朱洁

(上海市浦东新区妇幼保健院信息科 上海 201206)

1 影响移动存储介质信息安全的因素分析

1.1 影响移动存储介质信息安全的客观因素

(1)体积小,易丢失。随着计算机制造技术的不断提高,现在移动存储介质体积都很小,容易造成移动存储介质的遗失。

(2)易传播病毒。通过移动存储介质传播的病毒程序日益增多。如：将未经病毒查杀过的移动存储介质接入内网中的计算机上,就很可能使病毒感染计算机。如不及时处理,那么病毒又会在内网中迅速扩散,大量文件会被感染,最终会导致整个医院的计算机全部瘫痪,危及医疗工作的正常开展。

(3)感染木马,造成信息外泄。“摆渡”木马是一种不需要网络连接,通过移动存储介质,来窃取内网信息的“间谍”木马。移动存储介质有可能被植入“摆渡”木马程序,这样计算机上的数据就会被窃取,医院的数据信息和病人的个人隐私就全无保障。

1.2 影响移动存储介质信息安全的主观因素

(1)内外网交叉使用。医院内网属于医院内部局域网,外网则连接到Internet网络,划分内外网,是保障网络安全的第一个环节。由于普通移动存储介质可以在任意计算机上使用,因此,违规将移动存储介质插入内网计算机后再插入外网,或将移动存储介质插入外网计算机后再插入内网,交叉使用,极有可能造成机密数据被非法拷贝。

(2)安全意识淡薄,公私混用。如医院职工的信息安全意识比较淡薄,将个人的移动存储介质可在医院信息系统计算机上随意使用,就很容易造成计算机病毒感染和泛滥,并引起泄密事件;如：内部专用的移动存储介质被非法带出医院使用,更会造成大量数据的外泄。

(3)缺乏有效的监控管理机制。各家医院对移动存储介质的使用管理大多缺乏整体的设备登记、身份认证、访问控制和审计机制。如：移动存储介质无管理台帐,没有对介质的全部流通过程(购买、使用、销毁)进行监控和管理;无法查询移动存储介质的操作日志,如：使用人、使用时间、文件进出、盘中文件的读写、删改等,事后无法追查。

2 移动存储介质的信息安全管理对策

2.1 严格管理,加强信息安全教育

移动存储介质中资料的存储要遵循“有用则存、随用随存、用后删除”的原则,严禁向外人或外单位出借带有医院工作资料的移动存储介质,妥善保管好移动存储介质,防止遗失。有移动存储介质的职工要加强自律意识,防范非法外联现象。建立健全移动存储介质的领用登记管理制度、使用管理制度、销毁管理制度,规范对移动存储介质的管理。

不断增强全体职工的责任意识和风险防范意识教育。重视对干部职工的信息安全宣传教育。对从互联网上下载资料后的移动存储介质,必须按照“先查毒、后使用”的原则操作,先进行严格杀毒,而后才能在工作用机中使用。要严格遵循“谁使用、谁管理、谁负责”的原则,出现问题,严格执行相关的通报处罚规定。

2.2 运用技术手段,进行监督管理

对移动存储介质应遵循“事前防御、事中响应、事后审计”的全过程技术管理原则,充分利用技术手段,达到有效防范信息失密、安全保密的目的。具体来说：(1)通过移动存储介质交换的数据必须是密文,保证数据离开应用环境后不可用;(2)数据交换前必须通过正确的身份认证,包括密码认证或USB KEY等授权硬件的身份认证;(3)记录数据交换过程的工作日志,便于以后进行跟踪审计;(4)未经授权的移动存储介质,在工作环境中不可用,只有经过医院信息科授权的移动存储介质才能进入医院信息管理系统(HIS)环境;五是,根据工作需要配发的移动存储介质被带出办公环境后变为不可用。

3 结语

医院信息系统不同于一般的企业网,系统一旦投入运行,要求1d24h,每周7d不间断运行,因此,信息安全变得越来越重要,一旦造成经济损失及社会影响无法用金钱来衡量。随着移动存储介质技术的普遍应用,这项技术引起的危险因素和管理上的新问题引起了我们的足够重视。因此,在医院环境中要定期检查已制定的安全制度和技术措施,重新对新的风险和需求进行评估,对发现保密的隐患和问题,要认真整改,切实消除隐患,堵塞泄密漏洞,不断完善移动存储介质的安全管理[2]。

[1] 丁宝芬.实用医学信息学[M].南京：东南大学出版社,2003.

[2] 杨芹.移动存储介质安全管理存在的难点及建议[J].实务运维管理,2010,6：74.