葛炎明 上海長海醫(yī)院信息科

隨著科學技術的不斷進步和發(fā)展，信息管理系統(tǒng)已經在醫(yī)院日常的工作之中獲得了廣泛的應用，也取得了一定的理想效果，隨著信息管理系統(tǒng)在醫(yī)院工作過程中的進一步加深，信息安全建設已經成為了醫(yī)院工作所關注的一個重點內容。由于在醫(yī)院的信息管理系統(tǒng)之中，它具有一定的系統(tǒng)性，會包含全院的信息，因此會對系統(tǒng)整體的安全性能提出更高的要求和標準，一旦信息管理系統(tǒng)出現(xiàn)了安全的問題，就會導致醫(yī)院內部重要的信息數(shù)據丟失，從而對醫(yī)院工作的開展帶來一定的負面影響，嚴重的情況還會給醫(yī)院整體的經濟發(fā)展造成一定的阻礙作用。

1 醫(yī)院信息安全的重要性

醫(yī)院信息化的不斷發(fā)展，信息安全問題日益凸顯，網絡安全事件頻繁發(fā)生，可導致醫(yī)院網絡大面積癱瘓，影響日常醫(yī)療的有序進行。對此，如何防范網絡攻擊，確保信息高效、穩(wěn)定運行，保障信息化安全，是醫(yī)院信息化建設中面臨的重大課題。加強醫(yī)院信息化建設對于提高醫(yī)療效率及工作質量具有重要的意義。

2 醫(yī)院信息安全策略

2.1 網絡安全策略

第一，規(guī)劃建設合適的網絡架構，提高網絡的安全性和可防護性。第二，根據網絡服務對象，構建分類VLAN，控制廣播范圍，保障局域網運行的穩(wěn)定性。第三，服務器區(qū)域邊界、外網絡邊界等配置TDA、IPS、WAF、防火墻和上網行為管理等安全設備。第四，設置嚴密的訪問控制策略，保證邊界安全。第五，部署網絡運維管理系統(tǒng)，做到實時監(jiān)控網絡狀態(tài)和實時報警。第六，內外網物理隔離。第七，網關認證。

2.2 服務器安全策略

第一，每個應用服務器做到雙機熱備，強化冗余。第二，建立服務器集群，如果一臺服務器有故障時進行自動切換。第三，服務器虛擬化，增加可用性與備份。當一臺實體的服務器由于硬件故障損壞時，虛擬機會自動重啟到其他服務器上。

2.3 數(shù)據安全策略

存儲間的數(shù)據鏡像，保證生產數(shù)據能實時存放在多個存儲空間。第二，每天定時對數(shù)據庫進行本地備份和磁帶機備份。第三，異地備份。

2.4 應用軟件安全策略

第一，嚴格用戶授權管理。第二，嚴格密碼管理。第三，對用戶行為進行審計監(jiān)控。第四，規(guī)范第三方訪問控制管理。

2.5 機房安全策略

第一，機房選擇咋兼具防風防雨、防潮防震等特點的建筑物內。第二，制訂多套供電方案，配置UPS電源，保障醫(yī)院的電力供應，防止異常斷電。第三，確保機房空調設備運行穩(wěn)定，保障運行溫度及濕度要求。第四，適當避雷避電。第五，采用氣體滅火或管道滅火。第六，安裝機房門禁控制系統(tǒng)，防止外界人員進入。第七，部署機房動力環(huán)境監(jiān)控運維管理系統(tǒng)。第八，如果有條件，醫(yī)院要盡量采取異地雙機房模式。

2.6 管理安全策略

第一，增強組織的整體安全意識，明確醫(yī)院的信息安全管理責任。第二，加強人員管理，建立信息安全專業(yè)人才隊伍。第三，健全各項管理制度，嚴格執(zhí)行制度。第四，制訂應急預案，定期舉行應急預案操作演練，提升應變能力。

3. 醫(yī)院信息安全管理

3.1 安全性訪問控制

對于醫(yī)院的信息管理系統(tǒng)來說，它最主要的特點就是工作人員具有一定的分散性，而且資源也具有一定的共享性，無論是醫(yī)生還是護士，或是后勤的管理人員，行政人員都對醫(yī)院的信息管理系統(tǒng)進行操作，人員組成的結構較為復雜，而且工作的業(yè)務之間也有著明顯的差異，因此，系統(tǒng)管理員就應該針對用戶的不同來設置不同的用戶名稱和密碼，并且根據角色之間的轉換來對操作的權限進行授予。用戶在登錄系統(tǒng)之后，只能在自己的權限范圍內進行系統(tǒng)的使用，對相應的模塊進行操作和訪問對于其他的不具備訪問權限的模塊系統(tǒng)應該對其進行自動的屏蔽，從而從根本上消除外來入侵的影響和危害，管理員可以對所有的系統(tǒng)資源進行操作，因此要對管理員賬號的數(shù)量進行嚴格的規(guī)定和限制，管理員也應該定期的對系統(tǒng)運行的狀況進行總結和匯報，如此才可以保障整個系統(tǒng)能夠順利的運行。

