摘 要:本文首先论述了医院中网络信息系统应用的特点,进而从硬件系统的管理、软件系统的管理、病毒防治、信息系统安全策略和网络用户的安全管理这5个方面论述了医院网络信息系统的安全管理建设措施,以供参考。
关键词:医院信息系统;网络管理;安全管理
1.前言
随着信息化的不断扩展,医院网络信息系统(HIS)建设已逐步成为各项工作的重要基础设施。由于医院信息系统每天处于不间断的工作之中,因此发生任何故障都会影响整个医院的医疗和管理工作,影响医院工作的正常运行。因此,通过对软硬件系统、网络用户的安全管理和服务器管理建设,确保网络信息的保密性、完整性和可用性,确保医院各项工作安全高效运行,保证医院网络信息安全以及网络硬件及软件系统的正常顺利运行显得尤为重要。
2. 医院中网络信息系统应用的特点
2.1可靠性高。医院的工作性质决定了医院网络系统具有高可靠性、数据突发性和不确定性等特点。每天24小时随时可能有病人前来就诊,从门诊挂号到住院过程中的所有病人信息、医疗信息都需要输人到计算机中,一旦出现意外,影响巨大,因此要求医院的网络系统稳定、可靠。
2.2安全性高。病人的住院信息是病人的个人隐私,医院有责任保护病人的隐私不被泄露,因此需要很高的安全性;同时这些信息也是医院自身的商业私有信息,同样需要网络系统高的安全性。
2.3集成度高。医院的网络系统包括信息管理系统、数据通讯系统、调度系统,是一个复杂的巨大网络系统。目前,医院的网络信息已形成覆盖医生工作站、护士工作站、挂号、门诊收费、住院收费、药房、病案、综合查询、统计等各个环节的综合体系。
2.4 信息量大。一个大型医院每天产生大量的数据,医院的信息不仅包含文本信息数据,还有大量图形、影像信息。这些数据都需要通过网络终端进入计算机,并进行加工整理,因此信息传输量很大。
3.医院网络信息系统的安全管理建设措施
3.1 硬件系统的管理
3.1.1 机房安全条件及要求
1.环境要求。中心机房作为医院信息系统的处理中心,要对环境条件严格控制,应注意计算机机房的场地环境、人员、计算机设备及场地的防雷、防火和机房用电安全技术等严格要求。具体做法是:将温度置于25℃左右,相对湿度为35%-70%,无人员流动、无尘的半封闭环境,配备专用空调,铺设防静电地板、铝合金玻璃隔断、防火墙面处理,并安装有避雷、抗磁场干扰等装置。
2.电源管理。机房采用两路供电系统,配有不间断电源12小时延时。
3.为确保服务器稳定可靠、高效运行,交换机采用双机容错、双机热备的解决方案,即在主链路发生故障时,交换机自行切断主链路,让备用链路进行交换机与网络的信息交换;当主链路被修复后,网管人员可人为将其切换到主链路。
3.1.2网络设备管理
网络设备的维护至关重要。中心机房除了主交换机外,还配备了路由器、交换机、集线器、光纤收发器等设备,在管理时需定期检测这些设备,查看指示灯状态是否正常,并注意做好除垢、防水、防尘、防火和防雷等工作。
3.1.3终端
终端包括所有接入医院信息网络的计算机,包括医生站、护士站等所有的调用中心服务器的系统。在管理时,则采用网管软件限制非法访问网上邻居和其他无关操作,只允许相关的 HIS软件或常用的办公软件可以使用,卸掉光驱、软驱、屏蔽USB接口,取消数据共享,以减少外界与网络间的联系,防止病毒感染。
3.1.4 网络服务器的管理
网络服务器是整个网络的核心,因此,要做好硬件系统方面的安全管理,则应做好服务器的档案管理。即在管理过程中,应严格将服务器的随机资料、操作系统、数据库、应用程序安装盘、补丁盘等纳入管理范畴内,且详细记录清楚服务器的硬件类型、启用时间、网络配置、备份设备等等与服务器运行相关的重要参数。
另外,为确保医院信息系统的安全稳定运行,还要求每天进行服务器设备安全检查记录,即包括:服务器启停记录,错误日志检查记录,数据库的使用、扩展、修改、备份情况记录,服务器性能监视记录等。
3.2 软件系统的管理
3.2.1 操作系统
操作系统是应用程序运行的平台,一旦系统瘫痪将无法运行应用程序。因此,对操作系统的管理应做到:①应尽量选择正版的安全漏洞较少的操作系统和数据库系统,并建立专门的补丁服务器,以及时对系统和应用程序更新漏洞补丁;②对操作系统和数据库系统进行合理的安全策略配置,设置进入操作系统的口令,并定期更换其密码;③应开启审计,并记录用户的误操作或恶意行为,以便事后跟踪及管理,同时也要加强对数据的冗余备份和恢复工作。
3.2.2应用程序
医院网络信息系统的特点是涉及部门多、系统复杂,因此为确保医疗数据安全,医院网络信息系统应为每个操作员都设有工号、口令和用户权限,使每一个有权限的操作人员只能在允许的操作范围进行正规操作,且没有权限更改系统和网络配置。这样,既可以防范操作人员进行越级查阅,又可以禁止未经授权的用户对数据进行操作。同时,应严格取消网络共享这一设置,不允许安装使用其他不正当的程序。
