符合三级等保要求的医院信息安全策略(2)

4. 应用安全

主要针对用户的身份鉴别，对同一用户采用两种或两种以上组合的鉴别技术实现用户身份认证。比如可以采用密码和Ukey的方式进行认证，保证用户身份的合法性;还要对应用系统的重要进程进行审计，保留事件的日期、时间、发起者信息、类型、描述和结果等;应用系统的并发数和进程数应在开发时设计最小和最大限制，保证对资源的占用在一个可控的范围内。

5. 数据安全

数据库是医院信息系统数据存储的核心，数据不仅是各个应用系统的基础元素，也是医院的重要资源和财富。数据安全是医院信息系统最重要的安全内容。必须建立完善数据的备份容灾体系，保证数据的万无一失。

建立完善的数据库备份体系，包括实时备份、异地备份和数据恢复等。根据不同的数据库系统，定期进行数据备份,既可保留以往数据便于查找,保证服务器硬盘空间充足;又可在原始数据丢失或遭到破坏时,利用备份数据将原始数据恢复,尽快使系统正常工作,确保数据更加安全。重点部门要建立独立的备份数据库，比如门诊系统，在应急情况下可以做门诊子系统的局部运行。

应采用稳定可靠的数据存储策略。在数据存储设备的应用上，选用稳定性和可靠性更高的磁盘阵列或SAN存储系统。如果单纯采用服务器内置的硬盘存储，则要选择支持RAID技术的服务器，应用RAID5或者RAID0+RAID5等存储安全策略。

数据库的安全不仅要保证数据正常的存储和应用，还要防止对数据库的破坏和攻击。首先在数据库管理上，要清理和规范各类数据库特权用户，建立完善的权限分配管理，比如Oracle的system用户等。其次是应用数据安全审计的各类软硬件产品，实现对数据库的查询、新增、删除、修改、授权等各种操作行为的动态监控，防止合法用户的误操作和外部攻击。

6. 终端安全

各类工作终端是医院信息系统的应用窗口，对工作桌面系统的有效管理，可以有效防止操作人员的误操作和非法访问。一、在工作终端上安装“还原精灵(Deep Freeze)”该软件在管理员设置后，在下次重启前，用户在C盘留下的任何信息都将不被保存，以保证系统的安全。二、利用桌面管理软件，限制工作站的使用范围和应用程序。三、利用远程管理工具，通过事先安装的远程控制管理软件

(如Radmin、Pcmain、PcAnywhere等)，进行示范性操作，可提高工作效率，减轻奔波之苦。

对于医院信息系统来说，无论是物理隔离的局域网，还是建有外部连接的开放网络，网络版的杀毒软件是必不可少的。即使是物理隔离的局域网，也不能避免与外部数据的交换。采用网络版的杀毒软件，实行网络内远程管理、智能升级、自动分发、远程报警等防病毒措施，可以高效便捷的应对病毒入侵。

对使用频繁或者故障率较高的终端，比如门诊挂号收费终端、药房工作终端等，要建立备用机。工程师在接听故障申报后，初步判断故障原因和恢复时间，如果时间较长，影响业务正常开展和秩序稳定，应立即更换工作站。

信息安全的管理策略

俗话说“三分技术、七分管理”，医院信息系统的安全，光有安全设备和技术是远远不够的，必须有完善的管理制度和风险防范意识，制定切实可行的应急预案，将医院信息系统的安全风险降至最低。

医院信息系统安全策略的制定和落实需要一定的人力、物力和财力,需要自上而下的贯彻落实,因此要建立全员的安全意识。首先，作为医院信息系统的管理部门，要有更强烈的安全意识，不断通过业务学习，提高安全风险防范和应对的能力。其次，要让医院各级领导要充分重视信息系统的安全，医院的信息主管或者信息科长要经常对领导进行灌输，增强领导对信息系统的了解和对系统安全的认识。另外，要通过全员培训，增强系统操作人员的安全意识。

由于医院信息系统涉及到医院的各个管理部门和业务部门，必须建立安全组织，统一领导和协调医院信息系统的安全管理工作。在信息化建设的规划设计阶段,就应成立一个以主管领导、信息部门负责人、网络管理员、科室安全管理员等人员组成的安全管理组织机构,用于保障信息化设备及系统的安全。主管领导和信息部门负责人负责安全体系的建设、实施以及科室间的协调工作,网络管理员负责网络安全策略的制定和技术实施,科室安全管理员负责科室安全措施的具体实施。

安全策略的执行要制度化,以便于实施和管理,这需要建立信息化设备及系统在使用、运行、管理及维护过程中的相关管理制度,并严格的实施与执行。比如各个业务系统的操作规范、数据库管理员工作规范、网络设备管理制度、医院信息系统应急预案等。

在医院信息系统的运行过程中,不可避免的会出现各类故障，制定医院信息系统应急预案的目的是为了确保系统安全运行，保障医院正常的医疗服务和就医秩序，提高系统应对突发事件的能力，将中断时间、故障损失和社会影响降到最低程度。

安全培训分为信息科内部的专业人员安全技术培训和全院系统使用人员的操作安全培训。信息科内部培训主要是针对各类安全技术、安全策略和风险防范;系统使用人员的操作培训，主要由技术精湛的技术人员负责，定期开展，保证全员覆盖，主要针对各类计算机设备的安全使用和日常维护保养。

医院信息系统是一个不间断运行的系统，随着医院业务对其依赖性越来越强，风险也随之提高，一旦发生故障，将会给医疗服务和医疗秩序带来很大影响。为此，必须在技术上、管理上、思想上对系统的实时性、安全性予以高度重视。医院信息系统安全策略正是因此应运而生，也必将随计算机技术和医院信息系统的发展不断成熟完善。