医院的信息安全分析及措施
1医院信息安全问题分析
1.1物理环境安全分析
信息中心机房安全对医院信息系统异常重要,它是承载整个信息系统的基础条件,直接影响信息系统能否正常工作。同时,中心机房工作环境影响设备能否长期正常工作。根据调查,机房环境温度每上升1度,计算机系统寿命减少一半;机房湿度低容易产生静电,大量静电容易损坏电路芯片,湿度太高容易腐蚀元器件等。从信息系统安全等级保护要求来看,物理环境安全分为设备物理安全、环境物理安全、系统物理安全三大方面。其中,设备物理安全主要包括静电放电、电磁辐射骚扰、电源适应能力等21项具体要求;物理环境安全主要包括场地选择、机房防火、机房屏蔽、供电系统、温湿度控制等19项具体要求;系统物理安全主要包括:灾难备份与恢复、防止非法设备接入、防止设备非法外联等6项具体要求。
1.2网络安全分析
在医疗行业中大家对网络安全普遍的认识是以防火墙加防病毒来进行网络安全防护,但事实上网络安全问题涉及的内容很多。随着医院网络整体应用规模的不断扩大,大规模dos侵入、黑客攻击、蠕虫病毒、外来工作人员等因素导致网络安全环境日益恶化,现有安全技术手段逐渐暴露出安全防护力度不够,强度不高等问题,由于网络安全引发重要数据的丢失、破坏,将造成难以弥补的损失,严重影响到医院网络的正常运行。从等级保护要求方面,网络安全应该从身份鉴别、自主访问控制、强制访问控制、安全审计、可行路径、防抵赖等11个方面的进行安全防护建设和防护。
1.3主机安全分析
主机是医院信息系统的主要承载硬件设备,其安全性不言而喻,主机安全主要涉及:身份鉴别、访问控制、审计安全、入侵防范、资源控制等。影响主机安全的主要因素来源于两方面:一方面是针对操作系统的后门、木马与病毒攻击、黑客攻击、信息篡改、信息泄露、拒绝服务攻击等方面;另一方面是针对数据库的审计记录不足、拒绝服务、数据库通讯协议泄露、身份验证问题等方面。
1.4数据安全分析
数据库是医院信息系统数据存储的核心,从某种意义上说,医疗数据安全是医院信息安全的最主要防护重点,是整个安全防护的最重要核心。数据涉及到信息覆盖面广,数据量大,信息种类繁多,要保持每天24小时不间断运行[2],一旦数据破坏或丢失,都会给医院造成不可估量的损失。
1.5应用安全分析
众所周知,我国信息安全采用信息安全等级保护制度,按照应用系统的安全等级进行划分,应用系统是等级保护的核心,所处的it环境包括主机、数据库、网络传输、物理等,这些因素从客观上增加了应用系统的安全风险,这些风险是必然存在的。应用系统从自身架构上基本包含数据采集、数据处理与汇总分析、人机界面以及各层之间的api接口,这些组成部分从主观上增加了应用系统本身的安全风险,而应用系统本身安全又包括应用系统架构设计安全、模块间数据通讯安全、数据存储安全设计、访问控制、身份认证等主要方面,因此每个层面都需要在系统设计时进行安全考虑和设计。
2医院信息安全防护措施
2.1加强安全意识教育
此处内容需要权限查看
会员免费查看应能够保证数据的完整性、保密性、可用性。对医疗数据在传输和存储过程中能够检测到数据完整性是否受到破坏。应对重要业务数据进行时间小颗粒度的数据备份,同时要做到异地数据备份和备份介质场外存放。要采用冗余技术设计网络拓扑,避免关键节点、数据节点存在单点故障[4]。同时应对数据所承载网络设备、通信线路和数据处理系统进行硬件冗余,保证系统的高可用性。
2.3.5应用安全层面
针对医院医疗应用系统的特点,医疗应用系统应具有身份鉴别[5],采用密码技术保证通信过程中数据的完整性,即应用系统中应提供三权分立即分权分角色的用户身份控制模块,以及登录控制模块对登录用户进行身份标识和鉴别,且提供用户身份标识唯一和鉴别信息复杂度检查等功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不被冒用。医院医疗业务的高速发展离不开信息化,医疗信息化改变了医院的医疗模式,医疗系统的信息安全必须依照国家信息系统等级保护制度要求进行安全防护与建设,在医疗信息系统中建立信息安全的防护基线,设计整个信息系统安全指标的阀值,医院信息部门建立对整个信息系统完善的安全设计规划、建设、防护和运维的相关制度。信息化所带来的信息安全问题是医院信息化过程中不可规避的重要方面。医院信息系统安全管理必须要依托国家信息安全等级保护制度和卫生行业信息安全等级保护工作的指导意见,从制度建设、安全技术建设、人员安全管理、资产管理等多方面入手,全面展开系统安全规划和建设。通过安全技术手段与管理相结合,建立起医院信息安全防护体系,最终达到保护医院信息系统安全,更好的为患者提供医疗服务。