隨著IT信息科技的進步及網絡使用的普及,現代醫療環境也隨之快速的變化。信息系統在各行各業都得到很好的運用,在醫學上,信息系統也得到了長足的發展。信息系統已經成為保障醫院正常運營的關鍵因素,安全可靠性的醫院信息化系統對于醫院的正常運營就顯得越來越重要了。
醫院信息安全保障系統是最基礎的。結合醫院實際,先來探討醫院信息安全保障系統的建設,并進行相關的對策分析。從信息系統安全的角度來看,信息安全系統包括的許多技術、技巧都是在網絡的各個層面上實施的,離開網絡,信息系統的安全就失去意義。信息系統的安全包括了安全機制和安全服務兩項內容:安全機制可以理解成為提供某些安全服務、利用各種安全技術和技巧,所形成的一個較為完善的結構體系;安全服務就是從網絡中各個層次提供給信息應用系統所需要的安全服務支持。隨著網絡的逐層擴展,安全的內涵也更加豐富,達到了具有認證、權限完整、加密和不可否認五大要素。從目前醫院信息系統的發展狀況以及對醫療信息系統數據的安全性要求來看,在醫院中如何做到從物理、網絡、系統主機以及應用層面來確保IT系統中各種信息的保密性、完整性、可用性,提高整體防護能力,規范安全管理流程,保障信息系統的平穩運行,是醫院信息系統安全的關鍵所在。但是從目前醫院信息系統的發展狀況、資金投人等方面來看實施全面的醫院信息安全系統是不現實的。既然實現全面的信息安全系統是不現實的,那么只有先抓主要矛盾,首先在醫院信息系統的關鍵環節實施信息安全系統。醫院信息安全系統應該包含哪些關鍵環節,每個環節又應該采取什么樣的策略,正是本文探討的內容。
醫院信息安全系統的關鍵包括硬件和軟件兩個方面。
影響醫院信息安全的硬件因素
硬件因素包括中心機房、服務器、網絡設備、線路、維護人員素質等方面,這些是醫院信息安全保障系統的基礎。
1. 中心機房、服務器的安全
醫院中心機房作為醫院信息系統的心臟,安全穩定運行應該包括穩定的電源,專用的空調設備,安全的防雷、防靜電措施,靈敏的監控報警系統,安全的防火墻等。醫院中心機房應該在溫度、濕度、電磁、噪聲、防塵、靜電和震動等方面做好安全策略,溫度波動控制在24±1~2℃之內,相對濕度波動控制在 50%±5%RH之內,每升的空氣中,大于等于0.5um的顆粒應小于18,000個,換氣次數/h>30,中心機房與其它房間、走廊間的壓差不應小于4.9Pa,與室外靜壓差不應小于9.8Pa。機房中應具有報警系統,并具備發手機短信報警功能。中心機房應采取雙路供電,配有滿足要求的UPS設備,做好防雷措施。
2. 網絡設備及其連接線路
網絡設備中的核心交換機就像人體的供血樞紐,各級交換機就像中轉站,連接醫院各種信息設備的網線,就像人體通向各個地方的血管,其重要性不言而喻。網絡設備應該根據設備的重要程度對硬件進行定期的維護檢查,軟件進行定期升級,網絡設備中應該根據業務的具體需要進行安全域的劃分,網絡設備的連接線路應該具有明確的標志,以便在系統出現問題時可準確及時的定位。
3. 維護人員
在醫院信息系統安全的關鍵環節中,人的因素是最重要的,因為信息系統安全中存在的主要風險應該是人的因素占有很大比例。維護人員的誤操作往往會對信息系統造成巨大的損失。
信息系統發展快、更新快的特點決定了從事信息技術工作的人員必須經常學習,才可以跟上計算機技術的不斷更新,所以對于從事信息技術的人員要進行定期的培訓,最好能具備專業的信息安全知識,對于業務系統的使用者也要進行定期培訓,具備必要的安全知識。
加強信息從業人員的職業道德培訓,信息工作人員的職業道德對信息系統的安全具有非常重要的作用,信息系統的安全問題有很大一部分是由于內部人員造成的,很大程度與內部人員的職業道德有直接關系,因此對于信息技術從業人員應該加強職業道德培訓,增強維護人員的責任心。
系統軟件架構能抵御病毒
