第一篇:淺談醫院信息化建設中的安全性問題-高峰
淺談醫院信息化建設中的安全性問題
高 峰
【摘要】近年來,隨著醫院信息化的迅猛發展,醫院信息系統覆蓋面越來越廣,應用也越來越深入,當前醫院信息化建設面臨的一個突出現象是:應用系統越來越多,數據量越來越大,整個醫院的運營對信息系統的依賴越來越深;而與此同時,信息管理的復雜性越來越高。鑒于信息系統對醫療業務持續運行的重要性,建設安全、穩定、可靠的信息系統將是醫院信息化建設的重要目標。在本文中筆者結合本院實際建設情況,從信息系統的基礎設施的安全性、數據安全性、應用安全性三個方面,闡述安全性問題對建設穩定、可靠信息系統的重要意義。
【關鍵字】單點故障、容災、審計
醫院信息管理系統為醫院的正常運營和科學化、精細化管理提供技術保障,在提高工作效率、獲取和保存醫療信息、改進醫療服務質量諸方面起到了非常重要的作用。醫院信息系統安全防護措施的制定和實施是保證醫院信息系統的穩定性、可靠性、安全性、可用性的利器。然而,信息安全依然是醫院信息化建設的短板,嚴重影響和制約了醫院信息化進程。在醫院日常醫療服務業務對信息系統的依賴性越來越強的背景下,一旦系統宕機將嚴重影響醫院日常的醫療服務,引發醫患矛盾。
穩定、可靠的信息系統依賴于安全、可靠的底層基礎設施,包括網絡、主機、操作系統等;同時,目前的醫院信息系統都基于數據大集中的應用系統,數據庫安全、數據安全是信息系統穩定、可靠運行的核心;另外,在應用系統使用過程中,如何確保應用過程的安全,也是系統穩定、可靠的重要保障。
一、基礎設施安全
在不安全、不穩定的基礎設施上建設出穩定、可靠的信息系統是絕對不可能的事情。基礎設施包括了網絡設備、服務器、操作系統等。我院在網絡改造項目中通過以下技術手段加強了基礎設施安全,提高運行的穩定性。
1、網絡安全
核心交換機采用網絡核心虛擬化的形式,將兩臺核心交換機虛擬成一臺,在前端看到的是一臺虛擬的核心交換機。但在實際運行中,兩臺核心在做負載均衡的工作;當一臺交換機故障時,另一臺可以繼續正常運行。核心交換機到接入交換機之間的關鍵線路采用線路冗余備份的方案,當一條網絡線路出現故障時能夠自動切換到另一條備份路徑傳輸數據。形成“雙機雙鏈路”的基礎網絡架構。
隨著網上預約、數據上報等網上醫療應用的蓬勃發展,醫院信息系統內部網絡想與外部網絡完全隔絕幾乎是不可能的了。在這種開放的網絡環境下,我院采取以下措施來加強網絡安全,維護內部應用系統的穩定性運行:
(1)在網絡邊界處,設置防火墻,劃分為不同的安全區域,外部訪問內部應用的服務需要通過WEB Service之類的代理完成,并配置防火墻策略,采用點對點結合L4 Port規則加強安全。
(2)在安全級別不同的兩個網絡之間,如信任網絡和非信任網絡,部署安全隔離網閘進行內外網數據交互,安全隔離網閘可以在保證安全的前提下,使用戶可以瀏覽網頁、收發電子郵件、在不同網絡上的數據庫之間交換數據。
(3)部署能及時發現威脅,又能實時阻止威脅的入侵防御系統。
(4)部署防病毒網關,檢測進出網絡內部的數據,以保護進出數據的安全。
2、主機安全
服務器等主機設備是醫院信息系統最核心的設備,主機安全直接影響信息系統的穩定運行。我院利用數據中心建設項目,對中心機房核心設備進行了整改,采用如下技術手段加強主機安全。
(1)雙機群集 核心數據庫服務器采用雙機群集配置,消除服務器單點故障。Oracle、DB2數據庫可以采用RAC或pureScale技術實現Active-Active(雙活)群集,我院使用的是SQL Server數據庫,因此采取Active-Standby(主備)群集;(2)負載均衡與虛擬化 三層結構中的應用服務器,可以使用諸如F5之類的負載均衡設備,消除單點故障;也可以將應用服務器進行虛擬化,選擇Vmware、Hyper-V之類的虛擬化解決方案,在消除物理應用服務器的單點故障的同時,可以更好的實現靈活性。我院采取了Vmware的虛擬化解決方案。
(3)日志記錄與審計 主機的安全事件、系統日志需要進行全面的安全審計,及時了解系統運行情況,針對異常事件可以及時進行處理。我院采用了思福迪LogBase等設備進行全面的日志記錄與審計,該設備可以實現對信息系統中各類主機、數據庫、應用和設備的安全事件、用戶行為、系統狀態的實時采集、實時分析、異常報警、集中存儲和事后分析,支持分布式、跨平臺的統一智能化日志管理及審計設備,可以對各類網絡設備、安全設備、操作系統、WEB服務、中間件、數據庫和其它應用進行全面的安全審計。
二、數據安全
