医院信息系统安全

医疗装备２０１７年８月第３Ｏ卷第１５期Ｍｅｄｉｃａｌ　Ｅｑｕｉｐｍｅｎｔ，Ａｕｇｕｓｔ．２０１７，Ｖｏ１．３０，Ｎｏ．１５　・医院管理・　医院信息系统安全　倪捷　江苏省无锡市人民医院　（江苏无锡２１４０２３）　［摘要］医院信息化建设是医院加强业务水平以及提高医疗服务能力的有效手段。医院信息化建设的　重点是医院信息系统的建设和维护。目前，医院信息系统与其他应用软件、网络、数据库、服务器的功能越　来越多地产生交叉，医院信息系统的内涵和外延已经得到了极大的扩充，这使得医院信息系统的功能性得到　了很大程度的提高。但是技术的进步和引进，也给医院信息系统的安全性带来了更多的风险和不确定因素。　［关键词］医院信息系统；信息资产；信息安全管理　（中图分类号］Ｒ１９７．３２　［文献标识码］Ｃ　［文章编号］１００２—２３７６（２０１７）１５—０１００—０２　的重视，在开展信息安全管理时，重技术轻管理的做法　当前，随着我国医院的建设的信息化程度不断提高，　医院管理者对信息安全的意识也不断增强，正在广泛地采　取安全策略以及使用安全设备来保证医院信息系统的安全　运转…。然而，由于人员知识背景和安全意识的缺陷，在进　行安全性维护的同时，往往存在盲目套用安全策略，盲目　购置安全设备或者对安全管理重要性认识不清的问题，所　采取的安全策略对医院业务的针对性也不强。　１医院信息系统安全介绍　也普遍存在。作为信息安全管理的一种，医院信息系统　的管理也应遵循“三分技术，七分管理”的思想。尽管采　用新技术、新安全设备够提高工作效率，扩展业务范围，　但其在应用领域的局限性和漏？同也是客观存在的。当前　许多信息安全事故的发生，并不一定是由于信息系统自　身设计的缺陷或技术的不足，而往往是由于人员缺乏信　息安全意识，存在安全漏｝同导致，在医院信息系统的运　行过程中，如果缺乏对各角色类型、业务流程等的分析，　因此，许多医院在信息化建设过程中，加强了对信息安　全管理的重视。　２医院信息系统安全的问题及现状　目前，我国的大型医院基本上都在其信息部门内设置　息系统的稳定运行　】。参照信息安全策略，国内外的业内人　士和学者在医院信息系统的安全策略上也逐渐形成了模块　化的安全策略。业界已经普遍采用的医院信息系统安全策　略包括：身份认证、数字签名、访问控制、入侵检测、病　信息安全小组或信息安全负责人来实施安全策略，保证信　很容易导致各种信息安全事故，这给医院带来极大威胁。　２．１医院信息安全威胁分析　根据以上对医院信息系统电子业务的分析可以看Ｉ叶Ｊ，　医院信息系统是一个多模块、多角色、多业务的信息系统，　因此其安全威胁比较复杂。本研究从内部和外部两个方面　进行分析。　毒防范、容错、备份恢复等。这些安全策略和机制的普遍　采用，保证了医院各项业务的ＪＪ￣Ｉ，Ｎ开展，医院数据的保密　可用，信息系统的安全性和稳定性。　但在信息化的过程中，信息安全策略并未得到应有　收稿日期：２０１７—０２—１４　内部威胁主要有：医院内部人员将携带病毒的个人电　脑接人医院业务网络，对医院业务网络造成破坏，导致业　２．７危急值制度的检查　为确保医疗和护理质量，危急值小组不定期对危急值　步，科室应根据实际情况对危急值项目进行定期调整，同　时有针对性进行新项目培训【］　；受国内政策的影响，危急　制度的实施和执行情况进行督查，发现存在的不足和漏洞　给予纠正避免再发生。医院督导组每季度检查汇总１次。　３结果　值的管理越来越被重视，科学合理有效的管理制度，既保　障了病患的利益也提高了医护人员的依从性，保证了医护　人员的安全，它的实施和运用适合各大小医院。　［参考文献］　［１］邱骏，顾国浩，王雪明，等．生命危急值报告系统的建立与应　用［Ｊｌｌ当代医学，２０１０，２６（２７）：４１２—４１３．　［２］李仿敏，梁格祥，江俊明．危急值报告制度在基层医院内科中的　经过近４年的探讨和摸索，产前在接收、登记、处理危　急值方面有了长足的进展和完善。２０１５年共接收和处理危　急值５０７例，未出现漏登记、漏记录或处理欠缺现象，保障　了孕妇及胎儿的安全，提高了医疗和护理质量。　４讨论　应用效果分析叭现代诊断与治疗，２０１５，２６（１７）：３９４８—３９５０．　［３］白茹，闵国美．‘危急值”报告制度在心内科的应用…．中医药管　理杂志．２０１５，１２（２３）：１５３—１５５．　危急值报告制度的落实可以及时发现病患的病情变化，　及时给予处置，保证了病患的生命安全闭。随着医学的进　１Ｏ０　医疗装备２０１７年８月第３Ｏ卷第１５期Ｍｅｄｉｃａｌ　Ｅｑｕｉｐｍｅｎｔ，Ａｕｇｕｓｔ．２０１７，Ｖｏ１．