随着网络技术在医疗行业中的深入应用,网络安全问题日渐凸显。医院信息系统的安全性直接关系到医疗工作的正常运行,只有建立完善的安全管理体系,才能确保医院网络的安全运行。长期以来我院的信息化建设,在院领导的大力支持下一直保持着较快的发展,同时网络与信息安全工作,也应上升到一个新的阶段。我院目前采取国内较先进的安全管理规范、有效的安全管理措施,并且全院每年定期开展网络与信息安全工作自查,根据互联网安全和院内局域网安全的相应特点,逐项排查,消除安全隐患。
一、网络安全管理:我院的网络分为互联网和院内局域网,两网络实现物理隔离,以确保两网能够独立、安全、高效运行。
1.硬件安全:包括服务器、交换机、路由器、防雷、防火、防盗和UPS电源连接等。医院服务器机房严格按照机房标准建设,工作人员坚持每天巡查,排除安全隐患。服务器、多口交换机、路由器都有UPS电源保护,可以保证短时间断电情况下,设备运行正常,不至于因突然断电致设备损坏。此外,局域网内所有计算机USB接口施行完全封闭,这样就有效地避免了因外接介质(如U盘、移动硬盘)而引起中毒或泄密的发生。
2.网络安全:包括网络结构、密码管理、IP管理、互联网行为管理等。网络结构包括网络结构合理,网络连接的稳定性,网络设备(交换机、路由器、光纤收发器等)的稳定性。HIS系统的操作员,每人有自己的登录名和密码,并分配相应的操作员权限,不得使用其他人的操作账户,账户施行“谁使用、谁管理、谁负责” 的管理制度。互联网和院内局域网均施行固定IP地址,由医院统一分配、管理,不允许私自添加新IP,未经分配的IP均无法实现上网。
二、数据库安全管理:我院目前运行的HIS数据库是医院诊疗、划价、收费、查询、统计等各项业务能够正常进行的基础,为确保医院各项业务正常、高效运行,数据库安全管理是极为有必要的。数据库系统的安全特性主要是针对数据的技术防护而言的,包括数据安全性、并发控制、故障恢复、数据库容灾备份等几个方面。我院对数据安全性采取以下措施:
1、将数据库中需要保护的部分与其他部分相隔。
2、采用授权规则,如账户、口令和权限控制等访问控制方法。
3、对数据进行加密后存储于数据库。
三、软件管理:目前我院在运行的软件主要分为三类:HIS和EMR系统等应用软件、常用办公软件和杀毒软件。HIS系统等应用软件是我院日常业务中最主要的软件,是保障医院诊疗活动正常进行的基础,多年以来,运行很稳定,未出现过重大安全问题,并根据业务需要,不断更新充实。对于新入职的员工,上岗前会进行一次培训,向其讲解系统操作流程、规范,也包括安全知识,确保其在使用过程中不会出现重大安全问题。常用办公软件均由医院信息科统一安装,维护。杀毒软件是保障电脑系统防病毒、防木马、防篡改、防瘫痪、防攻击、防泄密的有效工具。外网所有电脑均安装了正版杀毒软件,并定期更新病毒库,以保证杀毒软件的防御能力始终保持在很高的水平。
医院禁止任何外来人员,包括院外交流访问人员、咨询人员、病人及其家属、外单位人员以及医院内与“网络系统”无关的人员操作、访问医院用于信息化管理的所有网络设备、计算机设备、计算机外围设备、服务器、数据库以及在这些系统上运行的所有数据和程序。其中包括医院HIS系统、医院PACS系统、医院OA系统、医院LIS系统等。如确有需要则必须请医院领导审批,在工作人员的全程陪同下进入系统进行所允许的操作。如果使用了其他用户进入系统,在外来人员离开后必须立即更改密码。
外来人员在访问系统期间未经许可不允许使用任何方法(如拷贝U盘、刻录光盘、打印数据、手工记录等)带走任何数据和程序。外来人员在工作时间未经允许,不得进入或单独滞留于医院内计算机设备专用场所;如需进入必须由院内相关人员全程陪同,“外来人员”在滞留期间未经允许不得查看、使用场所内任何设施或文档。
操作人员要设置密码,注意保密,不定期更换密码,离开时要退出操作界面,不得让他人使用自己的口令登录系统。
四、应急处置:我院HIS系统服务器运行安全、稳定,并配备了大型UPS电源,可以保证大面积断电情况下,服务器坚持运行半小时。虽然医院的HIS系统长期以来,运行良好,服务器未发生过长时间宕机时间,但医院仍然制定了应急处置预案,并对收费操作员和护士进行过培训,如果医院出现大面积、长时间停电情况,HIS系统无法正常运行,将临时开始手工收费、记账、发药,以确保诊疗活动能够正常、有序地进行,待到HIS系统恢复正常工作时,再补打发票、补记收费项目。
总体来说,我院的网络与信息安全工作做得很成功的,从未发生过重大的安全事故,各系统运转稳定,各项业务能够正常运行。医院信息系统是关键的业务系统,需要系统不间断运作,一旦网络发生故障,即使发生短暂的业务中断,也会导致医院的医疗业务无法正常开展,对医院和病人造成很大的影响及难以估计的损失。因此,网络的安全是保证医院信息系统稳定、高效运行的关键。医院信息系统的安全与管理是一个整体的问题,需从管理和技术相结合起来,制度与时俱进的体系化管理策略并切实认真地实施,方能实现安全的目标。所以今后要加强信息技术人员的培养,更进一步提高信息安全技术水平;加强全院职工的信息安全教育,提高维护信息安全的主动性和自觉性;加大对医院信息化建设投入,提升计算机设备配置,才能进一步提高工作效率和系统运行的安全性。