數據是醫院多年積累下來的保貴財富,是醫院信息化潮流真正的主題,醫院已經把關鍵數據視為正常運營的基礎,一旦遭遇數據損壞,那么整體工作會陷入癱瘓,帶來難以估量的損失。因此確保數據安全是醫院信息系統安全、可靠運行的基石。數據安全就是要維護醫院數據的:機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。
數據安全有兩方面的含義:一是數據本身的安全,主要是指采用現代密碼算法對數據進行主動保護,如數據保密、數據完整性、雙向強身份認證等,二是數據防護的安全,主要是采用現代信息存儲手段對數據進行主動防護,如通過磁盤陣列、數據備份、異地容災等手段保證數據的安全等。如何有效的防止數據在錄入、處理、統計或打印中由于硬件故障、斷電、死機、人為的誤操作、程序缺陷、病毒或黑客等造成的數據庫損壞或數據丟失現象;如何防范某些敏感或保密的數據被不具備資格的人員或操作員閱讀,而造成數據泄密等后果,是數據安全防護的重要方面。
1、數據存儲安全防護技術
隨著醫院產生的數據越來越多,醫院一般都會采用多種安全防護措施來確保數據的安全,下面簡單介紹幾種常用和流行的數據安全防護技術:
(1)磁盤陣列 磁盤陣列是數據安全防護的基本手段,作為數據庫服務器,為更好地平衡安全、性能、成本,保存事務日志的磁盤一般采用Raid10配置,保存核心數據的磁盤采用Raid5或Raid6配置,同時配置一個全局熱備用(Hot-Spare)硬盤,以防短時間內磁盤柜中的硬盤連續損壞。
(2)數據備份 為確保數據安全,醫院信息系統數據庫應工作在歸檔模式(Oracle)或完全日志模式(SQL Server),采用數據庫完全備份、差異備份、事務日志備份相結合的方式進行數據庫備份。
(3)雙活存儲容災 不論采用數據庫群集,還是Vmware、Hyper-V之類軟件創建的虛擬化群集,都是基于共享存儲的工作模式,群集雖然消除了服務器單點故障,但共享存儲仍是一個潛在的單點故障。為此,需要對群集中的共享存儲進行容災配置,以消除共享存儲的單點故障。共享存儲的容災的方式很多,這里著重介紹基于存儲虛擬化技術的容災,其代表產品有EMC Vplex、IBM SVC等。相比其它存儲容災技術,不但數據丟失容忍量(RPO)為零(即不允許數據丟失),且業務系統恢復時間(RTO)接近于零;通過虛擬化存儲設備的數據鏡像功能,可以實現了數據異地實時同步,保證了在同一時間點、不同物理地點有雙份業務數據分開存儲;同時系統可以連接異構存儲,有利于利舊;并且兩套存儲都工作在Active-Active(雙活)模式,提高了設備利用率;還有就是進行容災演練時不需要停機或停機時間很短,提高了系統的可用性;以虛擬化為基礎,為過渡到云平臺打下了堅實的基礎。
(4)數據加密 對數據庫中數據加密可以對數據庫存儲的內容實施有效保護。通過數據庫存儲加密等安全方法實現了數據庫數據存儲保密和完整性要求,使得數據以密文方式存儲并在密態方式下工作,確保了數據安全,如醫院信息系統中的密碼字段、重要患者的敏感信息,均需要考慮加密存儲。
2、數據訪問安全防護技術
(1)數據訪問權限控制 數據庫權限一旦失控,將會造成嚴重的后果。黑客可能通過客戶端,直接進入數據庫篡改數據。因此必須嚴格控制數據庫權限,用戶數據庫的登錄密碼應該定期進行更換,密碼應符合復雜性要求(如長度在 8 位以上,包含數字與特殊字符等)。數據訪問應遵循最小權限原則,只賦予每一個合法操作主體最小的權限,保護數據以及功能避免受到錯誤或者惡意行為的破壞。
(2)數據審計 數據審計可以及時發現非法的數據庫訪問,并發送警告。除之前提到的思福迪數據庫審計設備外,現在業內廣泛使用的橫渡防統方系統,本質上也是數據庫審計的一種應用模式。
三、應用安全
基礎設施、數據安全做得再好,如果應用跟不上,漏洞百出、不具備足夠的安全性,整個醫院信息系統的安全性、可靠性、穩定性同樣無從保證。
1、系統登錄限制 如訪問IP段的限制,登錄時間段的限制,連接數的限制,特定時間段內登錄次數的限制等,它們就如同應用系統第一道防護大門。
2、程序資源訪問控制 對程序資源的訪問進行安全控制,在客戶端上,為用戶提供和其權限相關的用戶界面,僅出現和其權限相符的菜單、操作按鈕等。
3、功能性安全 功能性安全會對程序流程產生影響,如用戶在操作業務記錄時,是否需要審核,上傳附件不能超過指定大小等。這些安全限制已經不是入口級的限制,而是程序流程內的限制,在一定程度上影響程序流程的運行。
4、數據域安全 數據域安全包括兩個層次,其一是行級數據域安全,即用戶可以訪問哪些業務記錄;其二是字段級數據域安全,即用戶可以訪問業務記錄的哪些字段;
