院中信息的准确性和可靠性产生很大的影响。因此,为了保证医院网络信息系统的顺畅运行,构建一个稳定可靠的网络信息安全防护系统是整个医院信息建设工作中的重中之重。

2、医院网络安全管理现状

从医院网络信息安全管理现状看来,传统的信息安全技术包括基础安全技术和应用安全技术两个方面,具体而言它们分别为一般性的信息系统和特殊领域的应用系统提供安全防护。在传统的医院信息化建设中,发挥主要作用的是医院信息化系统(Hospital Information System,HIS),其中医院信息化系统是通过计算机和网络通信等信息技术来对医院中存在的庞大的信息进行数字化管理工作的信息系统,该系统可以把整个医院经济状况、医疗质量状态、工作质量状态等信息进行有机地整合,同时得到医院各部门的信息反馈,这样便可以为医院各部门的管理者的计划决策、组织实施和协调控制工作提供有价值的参考信息。医院信息化系统是整个医院信息网络应用系统的核心,也是数字化医院的数据中心,在整合其他辅助系统功能的方面起着至关重要的作用。

医院信息化系统在当今医院的正常运营过程中越来越重要,而这其中又涉及到相关的计算机网络技术和通信技术,加之计算机本身以及计算机网络安全管理系统的规章制度还不是很完善,所以在医院网络安全管理方面存在很多潜在风险因素。一般情况下,就医院日常工作及业务的特点而言,医院网络安全管理方面的问题主要包括计算机硬件问题、计算机软件问题和信息管理问题。

3、医院网络安全管理策略

3.1 医院信息数据的安全防护

在医院的现代化信息系统中,最重要的信息就是数据,这些数据中包含非常重要信息,比如患者的病历档案,如果数据库出现问题,将会对医院带来非常难以估量的损失,此外,也对患者的正常治疗工作存在着影响。所以,重要数据的备份工作是医院网络安全管理工作中非常重要的一环。除了重要数据的备份工作以外,另一个不可忽视的方面就是数据的备份 数据的管理。通常而言,备份数据的管理包括备份数据的可计划性、自动化操作和历史记录日志的保存。当今数据备份技术的发展方向是实现无人职守的自动化备份,还包括备份数据的可管理性和灾难性恢复。医院信息系统中常见的备份技术有磁盘阵列、双机容错、异地容灾、SAN（存储区域网络）等技术。

3.2 计算机设备的管理

这方面的信息安全工作可以通过设置对计算机的USB、光驱、移动存储设备等设备的安全防范措施进行,例如实时监测USB、串/并口、红外、蓝牙、1394等借口的管理状态,管理人员负责允许或禁止计算机使用上述设备。相关的医院网络安全管理工作人员可以根据需要,制定相应的安全管理制度,例如可以设置授权/安全/保密U盘等,使得重要的信息只能入网不能出网,这样可以有效防止医院的网内重要信息通过移动存储设备泄密。

3.3 网络流量管理

通过对网络流量进行管理,能够对每台计算机允许使用的外网和内网带宽进行配置工作。这样便能够有效地防止工作人员占用大量网络带宽做与工作无关的事情。同时,还可以从每个网络终端计算机开始,从系统上全面、准确了解整个网络的工作情况,对产生异常流量的进程进行监控,从而快速解决相关的问题,更能实施有效管理措施,从而防止问题再次发生。进行网络流量管理工作可以很大程度上对病毒大量发包、BT下载、ARP欺骗和服务器瘫痪等网络异常行为进行预防、定位和排除。

4、结语

人们越来越重视网络安全问题所产生的严重后果,因为中国医疗行业的计算机网络和信息化建设的应用工作开展时间较短,所以医院网络安全管理人员要做好医院网络的安全维护工作,加快发展医院信息系统。

参考文献

[1]刘松林,沈国伟.双机热备份及异地备份在医院信息系统数据安全中的应用[J].中国医院统计,2004,11(2):169―170．

[2]姚西侠,于昕,任斌等.医院信息化建设和管理[J].中国医院统计,2004,11(4):329．

篇11

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2016）11-0201-01

网络资源是医院业务运营的经济命脉，是医院工作不可缺少的重要组成部分。医院信息系统是指运用先进的信息化手段以及多媒体技术，对医院的人流、物流、财务等进行综合性管理，从而提高医院运行的效率，将医院的整体运作统筹为现代化管理系统。因此强化医院信息系统的网络安全，不仅能够提高医院的业务水平，还能有效的提高医疗队伍的服务质量。本文将立足于影响医院信息网络安全的因素，提出具有参考价值的建议。

