数字化信息安全管理制度.pdfVIP

数字化信息安全管理制度--第1页

目前，在我国医疗信息化过程中，医院内部信息安全、病人隐私

保护，以及一系列与安全相关的问题，都没有引起有关部门的足够重

视。我国医疗信息化建设还存在信息安全保障建设的严重滞后，缺少

必要的信息安全保障手段。对于复杂的医疗信息化而言，安全问题其

实不是一个简单的问题，尽快制定信息安全相关机制，确定信息安全

的边界，才有利于开展医疗信息化建设。笔者将从医疗信息系统的安

全现状出发，探究如何建立适应未来发展趋势的信息安全可用性体系。

二、医疗信息的安全威胁

美国联邦调查局曾于2015年对2066家公司和组织进行了计算

机安全犯罪及事故调查，统计结果表明发生概率排在前四位的分别是：

①病毒；②信息的未授权访问；③内部网络资源滥用；④计算机或移

动设备失窃。可见，随着互联网技术的改变，各种混合型威胁相继出

现，这种混合型威胁直接导致了信息安全建设的复杂性和艰巨性。因

此，医疗网络的安全威胁已不仅仅是来自于蠕虫病毒、木马等攻击带

来的风险。医疗信息系统在日常运行中面临的各种风险大致可归纳为

内网和外网两类攻击。来自外网的安全挑战主要是由网络病毒、黑客

入侵等方式直接导致的系统效率下降甚至瘫痪。其主要原因是操作系

统补丁没有及时更新、安全软件不能及时升级或垃圾邮件的肆意泛滥

等造成的。目前绝大多数的医院已经部署了网络防火墙，客户端防病

毒等产品，但医院网络依然会不断遭受蠕虫、特洛伊木马、间谍软件、

广告软件等威胁的攻击。针对此类问题，应当研究如何保证内部终端

用户的补丁和病毒库始终处于必威体育精装版状态，有效隔离安全隐患机器的接

入。内网威胁主要是指内部工作人员无意或有意导致的资源丢失、信

息泄露等问题。医院的重要信息经常以电子邮件，文件传输甚至移动

设备等形式轻而易举地流出，大部分内容涉及病人的隐私、药品采购、

财务信息等。此类问题属于面向医疗信息本身的安全性问题，需要对

其产生、使用、传输、存储等各个环节予以控制。因此医院应设立相

数字化信息安全管理制度--第1页

数字化信息安全管理制度--第2页

制度，避免核心机密的违规泄露和拷贝。

三、面向外网的安全治理

医疗信息系统的软硬件系统本身面临的威胁越来越多样化和频繁

化，各种新型威胁层出不穷。针对当前各类相互融合的网络攻击手段，

应从如下多个层次上实施外网的安全控制策略。

（1）端点防控

提升终端自身的安全防护力度，在内部各网关及重要网段配置防

火墙和入侵检测软件。强制保证操作系统补丁定时更新，反病毒软件

实时运行以及病毒库的及时更新。对于不符合安全标准的终端，在网

络设备的接入点将对其进行隔离，限制或拒绝其对内网进行访问。

（2）权限设置

部署网络内部强制访问控制策略和权限等级设置，根据口令信息

为数据流提供明确的允许或拒绝访问指令。准入控制的成功实施取决

于控制粒度的大小，而控制流程的.自动化决定了使用者的接受度和控

制机制的适应性。

（3）行为监测

在一些信息系统安全级别相对较高的网段部署安全监控措施，对

非授权设备的私自接入或网络发送行为进行检查，并予以有效阻断，

发生严重泄漏事件时应提供报警。

（4）数据备份与恢复

信息系统的核心内容是数据，因为操作系统、软件等被破坏后都

可以重新安装，但数据丢失是无法挽回的。软件级别的单点恢复技术

对于火灾，地震等灾难性事故是无法应对的。因此除了客户端的定期

软件备份以外，还有必要提