前言:中文期刊网精心挑选了医院网络安全应急预案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
医院网络安全应急预案范文1
关键词:医院计算机;信息网络;安全管理;对策优化
随着网络技术的飞速发展,计算机网络给我们的生活带来了诸多便捷,尤其在医院计算机系统中的运用。通过信息系统工程的建立,对医院日常医疗服务、资源管理、分配决策等各个方面进行整体规划、收集处理、归档存储等等。一方面数据的支撑与网络的快捷可以大大提高医院工作效率与服务治疗。但同时也暴露出许多安全问题,信息安全受到破坏与威胁都给医院计算机信息网络安全管理工作带来了极大的困难。因此对于设备管理理念,专业技术操作均有待提升。从加强信息网络安全管理着手,并提出相应对策。
1医院计算机信息网络安全管理现状
1.1信息网络内部问题
在影响医院计算机网络安全的因素当中,常常出现许多意外因素,导致计算机信息系统安全完整性受到破坏。突发事件与不恰当操作往往是此类问题的根源,例如设备硬件受损,软件崩溃破坏,工作人员错误操作使用,电路故障,以及突发暴风暴雨,雷电等不可抗的自然灾害等此类安全隐患。同时,医院计算机用户随意下载网络未经安全检测的相关文件及软件,防范意识不足,也容易造成计算机瘫痪。还有在共享局域网类随意使用外部存储设备u盘等工具交换数据,造成数据破坏,病毒感染,保密文件泄露等安全问题。同时,医院计算机安全管理预案中,就文件共享环节往往极为薄弱,为了方便资料读取传输,电脑资料可以随时随意浏览提取修改。出现错误操作难以避免,自然也就导致了信息遭到破坏。同时个别医务人员对于工作存在不负责的情况,工作态度消极,在电脑上安装游戏或以前娱乐软件,这显然是极不正确的。不仅增大了病毒传播的途径与可能性,还降低了工作效率与医院服务在患者心中的形象,失去信任,造成纠纷。有的操作人员为了便捷上网,常常在客户端修改地址,不仅增加了维护人员工作量,特定情况下地址相同产生冲突,将影响信息系统的正常运行。
1.2外部安全问题
由于医院客户计算机数目庞大,无法将所有客户端全力优化,因此存在安全补丁延迟,反应迟钝的情况。一旦出现攻击性较强的病毒就会导致网络及相关服务器瘫痪,整个网络系统停止工作。某些黑客软件便常常利用这些隐患,通过非法破译密码,访问医院数据库,存在极大的信息安全隐患。如果加以破坏,某些数据无法恢复将造成信息系统的极大漏洞,造成无法估计的损失。医院计算机信息网络系统自身并不具备较强的防御能力,在现实中,就有某些非法组织与个人为达到特殊目的对医院信息进行破坏干扰、盗取修改。例如行业商业情报人员,为得到相关详细内容数据,对医院计算机信息系统进行攻击,对系统构成了威胁与安全隐患。就医院自身防范而言,由于业务开展需要,难以避免与外部网络系统进行沟通连接。信息传递联系,为提高业务能力与效率,借助外部信息网络,在这些操作过程中,就可能发生破坏病毒携带的情况。
2医院计算机信息网络安全管理对策
通过对上述现状分析,发现目前计算机信息网络存在问题与安全隐患。探究其中的深层原因,从根本解决问题,总结了如下应对策略。
2.1硬件交互安全管理
首先就医院硬件设施,应当注意网络布线安全。医院主要干线与各子资源避免布线交叉接触,减少相互串扰。缩短交换距离,控制好信号衰减度,并及时备份,做好应急预案。就医院计算机场地具体情况,水电,环境,电磁干扰,考虑周全,使用稳定性较好的机组电源。其中中心服务器注意在线双机热备份,当出现故障或其他意外情况时,立即接替交换。一方面信息完备性较好,随意切换,时间极短,达到了应急预案中高效便捷的功能。同时为增大安全性,如果条件允许,可以采用多台服务器达到集群备份,安全管理。并制订定期安全维护计划,建立安全管理制度与可靠措施。例如固定监测运行,重启运维,病毒检测,常规杀毒,特定区加固。对于数据储存硬件,注意异地备份,多方式备份等多种策略信息存储。在非特殊业务期时,及时将内外网断开,可以有效地防止外界黑客的进攻入侵。无论任何新软件,不可以掉以轻心,保险谨慎起见,独立子网运行,确保安全后在植用于内网之中。
2.2软件交互安全管理
首先就系统软件中操作系统应该注意严密安全控制。例如针对个人账号,用户权限,链路网站访问,文件读取等信息网络操作进行严格的监管和管理。做好监控监督,审查加固,日常特殊事件日志记录分析。在减少杜绝违规访问的同时,通过日志记录出错报告与警告信息,及时预警问题症结。屏蔽非办公意外的相关信息内容,限制敏感资源访问,及时进行补丁更新,弥补系统后门漏洞带来的安全隐患。并适当减少不必要的外接数据交换端口,以避免外来存储交换设备可能进行的病毒传播,数据信息修改窃取。
