医院信息安全规划策略.doc

医院信息安全规划策略 医院信息系统安全对保障正常医疗秩序、维护患者权益、保证医院数据安全具有重要意义下面是小编搜集整理的相关内容的论文欢迎大家阅读参考 【摘要】目的：探讨医院信息系统安全现状与规划方法：分析在医院工作环境里信息安全面临实际问题结果：医院信息系统安全面临诸多有待解决的问题结论：发现现有系统的缺陷并提出有效解决方案规划应具有体系性和原则性 【关键词】信息安全;数据库;网络应用;安全体系 一、信息安全现状 1.1目前医院信息安全存在的问题根据卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知三级甲等医院的核心业务信息系统不得低于国家安全信息保护等级三级据此我们对信息系统的各个方面进行了安全评估发现主要有如下的问题： (1)物理安全：机房管理混乱问题;机房场地效用不明确;机房人员访问控制问题; (2)网络设备安全：访问控制问题;网络设备安全漏洞;设备配置安全; (3)系统安全：补丁问题;运行服务问题;安全策略问题;访问控制问题;默认共享问题;防病毒情况; (4)数据安全：数据库补丁问题;SQL数据库默认账号问题;SQL数据库弱口令问题;SQL数据库默认配置问题;(5)网络区域安全：医院内网安全措施完善;医院内网的访问控制问题;医院内外网互访控制问题; (6)安全管理：没有建立安全管理组织;没有制定总体的安全策略;没有落实各个部门信息安全的责任人;缺少安全管理文档 1.2当前医院信息安全存在的问题主要表现在如下的几个方面 (1)机房所处环境不合格场地效用不明确人员访问控制不足管理混乱 (2)在办公外网中医院建立了基本的安全体系但是还需要进一步的完善例如办公外网总出口有单点故障的隐患、门户网站有被撰改的隐患 (3)在医院内网中内网与办公外网之间没有做访问控制存在蠕虫病毒相互扩散的可能 (4)没有成立安全应急小组虽然有相应的应急事件预案但缺少安全预案的应急演练;缺少安全事件应急处理流程与规范也没有对安全事件的处理过程做记录归档 (5)没有建立数据备份与恢复制度;缺少对备份的数据做恢复演练保证备份数据的有效性和可用性在出现数据故障的时候能够及时的进行恢复操作 二、医院信息安全总体规划 2.1设计目标、依据及原则 2.1.1设计目标 信息系统是医院日常工作的重要应用存储着重要的数据资源是医院正常运行必不可少的组成部分所以必须从硬件设施、软件系统、安全管理等方面加强安全保障体系的建设为医院工作应用提供安全可靠的运行环境 2.1.2设计依据 (1)信息安全等级保护管理办法; (2)信息技术安全技术信息技术安全性评估准则; (3)卫生部卫生行业信息安全等级保护工作的指导意见; (4)电子计算机场地通用规范 2.1.3设计原则 医院信息安全系统在整体设计过程中应遵循如下的原则：分级保护原则：以应用为主导科学划分网络安全防护与业务安全保护的安全等级并依据安全等级进行安全建设和管理保证服务的有效性和快捷性最小特权原则：整个系统中的任何主体和客体不应具有超出执行任务所需权力以外的权力标准化与一致性原则：医院信息系统是一个庞大的系统工程其安全保障体系的设计必须遵循一系列的标准这样才能确保各个分系统的一致性使整个医院信息系统安全地互联互通、信息共享多重保护原则：任何安全措施都不是绝对安全的都可能被攻破但是建立一个多重保护系统各层保护相互补充当一层被攻破时其他层仍可保护系统的安全易操作性原则：安全措施需要人去完成如果措施过于复杂对人的要求过高本身就降低了安全性;其次措施的采用不能影响系统的正常运行适应性及灵活性原则：安全措施必须能随着系统性能及安全需求的变化而变化要容易适应、容易修改和升级 2.2总体信息安全规划方案 2.2.1基础保障体系 建设信息安全基础保障体系是一项复杂的、综合的系统工程是坚持积极防御、综合防范方针的具体体现目前医院基础保障体系已经初具规模但是还存在个别问题需要进一步的完善 2.2.2监控审计体系 监控审计体系设计的实现能完成对医院内网所有网上行为的监控通过此体系监控到的数据能对医院内部网络的使用率、数据流量、应用提供比例、安全事件记录、网络设备的动作情况、网络内人员的网上行为记录、网络整体风险情况等有较全面的了解 2.2.3应急响应体系 应急响应体系的主要功能是采取足够的主动措施解决各类安全事件安全事件可以被许多不同的事件触发并破坏单个系统或整个网络的可用性完整性、数据的保密性引发或可能引发本地小范围破坏的安全问题应该就地解决以避免加重整个医院信息网络的安全风险 2.2.4灾难备份与恢复体系 为了保证医院信息系统的正常运行抵抗包括地震、火灾、水灾等自然灾难以及战争、网络攻击、设备系统故障和人为破坏等无法预料的突发事件造成的损害应该建立一个灾难备份与恢复体系在这个体系里主要包括下面三个部分：政务内网线路的冗余备份、主机服务器的系统备份与恢复、数据库系统的备份与恢复 三、结论 通过对医院的信息安全风险评估我们发现了大量关于物理安全、操作系统、数据库系统、网络设备、应用系统等等方面的漏洞为了达到对安全风险的长期有效的管理我们进行了具有体系性和原则性并能够符合医院实际需求的规划 参考文献 1王立史明磊.医院信息系统的建设与维护J.医学信息2