３０，Ｎｏ．１５　・医院管理・　外来器械及植入物在消毒供应中心的管理及应用　杨淑华　佛山市第一人民医院消毒供应中心（广东佛山　５２８０００）　［中图分类号］Ｒ１９７．３２　（文献标识码］ｃ　［文章编号］１００２—２３７６（２０１７）１５—０１０１—０２　医院消毒供应中心行业标准对植入物有明确定义：即　管、骨块、肌腱等高资耗材的植人物属于一次性用品的范　放置于外科操作造成的或生理存在的体腔中，留存时间　畴。下面我们所介绍的植人物指用于骨科手术或整形外科　为３０　ｄ或者以上可植入型物品Ⅲ。但是心脏瓣膜、人造血　手术的植入物，如钢板、钛板、螺钉、克氏针等。而这些　植入物的使用通常需要由医疗器械厂商租借或免费提供给　收稿日期：２０１７－０２—１５　医院重复使用的专用器械配合，这部分器械称为外来器械。　务中断；医院部门人员需要同时访问业务网络及Ｉｎｔｅｒｎｅｔ，　３医院信息系统信息安全策略　而大部分医院用户利用同一台设备进行访问，电脑通过　对医院信息系统推导出安全需求后，便可以根据安全　插拔线缆，即可访问业务网络和Ｉｎｔｅｍｅｔ，这样在访问　需求进行有针对性的安全策略设计口］。本研究设计的医院信　Ｉｎｔｅｒｎｅｔ时感染的病毒或木马将直接带人业务网络；医院内　息系统安全策略体系包括６个组成部分，即物理安全策略、　部个别非法人员利用权限之便，访问数据库，从而对有价　访问控制策略、授权策略、终端主机防护策略、网络通信　值的数据产生威胁并有可能篡改患者就诊数据，为医患纠　防护策略及容灾策略。　纷埋下隐患，使医院蒙受巨大损失。　物理安全策略保障通过对医院信息资产所处的物理环　外部威胁主要由：外来人员利用非授权电脑，私自接人　境的规范，可以有效保障医院信息系统中各种硬件信息不　医院业务网络，有意或无意发动攻击、传播病毒、窃取或篡　被人为或自然的破坏，保证信息资产的可用性。　改数据；医院业务系统需要与医保、新农合等社保网络相连，　访问控制策略设计，通过对医院信息系统所处环境分　进行数据传输，由此也会为医院信息安全带来威胁。　析，结合信息安全管理体系自身的人员管理过程以及体系　２．２医院信息安全管理现状　自身的管理过程，得到影响信息系统安全的环境制约因素　杀毒软件、系统补丁的更新不及时。大部分医院为业　（时间和空间），提出基于该环境制约因素的访问控制模型。　务主机安装了杀毒软件，但由于主机数较多，维护量大，　授权策略设计，在分析现今医院信息系统发展趋势的　网管人员无法确保所有主机的病毒库为最新版本。操作系　基础上，指出其分布式和多层次的特点，并据此设计了一　统补丁的更新也存在同样的问题，无法从根本解决医院信　种分布式层次授权方式。　息安全的威胁。　终端主机防护策略设计，通过在各终端主机统一安装　ＩＰ和ＭＡＣ地址绑定，无实际意义。部分医院为了防止　网管软件和网络安全软件客户端并建立安全策略服务器的　外来人员随意接入内部网络，在接入层交换机进行了ＩＰ和　手段，从而使得终端主机能够自动、自主地进行安全防护。　ＭＡＣ地址与端口的绑定操作。此安全防御行为有２个问题：　网络通信防护策略设计，设计了一种ＩＤＳ与安全策略　地址绑定工作量大，不方便操作，需要网管人员逐条输入，　服务器的联动策略，使医院信息系统成为具备自动防御网　每台交换机单独操作；稍有网络技术的人员可轻松更改主　络攻击，自动修复攻击后果，自动学习安全策略等一系列　机的ＩＰ和ＭＡＣ地址，导致地址绑定无效。　功能的自主防御体系。　ＩＤＳ入侵检测作用缺失。目前一些医院信息系都安装了　容灾策略设计，采用基于网络层的容灾策略，利用虚拟　ＩＤＳ入侵检测系统，但当出现异常数据时仅能发出警告信　化管理设备，对各种存储设备进行统一管理，建立本地容灾、　息，无法进行有效防御，因此很多网管人员认为在医院内　园区级容灾和全业务数据整合，保证医院电子业务的可用性。　部网络部署ＩＤＳ入侵检测系统无意义。　［参考文献］　数据库审计，无法定位到人。为了防止数据篡改或泄　［１］沈林，杜亚平．医院信息化建设面临的难题与发展对策［Ｊ］．中国　露，医院对用户访问权限进行了严格控制，但仍无法避免　卫生事业管理，２００９，２６（４）：２３９—２４０．　恶意人员对数据库进行操作，数据库安全审计系统可以详　［２］施立红，邢卫松，龚卫东．医院信息化建设中存在的矛盾与解　细记录每个会话连接对数据库的操作行为，最终定位到ＩＰ　决方法ｆＪ】．现代医院，２００９，９（３）：１４６—１４８．　［３］刘成芳．刍议医院财务信息化建设【Ｊ］．当代经济，２００９（１４）：　地址。无法与人员做绑定。　１５４－１５５．　１０１