2.3应急预案的建立
针对医院技术安全信息网络安全管理中,应急预案的建立不可或缺,应该针对方案实施的范围、时间、细节等展开讨论制定后实施。对于急诊、护理、财务、检测、药剂、后勤等各职能部门与医疗科室实施应急预案。并保证通信网络设备,服务软件等安全重点设置保障细则。对于挂号、收费、检查、手术等应急业务也应当建立非计算机应对流程。在网络故障无法使用时,仍能够保证医院相关业务如用药,检测的正常开展等问题排除后,再进行后续完善工作。
3结语
一言概之,医院技术信息网络安全管理,在医院整个有序运作中起到了关键的保障作用,应当结合具体情况,高效积极采取措施应对解决问题,提高安全性,帮助医院更好地工作。
参考文献
医院网络安全应急预案范文2
关键词:医院,信息系统,网络安全
一、建立一套较完善的、操作性强的管理制度
根据实际情况,对不同类型、不同敏感度的信息,规定合适的管理制度和使用方法,制定详细的安全管理制度,保证医院信息系统安全风险规避管理有章可循,有法可依,促使每个系统管理人员和使用人员将系统安全风险规避管理形成一种习惯。。制定系统安全奖惩制度,对于违反制度者视情节轻重给予相应的经济惩罚或行政处分,情节特别恶劣的可提起法律诉讼,对违规制度者进行举报的人员给予适当的奖励。院内每人都有义务和责任举报任何系统不安全现象和行为。
安全管理制度包括中心机房安全管理制度、子系统使用人员安全管理制度、系统设备安全管理制度、网络安全管理制度、病毒防范安全管理制度、安全管理登记制度、应答制度、考核制度等。做好设备的运行情况记录,检查记录,日常维护记录及用户的监控记录等。
二、制定详细而周密的应急预案
充分考虑各种系统故障,设计与各管理岗位相符的系统安全风险规避管理常规处理预案和紧急处理预案,根据安全事件的严重程度适时采用,以保证医院正常的医疗服务和就医秩序,提高医院应对突发事件的能力。在医院信息系统出现故障时,将系统中断时间、故障损失和社会影响降到最低。由分管院长、相应科室及计算机中心组成故障排除小组,当灾难发生时应用应急预案进行恢复。应定期进行应急预案的演练,查找问题,加以整改,提高其针对性和实用性。
应急预案包括服务器、硬件、软件、网络等方面的系统安全风险应急措施、具体的协调部门及相应的工作、常用的应急电话等。应急预案须明显张贴,使应急操作人员方便地看到。
三、建立系统安全监控体系
设立安全管理人员,对那些给医院信息系统安全带来严重隐患的行为和人员进行重点管理和监督。建立医疗、财务、药品物资数据质量监控体系和数据操作员、职能科室、部门领导三个层次的数据质量监控层,对医院信息系统数据安全具有重要意义。建立信息系统数据质量考评和反馈制度,如挂号数据可由门诊收费复查,门诊收费执行科室与开单科室可实行双向数据核查,医疗科可定期进行信息系统数据质量讲评,考核结果与科室全面责任制考评挂钩。。
四、建立健全风险评估和检测机制
可采取与专业安全服务公司建立长期合作的策略实现安全风险评估机制的建立,加强多部门之间的安全信息沟通与共享,积极利用其在安全风险评估技术、方法等方面的优势,结合医院信息系统安全实际,建立符合信息安全要求的风险评估与管理机制,不断研究和发现信息系统存在的漏洞、缺陷以及面临的风险与威胁,并积极寻找相应的补救方法,力求做到防范于未然。
应制定安全检测计划和方案并组织实施,组成专门的检测小组,在医院领导和系统运行维护部门的积极配合下,对系统的基础设施、网络结构、信息保护、安全管理以及应急预案等方面进行认真测试与核查。
做好硬件设备的预防性维护。定期对主机、显示器、打印机等设备内部除尘,更换老化的零部件。定期运行磁盘碎片整理程序、磁盘清理程序,优化硬盘设置,优化每个工作站子系统,确保系统运行环境的安全。
五、加强系统重要信息和文档的管理
完整的系统文档是分析故障、排除故障的基础,是系统正常运行的保证,因此,应加强系统文档的管理。系统文档包括计算机资料、驱动软件、系统软件、应用软件安装盘、应用软件安装说明书、程序使用说明书、源程序代码及详细说明、各计算机的IP地址、计算机名、服务器配置说明书。
六、完善系统功能,提高应用程序级的安全性
根据各级操作员的操作范围,合理设置系统软件的权限,慎重考虑系统功能,如在财务收费报表中及时反映收费票据号码,退费、退药票据号码,以便核查,禁止票据重打功能。
根据备份原则,医院不能只有一个人能进行系统管理或数据库管理。。严格限制超级用户数,系统超级用户只能由系统管理人员掌握,并定期更换口令。系统管理员严格按照“审批单”为各工作站子系统用户分配适当的权限。严禁帐号及密码外借他人,防止非法用户入侵系统。
