手机北京快乐8看盘软件|北京快乐8赚钱方法

衛生管理

“互聯網+醫療”時代來臨!醫院信息安全最重要

作者:何啟紅 曾理 來源:中國衛生質量雜志 日期:2019-03-28
導讀

          2017年3月,李克強總理在政府工作報告中首次提出,要制定“互聯網+”行動計劃,推動移動云計算、大數據、物聯網等與傳統行業相結合。2017年6月1日《網絡安全法》實施后,“互聯網+醫療”的信息安全越發重要處在風口浪尖。

關鍵字:  醫院信息安全 

        2017年3月,李克強總理在政府工作報告中首次提出,要制定“互聯網+”行動計劃,推動移動云計算、大數據、物聯網等與傳統行業相結合。2017年6月1日《網絡安全法》實施后,“互聯網+醫療”的信息安全越發重要處在風口浪尖。

        瀘州市中醫院屬于三級甲等中醫醫院,醫院信息化建設已運行多年,目前為四川省二星數字化醫院。醫院建設有醫院信息管理系統(HIS)、臨床信息系統(CIS)、檢驗信息管理系統(LIS)、醫學影像存儲與管理系統(PACS)、重癥臨床信息系統、手術麻醉信息系統、合理用藥、供應中心追溯系統、傳染病監測系統、掌上智慧醫院等40余個子系統。信息系統覆蓋全院各個部門,涵蓋患者就診的各個環節。醫院信息系統的安全性直接關系到醫療工作的正常運行,一旦網絡癱瘓或數據丟失,將會給醫院帶來巨大的災難和難以彌補的損失。因此,為保證醫院信息系統安全正常工作,必須采用必要的安全管理措施來保障醫院信息網絡系統持久、穩定、安全地運行。

1.醫院信息安全概況

        當前,信息系統已成為醫院各部門業務開展的必備工具,是實現醫院現代化運營的重要手段。但若信息安全出現問題,小則影響醫院業務開展甚至停擺,大則影響社會安定。加強醫院信息安全建設與提升職工信息安全意識勢在必行。

1.1信息安全保護范圍

        醫院信息安全主要包括設備安全、網絡安全、數據安全及行為安全。如中心機房服務器、存儲器、交換機等設備安全,醫院內部網絡及互聯網接入安全,各科室終端安全(如開機密碼保護、文檔資料、USB接入等安全)信息系統中患者病歷數據、個人隱私安全等,甚至包括個人的科研成果、項目文檔、銀行及支付賬戶安全等。

1.2信息安全主要威脅

        威脅信息安全的主要方式包括病毒、木馬及人為的特定攻擊等。攻擊者(黑客)通過篡改網頁源代碼、利用系統漏洞加入木馬程序等,對用戶進行攻擊,盜取用戶重要數據,迫使用戶滿足其提出的要求。比如前段時間全球出現的勒索病毒、無敵艦隊等。

1.3感染途徑

        通過網絡瀏覽、電子郵件、移動存儲介質、網絡下載等途徑,可使終端設備感染上病毒,一傳十、十傳百,甚至會導致整個內部網絡設備癱瘓。

2醫院信息安全分類

        根據醫院實際工作情況,信息安全一般可分為硬件安全、網絡安全及數據庫安全。

        (1)硬件安全。醫院中心機房核心設備主要包括服務器、交換機及存儲控制器。其工作環境要求嚴格,一般要求將溫度置于22℃左右,相對濕度為45%~65%,且機房內要無人員流動、防塵、半封閉,并安裝靜電地板、防雷設施等。

