朱潔

(上海市浦東新區(qū)婦幼保健院信息科 上海 201206)

1 影響移動存儲介質(zhì)信息安全的因素分析

1.1 影響移動存儲介質(zhì)信息安全的客觀因素

(1)體積小,易丟失。隨著計算機制造技術(shù)的不斷提高,現(xiàn)在移動存儲介質(zhì)體積都很小,容易造成移動存儲介質(zhì)的遺失。

(2)易傳播病毒。通過移動存儲介質(zhì)傳播的病毒程序日益增多。如：將未經(jīng)病毒查殺過的移動存儲介質(zhì)接入內(nèi)網(wǎng)中的計算機上,就很可能使病毒感染計算機。如不及時處理,那么病毒又會在內(nèi)網(wǎng)中迅速擴散,大量文件會被感染,最終會導(dǎo)致整個醫(yī)院的計算機全部癱瘓,危及醫(yī)療工作的正常開展。

(3)感染木馬,造成信息外泄。“擺渡”木馬是一種不需要網(wǎng)絡(luò)連接,通過移動存儲介質(zhì),來竊取內(nèi)網(wǎng)信息的“間諜”木馬。移動存儲介質(zhì)有可能被植入“擺渡”木馬程序,這樣計算機上的數(shù)據(jù)就會被竊取,醫(yī)院的數(shù)據(jù)信息和病人的個人隱私就全無保障。

1.2 影響移動存儲介質(zhì)信息安全的主觀因素

(1)內(nèi)外網(wǎng)交叉使用。醫(yī)院內(nèi)網(wǎng)屬于醫(yī)院內(nèi)部局域網(wǎng),外網(wǎng)則連接到Internet網(wǎng)絡(luò),劃分內(nèi)外網(wǎng),是保障網(wǎng)絡(luò)安全的第一個環(huán)節(jié)。由于普通移動存儲介質(zhì)可以在任意計算機上使用,因此,違規(guī)將移動存儲介質(zhì)插入內(nèi)網(wǎng)計算機后再插入外網(wǎng),或?qū)⒁苿哟鎯橘|(zhì)插入外網(wǎng)計算機后再插入內(nèi)網(wǎng),交叉使用,極有可能造成機密數(shù)據(jù)被非法拷貝。

(2)安全意識淡薄,公私混用。如醫(yī)院職工的信息安全意識比較淡薄,將個人的移動存儲介質(zhì)可在醫(yī)院信息系統(tǒng)計算機上隨意使用,就很容易造成計算機病毒感染和泛濫,并引起泄密事件;如：內(nèi)部專用的移動存儲介質(zhì)被非法帶出醫(yī)院使用,更會造成大量數(shù)據(jù)的外泄。

(3)缺乏有效的監(jiān)控管理機制。各家醫(yī)院對移動存儲介質(zhì)的使用管理大多缺乏整體的設(shè)備登記、身份認證、訪問控制和審計機制。如：移動存儲介質(zhì)無管理臺帳,沒有對介質(zhì)的全部流通過程(購買、使用、銷毀)進行監(jiān)控和管理;無法查詢移動存儲介質(zhì)的操作日志,如：使用人、使用時間、文件進出、盤中文件的讀寫、刪改等,事后無法追查。

2 移動存儲介質(zhì)的信息安全管理對策

2.1 嚴格管理,加強信息安全教育

移動存儲介質(zhì)中資料的存儲要遵循“有用則存、隨用隨存、用后刪除”的原則,嚴禁向外人或外單位出借帶有醫(yī)院工作資料的移動存儲介質(zhì),妥善保管好移動存儲介質(zhì),防止遺失。有移動存儲介質(zhì)的職工要加強自律意識,防范非法外聯(lián)現(xiàn)象。建立健全移動存儲介質(zhì)的領(lǐng)用登記管理制度、使用管理制度、銷毀管理制度,規(guī)范對移動存儲介質(zhì)的管理。

不斷增強全體職工的責任意識和風險防范意識教育。重視對干部職工的信息安全宣傳教育。對從互聯(lián)網(wǎng)上下載資料后的移動存儲介質(zhì),必須按照“先查毒、后使用”的原則操作,先進行嚴格殺毒,而后才能在工作用機中使用。要嚴格遵循“誰使用、誰管理、誰負責”的原則,出現(xiàn)問題,嚴格執(zhí)行相關(guān)的通報處罰規(guī)定。

2.2 運用技術(shù)手段,進行監(jiān)督管理

對移動存儲介質(zhì)應(yīng)遵循“事前防御、事中響應(yīng)、事后審計”的全過程技術(shù)管理原則,充分利用技術(shù)手段,達到有效防范信息失密、安全保密的目的。具體來說：(1)通過移動存儲介質(zhì)交換的數(shù)據(jù)必須是密文,保證數(shù)據(jù)離開應(yīng)用環(huán)境后不可用;(2)數(shù)據(jù)交換前必須通過正確的身份認證,包括密碼認證或USB KEY等授權(quán)硬件的身份認證;(3)記錄數(shù)據(jù)交換過程的工作日志,便于以后進行跟蹤審計;(4)未經(jīng)授權(quán)的移動存儲介質(zhì),在工作環(huán)境中不可用,只有經(jīng)過醫(yī)院信息科授權(quán)的移動存儲介質(zhì)才能進入醫(yī)院信息管理系統(tǒng)(HIS)環(huán)境;五是,根據(jù)工作需要配發(fā)的移動存儲介質(zhì)被帶出辦公環(huán)境后變?yōu)椴豢捎谩?/p>

3 結(jié)語

醫(yī)院信息系統(tǒng)不同于一般的企業(yè)網(wǎng),系統(tǒng)一旦投入運行,要求1d24h,每周7d不間斷運行,因此,信息安全變得越來越重要,一旦造成經(jīng)濟損失及社會影響無法用金錢來衡量。隨著移動存儲介質(zhì)技術(shù)的普遍應(yīng)用,這項技術(shù)引起的危險因素和管理上的新問題引起了我們的足夠重視。因此,在醫(yī)院環(huán)境中要定期檢查已制定的安全制度和技術(shù)措施,重新對新的風險和需求進行評估,對發(fā)現(xiàn)保密的隱患和問題,要認真整改,切實消除隱患,堵塞泄密漏洞,不斷完善移動存儲介質(zhì)的安全管理[2]。

[1] 丁寶芬.實用醫(yī)學信息學[M].南京：東南大學出版社,2003.

[2] 楊芹.移動存儲介質(zhì)安全管理存在的難點及建議[J].實務(wù)運維管理,2010,6：74.