軟件方面的因素包括抵御外來病毒侵害、抵御非法入侵對系統的危害、對醫院信息系統數據的保護、對醫院信息系統的實時監控、搭建優秀的醫院信息系統軟件架構。
電腦病毒和非法入侵在計算機網絡中普遍存在,病毒在計算機網路中傳播速度快、破壞力強,有可能導致整個計算機網路的癱瘓。所以,對計算機病毒的防護是非常重要的。在醫院計算機網絡中安裝網絡版殺毒軟件,由專人定期升級,發現病毒及時隔離,在網絡出口安裝防毒墻。通過網管軟件禁止客戶端主機連接任何USB存儲設備,把計算機網絡感染病毒的可能性降到最低,并及時對網路中的客戶端主機和服務器更新補丁減少服務器漏洞降低非法入侵的可能性。
醫院信息系統數據是醫院信息系統中最重要的一部分,醫院的財務數據、患者的診療信息全在其中。醫院信息系統數據一旦遭到破壞,其造成的損失將是無法估算的。
數據的集中管理
醫院信息系統數據可以采用數據的集中管理方式,包括存儲管理。存儲管理是指將局域網中的各種數據通過統一存放在集成介質上的方法由網絡管理員進行集中管理。
在醫院內,采用數據集中管理便于數據的保存、恢復以及節省計算機資源和提高網絡運行速度。其通過集中存儲設備(磁盤陣列)加存儲管理軟件實現一系列功能。存儲管理軟件主要包括存儲資源管理(存儲媒介、卷、文件管理)、數據備份和數據遷移、遠程備份、集群系統、災難恢復以及存儲虛擬化等。存儲管理和服務器雙機方式的運用提高了資源的利用率和工作效率,提高了系統的可用性,改進系統性能,提高I/O性能,分配訪問優先權,限制訪問權限,方便數據轉移等,降低由于各種原因中斷數據存取或者應用系統宕機的可能性。
數據集中管理的網絡架構采用的是SAN(Storage Area Networking)存儲局域網,它是基于光纖通道技術(Fibre Channel)的電纜, 交換機和集線器,將很多的存儲設備連接起來,再與有很多不同的服務器組成的網絡相連接, 以多點對多點的方式進行管理。 SAN還可以讓存儲設備與存儲設備直接相連,使多臺服務器與多臺磁帶庫磁盤陣列相集成成為可能。這項技術使存儲設備真正可以與服務器脫離開,形成一個總的數據中心, 以多點對多點的方式在網絡上與其它計算機相連。SAN存儲局域網有著高可擴展性、高性能、高可用性、高可管理性、高可靠性的優點。
醫院信息系統數據的備份也是非常重要的。備份是保護數據可用性的最后一道防線。一個優秀的備份方案可以在發生不可預料的事故的情況下把損失降到最低,也可以根據醫院信息系統數據規模的大小制定備份方案。比如每月做一次全備份,每周做一次一級增量備份,每天做一次二級增量備份,每小時做一次歸檔日志備份。這樣一旦發生事故數據損失也是很小的。如果有條件的話也可以做一份異地備份,這樣又保證了備份數據的安全性。
對醫院信息系統的實時監控可以及時發現信息系統中的故障。通過一些網管軟件可以對網絡中的服務器、網絡設備以及網絡線路實時監控,并及時通知網管人員,以便在第一時間發現并解決故障。
優秀的信息系軟件統架構可以有效的抵御防毒、黑客對網絡核心服務器的攻擊,提高服務器的效率。醫院信息系統應該采用三層架構(客戶端—應用服務器—數據服務器),這樣客戶端只訪問應用服務器,由應用服務器把客戶端的請求發到數據服務器,并把數據服務器反饋的信息發送給客戶端。客戶端對數據服務器是屏蔽的,無法對其進行訪問,這樣就減少了數據服務器受到病毒侵害和非法入侵,也就保護了醫院信息系統中最重要的數據。
小結
數字化醫院網絡安全是一個系統工程,安全管理已成為人們關注的熱點,只有高度重視數字化醫院信息安全問題,把醫院信息系統的安全管理工作作為一項艱巨且長期的工作,要求網絡管理人員結合醫院的實際情況,全方位、多角度地考察網絡安全漏洞和弱點,遵循整體安全性原則,制定出合理的網絡安全體系結構,落實好一系列安全管理措施,才能真正做到整個系統的安全,才能保證龐大的數字化醫院體系安全、健康、穩定、高效地運行。