        (2)網絡安全。醫院信息系統中的數據依靠網絡傳輸,由于醫院日常業務的特殊性,必須保證網絡7×24小時無故障運行,所以網絡設備的維護至關重要。中心機房安裝有溫濕度監控系統,漏水預警提醒,有異常將短信報警。信息中心人員24小時值班,每天查看路由器、交換機、光纖收發器、光模塊等設備的指示燈狀態是否正常,各種插頭是否松動等。根據醫院實際情況,將內外網物理隔離、分開訪問,內網數據不能被外網訪問,這樣保證信息訪問的安全性。同時在網絡結構上采用總線型拓撲方式,采用雙機均衡模式,實現了關鍵業務的鏈路冗余及網絡冗余,保障網絡穩定運行。另外,配置網絡訪問權限防止非法用戶入侵網絡,確保網絡運行安全。

        (3)數據庫安全。數據庫是醫院信息安全的核心,在整個醫院信息安全方面的地位舉足輕重。為了保障醫院數據信息的安全,應重點制定維護制度和管理制度,如數據庫管理權限、操作員角色管理、關鍵數據監控、外部對接授權等。

3信息安全保障方式

        當前開展診療服務對信息系統的依賴程度越來越高,醫院信息系統中存儲著大量醫療數據和患者個人信息,因此必須確保其安全性才能保障醫院正常運作和持續發展。

3.1強化信息安全技術

        信息安全技術是保障信息的完整性、保密性和可控性而采用的技術手段及安全產品。醫院信息系統安全主要包括以下兩方面:

3.1.1硬件技術

        一是信息安全等級保護技術,使用網閘物理隔離、安裝防火墻、入侵檢測、日志審計、安全管理平臺、漏洞掃描等手段,將醫院內、外網真正有效的保護起來,以防止黑客及病毒入侵,達到安全防護的目的;二是服務器虛擬化技術,將多臺服務器建立為虛擬資源池,在虛擬資源池中根據實際需求劃分虛擬機作為應用服務器,保證醫院業務系統不會中斷;三是存儲雙活虛擬化技術,建立異地災備中心,雙活數據庫實時在線,定時備份;四是使用不間斷電源,建立雙路供電保障,有條件的醫院可配備應急發電機。

3.1.2軟件技術

        一是安裝正版殺毒軟件覆蓋全院,實時監控每臺電腦的工作站狀態;二是采用數據庫核查技術,對訪問數據庫的行為進行安全核查;三是建立網絡安全準入控制系統和IT運維管理系統,制定相應規則控制網絡訪問,并要求信息管理人員實時監控醫院網絡設備,真正實現人防、物防、技防。

3.2提高人員信息安全意識

        醫院信息安全管理中"人"是最重要的因素,其有可能是信息安全最大的防護者,也可能是信息安全問題的制造者。主要包括醫院領導、中層管理人員、普通職工、信息管理人員等,應分別具備以下方面的信息安全意識:

3.2.1醫院領導重視

        院領導對信息安全的重視程度,決定了醫院信息安全狀況。領導重視,中層管理人員必然重視,特別是信息中心管理者則會更加注重信息安全方面的建設。

3.2.2中層管理人員應具備信息安全防范及補救意識

        當發生信息安全事件時,管理人員應立即采取應急措施,補救事件造成的危害,將信息安全事件損失和危害降到最低。同時,應組織專業人員客觀分析事件發生的原因,糾正問題漏洞。

3.2.3普通職工要具備安全操作意識

        普通職工雖不要求完全掌握信息安全技術,但要注重培養較強的信息安全意識,牢記信息安全方面的規定和要求,養成良好工作習慣,不違規操作,保證涉密信息安全。

3.2.4信息專業人員要具備主動判斷、提前防范意識

        信息專業人員須提升信息安全防范意識,具備較強責任心,主動承擔醫院信息安全防護工作,主動對信息系統及基礎設施進行隱患排查、查缺補漏,并向全院職工普及信息安全知識。

4信息安全制度與防范

4.1制度建設

        目前有《網絡安全法》《計算機信息系統安全保護條例》、《計算機信息系統安全等級保護通用技術要求》《信息技術安全技術信息安全事件管理指南》等法律法規,醫院須根據相關規定,結合實際情況,建立一套適用于自身發展需求的醫院信息安全管理制度,提高醫院信息安全管理水平。