3.2 系統(tǒng)備份與恢復

要想保障整個信息管理系統(tǒng)能夠正常而穩(wěn)定的運行，就必須要針對信息管理系統(tǒng)的安全進行加強，對于系統(tǒng)的備份和恢復功能來說，只有當系統(tǒng)受到侵害或是被迫害的情況下，才會使用到這兩項功能，可以通過GHOST軟件來對系統(tǒng)數(shù)據進行備份和恢復。在系統(tǒng)安裝的過程中，可以將硬盤分為幾個不同的區(qū)域，分區(qū)的系統(tǒng)安裝，也可以利用GHOST軟件，對文件進行復制，然后粘貼到另一個分區(qū)之上，一旦系統(tǒng)遭到了破壞，導致數(shù)據丟失，就可以通過GHOST軟件的分區(qū)復制來對系統(tǒng)進行恢復，防止信息遭到泄露。

3.3 數(shù)據備份與恢復

可以通過相關數(shù)據庫技術的計劃任務對系統(tǒng)進行異地備份與恢復，可以在平時任意的時間當中對任務進行備份，然后通過異地儲存的方式來對數(shù)據進行管理，也就是將信息被分到了另外一個服務硬盤之上，如果服務器的硬盤遭到了破壞，就可以利用其他的計算機設備來對服務器硬盤中的數(shù)據進行復原，不僅保障了數(shù)據的安全性，同時也提升了整個數(shù)據的備份效率。

3.4 客戶端安全管理

第一，計算機采用域控策略管理。設置操作系統(tǒng)權限控制組策略，禁止口令及注冊表修改，禁止安裝及下載軟件，統(tǒng)計設置IP及管理等。第二，客戶端計算機都安裝防毒墻客戶端。每臺工作站都安裝趨勢殺毒軟件，保證客戶端計算機系統(tǒng)安全。第三，客戶端計算機外設管理。①同一計算機禁止同時連接不同的網絡；②局域網計算機域策略控制不能使用移動存儲介質，不安裝CD-ROM。③禁止私自外接移動設備。

3.5 機房安全管理

第一，設有中心機房和災備機房，分別位于門診樓和病房大樓的4層。第二，配有二套供電方案，配置UPS電源，并定期檢查蓄電池的狀態(tài)，定期對蓄電池進行充放電操作，保障機房電力供應，防止異常斷電。第三，使用專用的精密空調，保證機房的恒溫恒濕。第四，機房內部署氣體滅火器。第五，安裝避雷、避電設備。第六，安裝門禁管理系統(tǒng)。

3.6 管理安全管理

3.6.1 健全各項管理制度

信息科制定了信息科設備管理制度、計算機網絡系統(tǒng)維護制度、網絡工作站使用制度、數(shù)據備份與存儲制度、基礎數(shù)據維護制度、計算機中心機房管理制度、網絡與信息安全管理制度、網絡與信息安全監(jiān)督制度、圖書室工作制度、借書閱覽規(guī)定和醫(yī)學圖書情報資料管理等管理制度。同時，醫(yī)院還制定了計算機網絡管理考核辦法。

3.6.2 制訂了應急預案

各部門制訂了門診信息系統(tǒng)故障應急預案、醫(yī)務部信息系統(tǒng)故障應急預案、護理單元護士工作站信息系統(tǒng)故障應急預案、財務科信息系統(tǒng)故障處理應急預案、藥學部信息系統(tǒng)故障應急預案、總務安?？菩畔⑾到y(tǒng)故障應急預案、器械科信息系統(tǒng)故障應急預案、信息科信息系統(tǒng)故障應急預案和信息系統(tǒng)應急處置預案。

結語：醫(yī)院信息化在為醫(yī)療活動帶來巨大便利的同時，與其他行業(yè)信息化進程一樣，也面臨著長期挑戰(zhàn)。穩(wěn)定、健全的安全系統(tǒng)對于確保醫(yī)院信息化的安全十分重要，必須引起重視。