七、强化信息系统安全技术保障
应从硬件和软件两个方面强化信息系统安全技术保障,对安全技术的策划、部署和实施,建议与专业安全服务公司联合进行。建立相应的标准,加强相应的法律或政策方面的支持。硬件方面的信息系统安全技术主要包括:
物理隔离。对内部信息系统和外部互联网实行物理隔离;同时,对内部局域网中的医疗网络系统和办公网络系统进行物理分割,封闭医疗网络系统中所有对外的接口;保证存有重要数据的子系统只能使用内网而不能使用外网。建立一套完整的数据备份策略,预防硬盘损坏等风险,保证服务器长期可靠地运行。数据安全是整个医院信息系统安全的核心,数据备份是保证数据安全避免损失的最佳途径。不同的数据备份方法如双机热备份、异地备份、磁带备份等有各自的优缺点,应根据医院的实际情况适当采用。预留一定数量的备份硬件设备,保证硬件设备发生故障时,可以及时更换。采用专线供电和大容量长延时不间断电源,有条件的要留有冗余,建立双路供电保障,设置应急发电机,保证服务器不间断工作,防止停电造成的数据库损坏。不仅要注意机房服务器的供电,还应考虑到各配线间交换机的供电,并做好监管。确保良好的中心机房工作环境。在设计机房时,按《计算机场地技术条件》要求,机房铺设活动抗静电地板、安装标准接地线、定期测试接地电阻值是否合格。安装避雷设施,安装适合机房面积的空调,安装恒温恒湿设备。机房要远离强磁干扰和有害气体。中心机房应配有灭火器具,以消除火险隐患,注意防盗,防尘。保证服务器、交换机、工作站、打印机等硬件免受自然灾害、人为破坏和攻击,确保网络设备有良好的工作环境。软件方面的信息系统安全技术主要包括: 选择符合系统安全要求的操作系统并及时更新。客户端安装远程监控软件,帮助系统管理员实时监控和记录系统各个终端的运行情况,防止非法用户侵入系统。同时,强化行为管理,对各种网络和操作行为进行实时监控和分类管理,规定行为的范围和期限,及时发现并去掉一些设备共享或文件夹共享,尽可能地制止一切与信息管理无关的现象和行为,减少网络的安全隐患。购置网络版杀毒软件,在服务器及每个客户端都安装相应的防病毒软件,定时更新病毒库,周期性地对系统中的程序进行检查,利用病毒防火墙对系统进行实时监控。选择和使用更为安全的数据库系统,并严格规范使用制度及方式。 采用适宜技术与设备保证链路安全。
参考文献:
[1]刘臣.略论医院信息系统建设[J]现代医院管理,2007,(05).
[2]李华才.医院信息化建设存在的问题与发展对策[J]华北国防医药,2002,(02).
[3]袁永林.军队卫生信息化的建设与发展[J]解放军医院管理杂志,2003,(01).
医院网络安全应急预案范文3
关键词:医院信息网络系统;安全隐患;安全管理
中图分类号: TP393 文献标识码:A 文章编号1672-3791(2016)07(b)-0000-00
计算机是构建医院信息网络系统的基础。医院信息网络系统的核心为信息处理,它以通讯网络为纽带,联合医院各个岗位、工作站和单位的各种要素,成为一种科学智能的应用系统。医院信息网络系统能让人们共享相关的医疗信息资源和合理利用资源。因此,医院信息系统的安全具有与政府网及公众网等安全同样的重要性。网络系统运行中的安全属于一类体系结构,具有一定的特殊性,要求每天24小时实时在线,出现任何故障会影响医院的正常工作,给患者造成经济损失,甚至严重伤害患者身心健康。故建立科学的安全管理体系,保障医院信息系统安全运行。
1医院信息网络系统的框架模型
发展医院信息网络系统,需要经过内部信息处理、对外服务及双向交互三个阶段。
1.1内部信息处理
核心是发展医院内网,即建设医院信息系统于办公自动化系统并应用,还有对患者信息、经济情况及物资情况等医院的内部业务进行处理。医院内网需要保密,不能对外开放。
1.2对外服务
以建设医院专属网站的方式给群众提供医学相关信息服务,如专家咨询、医疗保险、费用查询及保健介绍等。社会群众可通过医院网站进行查询,获取自己所需要的信息。
1.3双向交互
随着医院数字化建设的不断发展,采集、处理和信息都将实现电子化。故医院信息网络系统只有完善双向交互信息服务才能对外界开放,以满足社会群众的需要。
2安全隐患
当前医院信息网络系统运行中的安全隐患主要有两种:医院信息网络系统信息数据中存在的安全隐患;医院信息网络的设备中存在的安全隐患。医院信息网络系统运行中存在很多安全隐患,既有人为隐患,也有客观隐患;既可能无意,也可能有意。
2.1医院管理
建立一个信息网络非常迅速,但维护和管理的所需的时间会比较长。医院作为医疗行业,其最大的特点便是不确定性,在门诊、住院及治疗的各个环节中,需要各种部门及各类医护人员的参与,不能准确的预测治疗效果,一旦其中一个环节出现问题,将直接影响治疗结果,严重时会颠覆治疗结果。
