關(guān)于淺談等保制度對醫(yī)院信息安全促進作用的論文

　　1 引言

　　隨著醫(yī)院的發(fā)展和信息化的進步，信息系統(tǒng)滲透到醫(yī)院的各個角落。醫(yī)院的醫(yī)療業(yè)務(wù)、教學(xué)、研究對信息系統(tǒng)的依賴性是不容置疑的。醫(yī)院的信息安全不僅是保證醫(yī)院有效秩序的前提 ，還是保障醫(yī)院的財務(wù)管理等方面巨大的支撐，并且安全的醫(yī)療信息數(shù)據(jù)才能夠有效地提高病人的治療效果、維護病人的權(quán)益。因此加強管理和監(jiān)控，加強醫(yī)院有關(guān)信息安全系統(tǒng)方面的建設(shè) ，是醫(yī)院良好有序發(fā)展的前提以及客觀要求[1]。因此對信息安全的認(rèn)識從方方面面都得到了前所未有的重視。作為走在信息安全研究前列的大國，美、俄、日等國家都已制定自己的信息安全發(fā)展戰(zhàn)略和計劃，確保信息安全沿著正確的方向發(fā)展。2000年初美國出臺了電腦空間安全計劃，旨在加強關(guān)鍵基礎(chǔ)設(shè)施、計算機系統(tǒng)網(wǎng)絡(luò)免受威脅的防御能力。2000年7月日本信息技術(shù)戰(zhàn)略本部及信息安全會擬定了信息安全指導(dǎo)方針。2000年9月俄羅斯批準(zhǔn)了《國家信息安全構(gòu)想》，明確了保護信息安全的措施。

　　我國對信息安全研究起步較晚，目前已初步建成了國家信息安全組織保障體系[2]。我國在1994年頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》。在以后的十幾年中，國家又出臺了多個法律、法規(guī)，對信息安全等級保護的具體內(nèi)容、職責(zé)和工作方法做了具體的規(guī)定。在2007年公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室出臺了《信息安全等級保護管理辦法》。首都醫(yī)科大學(xué)附屬醫(yī)院北京婦產(chǎn)醫(yī)院(以下簡稱“北京婦產(chǎn)醫(yī)院”)正是借著《信息安全等級保護管理辦法》的實行，促進了院信息安全工作的發(fā)展，提高了信息安全的水平。從2007年到今天，院信息安全等級保護工作已經(jīng)走到了第十個年頭。這十年信息安全建設(shè)大約分為兩個階段。

　　2 第一階段：夯實制度基礎(chǔ)，加強邊界防護

　　北京婦產(chǎn)醫(yī)院于2007年10月根據(jù)《信息安全等級保護管理辦法》的要求和醫(yī)院的實際情況，把醫(yī)院的核心系統(tǒng)HIS和LIS系統(tǒng)定為二級系統(tǒng)。在隨后的幾年中嚴(yán)格按照等級保護二級系統(tǒng)的規(guī)范進行建設(shè)。

　　2.1 制定和完善制度，促進安全管理

　　任何技術(shù)都只是手段，而人是最重要的因素，能把兩者有效的、高效的結(jié)合在一起的是管理。管理又是通過制度實現(xiàn)的。參照等級保護的要求，增加制定了網(wǎng)絡(luò)安全管理制度、計算機病毒防治管理制度、業(yè)務(wù)網(wǎng)絡(luò)安全管理規(guī)定、信息安全數(shù)據(jù)使用授權(quán)制度和重大信息安全事件報告制度等制度，基本做到了制度完備。通過信息安全管理相關(guān)規(guī)范的制訂與發(fā)布，確立信息安全方針，對信息安全管理體系文檔的制訂、發(fā)布、修訂、評審進行約定，以保證信息安全管理規(guī)范文檔的嚴(yán)肅性。通過制訂全院統(tǒng)一的信息安全策略，有效指導(dǎo)信息安全管理與技術(shù)工作的開展，為全院建立了統(tǒng)一的信息安全策略標(biāo)準(zhǔn)。