5、數字證書 醫生的登錄名、密碼及個人電子簽名等信息可以保存在類似于 U 盤的加密存儲設備中,用戶在登錄系統時,將該類設備連接在計算機中。由程序讀取加密存儲的用戶登錄信息進行登錄。程序在運行時,該設備也需要一直連接在計算機中。如果該設備從計算機中拿下,程序將進入鎖定狀態或者退出。
6、虛擬化應用安全 隨著信息化的高速發展和社會生活節奏的加快,移動辦公、遠程訪問應用成為提高工作效率的不二選擇,但隨之而來的數據保密等安全性問題需要慎重考慮。遠程虛擬化應用應該做到:
(1)無真實數據傳輸:公網上進行傳輸時,采用專有虛擬通信協議,服務器與客戶端之間傳輸的只是客戶端的鍵盤、鼠標動作以及顯示屏幕變化的刷新部分信息,不是真正意義上的應用交互所產生的數據包。也就是說公網上傳輸的不是用戶實際數據,從根本上保證數據安全。
(2)用戶數據安全:客戶端不保存數據,保證移動設備丟失情況下數據不外泄。
(3)設備準入控制:可根據用戶名、客戶端的唯一標識(如MAC地址、設備ID)對設備的接入進行管理,大大降低非法訪問產生的風險。
7、患者隱私保密 首先,我們應對患者信息的查閱進行分級權限進行。應根據醫院內固定的工作流程和要求,對有必要接觸病人信息的人員設定工作權限,同時對患者的信息依據敏感程度進行分級,如患者的家庭地址、聯系電話等基本信息,應與其診療信息分離。基本信息應嚴格控制查閱權限,減少患者信息的泄漏。要加大對信息技術應用的管理,如限制批量打印,禁止拷貝患者基本信息等。對院內需要公開的患者信息,也應采取適當的措施進行脫敏,重要數據資料要遵守國家有關保密制度的規定,從數據輸入、處理、存儲、輸出嚴格審查和管理,不允許通過醫院信息系統非法擴散。
綜上所述,通過以上安全技術措施的實施,整體提高了網絡、業務數據、應用系統的安全性,減少了系統的單點故障,顯著提高了業務系統運行的穩定性,確保了系統的持續、穩定運行,為醫院業務順利開展提供了有力的技術保障。由此可見,信息安全對建設穩定、可靠的信息系統的重要意義。
作者單位:中山大學光華口腔醫學院·附屬口腔醫院 科室(部門):信息科
聯系方式:***@163.com
第二篇:信息化建設中發展計劃
信息化建設中發展計劃
為進一步貫徹落實中小學校教育信息化工作的精神,推進我校教育信息化工作,結合我校實際,特制定2017-2018學校信息化工作計劃,全面推進教育現代化工程。
一、指導思想
我校教育信息化工作的推進結合鹽城市有關信息化工作的精神,以信息技術教育與信息技術的應用為重點,提高教育資源的利用能力,逐步實現教育現代化。
二、主要工作
1、統一思想,提高認識,加強領導
要廣泛宣傳發動,提高全體教師的認識:信息技術是目前發展最迅速、影響最廣泛的科學技術領域之一,信息化是當今世界經濟和社會發展的大趨勢,教育信息化已經成為推動教育改革的強大動力,以教育信息化來推動中小學教育改革向縱深發展,是全面實施素質教育的必由之路。
強化管理,構筑信息化管理網絡。信息化工作涉及面廣,涵蓋學校工作的方方面面,重視管理,樹立服務第一,建立領導小組,教育信息化小組職責為: ①實施、維護校園網建設工作。
②為推動現代教育技術在學校的發展,搞好局域網、計算機房、等硬件建設。③制定培訓計劃,分層推進師資隊伍信息技術培訓。④推動學校軟件的開發與建設。⑤發揮現代教育技術在教育中的作用。
2、教師信息技術應用能力方面。
教師是實現教育信息化的主導力量,培訓教師是實現教育信息化的關鍵。根據我校實際,教師的培訓著力于信息技術應用能力與水平的提高,初步開展網絡條件下的模式的探究,掌握網絡條件下所必須的技能。建設一支適應教育信息化需要的師資隊伍,是推進教育信息化、實現教育現代化的關鍵。加強在職教師的信息技術培訓,中青年教師100%通過信息技術培訓,使網絡學習成為教師自我進修的一種重要手段。從理論與實踐的結合上,探索現代信息技術在基礎教育中的應用模式,特別是網絡環境下的德育、課堂的模式。
3、信息技術教育方面 積極開展對學生進行計算機運用的培訓,培養學生具有創新精神和實踐能力,特別是自主學習的能力。同時,組織學生積極參加各級教育行政、教科研部門組織的信息技術方面的競賽。開展學生的計算機創作活動,收集學生作品
4、努力建設學科教學資源庫平臺
2015年,我校將建設學校自己的校本資源庫,以資源庫的績效性、科學性、原創性為切入點,開展校內資源庫評比,努力將我校建設為學科資源庫平臺。在做好必要的實踐積累同時,信息中心將與教科處、教務處一起,組織全校教師就學科資源庫如何在具體課堂教學中的有效運用,共同做好理論與實踐兩個層面的探討。小學一年級下冊班務計劃與此同時,我校將不斷吸取校外的優勢教育資源,引導學校教師通過構建的平臺資源,努力實現教師課堂與網絡的緊密銜接,開展“構建網絡化學習環境的理論與實踐”的總結與反思工作。以點帶面,從具體的課堂教學案例中不斷總結經驗,反思網絡環境下,課程整合與學科教學的突破口,從理論與實踐互通的層次去發掘、去體會新課程改革的精髓,全面推進教師學習網絡環境下教育信息理論與課程整合的工作深入、具體、有層次地向縱深發展。
