医院管理系统中的信息安全探讨
2009-09-19徐杰燊
徐杰燊
摘要:本文根据多年来从事医院管理信息系统和网络系统建设及维护工作的经验,从数据安全、服务器安全、机房安全、群集技术的可靠性、存储安全、网络安全、应用软件的安全和病毒防护等方面进行安全探讨。
关键词:医院管理信息安全探讨
0引言
随着计算机软件技术的发展,特别是分布式和软件移动计算的广泛应用,使得系统开放性越来越强,局域网内的用户都可能访问到应用系统和数据库,这给医院信息安全带来了极大的挑战。从收费数据到医疗信息、从病人隐私保密到管理信息的保密,都要求医院管理系统要处于高度安全的环境中。
1中心机房安全
医院信息系统的常态运行和医疗数据资源的保存、利用与开发对医院发展起着非常重要的作用,因此作为信息系统的“神经中枢”及数据存储中心的机房标准设计就显得尤为重要。如何使中心机房内的设备安全有效地运行,如何保证数据及时有效地满足医院应用,很重要的一个环节就是计算机机房建设。中心机房的安全应注意计算机机房的场地环境、计算机设备及场地的防雷、防火和机房用电安全技术的要求等问题。机房安全是整个计算机系统安全的前提,所以在新建、改建和扩建的计算机机房,在具体施工建设中都有许多技术问题要解决,从计算机系统自身存在的问题、环境导致的安全问题和人为的错误操作及各种计算机犯罪导致的安全问题入手,规范机房管理,机房安全是可以得到保障的。
2服务器及服务器操作系统安全
随着医院业务对IT系统的依赖不断增大,用户对于医院系统的可用性要求也不断上升。一旦某一台服务器由于软件、硬件或人为原因发生问题时,系统必须维持正常运行。因此,应采用双机热备份的方式实现系统集群,提高系统可用性。服务器以主从或互备方式工作,通过心跳线侦查另一台服务器的工作情况,一旦某台机器发生故障,另外一台立即自动接管,
变成工作主机,平时某台机器需要重启时,管理员可以在节点间任意切换,整个过程只要几秒钟,将系统中断的影响降到最低。此外,还可以采用第三台服务器做集群的备份服务器。在制度上,建立服务器管理制度及防护措施,如:安全审计、入侵检测(IDS)、防病毒、定期检查运行情况、定期重启等。
3网络安全
恶意攻击是医院计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性:另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信急。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。网络黑客和计算机病毒对企业网络(内联网)和公网安全构成巨大威胁,每年企业和网络运营商都要花费大量的人力和物力用于这方面的网络安全防范,因此防范人为的恶意攻击将是医院网络安全工作的重点。
医院网络信息安全是一个整体的问题,系统网络所产生数据是医院赖以生存的宝贵财富,一旦数据丢失或出现其他问题,都会给医院建设带来不可估量巨大的损失。所以必须高度重视,必须要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。
4数据库安全
在医院信息系统的后台,数据信息是整个系统的灵魂,其安全性至关重要,而数据库管理系统是保证数据能有效保存、查询、分析等的基础:数据被安全存储、合法地访问数据库以及跟踪监视数据库,都必须具有数据有效访问权限,所以应该实现:数据库管理系统提供的用户名、口令识别,试图、使用权限控制、审计、数据加密等管理措施:数据库权限的划分清晰,如登录权限、资源管理权限和数据库管理权限:数据表的建立、数据查询、存储过程的执行等的权限必须清晰;建立用户审计,记录每次操作的用户的详细情况;建立系统审计,记录系统级命令和数据库服务器本身的使用情况。
医院如何开展信息安全工作,应该本着从实际出发的精神,先进行风险评估,研究信息系统存在的漏洞缺陷、面临的风险与威胁,对于可能发现的漏洞、风险,制定相应的策略:首先在技术上,确定操作系统类型、安全级别,以选择合适的安全的服务器系统和相关的安全硬件;再确定适当的网络系统,从安全角度予以验证;选择合适的应用系统,特别要强调应用系统的身份认证与授权。在行为上,对网络行为、各种操作进行实时的监控,对各种行为规范进行分类管理,规定行为规范的范围和期限,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,限制一些不安全的行为。在管理上,制定各项安全制度,并定期检查、督促落实;确定医院的安全领导小组,合理分配职责,做到责任到人。
当然,还要意识到信息安全工作的开展有可能会影响到系统使用的方便性,毕竟,安全和方便是矛盾的统一体,要安全就不会很方便,相关工作效率必定降低,要方便则安全得不到保证,因此必须权衡估量。
参考文献:
[1]王淑容,刘平医院管理信息系统的设计与实现,四川轻化工学院学报,2002
[2]上海医院计算机信息网络系统安全策略,上海市卫生局信息中心,2003
