返回
20130516-471 医院信息系统安全风险与管理new

20130516-471 医院信息系统安全风险与管理new

ID:34451567

大小:137.94 KB

页数:3页

时间:2019-03-06

20130516-471 医院信息系统安全风险与管理new_第1页
20130516-471 医院信息系统安全风险与管理new_第2页
20130516-471 医院信息系统安全风险与管理new_第3页
资源描述:

《20130516-471 医院信息系统安全风险与管理new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、2013中华医院信息网络大会征文,请勿转载医院信息系统安全风险与管理①韩立①成都成电医星数字健康软件有限公司,610045,成都市武科东四路11号慧谷五幢四号摘要2009年以来,国家大力推进新医改,卫生部也陆续提出了新医改的要求和相关规范,各级医疗管理机构,部省市县各级医院,乃至乡镇卫生院,为了响应国家的要求,解决看病难、看病贵等问题,满足医院经营管理、医疗质量、医疗服务等各个方面的更高要求,医院均加大投入,全面地、大规模地进行医院信息系统建设。随着医院信息系统的网络基础设施,信息系统硬件基础设施和各类的医疗应用系统(例如HIS,EMR,LIS,PACS等)在医院的实施

2、应用,医疗业务、医院管理业务也对信息系统的依赖性也越来越高,信息系统的任何短暂停顿都可能会导致业务运行的中断。面对医院对信息系统如此高的要求,以及信息系统面对的如此复杂的应用环境,IT管理者如何解决信息系统的安全问题,确保信息系统的长期持续稳定运行,本文根据多年来的多家不同等级的医院信息系统建设与运维实际情况,从医院信息系统安全角度出发,对信息系统安全所面临的风险进行相应分析,并提出医院信息系统安全管理方案。关键词医院信息系统;信息系统安全;安全风险;安全管理制度近几年来,随着信息系统在医院更全面,更深入的应用展开,信息系统的规模空前的扩大了,所采用的各种IT软硬件设施

3、种类繁多,安装、配置、管理、使用都变得越来越复杂。医疗业务、管理业务产生的海量数据和医院各业务部门之间的数据关联、统计和与上级机构的报送,这些对信息系统的依赖性也越来越高,信息系统的任何短暂停顿都可能会导致业务运行的中断。与此同时,信息系统运行的环境却越来越恶劣,开放式的使用环境、各类计算机病毒、各类恶意非恶意的破坏都在威胁着信息系统的安全。面对医院对信息系统如此高的要求,以及信息系统面对的如此复杂的应用环境,IT管理者如何解决信息系统的安全问题,确保信息系统的长期持续稳定的运行,是当前迫切需要处理好的问题。医院信息系统主要的安全风险分为以下几类。1物理安全风险在环境场

4、地安全和设施与设备安全存在一系列的风险,例如:水灾、火灾、地震、雷击、计算机系统电源供应不稳定消防设施不合适、静电防护不合格、防尘不达标、其他电磁干扰等,主机系统没有专有机房保护、网络设备放置于不安全地方、未做好防毁防盗、新购的核心设备未做好测试就投入运行、故障的设备没有及时检修、信息系统的数据中心没有严格人员进入管理、信息系统存在线路非法截获、核心设备没有冗余等。这些人为的或自然的安全风险对信息系统有可能造成灾难性的毁坏。2数据安全风险由于医院信息系统存在着异构的数据平台,数据存储在不同的服务器或不同的存储产品中。主要的风险有存储介质故障、备份介质如硬盘故障风险、磁带

5、损毁风险、自动备份-1-2013中华医院信息网络大会征文,请勿转载策略不生效等。而数据库的安全管理缺失,未做数据库审计、非法机器接入、人员误操作导致数据删除、数据库产品本身缺陷等。由于这些问题的存在,造成的对数据非法操作或误操作的现象是屡见不鲜,对信息系统危害很大。3网络安全风险医院信息系统的网络除内部应用的网络,涉及到与社保、银行、其他医疗机构、上下级机构连接,内网又有不同应用,因此在网络体系结构设计时如未考虑网络安全的设计,缺失具体的安全规划,会给以后的网络建设造成严重问题,并影响配置管理、安全管理,系统设计的脆弱还会导致病毒入侵的风险,引起网络配置不当,无法及时定

6、位网络故障,大量病毒的干扰。4应用安全风险医院信息系统应用软件的变更频率是很大的,未做充分软件测试、版本管理不严格、技术文档缺失、配置管理与变更管理不规范、软件设计不合理等情况比比皆是。加之操作系统的安全漏洞,非正版软件无法及时更新补丁,操作系统及应用系统用户权限设置失当,各用户职责不清、不充分的应用培训、不规范地使用计算机终端、用户密码过于简单、角色与权限分配不当等,轻则造成个人隐私或财务数据泄漏,重则导致系统崩溃。5管理安全风险"重建设、轻运维、轻安全",管理组织架构未建立,安全预算不到位等情况很普遍。未建立各类信息系统规划、实施、运行、安全的管理规范,缺乏相应的约

7、束或惩罚办法,对安全违规行为没有一个好的约束机制。医院信息系统管理人员普遍配置不足,专业的安全管理人员很多医院都没有,经验欠缺,也导致处理安全故障不及时。三分技术七分管理,管理制度与技术解决方案相结合,是制定信息系统安全风险应对的基本原则。投入多大预算来进行信息系统安全体系的建设,取决于各医院对已识别出来的风险的承受能力。某些高频发,破坏性大的风险则一定要解决。但某些较少出现,但破坏性大的风险也一定要有相应的管理解决方案或技术解决方案。6医院信息系统安全管理适用范围:物理安全:各医院信息中心的机房。网络安全:卫生专网、各级医院内部网络,网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。