2.2网络和硬件组成
医院信息网络系统设备由网络设备、电源系统及服务器等电子元件所组成,虽然其中一个元件出现故障的几率很低,表明上不会对系统造成影响,但整个系统故障率依然很高。故安全隐患一直存在于医院网络信息网络运行中,并有可能会对医院信息网络造成影响。人为失误:相关人员在配置网络安全时操作不当,使网络系统出现漏洞,如权限管理及访问安全设置等;无意中将密码或信息数据泄露;设置的密码太简单等。
2.3程序攻击
医院信息网络难免会遭遇计算机病毒、蠕虫和木马程序等外界恶意程序攻击,广泛性、瞬时性及隐蔽性为网络攻击的特点。因此必须制定详细的、立体的防御安全策略及补救方法,才能保障系统运行安全。
3安全管理
建立科学智能的医院信息网络系统安全保障体系,除了必备的技术,还需要完善管理方法,才能有效的保障系统安全。
3.1制定和完善管理制度和应急预案
为保障医院能正常进行工作,首先要保证医院信息网络系统运行正常,其次需要完善各项管理制度,健全制度体系,将操作流程规范化,这些措施对于保障网络安全具有重要意义。
建立和完善安全管理机制、强化安全技术保障、制定安全管理应急预案、着力做好全员信息安全管理教育和培训等措施,以确保医院信息系统的安全。实践证明,只有重视和不断加强安全管理工作,才能有条不紊地开展医院医疗及各项工作,保证医患双方的利益不受侵害。
3.2安全审核和网络设备管理
安全审核监督在整个管理体系中占据重要地位,主要包括审核、对网络通信系统、审核服务器的主机操作系统、审核服务器所用软件、审核应用系统、审核网络区域中的客户机和审核系统的规范化及标准化。
要做好中心机房管理。中心机房存放服务器、中心交换机等核心设备,是HIS系统的核心所在,机房安全尤为重要。要设置机房温度在25℃左右,相对湿度为40%~70%,电源采用双路备份供电制,一旦一路供电线路停电,另一路供电线路可在短时间内响应并提供供电,并配有UPS不间断电源,保证机房所有设备3h供电量。安装防静电地板和防雷设备,机房门口及走廊多处放置灭火器,安装防盗门、防盗报警器和摄像头。每天巡查中心机房,做好巡查日记。UPS电源有专人定期进行维护。
要做好服务器管理。服务器是医院网络的核心设备,其安全运行关系整个医院信息管理系统的运行。一旦主服务器发生故障,备用服务器将对系统资源进行接管,替代主服务器发挥作用,确保网络不间断运行。
要做好终端管理。由于工作站数量比较多,而且分布在医院的各个角落,为了便于管理,我们在每个工作站都安装了远程监控软件。严格控制内网计算机的软件安装,不得安装任何与工作无关的软件。通过IP地址和MAC地址进行绑定,有效控制IP地址的分配,内部员工无法私自修改IP地址或者MAC地址,外部人员无法私自接入医院内网。
要做好计算机病毒的防范管理。首先要从根源上堵住病毒的来源。对接入内网中的计算机应监管控制使用移动存储设备及设置文件目录共享,利用各种安全应用软件对系统进行安全防范。严禁各个临床科室私自更改、添加或删除由医院信息管理部门设定好的网络终端操作系统、网络配置及所安装程序,严禁拆卸硬件设施或将未经信息部门认可的任何个人计算机接入内网。
3.3提高网络人员的安全意识
医院网络安全问题也是一个典型人机关系问题,HIS系统的使用人员是实现网络安全的主体,所以加强计算机使用人员的安全意识和提高其防范意识对于保障医院的网络系统的安全至关重要。
加强网络安全意识应注意:①培养全院信息系统使用人员在网络安全方面的主人翁意识,不要认为网络安全只是信息管理部门和网络管理员的责任;②医院计算机是工作专用机,只能运行医院信息系统相关程序,不能为了自己方便,安装游戏和与工作无关的软件;③严格按照信息部门分配的用户账号和使用权限使用系统和网络资源,不得将自己的用户ID和密码借给他人使用。
3.4防范方法
①认证管理。即阻止非法用户侵入内网系统;②加密。即对重要信息采用加密处理,让攻击者无法了解信息数据,能有效的保障信息不丢失;③控制访问。即以特殊的网络服务建立控制访问的体系,可将大部分攻击者隔绝在系统外;④监控攻击。即通过特殊的监控设备,随时报告攻击事件的情况;⑤数据的备份及恢复。医院信息系统中存储的信息量十分庞大,保证完整的数据具有重要意义,若系统不幸遭受攻击,必须采取科学的恢复方法,将被损毁的信息进行恢复,因此需要完善备份策略,能够确保信息数据能及时恢复,维持医院信息网络系统的正常运行。
参考文献
[1]潘珩.浅析医院信息网络系统安全管理的设计与应用[J].世界临床医学,2015,9(7):264,266.
