医院计算机信息安全风险管理控制研究
来源:用户上传
作者:
摘 要:随着互联网技术的快速发展,计算机在各个方面都得了广泛的应用。在医院当中,计算机逐渐在医疗信息统计、数据收集等方面发挥越来越多的作用,但是随之而来的信息安全问题也引起了人们的重视。文中将主要就当前医院计算机信息安全风险管理进行详细的研究和探讨。
关键词:医院 计算机 信息安全 风险管理
中图分类号:R197 文献标识码:A 文章编号:1674-098X(2020)02(b)-0120-02
在现代医院运行管理中,计算机已经成为一个主要的工具,利用计算机可以提高医院工作的效率,节省大量的人力和物力。在应用的同时也要注意到计算机导致信息泄露和安全问题,加强医院计算机信息风险管理控制,改善医疗整体服务质量和业务能力,从而实现更好地为患者服务。
1 当前医院计算机信息安全风险管理存在的问题
1.1 医院内部对计算机信息安全不重视
在当前我国医院的建设当中,主要将重点放在一些医疗设备的优化以及医护人员的专业化方面,缺乏对信息安全管理的重视。随着经济和社会的不断发展,对医院信息化建设工作也提出了更高的要求,这就使得医院在信息安全管理方面的呈现出许多不足,管理观念落后。
1.2 医院计算机信息安全技术保障不到位。
信息安全的隐患主要就是人为泄露或者是病毒入侵,另外还有一些意外因素也可能造成信息泄露或失效,例如,一些医院用过的电池或者是信息平台没有报废,还在混合使用,又或者是缺乏单独的机房发电设备,这些都可能造成信息安全隐患[1]。
1.3 医院内部信息安全管理责任没有到位
当前,医院计算机信息安全管理并没有指定的明确的部门和人员。大多数医院都认为信息安全应该是信息管理部门的责任,一些医护人员并没有这个责任。实际上,信息安全和医护人员是息息相关的,医护人员的既是信息安全的受众者也是信息安全保护的责任者。但是,医院往往忽视这一点,没有对护士和医生等等工作人员的信息安全教育,这就导致他们信息安全方面的知识掌握不足,缺乏保护信息安全的责任意识。
1.4 医院信息安全管理监督机制不健全
由于信息安全管理没有得到重视,这就导致一些规章制度也没有得到遵守,从而导致对信息使用情况监督的缺乏。工作人员不按照制度来进行工作,一些信息就很可能被泄露,例如医院很少对具有信息查询权限的人进行登记,而医院的服务器又在机房托管,机房外来人员比较多,外网和内外网混合使用[2]。在这种情况下就很容易发生信息泄露的问题。
2 医院计算机信息安全风险管理控制策略
2.1 如何在互联网的背景下加强医院计算机信息安全管理
针对上述问题,如何在互联网的背景下加强医院计算机信息安全管理。已经成为人们关注的重点。为此,本文提出以下建议。
加强医院相关人员的重视程度,建立健全信息安全保护规章制度。首先,医院要明确信息安全并不是只由信息管理部门负责的,而是由医护工作人员人员共同担负的。因此,医院内部一定要加强对计算机信息安全风险管理的重视程度,确保每个工作人员都具有一定的信息安全保护知识。为此,医院可以定期开展信息安全讲座,培养工作人员信息安全意识,同时还要建立健全计算机信息安全管理制度,实施责任制。医院内部选定一个工作人员作为信息安全小组的负责人,负责人要担负起应有的责任和义务,就出现的信息安全问题进行定期讨论,然后针对这些信息安全保障中出现的问题进行总结,安排部署后续的信息安全管理工作。此外,要建立健全信息管理工作的各项规章制度,使信息工作有章可循。例如,医院内部必须严禁职工擅自修改计算机的网络配置、盗用他人密码和IP地址上网;禁止计算机使用者擅自安装一些非指定的软件;信息安全管理部门也要定期对网络安全进行检查,将一些有害的、无用的信息清除;针对一些保密文件一定要做好保密措施,在避免泄露的同时做好备份工作,以免信息丢失;在一些涉密计算机出现故障需要修理的时候,必须由专人在场对修理过程进行监控[3]。