5、結合信息技術與課程整合,深入開展教師現代教育技術培訓工作
隨著校本教研工作的深入開展,我校將根據自身特點,繼續開展教師現代教育技術培訓工作。具體的教師培訓工作,我們將根據教師的實際情況,以自學和集中培訓相結合的方式,提高教師培訓效果。
(1)組織聘請一些有經驗的專家來我校為教師進行講學與培訓,介紹最新的現代教育技術理論與實踐方面的研究,并積極組織學科教師進一步按照學習《全國基礎教育課程改革綱要》及有關教育教學理論,學習國內外信息技術課堂教學中的有效教學策略和教學評價的理論、經驗(如任務驅動法、項目學習法、探究式學習)等,恰當地運用在我校的課堂教學中,促進學生學習方式的轉變。
(2)將繼續對中青年教師進行課件制作、收集信息資源等技術培訓,提高教師的信息技術應用水平。
(3)并希望教師能夠通過自學一些簡單的服務于教育教學的應用軟件,提升個人運用現代教育技術的能力。
(4)組織優秀中青年教師參加各種交流活動,借鑒和吸取兄弟學校優秀經驗的同時,不斷提高運用現代教育技術的水平與層次。
6、牢固樹立“以人為本”理念,進一步提升信息中心管理工作
本學期,2011年小學教導處工作計劃緊密聯系日照市教育發展思路,積極開展校本教研培訓工作。在做好為全校教師服務的同時,牢固樹立“以人為本”理念,為學科教師提供現代教育技術理論與實踐的有力支撐。信息中心的管理工作要深入、細致地剖析管理層面的寶貴經驗,繼續總結信息中心的管理工作。在總結經驗的基礎上,不斷創新,并以此為契機,加強信息技術日常的教學管理工作,提高管理層面的效能,為學科教師提供現代教育技術理論與實踐的平臺為支撐的同時,時刻“以人為本”要求信息中心的各項工作,緊密配合教師順利完成運用現代教育技術手段促進課堂教學效能的工作。要不斷總結校本課程的開發成果,深入的去探討從課例研究向課程建設過渡的經驗與不足,在具體教學中注意摸索與反思,總結成功經驗為今后的校本課程開發奠定堅實的基礎。并結合校內資源庫的開發,不斷加強教學素材的積累,形成有校本特色的資源庫和素材庫。
7、保證實驗室能較好的配合任課教師的實驗工作。為適應教學中新教材的使用,實驗室教師要熱愛本職工作,認真學習新教學標準,加強新實驗的準備和操作能力,加強與任課教師間的聯系。配合任課教師做好演示實驗和學生分組實驗、認真做好實驗教學情況記錄。為教師公開課及科技興趣活動做好必要的準備和協助工作。實驗室做好準備工作,配合任課教師指導學生訓練和復習,檢修好實驗器材,改進器材的性能,確保各項實驗圓滿成功。對新教材中的新型實驗設備進行研究,提高操作能力和故障處理能力,保持設備的正常使用率在95%以上。
8、做好實驗儀器、藥品的訂購工作,對調撥的儀器、藥品及時登記,保存好說明書和有關資料,按類別分室保管。對現有的儀器、藥品與新課程的要求進行對比,提出增訂的計劃。做好每個實驗室的使用記錄,保證實驗室的正常使用,維持實驗室的衛生情況良好。配合教務處準備好物理、化學、生物實驗課的實驗準備和訓練工作。檢查寒假裝修(可行的話)后的各個實驗室的設備和藥品器材的購進情況,制訂好新的訂購計劃和實驗教學計劃。
9、進一步加強實驗室防火、防盜工作等安全工作;經常檢查防盜探頭并保持性能良好。按學校要求,定期做好分片包干的實驗室清潔工作和安全檢查工作。
10、教育科研
在推進教育信息化的過程中,將堅持以教育科研為先導,通過研究促進信息化工作,以教育信息化推進教育科研活動,深化教育改革。總之,我們將牢牢把握機遇,把學校信息化工程作為學校教育改革的重點突破口來抓,腳踏實地,奮起直追,開創學校各項工作的新局面。
鹽城市鞍湖實驗學校
2017.9
第三篇:醫院信息化建設中存在的問題
醫院信息化建設中存在的問題
我國于20世紀70年代后期開始醫院信息系統的開發應用工作。截至目前,醫療信息化建設已經走過了20多個年頭,醫療信息化取得了相當的進展,但是又一路走得很艱難。與金融、稅務等行業如火如荼的信息化相比,醫療信息化顯得有點不慍不火。一方面,醫療信息化市場前景廣闊,每年有高達40億元的市場;另一方面大部分從事醫療信息系統開發的公司又未實現顯著贏利,這是一個相當矛盾而又長期存在的現實。