医院网络安全应急预案范文4
一、我院信息网络安全工作开展情况
(一)概况:我院信息化建设起步晚,基础薄弱。在院领导的重视支持下,自2013年开始信息化建设得以快速发展。目前医院设立单独中心机房,配备有服务器、存储、核心交换机、防火墙、UPS、VPN、IPS等专用设备。工作人员为4人,负责全院信息网络建设,信息系统维护、软硬件设备维护等工作。相继建设运行的系统有:HIS系统、LIS系统、体检系统、电子病历等业务。
(二)关键信息基础设施情况:我院关键信息基础设施主要是业务类系统,负责全院医疗业务流程管理和质量管理、医院日常办公管理。医院网站为托管模式,与我院内网完全分离,制定较为严格的管理及访问规则,保证网站安全运行。
(三)医院网络安全主要工作情况:
(1)加强制度建设和培训宣传。我院近两年完善了信息网络管理及安全建设相关的管理制度、应急预案,制定了网络及安全管理岗位职责、工作流程,开展了全员参与的信息网络安全培训,通过不断的宣传和督促,让员工树立信息网络安全意识,主动参与网络安全防护、防止信息泄露,确保医院信息网络运行安全。
(2)健全组织,强化责任。信息管理作为医院管理的重要工作之一,院领导十分重视。医院调整了信息化建设领导小组,由院长任组长,相关人员为成员。领导小组下设工作小组,由相关职能科室负责人、信息技术专业人员为成员。明确了包括医院信息规划、信息网络建设、信息网络安全、网络应急、人员培训等方面的职能职责。为了进一步落实各级主管部门强调加强网络安全建设的要求,医院成立了医院网络安全管理小组并明确责任。对照国家及上级有关部门的要求,不断完善医院信息网络系统功能,不断提升信息系统安全性与稳定性,满足日益增加的信息网络技术服务需求。
(3)加强信息科管理。科室内经常性对信息网络安全工作加以强调,尽量安排人员参加每一次信息网络安全知识培训。落实机房中心设备定期巡查制度,及时排除隐患。信息科组织专人到科室开展信息网络安全巡查,提醒和纠正员工在日常操作中不规范行为,减少隐患。对医院重要数据库数据采用每日备份,和定期拷贝备份的方式,确保数据安全。
(4)多种防护措施保证信息网络安全。一是业务用局域网与互联网物理隔离。同时连接的有医保专网、新农和专网,与互联网一样通过防火墙设备进入。二是访问公网的计算机均为固定IP,并绑定计算机,且与内网隔离。防止外来计算机的进入,带来安全隐患。财务管理软件系统的计算机连接财政专网与内网完全隔离。三是今年购置了一台新IPS设备,严把入口,局域内网分区域分段管理,限制访问权限,避免病毒全网传播。四是院内局域网中客户端均实行域控管理,对客户端系统安装均为本科专人管理预防病毒感染和威胁。五是重点部位重点管理,机房不准无关人员进入,系统数据库均设置复杂密码,专人保管。六是定期监控局域网内计算机是否异常,通过限制局域网内计算机使用U盘来防止病毒在网内传播。七是服务器区关闭非必须端口,提升防护能力。八是对办公使用的外网计算机,安装了免费防病毒软件。
二、主要存在的问题
尽管采取了一定的防范措施和手段,我们依然感觉到网络发展之快,和现实工作对网络的依赖程度之高,给我们的网络管理带来了很大压力,特别是随着业务的扩展和增加,以及上级各部门的工作通过互联网完成的趋势要求,网络及数据安全问题的压力陡增。通过自查及整改后防护有所好转,但仍然存在一些问题,主要表现在:
(一)随着互联网+医疗的推进,未来将会多系统通过互联网进入,对医院局域网将带来很大威胁,存在一定的安全隐患。医院的业务系统独成一体,在医院内部应用,通过内部局域网的管理和控制,基本可以保证安全与稳定。但随着各部门要求医院实时上报相关数据,虽然大部分专线来完成数据传输,但也有通过公共互联网进行上报如网上预约、线上线下支付等,对医院的管理和安全防护带来压力。医院目前的安全防护设备相对较少,仅靠人力被动处理,抵御能力有限。
(二)信息安全需要一定经费投入,对医院来说有压力。医院也通过购置相关设备对医院的信息安全进行一定的管理,但这些设备需要不断的更新,需要费用不断投入,而且因为价格过高而没有单独购置主要系统(操作系统、数据库系统、网络杀毒)的正版软件,对安全来说没有保障。
(三)安全防护本身就是一个难题,涉及的点面较多,普通应用人员对网络威胁的辨别能力和防范意识不高,也容易产生隐患。而目前医院网络管理专业技术人员缺乏也是安全防护隐患存在的一个因素。
三、下一步工作措施及建议
通过本次的自查,我们将进行下一步整改,通过对制度的完善,加强培训,增购设备等,使我院信息网络安全进一步强化。下一步我们仍然会对照各级部门对信息网络安全的要求,利用有限的资金做好安全防护,逐步达到信息安全管理工作的各项要求。
(一)加强信息安全组织管理。完善信息管理组织的职能,坚持定期开展专题工作会议,安排部署信息网络建设及安全等各项工作。巡查常态化,通过督促检查,提升员工安全防护意识。
(二)根据实际落实和变化情况,修订完善细化各类规章制度,通过网络宣传、现场指导培训、集中培训等多种方式提高大家在网络环境中的安全意识。辨识虚拟环境中的不安全因素。
(三)进行严格的访问权限设置,降低安全风险,严令禁止内网用户使用移动介质访问,杜绝病毒网内传播蔓延。
医院网络安全应急预案范文5
关键词:网络安全;桌面安全;制度保障;技术保障