　　2.2 提高信息安全意識

　　在領(lǐng)導(dǎo)層面，北京婦產(chǎn)醫(yī)院建立了醫(yī)院信息系統(tǒng)安全領(lǐng)導(dǎo)小組，明確信息安全工作由院長負(fù)責(zé)，成員包括信息科、院辦、醫(yī)務(wù)科等相關(guān)科室領(lǐng)導(dǎo)。在基層層面，根據(jù)技術(shù)專長和日常工作把工作人員安排為信息安全管理員、安全審計員、系統(tǒng)管理員等。這樣不僅使每個人了解信息安全，還要負(fù)責(zé)信息安全的事，同時也讓工作人員時時刻刻有信息安全的意識，還把信息安全內(nèi)容納入到每年進修人員和新入職人員培訓(xùn)日程之中。

　　2.3 加強中心機房的安全建設(shè)和管理

　　北京婦產(chǎn)醫(yī)院參照《信息系統(tǒng)安全等級保護基本要求》進行信息化基礎(chǔ)設(shè)施建設(shè)。中心機房配置門禁系統(tǒng)，機房出入口安排專人值守，控制、鑒別和記錄進入的人員。外來人員進出機房須獲得機房管理員的授權(quán)，對人員及設(shè)備進出情況進行記錄。中心機房內(nèi)服務(wù)器、網(wǎng)絡(luò)設(shè)備均安置在機柜內(nèi)并固定，對設(shè)備與走線進行了標(biāo)識。中心機房設(shè)置防盜報警系統(tǒng)、視頻監(jiān)控系統(tǒng)、自動消防系統(tǒng)、空調(diào)周圍安裝漏水檢測報警系統(tǒng)等物理安全設(shè)備。目前中心機房物理環(huán)境基本達到了等級保護三級系統(tǒng)所要求的物理環(huán)境，物理安全防護措施相對完善。

　　2.4 部署了基線網(wǎng)絡(luò)監(jiān)控管理系統(tǒng)

　　此系統(tǒng)能夠通過SNMP協(xié)議獲得被監(jiān)控網(wǎng)絡(luò)設(shè)備、服務(wù)器、通訊線路、網(wǎng)段、應(yīng)用等有關(guān)信息，包括系統(tǒng)信息、網(wǎng)絡(luò)連接、TCP連接、程序運行、 ARP表、路由表以及CPU負(fù)荷等。網(wǎng)絡(luò)管理員可以通過此系統(tǒng)對全網(wǎng)絡(luò)可以實時的監(jiān)控。此系統(tǒng)還可以對IP地址的全局使用情況有一個清晰準(zhǔn)確的統(tǒng)計，對于 IP地址使用的管理、分配都可以起到很好的輔助作用。

　　2.5 部署了桌面管理系統(tǒng)

　　此系統(tǒng)能夠遠(yuǎn)程維護、遠(yuǎn)程控制為網(wǎng)絡(luò)的管理、維護與故障診斷提供了全方位的平臺。在管理、維護或故障排除需要時，網(wǎng)絡(luò)管理員可以通過本功能遠(yuǎn)程登錄客戶機，當(dāng)服務(wù)器顯示客戶機桌面后，即可以對其進行相應(yīng)的操作。通過桌面管理系統(tǒng)可以管理外部設(shè)備，我院業(yè)務(wù)網(wǎng)禁用了U盤、軟驅(qū)、光驅(qū)、UBS等各種各樣的外部存儲設(shè)備，減少病毒通過外部存儲設(shè)備進入到業(yè)務(wù)網(wǎng)中的可能。通過桌面管理系統(tǒng)指定部分關(guān)鍵終端進行IP地址綁定，進一步提升了業(yè)務(wù)網(wǎng)的安全性。桌面管理系統(tǒng)還不斷地進行更新、升級，以提升網(wǎng)絡(luò)的防護水平。

　　北京婦產(chǎn)醫(yī)院通過信息系統(tǒng)的等級保護定級工作，對醫(yī)院的信息安全狀況進行了一次較為全面的摸底，認(rèn)識到自身信息安全水平和問題所在。針對信息安全投入了相當(dāng)?shù)牧α浚�通過以上和其他措施加強了防篡改、防病毒、防泄密等方面的安全，提升了業(yè)務(wù)網(wǎng)的邊界防護能力，使其處于基本安全的環(huán)境中。