3.3 病毒防治
由于计算机病毒具有种类繁多、变异速度快、传播网络化、隐蔽性强、危害多样化、危害后果日趋严重等特点,其可冲击内存,影响计算和响应性能,修改数据或删除文件,甚至会使医院整个信息网络瘫痪。为保证医院信息系统的安全,应采取软件和硬件相结合的病毒防治方案,安装正版杀毒软件和防火墙,并经常升级安全补丁和病毒代码库。
对于终端防病毒,可选用趋势网络版杀毒软件,对医院网络信息系统实行服务器端集中管理。如可在医院专门设置一台服务器用作防病毒软件的服务器端,实现对网络中所有计算机的保护和监控。网络管理员可通过集中管理,向客户端发送病毒警报、强制对远程客户端进行病毒扫描、定期扫描整个网络、强制禁用远端工作站的部分网络端口等。
3.4 信息系统安全策略
3.4.1 建立完善的数据存储和备份机制
采用磁盘镜像工具在服务器上做双硬盘镜像,使得数据不容易因控制器故障而受到破坏。通过目录自动复制和备份管理工具实现数据的实时或定时备份,并保证备份服务器和主服务器异地放置,进一步保证数据的安全及灾难后的及时恢复。这样,一旦一台服务器
出现故障,可立即启动另一台服务器,以保证系统的正常运转。
对关键应用和主干设备考虑有适当的冗余,对数据库中的重要数据提供可靠的备份能力和有效的恢复手段。
3.4.3 信息加密技术
(1)在保障信息安全的诸多技术中,密码技术是信息安全的核心和关键技术,通过数据加密技术,可在一定程度上提高数据传输的安全性,保证传输数据的完整性。一般,网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密是保护网络节点之间的链路信息安全;端点加密是对源端用户到目的端用户的数据提供保护;节点加密是对源节点到目的节点之间的传输链路提供保护。
(2)数据加密算法
数据加密算法经历了三个阶段,即古典密码、对称密钥密码(包括DES和AES)、公开密钥密码(包括RSA、背包密码等)。在网络信息系统中,最普遍的算法有DES算法、RSA算法和PGP算法等。在此,重点以RSA算法为例。
RSA算法,既能用于数据加密,也能用于数字签名。一般,RSA加解密过程为:
①加密:设m为要传送的明文,利用公开密钥(n,e)加密,c为加密后的密文。则加密公式为:c=me mod n,(0≤c<n)
②解密:利用秘密密钥(n,d)解密。则解密公式为:m=cd mod n,(0≤m<n)。
如例1:1)选取p=11,q=13。则n=p﹡q=143。
z=(p-1)﹡(q-1)=10﹡12=120;
2)选取E=17(大于p和q的质数),计算其逆,d=17142mod 143=113。
4)那么公钥PK为(143,17),私钥SK为(143,113)。
5)假设小黄要传送机密信息m=85给小李,小黄已经从小李或者其他公开媒体得到公钥PK(143,17),小黄算出加密值c= me mod n= 8517 mod 143=24并发给小李。
6)小李在收到密文c=24后,利用自己的私钥SK(143,113)计算出明文。m= cd mod n=24113 mod 143=85。
7)这样,小黄和小李就实现了信息加解密。
3.5 网络用户的安全管理
网络用户的安全管理也是网络安全管理中必不可少的一部分,一般应做到以下几个方面:
3.5.1制定严格的网络安全管理制度,如HIS操作规程、工作站管理、中心机房管理、数据备份与数据库维护、网络安全管理规范等,并督促检查落实情况,使制度落到实处。
3.5.2为确保使用人员操作的准确,对每一个用户都进行计算机知识及规范化录入的岗前培训,使所有网络用户熟悉入网操作规程,熟练系统操作。同时,加强对用户的网络管理教育,增强其安全意识。
3.5.3 为了确保网络用户的安全管理,应在确保用户的正常操作的基础上,限定其访问权限;对于用于远程传输注册的用户,为防止用户非法侵入网络,可采用限定登录时数、定期修改登录密码、定期做登录及注销审核等方式,以确保网络信息系统的安全运行
4.结束语
综上所述,医院网络信息系统是医院整个管理体系中密不可分的一部分,其稳定性和安全性将直接影响到医院的管理水平和质量。在本文中,主要从硬件系统的管理、软件系统的管理、病毒防治、信息系统安全策略和网络用户的安全管理这5个方面分析了医院网络信息系统的安全管理措施,以期能确保医院网络的稳定运行。
参考文献:
[1]杨霜英,胡新勇,杨国斌,等.大型医院网络信息系统的安全保障策略[J].中国医疗设备,2009,24(10).
[2]李娜,卢沙林.军队医院网络信息系统的安全分析[J].计算机与现代化,2011(2).
[3]张桂华,罗平,郭剑峰.医院信息系统的网络安全管理思路[J].中国医药科学,2011,1(12).