随着现代化信息技术的不断发展,医疗卫生管理要求不断趋向于智能化和计算机化,这对于加强管理的规范化、标准化,提高医疗工作效率,降低医疗运行成本,改善医疗服务质量起到了重要作用。由于医保实时结算的实施,医院基本上都实施了HIS(医院信息系统),除此之外很多医院陆续实施了DIS(医生工作站)、LIS(检验信息系统)和RIS(放射科信息系统),有的医院还实施了PACS(影像存档和通讯系统),这就造成了医院信息系统的日益庞大,并且复杂交错。一个环节出现问题,就可能会引起整个医院计算机系统的瘫痪,手工业务很难立即恢复,将引起医疗业务紊乱、甚至中止,给医院带来巨大的经济与形象损失。因此必须从多方面加强医院信息系统的安全管理。
1注重网络的整体冗余可靠性,运用技术进行保障,并定期检查维护
(1)必须确立一个正确合理的网络建设目标。
这其中包括,采用先进的网络骨干技术,保证网络在相当长的一段时间内满足医院各个方面的发展需要;进行必要的虚拟网络划分,控制网络广播风暴,控制不同的访问权限,检测网络中不正常的网络流量,保护网络不受侵犯,增加网络安全性;对整个系统进行完备的安全控制,在网络系统各层次采取有效的安全控制策略;通过高性能、高可靠、多技术交换设备,采用3层交换技术,提供QoS保证及详细的管理信息,对网络用户的变化、设备的配置等进行有效管理,对网络运行进行有效监控;还有,就是要保证网络有良好的扩展性,一方面能够横向扩展,支持更多的用户接入,另一方面能够纵向扩展,实现向先进技术和产品的升级。
(2)运用合理的网络整体构思和正确的解决方案。在这里,我们应用一个医院的实例加以说明。
医院网络一般分成院内骨干层和接入层两个基本网络层次。
骨干层::根据医院计算机中心的设计原则,以提高核心设备的可靠性、可用性为目标,网络交换核心共配置两台CiscoCatalyst4506全模块化骨干级路由交换机。医院的应用服务器与核心交换机直接相连,客户端设备通过第二、三层网络实现数据交换。其中,每台核心路有交换机配置两个电源和机箱风扇,提供电源的供电负载均衡和冗余备份。同时,每台交换机各配置两块管理模块。管理模块冗余配置,可以相互进行备份,具有容错功能。
两台核心交换机之间采用两条1Gbps链路,利用端口链路聚合(Trunking)技术连接。Trunking技术可以在扩充网络带宽的同时,更好地实现网络的冗余连接能力。此外,两台核心交换机各配置一块第三层交换模块,模块之间采用VRRP(虚拟路由冗余协议)实现网络层的冗余连接。
接入层:根据信息网络的设计所要求的可靠性、可扩充性,在接入层配置了CiscoCatalyst2950以太网交换机,提供客户端设备第二层交换10M/100Mbps以太网端口。
对于接入层到骨干层的连接,考虑到上行链路的负载以及网络链路高可靠性的要求,网络采用两条千兆以太网上连方式,每处配置2个千兆上连端口,分别连接到网络中心的两台核心交换机。其中一条链路为主链路,另一条链路为备用链路,采用生成树(SpanningTree)技术进行连接配置。当主链路出现故障时,备用链路能快速进行切换。
在该方案中,由于骨干层采用两全相同配置的核心交换机,并且每台核心交换机均采用双电源、双管理模块,采用Trunking技术进行互连,交换机的两块第三层模块可做VRRP;接入层交换机采用生成树技术与核心交换机进行互连,从而保证网络无论是从物理设备,还是从设备的物理层连接,或者从设备的第三层连接都能实现高可靠的性能。(3)有了安全冗余的网络结构,并不是一劳永逸的,同时需要多方面的技术保障。
其一,网络病毒的防范。在网络环境下,病毒的传播扩散非常迅速,必须应用适合于局域网的全方位防病毒产品。医院信息网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的升级,使网络免受病毒的侵袭。
其二,采用入侵检测系统并加强漏洞扫描。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。医院信息网络网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。另外。寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。其三,IP盗用问题的解决。将IP地址和MAC地址相互捆绑,当某个IP地址需要进入网络访问服务器时,首先检查发出这个IP广播包的工作站的MAC是否与MAC地址表相符,如果相符就放行。否则不允许进入,切实杜绝非法进入。
(4)制定相关的维护制度、功能预案,进行定期检查和应急演练。
由于医疗工作的重要性和连续性,必须制定相关的制度和应急预案,切实保障医院信息网络的安全。对于日常情况,应根据维护制度安排具有良好思想业务素质的网络管理人员来定期检查网络的运行情况,保证线路设备正常运转,负责好网络的系统管理,确保网络的畅通和安全。制定功能预案,记录相关应急操作,确保在突况下有章可循。医疗单位还应根据自身特点,定期组织应急演练,确保在突况下有较好的应对能力。
2认真总结医院信息系统面临的桌面安全问题,运用技防与人防相结合的办法
医院信息网络的终端工作站,是医院信息网络的重要组成部分,其分布区域较多、而且面广,往往不易于管理。很多时候就是由于终端工作站的小问题,就会造成整个信息网络的大问题,并且还会影响到医患关系,产生医疗纠纷。
(1)我们要认真研究总结终端工作站所面临的桌面安全问题。