　　3 第二階段：持續(xù)性推進，再上臺階

　　2007年至2012年，北京婦產(chǎn)醫(yī)院年門診量從7萬人次增長11萬人次;年出院人次從2.5萬人次增長到約3萬人次;病房手術(shù)人次從1.9 萬人次增長到2.5萬人次。HIS系統(tǒng)的主要用戶醫(yī)生、護士、醫(yī)技人員也從500余個增加到約1200余個。HIS系統(tǒng)的應(yīng)用大大提高了醫(yī)院工作效率，使醫(yī)院的資源得到了更合理的優(yōu)化配置。但是同時對信息系統(tǒng)的依賴性越高，也就對信息系統(tǒng)的安全有了更高的要求。在2012年《北京地區(qū)衛(wèi)生行業(yè)信息安全等級保護工作實施細(xì)則》中提出：“三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)的安全保護等級原則上不低于第三級”。針對過去的問題和三級的要求，積極進行整改和推動信息安全工作，在2014年將核心系統(tǒng) - HIS系統(tǒng)原定級2級提升為3級系統(tǒng)。

　　3.1 確定保護對象及其區(qū)域邊界，打好建設(shè)基礎(chǔ)。

　　根據(jù)北京婦產(chǎn)醫(yī)院業(yè)務(wù)的發(fā)展需要，原有的內(nèi)、外網(wǎng)物理的隔離的網(wǎng)絡(luò)拓?fù)鋵㈦S著區(qū)域衛(wèi)生平臺、網(wǎng)上預(yù)約掛號等業(yè)務(wù)的推進而發(fā)生結(jié)構(gòu)性的改變。如圖1所示。

　　因此，醫(yī)院原有相對獨立的業(yè)務(wù)網(wǎng)將會受到來自互聯(lián)網(wǎng)以及其他第三方網(wǎng)絡(luò)威脅源的攻擊。北京婦產(chǎn)醫(yī)院與時俱進，根據(jù)《信息系統(tǒng)安全等級保護基本要求》首先確定了保護對象及其區(qū)域邊界。根據(jù)醫(yī)院信息系統(tǒng)的計算環(huán)境劃分情況，圍繞信息系統(tǒng)確定出區(qū)域邊界：

　　(1)東院業(yè)務(wù)域計算環(huán)境區(qū)域邊界;

　　(2)西院業(yè)務(wù)域計算環(huán)境區(qū)域邊界;

　　(3)東院終端控制域計算環(huán)境區(qū)域邊界;

　　(4)外網(wǎng)業(yè)務(wù)應(yīng)用域計算環(huán)境區(qū)域邊界;

　　(5)內(nèi)網(wǎng)數(shù)據(jù)交換前置域計算環(huán)境區(qū)域邊界;

　　(6)外網(wǎng)無線網(wǎng)絡(luò)域邊界;

　　(7)安全管理域計算環(huán)境區(qū)域邊界;

　　(8)內(nèi)網(wǎng)辦公終端域計算環(huán)境區(qū)域邊界;

　　(9)外網(wǎng)辦公終端域計算環(huán)境區(qū)域邊界。

　　保護對象及其區(qū)域邊界的確定，為以后的計算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)等安全保護設(shè)計和實施奠定了堅實地基礎(chǔ)。

　　3.2 完善日常安全管理，切實落實安全制度

　　北京婦產(chǎn)醫(yī)院以前更多地關(guān)注技術(shù)的提升，有了等級保護要求之后，使得大家能全方位來看待信息安全。從安全管理平臺角度來看，技術(shù)安全和管理安全同等重要，而在實際工作中，網(wǎng)絡(luò)維護人員常常忽視管理層面的安全防護，如安全制度的建立和長期執(zhí)行，機房登記制度等[3]。

　　北京婦產(chǎn)醫(yī)院的'信息安全制度根據(jù)實際情況進行不定期修改，使其具有科學(xué)性和可操作性。為保證信息安全制度及各種安全管理手段與技術(shù)的落實，信息科制定了完善的巡檢制度。巡檢人員按規(guī)定時間、內(nèi)容及技術(shù)路線對設(shè)備進行巡回檢查，巡檢的內(nèi)容涵蓋了全院。硬件包括中心機房的服務(wù)器、交換機;門診大廳的自助打印機、排號機;中心機房和各個樓層設(shè)備間的環(huán)境監(jiān)控和消防等，軟件包括數(shù)據(jù)庫監(jiān)控、病毒監(jiān)控和移動存儲設(shè)備的監(jiān)控;磁盤空間容量、系統(tǒng)運行情況等。巡檢人員每日巡檢項目11大類504小項，巡檢內(nèi)容還要及時向上級進行反饋，以保證各種安全隱患的得到及時處理。同時還記錄每天的程序改動、軟件問題等信息，便于事后追溯。