一般說來,醫院信息化包括醫院管理信息化、臨床管理信息化和局域醫療衛生服務信息化3個階段。目前,我國大多數醫院還停留在第1個階段,信息技術在真正的診斷、手術中的應用還很少。大部分醫院還只能在財務、人事、劃價、收費等環節實現計算機管理,局限于模仿和替代入工作業流程,而極少涉及臨床信息,并缺乏對醫療臨床功能的直接支持。衛生部統計信息中心主任饒克勤認為,現在不少醫院的信息系統在很大程度上是醫院管理流程的計算機化,并不是真正的醫療信息化;醫療信息化的核心是病人信息的共享,包括醫院各個科室之間、醫院之間、醫院與社區、醫療保險、衛生行政部門等的信息共享,以數據庫為中心實現病人信息的無紙化和無膠片化。今后醫療信息化建設的重點將不再是醫院管理的信息化,而是臨床管理的信息化,把信息技術真正應用到疾病的診斷和手術中去。制約醫院信息化發展的因素
(1)造成醫療信息化步履艱難的原因很多。首先是體制的難題。據專家估計,一個三級甲等醫院要實施整個醫院的信息化建設,至少需要幾千萬元甚至上億元的投資。而這些投資的大部分需要醫院自己籌集。因為目前國家對醫院的信息化建設投入減少,只占衛生事業支出的10%左右。另一方面,醫院本身由于受到國家政策的制約,贏利受到嚴格的限制,導致醫院很難一下子投入巨資用于信息化建設。據衛生部的官員介紹,醫院的信息化基本上是自力更生,大都采取了邊積累邊建設的方式。所以,有業內人士表示,醫院的信息化建設更多的是個過程,而不是項目。但有些醫院由于受到贏利的壓力,更愿意投資購買一些可以馬上產生效益的醫療設備,如CT機、麻醉機等,而不愿意在不能直接產生經濟效益的信息系統上投巨資。
(2)醫學自身的復雜性導致了信息技術和醫學的結合極其困難。由于太過專業,而且業務流程十分繁瑣,醫療信息化本身的復雜程度非一般的其他行業所能比擬。不做醫療信息化的人很難理解其中的艱辛,僅驗血一項就有幾十個指標,要實現化驗信息化,就必須把機器化驗出來的結果全部數字化,還要做到不同部門之間的數據共享,談何容易。可以說,目前所有最尖端、復雜的信息技術都已經在醫療信息化中得到應用,但全球仍然沒有哪一家醫院能算得上已經實現了醫療信息化,由于對醫療行業信息化復雜度估計不足而導致系統失敗是很多見的。例如IBM在20世紀 60年代就嘗試過開發和在醫院中實施HIS系統,原以為把政府和其他行業用得好的財務管理系統照搬過來就行,結果由于忽視和輕視了醫療環境的復雜性而失敗。
(3)醫院信息化建設要得以迅速發展,必須有一批從事這一工作的專業技術人才。隨著醫院信息化建設的深入發展,現有的專業技術人才無論在數量還是質量上,都不能滿足需要。目前,我國醫院信息化過程中,既懂IT、又懂醫學以及醫院管理的復合型人才十分缺乏。更值得注意的是,醫院好不容易引進了這方面的復合人才,可由于體制的原因,這樣的人才在職稱評定及職位升遷方面卻不能享受優厚甚至只是正常的待遇,以至于人才的流失也很嚴重。
(4)現有的HIS產品性能很難使用戶滿意,醫院對信息化管理軟件選擇存在概念不清,軟件在使用中逐漸暴露出許多問題,如升級后長時間死機,中、西藥劑科盤存不準確,功能單一,不能滿足醫院管理需求。特別是長時間死機造成了工作被動,病員不滿,對醫院工作影響很大。中國醫藥信息學會的王繼中教授認為,當前國內HIS產品在開發方面存在的主要瓶頸有3個:第一是所選擇的數據庫平臺不當;第二是所采用的軟件設計方法和工具欠佳;第三是在如何建設中大型HIS系統上還缺乏經驗。解決的方法
(1)在中國衛生信息學會成立暨全國及廣東衛生信息技術學術交流會上,國家衛生部副部長王隴德透露,今后3年,國家每年將對醫療衛生系統投資80多億元,而在以往,這一投資不過10個億左右。其中,為了加快完成醫療衛生網絡信息化,衛生部的信息化規范中明確規定,今后醫院必須將每年收入的5%用于信息系統建設的支出。針對醫院信息化管理中存在的問題。國內資深的醫院信息化建設專家,北京大學人民醫院醫學信息中心主任何雨生研究員提出了,扭轉信息化和管理之間的脫節局面。管理者要轉變傳統的醫院管理模式,變信息化推動管理為管理帶動信息化。充分意識到信息化對醫院的發展的重要性,參與到醫療信息化改革中來。醫院HIS的建設是一種基礎建設,是醫院建設的硬件設施,是醫院管理現代化,規范化的有力手段,是醫院內部管理的一次變革,具有十分重要的意義,是評價一所醫院高水平管理的重要指標。
(2)在處理信息部門專業技術人員問題上,醫院管理者要給予必要的重視,醫院信息部門與其它臨床科室一樣,是一個現代化醫院必備的后勤科室。一旦醫院中心交換機出現問題,將造成全院各系統的癱瘓。將造成上10萬元的損失。對于默默工作在醫生光環后的英雄,對于人才引進,工資福利問題,要提到醫院的日常事務上來。從而推動醫院的信息化建設穩定、快速、發展。