在医院这么些年的大规模信息网络应用中,我们发现桌面终端的主要问题有:擅自拆换硬件设备,擅自安装外接存储设备以及擅自进行网络共享等等。这些行为给医院信息系统带来的隐患是巨大的。擅自拆换硬件设备,常见的主要是内存、硬盘的丢失或掉包,由于医院终端计算机较多,往往不易发现,这就导致了医院财产的损失。擅自安装外接存储设备,主要体现在连接USB移动存储设备,进行计算机私用,因为一般医院出于安全考虑,是不安装光、软驱的。例如,打印私人的文档,复制游戏、电影、小说进行娱乐。这就造成一些医务人员的工作分心,有时会影响到医患关系,甚至产生医疗纠纷。另外,由于私人USB移动存储设备,往往带有病毒,这就会大大增加医院信息系统的安全风险。再加上少数医务人员,利用网络共享,相互传播这些内容,就更加加剧了风险性,这对于医院的整体形象以及信息系统的安全是大大不利的。
(2)在技术方面予以对应解决。
针对以上问题,我们在实际工作中,采取了一系列的解决办法。利用医院的物资管理系统,对每一台主机进行编号,详细记录主板、硬盘、CPU、内存等硬件信息,进行定期的抽查检测。对于有条件的医院,可以引进先进的安全管理软件,对客户端的硬件变更进行报警并记录日志,彻底杜绝这一现象的发生。针对连接USB移动存储设备,最简单实用的方法,就是在CMOS中禁止USB端口,并对CMOS进行加密,杜绝USB存储设备所导致的病毒来源,从根源上解决客户端对服务器的安全影响。对于网络共享,可以应用一些桌面软件,例如美萍、PC-Security,对客户机进行控制,仅对合法程序给与正常运行,其余程序一律不能运行。这些软件还可以控制“我的电脑”,“InternetExplorer”,“控制面板”等,使之不能安装游戏程序,不能进行网络共享,杜绝非法操作。
(3)进行宣传教育,制定规章条例,强化制度约束。
医院信息系统的桌面安全管理,就如同一场矛和盾的较量。如何让这把盾更好的发挥作用呢?这就需要规章制度这一强有力的指挥棒了。根据医院信息系统的维护经验,我们认为,首先要进行全面的宣传教育,让每一位医务人员认识了解医院信息系统安全的重要性,做到人人心知肚明,主动提高自身觉悟。医院必须建立医院信息网络的使用规章制度和使用处理条例,让每一位医务人员充分了解自身的职责和操作规范,更好的使用计算机。对于违规人员,应根据处理条例进行严肃处分,并对相关科室进行处理,杜绝违规现象的发生。
医院信息系统的网络与桌面安全是一项长期而复杂的工程,它涉及了医院的方方面面,只有仔细考虑,严格论证,才能取得好的效果。医院信息系统的网络与桌面安全,没有适用的通用方案,即使对一所医院,也不可能有最优的方案,只有较优的方案。为了更好的适应信息时代的需要,必须一边分析研究,一边积极实践,逐步优化,才能探索出一条自己的路。并且通过建立现代医院的信息化制度和规程,把医院的实际管理与应用相结合,才能够达到理想的管理效果。
参考文献
医院网络安全应急预案范文6
关键词:医院信息系统;网络安全;联机事务系统
中图分类号:TP309 文献标识码:A 文章编号:1672-7800(2012)003-0145-02
作者简介:黄心海(1970-),男,山东夏津人,人民医院信息中心助理工程师,研究方向为信息系统、网络维护。
1 医院信息系统安全
1.1 操作系统安全
目前医院服务器和客户端的操作系统一般多采用微软的Windows家族系列产品,对于用户帐号、用户权限、网络访问以及文件访问等实行严格的控制和管理,及时下载和打好系统补丁,尽可能关闭不需要的端口。终端用户使用无软驱、光驱的工作站,利用软件屏蔽USB接口,只允许连接键盘、鼠标、打印机等外部设备。随着现代信息交流需求的增加,Internet使用用户在医院也在不断增加,外网的不安定因素直接威胁到医院信息系统的安全,如黑客恶意攻击和计算机病毒、木马程序等,所以必须做到内外网物理隔离,需要交换信息时采用U盘或移动硬盘作为存储介质,只能由信息技术部门在指定的终端上操作,先在独立的计算机上进行查杀病毒及木马的工作,才可在内网终端进行拷贝等相关操作。
1.2 医院信息系统功能模块安全
大型医院信息系统由多种功能模块组成,如HIS、LIS、PACS、EMR、OA、病案系统等,信息量大,要求实现全程追踪和动态管理。作为一个联机事务系统,其中一些关键模块如果出现问题就可能影响其它多个部门的工作。所以对各类人员的账号及工作权限要严格管理。并且可以考虑多台服务器组成集群结构,如门诊挂号、收费采用一台服务器,PACS系统采用另一台服务器,同时增设总服务器,在总服务器中全套备份所有医院管理系统中的应用软件,每日在总服务器中备份各个管理系统中产生的数据,与此同时也做好光盘的备份,若有一台分服务器出现异常,该系统就转到总服务器进行。这样,既可以加强数据安全性,又可以减轻来自患者就医高峰期的网络压力。
1.3 数据库安全
大型医院计算机信息系统多选用Oracle、 SQL Server等大型数据库来管理各种医疗信息及工作。系统每日24h不停运行,一旦发生中断或将数据库中的信息丢失,就会造成无法弥补的损失。这就要求系统在发生故障时能自动将数据恢复到断点,确保数据库中信息的完整性。作为一个联机事务系统,医院的数据库记录时刻都处于动态变化之中,定时异地备份是不够的,因为一旦系统崩溃,势必存在部分数据的丢失,所以建立一套实时备份系统,对医院来说是非常重要的。现在很多医院采用磁盘阵列的方式对数据进行实时备份,但是成本比较高,安全性也不强。根据医院这个特殊的网络系统,建议设计数据保护计划来实现文件系统和网络数据全脱机备份。数据异地备份不要选择在网络高峰期备份数据,一般选择每日夜间自动备份关键数据。
1.4 病毒及木马防范
