当前位置: 首页 > >

医院信息系统的安全隐患及预防对策

发布时间:

龙源期刊网 http://www.qikan.com.cn 医院信息系统的安全隐患及预防对策 作者:鲁赞 来源:《硅谷》2013 年第 08 期 摘 要 当前,网络信息技术不断发展进步,显著加快了医院信息化建设的进程,同时医院 的网络信息安全隐患也随着网络信息环境的变化而不断增加。为了提高医院信息安全水平,进 一步明确目前医院网络信息安全系统存在的风险及问题,本文结合多年工作进行分析并提出了 相对的预防对策。 关键词 医院信息系统;安全隐患;预防对策 中图分类号:R473.6 文献标识码:A 文章编号:1671—7597(2013)042-144-02 随着网络信息技术的飞速发展,各级医院都在建立网络来推动医院信息化建设,计算机网 络技术将各个信息系统(HIS 系统、CIS 系统、LIS 系统、PACS/RIS 系统、医保系统、新农合 系统等等)联系在一起,网络信息技术给医院带来了高效和现代化的工作。但随着信息化的发 展,信息技术在各个领域的广泛应用,医院信息系统面临着要与区域医疗信息平台、远程医疗 系统、医保系统、新农合系统、网上预约挂号系统等众多外部系统的信息共享和数据交换,完 全物理隔离的医院信息系统已经不适应当前形势下医疗信息化的发展。与外部系统的对接,将 不可避免的带来病毒、外部攻击和信息泄露等安全性挑战,这给医院信息系统带来了极大的安 全隐患,如何保障医院信息系统正常运行,已经成为一个亟待解决的问题。 1 医院信息系统存在的安全隐患 1.1 网络隐患 医院的信息系统是一个高风险、高科技、高实时性的系统。当今的网络环境复杂,网络恶 意软件和网络黑客横行泛滥,给医院计算机网络造成了很大的隐患。 1)由于医院的业务需求,要跟很多合作单位间通过网络连接共享信息,比如医院业务系 统需要和医保、新农合等社保网络连接数据传输,稍有不慎就会给黑客、病毒、蠕虫带来入侵 网络的机会。 2)网络系统管理权限混乱,存在越岗、代岗现象,存在用户账号被滥用和业务数据非法 读取,有些合法用户利用计算机技术访问其权限之外的系统资源,非法用户假冒合法用户的身 份访问其应用资源就会造成严重的安全隐患。 3)医院内外网之间缺乏相关的隔离,有些医院部门人员需要同时访问内部业务网络和外 部网络,部分医院用户利用一台电脑进行内外网访问,在访问外部网络时,容易感染病毒或者 将木马带入内部网络,由于内外网缺少隔离设施,医院的核心业务信息存在网络泄密的隐患。 龙源期刊网 http://www.qikan.com.cn 1.2 硬件隐患 硬件是保证系统正常运行的前提,一般硬件包括服务器、网络设备等,硬件的运行好坏直 接影响到网络信息系统的运行。硬件也会存在一定的安全问题,比如电压不稳定、设备老化 等,另外自然灾害的影响也会对硬件造成威胁,如火灾、静电、地址、电磁干扰、雷电、鼠害 等。如若遇到关键设备发生异常,甚至会导致整个信息系统崩溃。 1.3 软件隐患 大部分医院只采取简单的杀毒软件和防火墙进行防护,应对新型病毒频出,可能会出现漏 洞袭击、系统难以与病毒抗衡的情况。一旦计算机服务器感染病毒,那么其他的联网计算机也 将被感染,将直接导致网络瘫痪,使重要的数据信息流失、损坏。另外,可能医院使用的某些 小软件是盗版的,因为盗版软件一般都存在有漏洞,在如今的网络环境下,这些漏洞可能会给 一些黑客进入系统的机会,从而造成可怕的系统隐患。而且盗版的软件都是没有质量保证的, 可能会携带病毒,所带病毒都是有着极强复制能力、顽固异常的。一旦让这些病毒进入程序中 会很难清除干净,即使清除了也容易致使医院业务软件不能正常使用,将严重影响医院信息系 统正常运行。 1.4 人为隐患 1)由于个别员工不遵守相关规定,也会引起网络信息的安全隐患。医院的管理制度很严 格,不允许医务人员从事与工作无关的内容,但是个别员工有侥幸心理,将自己携带的移动存 储设备(移动硬盘、U 盘、或者是手机)或者是光驱接入网络客户端,进行娱乐消遣。这些移 动存储设备很容易携带病毒,容易将病毒带入医院内部网络,管理员很难用杀毒软件防控。 2)另外如果系统管理员的安全意识浅薄,保密意识不到位,长时间不修改密码或者是密 码过于简单,就很容易导致密码被非法用户破解,或者是管理员的素质不高,操作人员对操作 流程不熟悉、工作责任心差,都会给网络信息系统带来安全隐患。 2 医院信息系统安全隐患预防对策 2.1 加强网络安全建设 2.1.1 做好病毒的防护管理 针对病毒传播途径,医院业务网可采用如下措施: 1)安装防火墙。 2)经常对服务器和各个终端工作站进行杀毒检查。 龙源期刊网 http://www.qikan.com.cn 3)新购置的软件经过病毒检查才使用。 4)业务网除运行医院的管理软件与临床应用软件外,不运行与工作无关的软件。 5)不得在 Internet 网上下载软件及来历不明的软件。 6)定期备份重要资料。 7)定期升级杀毒软件等多种方法来提高网络安全,保障工作正常开展。 2.1.2 采用多重的权限控制管理 采用多重的权限控制管理方案,可以使应用程序运行权限、数据库级用户权限和操作系统 运行权限分为三重权限。系统中的每个用户分配一个账户和密码,并且分配权限,服务器操作 系统和软件可以采用安全的密码管理方式,服务器密码要严格按照安全密码所采用的加密算法 进行设置,采用数字、字母和大小写混合的方式,而且要定期更换密码,从而降低安全隐患。 2.1.3 采用安全审计系统 安全审计系统对信息系统的安全和稳定有是重要的意义,随着医院现代化发展的脚步,网 络信息系统的数据库安全越来越受到重视,HIS 系统是医院网络信息系统的核心,其他系统都 要与其进行数据交换,而 HIS 系统的正常运行离不开后台数据库的安全与稳定,所以只有保证 HIS 系统安全稳定的运行,才能使得医院的网络信息系统安全。作为安全事件追踪分析和责任 追究的数据库安全审计的运用是必要的,通过对数据库操作的痕迹进行详细记录和审计,使数



友情链接: