浅谈医院信息系统的网络安全

摘 要:随着我医院信息系统不断向前发展,网络安全问题变得越来越严峻。信息系统的安全性、保密性工作,在网络构建中是必须考虑的。因此,为确保网络运行可靠、安全、系统要有特殊的网络安全保密实施方案。

作者就本院网络安全的重要性以及网络安全系统所面临的人为风险、技术风险、管理风险和自然灾害等对网络安全造成的威胁所作分析,提出网络安全系统设计原则与安全管理措施,即网络安全管理既要从科学技术方面进行管理也要以行政手段进行管理。

关键词:信息系统网络安全风险分析管理与措施

中图分类号:R19文献标识码:A文章编号:1674-098X(2011)08(c)-0023-01

1 医院网络安全的重要性

计算机网络系统的安全性、保密性工作,在网络建设中是必须考虑的,为确保网络运行可靠、安全,系统要有特定的网络安全保密方案。系统安全性包括:硬件、软件、交换机、数据的安全性、防病毒黑客的能力、突发事件的应急方案和严密的管理措施等,同时系统安全性的实现不仅是个认识问题,更是一个资源问题(技术、财务、人力、物力)。医院信息系统一旦实施、运行,其可靠性、安全性是至关重要的问题,HIS、LIS、PACS、RIS的维护与保障体系是必不可少的。由于现在医院对医院信息系统越来越依赖,系统必须是7×24小时运行,系统的安全性也是随之并行的。所以安全保障极其重要,一旦信息系统出现不稳定或是遭到安全性破坏,安全保障措施就要派上用场。

2 网络安全的管理措施

安全不仅是一种技术,而是一个过程。网络信息安全涉及面很广,没有任何绝对安全的网络信息系统,要想达到安全的目的,必须同时从法规政策、管理、技术这三个层次上采取有效管理措施。

3 网络安全系统风险和网络安全威胁分析

(1)自然灾害:计算机设备运行中遇到的风险主要为物理性的,自然灾害的破坏、环境事故等等。

(2)人为风险:人为造成的失误或错误,如设备故障、通信线路断路、计算机病毒、黑客攻击、恶意破坏等等。

(3)技术风险:网络运行安全方面,包括操作系统缺陷、应用系统的不完善、机房环境、场地条件等方面的安全威胁需要防范。

(4)管理风险:是指管理控制不严、责任权力不明、管理混乱、制度不健全或缺乏可操作性,要逐步建立健全完善的安全保密规定制度,强化安全管理等。

4 医院网络安全系统设计原则与安全管理措施

4.1 网络安全系统的设计原则

虽然任何人都不可能设计出绝对安全和保密的网络信息系统,但是,在设计之初就遵从一些合理的原则,那么对于医院信息系统的数据的复杂性、系统运行需求的稳定性(7×24)以及涉及到可能带来的经济损失等问题,更加应该考虑这些安全原则。

(1)网络安全系统的“整体性原则”:安全防护、监测和应急恢复。若网络发生被攻击或破坏事件的情况下,必须尽可能快地恢复网络信息中心的服务,减少损失。所以信息安全系统应该包括三种机制:安全防护机制、安全监测和安全恢复机制。

(2)信息安全系统的“有效性与实用性原则”。网络中的信息安全和信息共享存在着一个矛盾;一方面,为健全和弥补系统缺陷的漏洞,会采取多种技术手段和管理措施;另一方面,势必给系统的运行和用户的使用造成负担和麻烦,尤其在网络环境下,实时性要提高的业务不能容忍安全连接和安全处理造成的时延和数据扩张。

(3)信息安全系统的安全层次和安全级别。信息安全系统是分为不同级别的,包括对信息保密程度分级(绝密、机密、秘密);对用户操作权限分级,对网络安全程度分级,对系统实现结构的分级,从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。

(4)权限分割、互相制约、最小化原则。信息系统中都有用户、超级用户或系统管理员,拥有对系统全部资源的存取和分配权,所以它的安全至关重要,如果不加以限制,有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系统造成不可估量的损失和破坏。因此有必要对系统用户的权限加以限制,实现权限最小化原则,不允许其进行非授权以外的操作。

(5)坚持内部网和互连网的物理隔离的原则。根据国家安全保密的有关规定:涉及国家秘密的计算机信息系统,不得直接或间接地与国家互连网或其化公共信息互相连接,必须实行物理隔离,以防止内部信息通过网络连接泄露到外部网。

4.2 制定严格的安全管理措施

网络信息系统的安全管理可以分为技术管理和行政管理两个方面。技术管理主要有管理网络的安全和保密设备与密钥的管理。行政管理主要有安全组织机构、责任和监督、业务运行安全和规章制度、人事安全管理、教育和奖惩、应急计划和措施等。

4.2.1 网络管理是一个有关网络维护、运营、协调的综合管理系统

它集高度自动化、电子化的信息收集、传输、处理和存储于一体;集性能管理、故障管理、配置管理、计费管理和安全管理于一身。对于最大限度地利用网络资源,确保网络的安全具有重要意义。安全管理包括系统安全管理、安全服务管理、安全机能管理、安全事件处理管理、安全恢复管理等内容。

4.2.2 行政管理方面

采取切实可行的管理办法,加强内部人员的安全防范意识。对于网络的安全建设,考虑本院系统处理数据的保密性,制定相应的管理制度或采用相应的规范,建立系统网络安全管理制度,要遵循以下原则:(1)多人负责制原则:两人或多人互相配合、互相制约。从事安全活动时至少有两人在场,并做好情况记录。(2)任期有限原则:任何人最好不长期担任与安全有关的职务。(3)职责分离原则:对信息处理工作应当分开:计算机操作与计算机编程、机密资料的接收与传送、安全管理与系统管理、密钥管理与其他工作、计算机操作与数据管理。

4.3 加强业务人员培训和教育

人本身就是一个复杂的信息处理系统,而且人还会受到自身生理和心理因素的影响,受到操作熟练程度、责任心和道德品质等素质方面的影响。要加强对计算机安全保障人员的业务培训和教育,使他们真正认识到计算机网络系统安全的重要性和解决这一问题的长期性、艰巨性及复杂性,决不能有单纯依赖于先进技术和先进设备的思想,技术的先进永远是相对的。

5 结语

信息系统安全性总的原则应该是:制度与技术并重。建立严密的计算机管理规章制度、操作规程,形成内部人员、部门、各应用系统的相互制约关系,杜绝内部出问题的可能性。加大安全系统的建设投入,建立良好的故障处理反应机制。加强安全保障措施,防止非法入侵,保障信息系统的安全正常运行。总之,随着医院信息系统的不断向前发展,面临的网络安全问题也将越来越严峻,只有充分利用先进的网络技术和先进的安全管理手段,坚持技术保障和管理措施双管齐下,才能建立起一套真正行之有效的网络安全防护体系,才能保证网络信息的安全。