安装软硬件防火墙,如大型医院医保需要利用外网上传和下载数据,要求使用专线,屏蔽其它端口,医保服务器放在防火墙之后。在服务器上安装正版网络版防病毒软件,定期升级更新,工作站安装相应的杀毒客户端,在服务器上编写网络登陆脚本,实现客户端病毒库开机自动更新及软件版本升级,一般每星期更新一次。
1.5 应急预案
平时做好在紧急情况下的应急演练,对于突发严重情况,可采用单机应急程序,保证门诊、检验、药房等重要部门正常工作,不能影响患者就医,待网络正常后再将数据补入。24 h工作的关键部门准备备用工作站、打印机等相关设备,一旦出现问题,可以立即使用备用设备,以免影响正常工作。
2 网络设备安全
2.1 硬件设置对网络安全的影响
2.1.1 物理拓扑结构及网络构架
采用双核心双上联的构架,双核心即内网中有两台核心交换机互为热备份。双上联即每个接入层交换机带两个光纤模块分别接在不同的汇聚交换机上,解决单链接的单点故障问题,以提高网络的可靠性,保证网络不间断运行。一般大型医院采用三层交换与VLan结合的配置方法,三层交换即核心层、汇聚层、接入层,三层交换技术就是“二层交换技术+路由转发”,既解决了不同IP子网间的数据交换,又解决了传统路由低速、复杂所造成的网络瓶颈问题。大型医院的工作站较多,一个VLan下的IP地址数量不能满足要求,一般按地理位置划分多个VLan,各VLan间可依靠Cisco7609路由模块进行互访。
2.1.2 服务器
中心机房使用不间断电源(UPS)以保证断电后至少12 h服务器不会停止工作,防止因突然停电造成的数据库及服务器、交换机等硬件的损坏。目前大部分医院中心服务器采用的都是双机热备份+磁盘阵列柜RAID-5的模式,当前使用的服务器发生故障时,备份服务器能在极短时间内自动切换接管工作,启动数据库,一般能在几分钟内恢复业务处理。这样只做到了一台服务器出现故障时,能保证信息系统的正常运行,如果阵列出现故障,整个系统仍要停止运行,一般在条件允许的情况下应该备有应急服务器。应急服务器在日常工作时,通过数据库的备份服务实时地进行异地备份,保证数据与中心服务器的同步,当双机服务器或阵列出现故障时,系统能顺利转移到应急服务器上运行,所有用户的使用方法保持不变,患者数据信息连续,不仅方便了操作人员,而且大大提高了系统的安全性。
2.1.3 中心机房
中心机房面积应大于100m\+2、双线路供电、木质地板,还要考虑到如机柜间距离、温湿度、接地防雷、防静电等多种因素。
2.1.4 综合布线
大型医院一般为楼群建筑,医院主干线以及各大楼之间采用多模光纤,并留有备份。光纤到机器端采用6类屏蔽双绞线,线路之间避免交叉缠绕,室外线路要至少高于地面5~10cm,避免暴晒、雨淋等恶劣环境下使网线外皮开裂造成短路、断路。与强电保持30cm 以上距离,以减少相互干扰。新增网点,距离交换机尽可能短,一般在1.5~90m之间,特殊情况距离较远可在中间增加HUB以减少信号衰减。线路两端做好标记,出现问题时可以迅速找到相关位置进行处理。尽量减少HUB的多层使用,这样可减少事故中间环节。
2.2 外界环境对网络设备安全的影响
温度过高或过低都能导致计算机电路产生逻辑错误,还能损坏电源、电容等硬件设备,缩短机器寿命,因此无中央空调的建筑应在中心机房使用各式空调,降温至25℃左右。
南方及沿海城市气候潮湿,会使计算机中的集成电路和金属元器件氧化、生锈腐蚀,应该保持相对湿度40%~70%。
机器内部的电源、风扇、接线器容易吸附灰尘,灰尘的阻塞会使集成电路温度增高,影响散热,缩短机器寿命,造成机器自动重启、死机等故障,所以中心机房尽量保持无人员流动、半封闭环境,一般一年除尘一次。
静电是北方气候干燥地区在网络使用中经常面临的比较严重的问题,计算机元器件和集成电路对静电非常敏感,最常见的情况是引起工作站死机,因此应该做好机器接地放静电的措施。
医院大型医疗设备、无线发射设备和网络设备自身等,都能产生较强的电磁辐射。如ECT、核磁、放疗设备等,它们会使网络设备的一些部件失效,降低网络信号强度,甚至产生错误数据。所以一般尽量远离大型设备,做好大型设备防辐射建设,如需接入可考虑使用屏蔽双绞线来增强网络抗干扰能力。
2.3 人为因素对网络设备安全的影响
(1)对全院职工进行计算机基础知识和相关技能培训,特别是对中心管理人员进行相关教育,学习计算机管理的相关法律、法规,按照国家《信息系统安全等级保护基本要求》标准制定计算机管理制度并严格执行。医院患者个人信息要求保密度较高,做好各类人员的权限分配尤为重要。
(2)小型机柜尽量放置在无人区或配电竖井中,以免噪声影响他人正常办公。
(3)各种网络设备用电应与照明电路使用不同的线路,强电、弱电分开,一般至少保证有两条供电线路,由于医院的特殊性,一般都能保证24h不断电。
(4)医院其它部门如需施工,应与信息管理部门做好协调工作,做好防范措施,以免造成不必要的损失。
3 结束语
现代科技的发展使得计算机技术及网络技术日新月异,无论是医院的日常工作还是战略发展都离不开计算机网络系统的支持,它不但提高了医疗工作效率,也极大地方便了患者就医。信息系统及网络安全已成为医院信息安全的重要问题,这就要求我们提高认识,防患于未然。综合采用网络设施改造,应用网络安全技术及产品,完善网络安全技术服务及加强制定网络安全管理制度等多种安全措施,尽可能排除和降低网络运行中的风险,为医院计算机信息系统提供良好的运行环境,保障患者及医院自身信息的安全和切身利益,加快医院信息化建设的步伐。
参考文献:
\[1\] 周爽.谈计算机网络安全与维护\[J\].科技风,2010(3).