1 医院信息系统网络安全管理现存问题

1.1 杀毒软件更新不及时

所谓信息系统网络安全的第一道屏障，杀毒软件在保护医院信息安全方面发挥着重要的作用，因此对杀毒软件及时更新，是保证医院信息系统网络安全的重要途径。[1]然而在现实的工作中，由于相关工作技术人员对杀毒软件的重要性的认识不足，因此在系统补丁更新以及杀毒软件更新上疏于管理，在一定程度上影响了医院信息系统网络的安全性。同时，医院的主机数量较多，因此维护难度也随之增加，这就给医院信息系统的网络安全管理埋下了安全隐患。

1.2 网络安全技术不完善

网络安全技术是医院信息系统安全的最大保障，但相比国外发达国家的信息系统网络安全技术，我国的信息系统网络安全技术起步较晚，发展也相对落后，针对这个情况，制定符合我国的网络安全技术发展战略才是解决医院信息系统根本问题的途径。但就目前情况而言，落后的网络安全技术制约了我国医院信息系统的发展，从而影响医院系统的运作，给我国医疗体系带来严重的影响。[2]

1.3 应急反映体系僵化

医院网络信息系统的应急反映是保证医疗工作正常运转的重要环节，但就目前的医院网络信息体系的发展情况而言，还不容乐观，应急反映体系僵化主要是缺少经验导致的，缺少应急反应机制也是医院应急反映体系僵化的主要原因，造成相关医疗人员的操作规范性得不到制度上的保证，给我国的医疗工作的运转带来不利的影响，建议定期做应急演练。

1.4 单位信息安全标准滞后

单位信息安全标准滞后会给医疗工作的开展带来一定的安全隐患，比如在用人方面，没有经过专业培训导致的医院信息安全问题，由于医院信息系统的操作人员的工作具有一定的特殊性，因此必须要经过严格的网络信息安全技术培训才能上岗。但在日常的工作中，出现操作人员的由于缺乏专业素质而导致应急反映落后，要求对相关的操作人员进行一定的审核与培训，并定期开展相关医院信息系统网络安全方面的讲座，全面提高从事医疗相关工作的人员对医院信息系统网络安全性的重视程度。

2 医院信息系统网络安全建设的有效措施

2.1 设施设备的安全管理

中心机房是医院信息系统的核心，与医院信息系统网络的稳定运行息息相关。因此加强机房的安全工作能从一定程度上保证医院整体信息系统的流畅运行，因此对于机房的安全管理十分重要，需要派遣专门的管理人员进行直接负责，能够有效的减少由于机房的管理不到位而产生的医院信息系统的安全问题。制定建立一系列的规章制度并严格执行，如出入机房登记制度，每日做服务器设备安全检查并记录，同时机房内部还需要进行电子监控，加强中心机房的抗风险建设，在电力上做到双路供电，保证中心机房正常运行，还要注意防火，安装专业级别的防火设备，还要安装防雷系统等。此外，完善机房的管理系统也是完善医院信息系统网络安全的重要途径，需要定期安排相关技术人员对机房进行维护，保证信息系统网络的稳定性。[3]

2.2 完善网络安全技术

安装网络防毒软件，对整个系统进行自动监控，防止新病毒的出现和传播，是保障网络正常运行的有效方法。各工作站要安装防病毒软件，网络中心要及时上网更新病毒库，以防止病毒入侵，减少安全隐患。当然一些查杀病毒的软件占用机器内存较大，影响机器的运行速度，这也给网络中心提出要求，以后对新机器的购置要给出更加合理的配置。此外做好医院信息系统网站的维护工作也是面对网络黑客的一种有效的方式，要求相关网站维护人员能够对如今网络的发展水平有一定的认识，能够对准确的评估医院信息系统的运行状态，从而有针对性的开展医院信息系统网站的维护工作，减少由网络黑客攻击或者病毒造成的风险。此外增加一些桌面管理软件也可以起到监督及管理网络终端机的作用。

2.3 访问控制的相关措施

医院信息系统实质上是人与计算机共同协作的系统，是由人指挥计算机完成工作的系统，所以人为的因素是数据库安全最主要最直接的因素之一。对操作计算机的人进行管理，就是对前台最有效的管理。目前由于对内部网络安全的重视程度不够，安全意识差，操作员对用户名及口令的不重视， 使得黑客的口令破解程序更易奏效。针对以上情况我们要加强个人口令管理，尤其权限较高的人员更要重视密码保护。同时也需要人事科、医务科、护理部配合，对每一位操作员给予合适的权限。

3 结语

综上所述，医院信息系统网络安全管理中，存在着许多潜在的风险。因此针对医院信息系统的网络安全隐患，制定有效的策略，能够有效的提高医院信息系统网络的安全等级。这需要从设施设备、网络安全技术入手，促进医院信息系统网络安全管理不断完善。