2.2 做好面对信息泄露、信息安全问题的防控举措
针对信息安全问题的防控举措主要可以从以下几个方面入手:
首先,医院方面要完善评估风险评估机制。所谓信息安全风险评估就是对计算机系统中存在的不安全因素进行评估,通过这种方式可以,可以及时发现系统中存在的风险和漏洞。要控制医院信息安全访问。对于出现的病毒或者是高危漏洞,工作人员要采用分析和扫描的方式进行清除。同时在计算机内部也要安装一些保密程度比较好的软件进行杀毒。避免网络病毒入侵电脑,造成信息泄露。
其次,医院内部加大网络设备安全强度,避免网络硬件设施受到损害。信息安全维护人员一定要对医院网络环境进行严格的筛查,做好对用户的身份验证工作,针对那些不具有访问权限的用户一定要进行及时限制。同时,针对信息安全的一大隐患——黑客也要做好预防性措施,随时筛查网络环境是否有黑客或者是病毒入侵。
再次,建立分级保障应急预案,也就是在出现网络问题时的应对对策,确保医院的日常工作能够正常进行。在当前的工作中,比较常出现的问题就是保存数据失败、不能访问数据库等。当出现这些问题时,工作人员要及时上报,然后由专门的故障维修人员进行维护。需要注意的是,维护人员在进行故障处理时应该根据故障的程度以及相应的发生故障的科室的具体情况制定相应的应急预案。另外,医院制定的应急预案一定要传达到每一个工作人员那里,确保工作人员对应急预案了如指掌。
最后,就是要做好信息安全检测。医院应该加强对用户使用医院内部网络的监控。科学安排分析设计中出现的拓扑结构、数据通讯服务等,争取实现以最少的资源构建最好的信息安全系统。为此,工作人员要在进行医院机房建设时要严格按照标准化机房进行建设,避免出现内外网混用和使用无线路由器等情况。同时,信息管理人员要针对出现的敏感信息和违规网络行为进行记录,为信息整体安全策略的实施提供权威可靠的支持。
3 案例
以我院信息系统为例(信息系统整改拓扑图见图1),我院的信息系统分为监控管理区、安全管理区、内网边界防护区、互联网访问区、核心交换区、汇聚区、终端接入区、服务器区、备份恢复区这几个部分。每一个部分的功能各不相同,各个部分协同合作,共同保证医院信息系统的有效运行。例如,监控管理区就担任着对机房的环境进行监控的任务,一旦机房出现异常情况工作人员就可以立刻知道。内网边界防护区主要就是担任着守卫者的角色,可以进行防火墙、UniNAC网络准入控制、漏洞扫描、防病毒、IDS等工作。备份恢复区的设置是建立应急预案的较好体现,针对那些丢失或者是损坏的文件可以在备份恢复区进行修复,保证文件的完整性。上述多个区域共同发挥作用,進一步完善了我院信息系统,为医院各部门的工作正常有序的进行提供了条件。
综上所述,全面落实医院计算机信息安全管理工作,需要医院内部每一个工作人员的共同合作,医院内部一定要加强对信息安全管理的重视,建立健全信息安全管制制度,优化机房设备,营造良好的医院信息安全管理环境,进一步提升医院工作效率。
参考文献
[1] 官尚卿,王敏.医院计算机信息安全风险管理策略研究[J].网络安全技术与应用,2018(12):110,123.
[2] 袁翰超.医院计算机信息安全风险管理控制方法探究[J].科技创新与应用,2016(8):91.
[3] 郑嘉琦.计算机网络信息安全及防护策略研究[J].中国新通信,2019,21(6):163.
转载注明来源:https://www.xzbu.com/1/view-15240840.htm
