- 相关推荐
医院信息数据安全管理制度
1 中心机房安全
医院信息系统的常态运行和医疗数据资源的保存、利用与开发对医院发展起着非常重要的作用。因此作为信息系统的“神经中枢”及数据存储中心的机房标准设计就显得尤为重要。如何使中心机房内的设备安全有效地运行,如何保证数据及时有效地满足医院应用,很重要的一个环节就是计算机机房建设。
中心机房的安全应注意计算机机房的场地环境、计算机设备及场地的防雷、防火和机房用电安全技术的要求等问题。机房安全是整个计算机系统安全的前提,所以在新建、改建和扩建的计算机机房,在具体施工建设中都有许多技术问题要解决,从计算机系统自身存在的问题、环境导致的安全问题和人为的错误操作及各种计算机犯罪导致的安全问题入手,规范机房管理,机房安全是可以得到保障的。
2 服务器及服务器操作系统安全
随着医院业务对IT系统的依赖不断增大,用户对于医院系统的可用性要求也不断上升。一旦某一台服务器由于软件、硬件或人为原因发生问题时,系统必须维持正常运行。因此,应采用双机热备份的方式实现系统集群,提高系统可用性。服务器以主从或互备方式工作,通过心跳线侦查另一台服务器的工作情况,一旦某台机器发生故障,另外一台立即自动接管,
变成工作主机,平时某台机器需要重启时,管-理-员可以在节点间任意切换,整个过程只要几秒钟,将系统中断的影响降到最低。此外,还可以采用第三台服务器做集群的备份服务器。在制度上,建立服务器管理制度及防护措施,如:安全审计、入侵检测(IDS)、防病毒、定期检查运行情况、定期重启等。
3 网络安全
恶意攻击是医院计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁,每年企业和网络运营商都要花费大量的人力和物力用于这方而的网络安全防范,因此防范人为的恶意攻击将是医院网络安全工作的重点。
医院网络信息安全是一个整体的问题,系统网络所产生数据是医院赖以生存的宝贵财富,一旦数据丢失或出现其他问题,都会给医院建设带来不可估量巨大的损失。所以必须高度重视,必须要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。
4 数据库安全
在医院信息系统的后台,数据信息是整个系统的灵魂,其安全性至关重要,而数据库管理系统是保证数据能有效保存、查询、分析等的基础;数据被安全存储、合法地访问数据库以及跟踪监视数据库,都必须具有数据有效访问权限,所以应该实现:数据库管理系统提供的用户名、口令识别,试图、使用权限控制、审计、数据加密等管理措施;数据库权限的划分清晰,如登录权限、资源管理权限和数据库管理权限;数据表的建立、数据查询、存储过程的执行等的权限必须清晰;建立用户审计,记录每次操作的用户的详细情况;建立系统审计,记录系统级命令和数据库服务器本身的使用情况。
医院如何开展信息安全工作,应该本着从实际出发的精神,先进行风险评估,研究信息系统存在的漏洞缺陷、面临的风险与威胁,对于可能发现的漏洞、风险,制定相应的策略:首先在技术上,确定操作系统类型、安全级别,以选择合适的安全的服务器系统和相关的安全硬件;再确定适当的网络系统,从安全角度予以验证;选择合适的应用系统,特别要强调应用系统的身份认证与授权。在行为上,对网络行为、各种操作进行实时的监控,对各种行为规范进行分类管理,规定行为规范的范围和期限,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,限制一些不安全的行为。在管理上,制定各项安全制度,并定期检查、督促落实;确定医院的安全领导小组,合理分配职责,做到责任到人。
当然,还要意识到信息安全工作的开展有可能会影响到系统使用的方便性,毕竟,安全和方便是矛盾的统一体,要安全就不会很方便,相关工作效率必定降低,要方便则安全得不到保证,因此必须权衡估量。
保护医疗信息不泄露,关注医院信息安全
经历20多年的发展,中国医疗信息化建设已初具规模,医院信息系统(HIS)为医院的正常运营和科学化管理提供保障,然而,医院信息管理系统在信息安全保密方面依然是医疗信息化建设的短板,严重影响或制约了信息化进程。
谁为医疗信息补漏
随着信息技术的不断发展,在医院这种社会公共服务领域,收集和储存了大量的公民个人信息。但在当前对医疗行业提供的网络安全技术解决方案中,仍以防火墙(FW) 防病毒(AV)为主流选择,但是这些传统的安全技术手段只能阻挡部分从外部到内部的攻击,并且对来自内部的信息窃取完全无能为力,这就导致了“泄密门”事件一次次发生,引发重要数据的丢失、破坏,不仅严重影响到医院网络的正常运行,还直接威胁到患者的隐私和生命安全。
安全隐患暴露最近,深圳就发生了一次全市的孕妇信息库泄露事件,不法分子将孕妇的资料制成了“泄密光盘”,4万条包括孕妇姓名、出生日期(婴儿)、户口性质(流动、暂住、常住)、家庭住址、联系电话、以及就诊医院及预产期的信息以每条0.3元的价格进行销售,更令人咂舌的是这些信息每月还“滚动更新”,累计达到了10万条。
而据记者调查发现,很多乳品厂商也通过固定的渠道从医院套取孕妇的个人信息来达到赚钱的目的。甚至,某些医院的个别工作人员已经和一些个人医疗信息的“收购贩子”形成了秘密而固定的“销售渠道”,一般人很难插手。
调查中,乳品企业的一名销售经理向记者出示了一打儿厚厚的,记录了产妇及其丈夫个人信息的表格。随后,记者按照这位销售经理提供的号码拨打了某医院产科护士长的电话,表示要购买个人信息,对方很严肃地说:“不行,我们这里的个人信息是严格保密的,绝对不可以出售。”而当那位销售经理亲自给那家医院的产科护士长打电话时,对方却让他过去取资料。
事实上,医院出现信息系统安全的问题已经相当普遍,采访中国内某医院的一位IT中心工作人员向记者抱怨道,“信息安全的重要性,恐怕只有IT部门知道,而当今大多数医院的IT部门,在医院充其量还只是扮演‘保姆’的角色。”
这位工作人员指出,国内医院信息化普遍起步晚、投入少,基本的IT软硬件环境尚且捉襟见肘,更无法顾及信息安全系统建设。像他所在这的这家有着数十年建院史的大型医院,在IT投资上也可谓“保守”,在近20年的信息化过程中,信息装备投入十分有限,仅仅在近几年,才投入几百万元对全院的网络进行升级。
“而更严重的是,目前医院的IT部门普遍处于很低的地位,信息安全在医院领导观念中就更为淡漠,这造成了医院IT投资优先考虑的是业务的需求,而非保障信息安全。这给医院的信息系统埋下了巨大的安全隐患。”这位工作人员表示。
滥用权限严重如何才能解决当前的医院信息安全问题呢?首先我们需要了解下目前医院信息安全的问题所在。
据有着多年医疗行业系统集成经验的蓝天科技的总经理钱朝阳博士介绍,由于医院内部的滥用过高权限、滥用合法权、非法接入等行为导致目前我国的医疗信息安全主要存在三方面的问题:第一,没有重视和执行对医务人员的信息安全知识、法规、标准的宣传、培训、考核,没有规定和实行医院信息系统安全的相关制度;第二,网络安全观念较为老旧,网络设计存在缺陷,比如过于单方面依赖防火墙;第三,对HIS系统,没有一定的安全监督、审查、验收机制。
“目前很多医院的一把手开始重视信息安全的问题,只有从根本管理制度上解决医院工作人员对医疗信息的权限混乱,无人监管问题,才能解困医院的信息安全谜题。”
基于医疗系统的信息安全隐患,钱朝阳提出,目前医疗系统的信息安全建设也要针对性的分三步来走:第一步,加强内部管理,在提高医务人员保护患者个人信息及医疗信息意识的同时,制定符合本单位实际情况的管理制度;第二步,重点保护核心业务系统;第三步,进行统一的安全管理,全面、高效保障网络及信息安全。
钱朝阳认为防护核心业务系统是三步中最重要的一步。而如何才能保护核心的业务系统呢?