(3)在HIS產品方面,醫院和軟件開發廠商之間關系建立的基礎和進一步合作的前景,對醫院信息管理系統的進一步完善、升級,以及不同數據平臺軟件之間的整合具有巨大的影響,關系到醫院信息管理系統的生存和發展。醫院信息化管理軟件來說,應緊密圍繞醫院管理目標,體現管理思想,任何軟件都不是“萬能”的軟件,因此必須從醫院實際出發,針對具體情況,本著“優質、高效、低能”的管理目標,選擇適合自己的信息化管理軟件,其中應著重解決以下幾個問題:根據網絡系統的相應時間、事物處理實時性要求解決存儲、通信容量等方面的問題;根據醫院對網絡操作的具體要求,確定操作系統、漢字系統,應用軟件等網絡運行環境;充分考慮整個網絡的開放性、可擴充性、維護性,以及先進性要求,為醫院未來發展做好準備;在資金保證的前提下提高性能以及兼顧先進性與實用性問題。總之要在充分調查醫院的基本要求后,編寫可行性報告與需求分析報告,與使用科室充分交換意見后同軟件提供者充分協商后實施。并編寫實施規劃,按規劃分步實施,爭取做到萬無一失。
從IT企業來說要是想從事醫院的信息系統的開發,一定要有較大的規模和較強的實力,而且要投入,多和醫院交流、溝通,才能真正為醫院解決問題。而從醫院方面來說,一方面要全力配合軟件開發人員好技術調研和系統應用工作。另一方面要培養建設醫院信息管理系統,對醫院來說既不是簡單購買一臺大型設備的概念,也不是做一個2-3年能完成的課題項目的概念。醫院的信息化建設是一個大型的、復雜的系統工程,其中包含和涉及了太多的學科內容。在此,我們可以借鑒江門市人民醫院,采用“沒有接口的大集成”方法,醫院全部應用系統由一家公司完成,系統間沒有無縫連接,實現了醫院信息系統(HIS)、臨床信息系統(CLS)、實驗室管理系統(LIS)、放射科信息系統(RIS)、醫療影像存儲與傳輸系統(PACS)、體檢系統及其它系統的有機融合,使之
一體化,實現了管理信息、醫療信息、影像信息、實驗室信息、病人信息、病歷信息、藥品信息、財務信息、物資信息的高度共享。
實現以效益為中心的(包括以質量為中心和病人為中心)和以信息技術為技術構架和操作手段系統是醫療服務體系需要也是醫院自身建設的需要。走質量效益型的內涵性發展模式是建設現代化醫院的必由之路。這便決定了醫院要在優質、高效、低耗的條件下,充分利用現代管理手段實現資源的最優化配置和利用。醫院信息化不是目的,而是手段。醫院信息化建成后,將形成合理高效的管理方法,逐步完善醫院管理,提升醫院的綜合院力。因此,對于醫院信息系統的建設,一定要有理性的目標定位,有充分的論證、統籌和組織協調,真正做到“整體規劃,分步實施,階段見效,持續發展。”
第四篇:信息科在醫院信息化建設中的作用論文
醫院信息科的管理內容較多,建立信息科,是為了進一步促進醫院內部信息的存儲和調用,促進醫院決策和組織協調。現代科技發展中,醫院信息科工作模式發生轉變,信息管理水平不斷提高。醫院信息化建設中需要充分發揮出信息科的作用,提升醫院運行管理水平。
一、醫院信息科主要工作內容
現代經濟的發展促進了科技的發展,信息科技技術也得到廣泛的應用。醫院在運行管理中利用信息管理技術,實現內部醫療和科研、制度信息的通訊、管理,提高信息資源利用率的同時,保證醫院決策工作的組織協調。新時期下,醫院信息科在內部信息管理工作中發揮著日益重要的作用。醫院信息科在日常事務中需要由分管院長組織和帶領,對醫院醫療研究、業務處理和科研情報信息統一搜集、整理,最后在分類處理中利用計算機技術完成存儲、傳輸和加工,方便后期的文件檢索。醫院信息科管理的信息種類多、信息量大,需要充分利用互聯網技術,提高工作效率、保證工作質量。信息科管理人員要做好醫院計算機的軟件開發和應用維護工作,病人在就診過程中使用醫保卡等,醫院在辦理業務時需要利用專門的處理系統建立病人的個人檔案,實現個人賬戶的配套式管理,其中包括病人的身份、病情、治療和醫保報銷等情況。醫院從事醫療研究和醫療服務過程中需要加強對內管理和對外宣傳,例如醫院參與科研活動或某項醫學研究取得重要成果,這些均會通過醫療期刊發表出來。信息科同時需要進行圖書整理、訂購和期刊管理等工作,對于一些重要的醫學情報包括聲像和文獻等要在醫院不同部分提供信息反饋。醫學圖書管理中,信息科需要按照圖書類型做好編號,并利用計算機系統建立起完善的期刊數據庫和電子圖書庫,便于醫院全體人員的資料查閱和調用。
二、信息科在醫院信息化建設中的主要作用