参考文献

篇12

关键词：

医院；信息安全；防护体系；设计

0引言

医院作为提供医疗卫生服务的主体，本身的发展关键在于做好综合管理，信息平台作为进行医疗服务、医学研究、教学、对外交流宣传等工作的主要阵地，建设与服务情况直接关系到医院工作质量与效率，因此建立完善的信息安全防护体系不仅可有效保障信息平台运作的有效性，同时也可及时消除信息服务过程中出现的各类故障与问题，确保医院工作顺利进行。

1我国医院网络信息安全防护体系现状分析

（1）安全需求。

医院信息网络安全防护涉及计算机、通信安全、信息安全、密码、信息论、数论等多种专业知识与技术，计算机信息系统平台的防护要做好到不因偶然或者故意的外界因素影响系统运行，保障信息的安全，减少信息丢失、受损、更改、泄露等，确保信息提供服务医疗工作的延续性、长期性、可用性与高效性，提升系统运行安全性与可靠性。结合我国信息安全防护规范与医院医疗信息工作防护需求来看，技术层面上医院网络信息安全主要分为三个层次，一是硬件设施安全，包括计算机、网络交换机、机房、线路、电源等物理设备在内的设备安全，二是数据或应用安全，即软件安全，保证信息系统相关软件、程序、数据库等操作的访问安全，三是网络与系统安全，即包括网络通信、信息交换、信息应用、信息备份、计算机系统等在内的系统平台免受系统入侵、攻击等影响。

（2）安全防护现状。

目前国内经济发达地区的二级医院与三级医院基本上已经建立起了HIS系统与局域网，通过与因特网连接构建服务院内医疗工作的信息平台，信息网络运行遵照内外网物理隔离形式，因此相对而言运行风险减小，在安全防护方面投入比例相对较低，不过面对越来越进步的医疗需求，实现内外网合一成为必然，有助于构建更为高效的医疗信息共享模式、预防传染疾病、建立大范围医疗服务体系等，但是内外网合一将会面临更多的安全风险与漏洞，因此加强安全防护体系建设迫在眉睫，是保证医疗信息安全与高效管理的必然举措。医院信息安全防护体系的建设面临着来自安全管理、硬件软件等多方面的风险，目前防护体系建设主要是通过升级硬件、软件防护确保信息安全，通过加强人员管理与安全管理降低安全风险威胁，对于医院医疗系统而言，随着越来越多的信息化医疗设备、仪器、就医人员等介入信息平台，安全防护体系建设所面临的风险与需求也将会越来越大，因此针对医疗信息安全需求做好防护体系的建设与推广应用是目前进步发展的关键。

（3）信息安全建设问题。

当前医院网络信息安全问题已经成为困扰信息系统平台运行、应用的瓶颈，为了应对信息网络时代频繁的网络攻击与信息安全威胁，杀毒软件、防火墙、入侵检测技术、信息备份技术、数据库安全技术等广泛应用于医院网络信息安全建设。上述技术虽然在确保网络信息安全方面发挥了一定作用，但是同时也存在不足之处，就目前来看，我国医院网络信息安全防护体系还存在不少问题。医院网络信息安全防护系统使用的硬件、软件产品因不属于同一企业，在整合、规划、管理中容易存在漏洞导致重复建设或者潜在安全风险等问题，影响信息系统安全。信息平台的构造与使用专业性要求较高，并且设备、软件需进行专业整合，院内桌面终端的分散与多边、医护人员水平高低、使用情况等都直接增加了信息安全防护的难度。目前医院网络信息安全防护系统的建设与应用缺乏统一的技术标准与规范，不利于信息技术的整合和信息平台潜力的挖掘，一定程度上增加安全防护系统构建与应用的难度。网络信息技术的发展与安全防护本身处于此消彼长的态势，在制定安全防护策略、构建防护体系时必须做好与时俱进，最大限度的在降低经济成本的同时提升技术应用效率与效益。

2医院网络信息安全防护体系的设计与应用

（1）硬件设施建设。

医院安全防护系统硬件设施建设关键要做好核心服务器、交换机、应用计算机、网络设备等建设，硬件建设优劣直接决定信息服务效果与质量，是确保医院信息平台顺利运行的关键物质基础，因此为提升防护稳定性与可靠性，加强硬件设施建设势在必行。硬件设施建设要从设备型号、性能等入手，配合网络布局规划、服务需求制定最佳建设方案。以机房设计为例，作为安全防护信息系统的神经中枢，医院至少要建立两个A级标准机房作为主机房与备用机房，并对监控间、设备间、空调电源间做好设计，比如空调电源间要做好精密控温、恒温恒湿、备用UPS电源等建设，并留有充足的后续设备空间，另外要着重做好消防安全工作。监控间要应用专业的设备环境监控系统及时掌握主机房环境变化，以便在意外发生时做到准确应对。硬件配备方面为满足医院工作网络信息安全防护需求，要配备优质的设备以保证数据访问效率，利用HIS服务器、PACS服务器等为实现办公自动化、电子病历、信息安全管理提供强劲动力；应用混合光纤磁盘阵列、近线存储等完成海量数据的存储、交换与备份，并采用核心交换机、光纤宽带等构件高性能网络平台，并在医院内部配备优质计算机服务终端。网络布局方面，根据医院性质做好军网、医保专网、内网、外网的联合建设，内网建设是关键部分，要着重加强安全防护建设，并留有网站备份与未来拓展空间，为医院信息安全管理提供支持与保障。