“我们需要有一个专业的审计系统,这个审计系统不仅要具备基本对话的行为分析和本身的隐蔽性、宜用性两个基本特征,而且为了更好的保护医疗信息系统的安全。” 网御神州安全管理高级产品经理叶蓬认为,保护核心的业务系统的关键是要建立专业的审计系统。
而审计系统必须具备三大功能:一、可自定义及识别风险较高的行为操作,并可对此类操作进行告警,采用电子邮件、SNMP Trap等方式通知网络安全管理人员;二、对已定义的不合规操作,可通过与网络设备或安全设备共同协作来关闭通信,以阻止正在进行的操作;三、系统需具备报表系统,可以按组管理,可以对报表生成进行日程规划,提供打印、导出以及邮件送达等服务,并根据计划归档报告,归档之后发送邮件通知。
了解了问题所在,医院的信息主管应该怎么办呢?
内控审计解困一段时间以来,我国政府相关部门对包括医院信息泄密在内的信息安全事故加大了处罚力度。今年2月28日,全国人大会通过了刑法修正案(七)的表决,并且从颁布之日起实施。规定单位如果泄露或非法获取公民个人信息,将被判处罚金,并追究直接负责的主管人员和其他直接责任人员的刑事责任。这使得愈来愈多的医院意识到,信息安全建设的重要性。
另一方面,医院网络及信息作为改革医院管理体制、提高服务质量的重要保障,必然对医院的信息安全管理也提出了很高的要求。4月6日,历时两年多时间的,倍受关注的新一轮医改方案终于出台。而根据《关于深化医药卫生体制改革的意见》和《2015-2011年深化医药卫生体制改革实施方案》规定,我国计划到2011年国家投入8500万逐步改革公立医院管理体制和运行、监管机制,提高公立医疗机构服务水平,推进公立医院补偿机制改革,加快形成多元化办医格局。
“近些年来我们已经完成了局域网和主服务器、数据存储中心的升级改造,但仍然存在着许多系统安全的隐患。我们希望,IT供应商们应该考虑到中国医院的IT装备和应用水平的实际状况,提供更为适合医院实际的安全性方案。”采访中某医院的IT主管呼吁道。
“正是为了满足我国医疗行业对信息安全的要求,我们自主研发了网神SecFox安全管理系统(医院版),并提出了面向医疗行业的统一安全审计解决方案。系统包含SecFox-NBA(业务审计型)、SecFox-NBA(上网审计型)、SecFox-LAS日志审计、SecFox-EPS终端安全审计等多个功能模块,完全可以满足用户的相关需求。” 网御神州安全管理高级产品经理叶蓬表示,其中SecFox-NBA(业务审计型)模块,能够针对客户业务网络中的各种数据库、Windows和Unix主机、WEB应用系统进行全方位的安全审计,保障客户业务网络中数据的安全和操作合规。
据介绍,网神SecFox-NBA不仅包括:数据访问审计、数据变更审计、用户操作审计、违规访问行为审计、恶意攻击审计等5大功能。同时,相对于传统的审计系统,网神SecFox-NBA还有四个明显的特点:一是SecFox-NBA采用旁路侦听的方式进行工作,对业务网络中的数据包进行应用层协议分析和审计,就像真实世界的摄像机;二是SecFox-NBA对业务操作实时监控、过程回放;三是快速响应和跨设备协同;最后一个是报表报告。
“严出严入,全面防护。在解决了核心业务系统的保护后,我们首先要解决通过网络外发信息的信息泄露;其次要解决人员的非法接入、因员工滥用移动存储导致的信息泄漏问题;最后,我们进行统一的安全管理,全面、高效保障网络及信息安全。”叶蓬称,当医院应用网御神州独有的基于会话的行为分析(Session-based Behavior Analysis)技术后,医院的审计员不仅可以对当前网络中所有访问者进行基于时间的审查,了解每个访问者任意一段时间内先后进行了什么操作,而且还能对过程回放。“SecFox-NBA(业务审计型)真正实现了对‘谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何’的全程审计。”
【医院信息数据安全管理制度】相关文章:
数据及信息安全管理制度06-02
医院信息安全管理制度01-29
数据信息管理制度01-30
医院信息安全管理制度(2篇)04-02
医院信息安全管理制度2篇04-01
医院信息安全管理制度3篇01-29
《数据信息的加工》教案03-04
医院信息管理制度04-04
医院信息安全整改报告05-19
信息安全管理制度01-27