1.信息支持和服務作用。現代信息技術不斷發展。計算機網絡和電子技術應用廣泛,醫院不同的部門對計算機的應用頻繁,不同科室對信息科有嚴重的依賴現象,因而信息科在軟件維護、開發過程中要集中考慮醫院不同領域和不同科室對系統應用的實際需求性。醫院信息科是保證醫院計算機系統運行穩定的關鍵,尤其是醫院在為患者提供治療服務時,患者的私人信息包括病情、病發原因和治療、用藥情況均屬于保密信息,因而信息科在開發和升級病患信息輸入系統時要做好技術維護。醫院各部門工作中均會使用計算系統,使用較多的是關于病患資料的輸入,信息科作為系統的主要研發和維護方,對醫院醫療、醫院信息具有支持和服務作用,在為院方提供快捷的網絡服務的同時,保證了各科室工作效率。2.參謀決策作用。醫院信息科在醫院信息化建設中具有重要的參謀決策作用,信息科的專業技術和設備需要進行不斷的升級,保證信息維護建設的質量和水平。新形勢下,醫院診療和科研服務水平不斷提高。醫院數據庫信息量增大,軟件設備在處理過程中任務重、難度大,難以保證醫院信息決策和使用者能夠獲取最有效的信息。而醫院信息科的存在屬于部門信息調度的中間者,醫院數據庫信息量暴增,不同部門和不同科室由于工作性質不同,需要使用的信息資料也不同,信息科可以在部門溝通中了解信息的使用特點和使用需求。醫院信息科與醫院其他部門之間聯系密切,在交流合作中能夠促進軟件升級,保證信息歸類的準確性和標準性,為部門管理層提供更加可靠、實用的決策參考信息。3.信息安全建設作用。醫院信息科需要在分管院長或院長的帶領下,規劃安排全醫院的信息建設工作,在醫院信息系統開發中需要依據醫院工作特點和工作性質,建立持續性的、標準化理論體系。醫院信息化建設中要結合科技手段和法律規范,明確醫院信息管理的要求和目標。在軟件系統研發中要有計劃、有目的的進行,分批、分期、按步驟完成。醫院信息科研發的系統關系醫院醫療服務質量和工作管理效率,技術人員通常在技術培訓和業務了解中獲取醫院不同部門和科室的工作要點,以此作為系統維護和軟件升級的據點,保證醫務信息在搜集、整理和匯總、傳輸中根據法律保證性和安全性,促使醫院信息化建設更加合理、可靠。
三、發揮信息科在醫院信息化建設中作用的方法
1.加強政治教育和思想學習。醫院信息科在管理過程中,需要加強工作人員的技能培訓和思想教育。醫院信息科需要整合醫院科研和診療資源,對研究材料和病患材料進行合理分類,才能在系統開發中采取針對性措施提高系統運行的穩定性和安全性。因而信息科的技術人員要在專業學習和工作實踐中不斷提升自我。同時信息科在促進醫院信息化建設中,要有信息安全和保密意識,強化自己的工作責任意識,針對這種情況,工作人員需要在院方的領導下積極參加政治思想教育,做好總結和季度分析,總結和分析的主要內容包括對自身工作能力和工作水平的評價,也包括對信息科部門效益評估。2.工作站和服務器的管理。醫院信息科在促進醫院信息化建設中具有技術支持作用,醫院不同部門和科室使用的信息系統均依賴信息科技術人員的研發、管理和維護、升級。信息科需要做好網絡安全管理和工作站維護工作。對于網絡運行要有一個整體的規劃,在熟練掌握網絡結構的基礎上,及時排除系統運行障礙,降低系統故障恢復時間。促進網絡建設安全既要靠技術也要靠管理,客戶端可以建立病毒防護體系,隔離內外網的同時禁止外來存儲介質的使用,這是醫院信息科管理工作站的基本內容。在服務器管理中,需要做到配置合理,保證信息系統的運行穩定和安全,數據備份和數據存儲中可以采用雙鏈路設計,提高主機的服務性能。3.加強與科室和醫院的聯系。醫院信息科對醫院信息化建設和管理具有促進和輔助作用,但是信息科并不是一個單獨成立的個體,其工作方向和工作目標要以醫院不同部門、科室的工作方向和目標為基準。信息科在開發、升級軟件過程中需要考慮不同科室的使用特點和使用需要,做好系統的定位工作,信息科在系統建設中具有領導者和指揮者的效用,因為需要在實踐中增加與各科室和部門的聯系。信息科開發出軟件后,可以指導使用人員改變傳統的操作方法,幫助醫院人員更好的掌握系統使用方法。現代科技水平不斷提高,醫院的工作流程和管理模式也在不斷發生變化,針對這些,信息科在醫院信息管理和信息化建設中也要做出工作方法和調整,保證信息科科內的工作制度與工作模式符合醫院管理要求。
四、結語
經濟的發展促進了信息技術的應用,信息管理技術在各領域應用較廣,醫院信息科建立不僅是為了促進內部信息管理、存儲和調用,同時還要信息軟件開發和維護上促進醫院工作水平提高。要充分發揮信息科在醫院信息化建設中的作用,就要在人才培養基礎上,增加信息科與醫院各部門聯系,促進信息開發、管理技術在實踐中應用提升。
參考文獻:
[1]趙航,于淼.新形勢下如何發揮信息科在醫院信息化建設中的作用[J].黑龍江科技信息,2016,(35):188.[2]張昊.論新形勢下如何發揮信息科在醫院信息化建設中的作用[J].信息化建設,2016,(04):20.[3]宋英帥.試論信息科在醫院信息化管理中的作用[J].管理觀察,2014,(29):76-78.[4]王麗.醫院管理信息系統在信息化建設中的作用[J].華北煤炭醫學院學報,2011,(05):702-703.