　　3.3 提高數(shù)據(jù)備份與恢復(fù)能力，降低安全事件帶來影響和損失

　　北京婦產(chǎn)醫(yī)院原有利用東、西兩院區(qū)各自獨立的機房，采用了后臺磁盤陣列之間的遠(yuǎn)程鏡像技術(shù)，實現(xiàn)東、西兩院區(qū)數(shù)據(jù)同步和遠(yuǎn)程容災(zāi)。通過存儲在不同存儲設(shè)施上的鏡像數(shù)據(jù)，可以實現(xiàn)醫(yī)院內(nèi)部關(guān)鍵業(yè)務(wù)數(shù)據(jù)的備份與快速恢復(fù)。醫(yī)院對數(shù)據(jù)保護的方式主要是采用雙機高可用和備份系統(tǒng)。但是，雙機熱備系統(tǒng)也只能避免由于網(wǎng)絡(luò)故障、服務(wù)器故障、物理硬盤故障造成的系統(tǒng)停機問題，如果應(yīng)用數(shù)據(jù)受到病毒感染、人為誤刪除、駭客攻擊、甚至是共享磁盤陣列故障，應(yīng)用系統(tǒng)也是無法運行的。

　　隨著等保工作和信息化建設(shè)的推進，醫(yī)院又配置了CDP保護設(shè)備，實現(xiàn)重要數(shù)據(jù)實時保護;1-3分鐘內(nèi)找回丟失的數(shù)據(jù)，同時可以恢復(fù)到毫秒級的數(shù)據(jù)版本狀態(tài)，保障核心業(yè)務(wù)數(shù)據(jù)的完整性、一致性、可用性，從而保證核心業(yè)務(wù)系統(tǒng)正常、穩(wěn)定、連續(xù)運行;數(shù)據(jù)恢復(fù)過程簡單方便;后端重建系統(tǒng)，無停機時間;僅復(fù)制上次復(fù)制后已更改的增量數(shù)據(jù)，進行有效的系統(tǒng)及數(shù)據(jù)備份;大大縮短恢復(fù)過程，從而減少停機時間并保持生產(chǎn)力;如果出現(xiàn)應(yīng)用程序故障或硬盤崩潰，可以可靠地捕捉啟動應(yīng)用程序服務(wù)器所需的數(shù)據(jù)。CDP設(shè)備部署如2圖所示。

　　CDP設(shè)備不僅能夠輕而易舉的實現(xiàn)本地的應(yīng)用系統(tǒng)保護和恢復(fù)，而且能夠很輕松的將保護延伸到遠(yuǎn)程，建立起更為強大的異地容災(zāi)系統(tǒng)。

　　4 結(jié)束語

　　信息安全是動態(tài)的，隨著技術(shù)的發(fā)展而變化。信息安全防護沒有完全單一而又絕對保險的安全措施[4]。如果墨守成規(guī)，止步不前，必然會影響信息安全的整體水平。每年按照等級保護的要求進行自查，可以讓醫(yī)院查缺補漏，對醫(yī)院的信息安全是很好的督促。醫(yī)院在等級保護制度的指導(dǎo)下，持續(xù)性的推進信息安全工作，必然會明顯地降低信息安全的風(fēng)險。等級保護制度還促進了衛(wèi)生行業(yè)信息安全建設(shè)的標(biāo)準(zhǔn)化和規(guī)范化。我們有理由認(rèn)為信息安全等級保護制度對醫(yī)院信息安全的建設(shè)、管理等方方面面都有極大的促進作用。

【關(guān)于淺談等保制度對醫(yī)院信息安全促進作用的論文】相關(guān)文章：

淺談新醫(yī)院財務(wù)會計制度對財務(wù)信息的影響論文07-15

關(guān)于醫(yī)院信息安全管理途徑論文07-03

信息技術(shù)對現(xiàn)代中學(xué)教育的促進作用論文10-31

醫(yī)院的信息安全分析及措施論文07-01

數(shù)學(xué)對音樂發(fā)展的促進作用論文08-08

淺析信息技術(shù)對現(xiàn)代中學(xué)教育的促進作用10-05

淺談醫(yī)院內(nèi)部控制制度的完善會計論文08-01

淺談醫(yī)院病案信息管理10-18

醫(yī)院信息安全規(guī)劃策略論文06-30

醫(yī)院網(wǎng)絡(luò)信息安全防范探究論文06-29