（2）网络系统安全建设。

医院信息网络系统安全威胁主要来自于外部攻击入侵或者网络本身缺陷所导致的运行失误、效率下降、系统崩溃等问题，攻击入侵包括木马病毒攻击、系统漏洞等，因此要着重做好网络安全防护与系统安全防护。网络安全防护要根据医院网络性质做好内外网融合与统一，保证专网、军网等介入内网时受到物理防火墙、网闸的有效保护，屏蔽内网信息、运行情况及结构，有效预防、制止非法入侵及破坏行为，并且为了提升防护效果，要尽量配合网络运行监控系统以达到理想防护效果。系统安全防护需要建立完善的病毒防护体系，处理好系统终端计算机内的病毒、木马等，建立有效权限制度以达到保护信息、防护内外入侵等行为，可通过采购企业版病毒防护软件定期更新病毒库达到自动杀毒维护安全效果；系统内部防护安全与计算机个人网络终端关系密切，因此要在院内移动终端上增加桌面控制软件以实施全面安全管理，通过系统补丁分发、端口访问、安全准入等机制实现防护。

（3）数据应用安全。

数据应用安全关键要做好数据存储、访问、应用安全及信息系统软件运行安全。数据存储安全与系统环境、硬件设备、数据库安全密切相关，因系统漏洞、硬件损毁、数据库错误等造成数据毁坏要通过采取备份、恢复、数据容错等举措解决。为保证数据安全性与完整性，要建立数据库本机与多机备份机制，尤其是核心数据库要分别建立主、备用服务器，一旦其中之一发生意外立即采取补救措施实现自动切换，尤其是电子病历要进行专业备份及归档，确保数据完整性与可用性。数据访问安全问题主要以非法用户访问、非法篡改数据为主要表现，要完善医院内部访问权限与身份准入系统，实现统一授权管理，以减少信息丢失、错误等情况。要对数据库安全环境建设、应用软件环境建设倍加关注，如lP±IE址的设置、数据库配置、环境变量设置等，实现统一运行环境与地址绑定，降低安全运行风险。

（4）安全管理制度。

医院内部要做好信息安全管理制度的完善与执行，根据国家政策、行业法规、院内需求积极完善系统及数据应用，确保网络信息安全防护系统始终维持良性运行状态，为医院安全建设奠定基石。要加强网络安全值班制度建设，配备专业人员监督网络系统运行，并配备专业监控系统及时处理各类问题与意外，对于问题严重者要及时通报技术科室进行维修养护，确保医院信息系统始终处于24小时监控维护下。值班管理中，要做好系统运行情况记录，并进行数据备份，确保值班日记连贯、完整，为安全管理提供帮助。院内用户管理是安全管理另一重点，权限管理中要严格管理员权限准入机制，做好院内计算机终端设备的改造，做好院内工作人员专业培训，以便实现用户合法、合规访问系统，减少系统运行与访问风险，保证信息数据的安全性。

（5）应用实践。

为了确保医院网络安全信息防护系统得到有效运行，在实际运营中要增加相应的运维管理系统与安全防护系统达到理想防护效果。比如在主机房设置机房动力与环境监控系统，对机房准入权限、电源供应、通风、控温、消防等情况进行监控，确保机房始终维持在理想的恒温、恒湿现状，电压、电流、频率满足需求，并将变化做好数据记录监控，为机房高效管理提供保障；在医院内网设置专门的安全防护系统，以规范约束院内终端用户操作与应用，避免非法访问与数据篡改，该系统与院内身份认证系统合作，通过灵活的安全策略实现对内网用户、终端计算机的安全管理，充分践行事前预防、事中控制、事后审计的原则，实现安全行为管理；针对电子病历管理，要建立专门的VERITAS存储管理系统对病例数据进行存储、备份与恢复，并根据备份策略做好病程文件的保护与恢复，以确保医疗工作的顺利进行。

3结语

综上所述，医院网络安全防护体系的建设与应用有助于降低医院信息安全风险，提升信息系统可靠性、可用性与安全性，对于提升医院医疗服务质量与效果有积极意义，可有效减少院内信息系统安全故障、降低安全运行风险，提升系统运行服务质量，对于国内医疗改革进步、创新有重要实用价值。

作者：朱凌峰 单位：湖南省衡阳市南华大学附属第二医院

参考文献：