        信息管理部門制訂全院信息安全管理制度,如網絡安全保護制度、網絡安全檢查制度、中心機房安全管理制度、數據備份與恢復管理制度、安全教育和培訓制度、存儲介質使用管理規定、應用系統密碼安全管理制度等。

4.2隱患防范

4.2.1嚴格授權管理

        根據醫院信息系統權限分配管理辦法,用戶提出需求,須嚴格控制其身份認證及授權,區分不同級別的用戶,定期提醒其修改密碼,且密碼須為字母加數字組合,甚至可采用不易破解的動態密碼技術,對用戶實行身份和操作的合法性認證,如有條件的醫院,可考慮使用CA。

4.2.2定期自查檢測

        定期對醫院信息系統的安全狀況進行自查,對網絡系統進行全面安全檢測。檢測的內容包括:服務器、存儲設備、網絡設備及操作系統等是否存在安全漏洞,根據安全需要對系統進行安全修復和加固,比如升級、漏掃等。

4.2.3數據安全備份

        醫院數據中心存放著大量數據,正所謂"硬件有價,數據無價",為保證數據安全,可進行三種方式的數據備份:一是租用"云空間",將數據備份至"云端",甚至可將醫院核心業務服務端轉移至"云端",但須掌握"云"安全知識;二是建設異地容災系統,即在外地租用空間,通過光纖或互聯網專線傳輸,定時(或實時)進行數據備份;三是利用數據庫技術每天定時自動備份數據庫文件到指定位置。

4.2.4提供對外合作

        明確一家安全服務機構,當醫院遇到突發的安全事件時,安全服務機構能夠提供應急響應服務,并立即配合醫院信息中心人員進行處理。

4.3提高工作人員的信息安全素養

        隨著醫院信息化建設的深入,臨床數據逐步開放,個人保證信息安全及醫院管控數據安全成為難題,提升醫務人員信息安全素養刻不容緩,可通過加強宣傳、教育培訓和考試測評等三種方式進行。

        (1)加強宣傳。通過醫院官網、OA系統、宣傳手冊、微視頻等方式對信息安全的重要性進行宣傳,時刻警醒全體職工從自身做起,保證醫院數據安全,不向任何人提供醫院任何數據資料,不泄露醫院、患者的任何信息。(2)教育培訓。不定期組織全員職工參與網絡安全知識、信息系統操作規范及上網安全等培訓,專業技術人員考取網絡安全員證書,并開展形式多樣的信息安全知識競賽活動,激發職工學習信息安全知識的熱情。(3)考試測評。根據每年信息安全形勢,設置信息安全試題庫,定期組織職工進行考試測評。

        在醫院信息化建設過程中,信息安全建設不容忽視。若出現信息安全問題,一切建設成果則無從談起。本研究通過對安全防范技術、管理制度及措施、人員培訓等方面的探索,明確了完善信息安全管理制度和提高職工信息安全意識的重要性,要求信息安全管理策略必須切實得到落實,方能實現醫院長期、有效的信息安全,從而為醫院信息化建設保駕護航。

參考文獻

        [1]王建英,陳文霞,胡雯,張鵬.醫院信息安全分析及措施[J]. 中國病案,2013,14(9):.

        [2]張靜波,王韜.論醫院信息安全保障體系建設[J].中國醫院,2006(2):51-53.

        [3]石磊.網絡安全與管理[M].清華大學出版社,2009,9:95-96.

        [4]羅力.國民信息安全素養評價指標體系構建研究[J].重慶大學學報: 社會科學版,2012,18(3):81-86.

分享:

評論

我要跟帖
發表
回復 小鴨梨
發表

copyright©醫學論壇網 版權所有,未經許可不得復制、轉載或鏡像 京ICP證120392號 京公網安備11010502031486號

京衛網審[2013]第0193號

互聯網藥品信息服務資格證書:(京)-經營性-2012-0005

//站內統計 //百度統計 //站長統計
*我要反饋: 姓    名: 郵    箱:
手机北京快乐8看盘软件