第五篇:信息化建設中信息安全的定位和構筑策略
信息化建設中信息安全的定位和構筑策略
摘要:信息安全事件的不斷增多使得在信息化建設中信息安全受到越來越多的重視。如何在信息化建設中更好的規劃和應用信息安全,確保信息化建設的成功是本文關注的重點。本文從技術和管理兩個方面對信息安全涉及到的內容進行了闡述,并結合信息系統等級保護,探討了在信息化建設中如何從宏觀和微觀兩個角度進行信息安全建設。
關鍵詞:信息化建設;信息安全;信息系統等級保護
中圖分類號:P23
文獻標識碼:A
文章編號:1674-3695-(2009)05-19-05
1引言
隨著信息化建設的不斷深人,信息安全問題日益突顯。目前,世界各國都將信息安全、網絡安全作為事關國家安全的大事來抓。2009年5月29日,美國總統奧巴馬公布了一份由安全部門官員完成的網絡安全評估報告,表示來自網絡空間的威脅已經成為美國面臨的最嚴重的經濟和軍事威脅之一,宣布在白宮成立網絡安全辦公室。在中共十六屆四中全會上,中央將信息安全與政治安全、經濟安全、文化安全并列為四大“國家安全”,明確提出了完善信息安全的戰略目標。由此可見,信息安全對保障一個國家的政治、經濟、軍事安全發揮著越來越重要的作用。因此,信息化建設中信息安全問題的深入探討很有意義。
2信息安全的定位
我國的信息化建設始于20世紀80年代,最初的建設主要集中于紙質信息的數字化以及單機應用系統的開發。隨著網絡技術的不斷發展,應用系統的開發也逐漸轉向以網絡為依托,實現電子政務、電子商務、網上辦公等。不僅節約了資源,提高了辦事效率,而且擴大了資源共享范圍。
由于在微型計算機發展之初,對安全的考慮不夠,導致微型計算機軟、硬件設計上的簡化,致使信息資源及其依托的軟硬件極易遭到破壞,產生了安全隱患。計算機網絡的主要目標是實現資源共享,因此在設計之初也未過多考慮安全問題,從而造成網絡協議的安全缺陷。而且隨著應用軟件功能的不斷完善,代碼量越來越大,存在的軟件漏洞也越來越多。正是由于這些原因,導致計算機病毒、木馬、后門泛濫,嚴重威脅信息的安全。
隨著信息化建設的不斷推進,信息化建設的重點由只關注應用系統開發,逐漸轉變為系統開發與信息安全建設并重,信息安全被提高到了一個前所未有的高度。按照目前的觀念,信息化建設涉及的內容可劃分為三個方面:網絡基礎設施建設、應用系統開發和信息安全保障,這些稱為信息化建設的“三大支柱”,缺一不可。如果把網絡基礎設施比喻成高速公路,把應用系統看作是高速公路上行駛的車輛,那么信息安全就是保障道路和車輛安全所必須遵循的交通法規。我們都知道在沒有交通法規的高速公路上行駛車輛會造成什么樣的后果,因而我們不難想象,在沒有信息安全保障的網絡基礎設施上運行應用系統將會造成什么樣的后果!信息安全是網絡基礎設施和應用系統的安全保障,其重要性將隨著信息化建設的不斷推進而更加凸顯。3信息安全的范圍
信息安全的主要目標是實現機密性、完整性和可用性。信息技術安全評估準則(ISO/IEC 15408)將信息安全定義為:被評估的信息系統或產品的安全策略、安全功能、安全管理、安全開發、安全維護、安全檢測、安全恢復和安全評測等概念的總稱。
信息系統安全保障評估框架(GB/T 20274)中將信息系統安全保障定義為:在信息系統的整個生命周期中,通過對信息系統的風險分析,制定并執行相應的安全保障策略,從技術、管理、工程和人員等方面提出安全保障要求,確保信息系統的保密性、完整性和可用性,降低安全風險到可接受的程度,從而保障系統實現機構組織的使命。綜合已有的標準和實際工作,我們認為信息安全涉及到整個信息化建設的方方面面,必須融入到信息化建設的全過程。只有在整個信息化建設過程中,通過技術和管理兩個方面的考慮,把信息安全作為信息化建設的一個重要目標,才能保障信息化建設的成功。
只重視技術不重視管理,信息安全是無本之木;只注重管理不注重技術,信息安全是“空口政治”;只有技術和管理并重,才能最大程度的提供安全保障。以系統口令為例,口令安全策略要求口令需要定期修改。如果只是把其作為一項安全策略讓各部門員工熟知,而不從技術上進行控制,則很難達到效果。因為無論口令改與不改,我們都無從知曉,而且對于大多數人來說,一般觀念都是怎么方便怎么來,這樣,這項安全策略根本無法貫徹。如果我們通過技術手段,確保若不定期更改密碼則無法登陸系統,用戶只能定期更改密碼。只注重技術不注重管理同樣很難保證安全。依然以系統口令為例,如果我們只是通過技術手段要求員工必須按照要求定期修改口令,而不從管理上進行要求,則很多員工會為了方便,將復雜的口令寫下來,貼在電腦旁或記在本子上,這同樣不安全。權威機構統計表明:在所有的信息安全事故中,70%以上的信息安全問題是由于內部員工的疏忽或有意泄密這些管理方面的原因造成的,而這些安全問題中的絕大多數是可以通過科學的信息安全管理能夠避免或解決。只有員工都樹立安全意識,按照優化的技術流程辦事,發揮技術和管理的雙重作用,信息安全事故才能杜絕。下面,我們就詳細探討一下信息安全所涉及到的這兩方面。3.1技術
在技術上,信息安全主要通過在信息系統中部署軟硬件并正確的配置其安全功能來實現,我們稱其為“安全技術手段”。目前常用的安全技術手段有以下幾種:
1)身份鑒別:用于對用戶的身份進行確認。常采用的身份鑒別方式有口令、指紋、證書等。其中使用最為廣泛的為口令,隨著對信息安全的要求不斷提高,指紋識別、虹膜識別等一系列生物認證方式得到大范圍應用。使用 USBKEY來存儲用戶數字證書來達到身份識別的方式也在許多企事業單位得到廣泛應用。2)訪問控制:通過限制只有授權用戶才可以訪問指定資源,防止非授權的訪問和授權人員的違規訪問。包括自主訪問控制和強制訪問控制。自主訪問控制可以由用戶制定安全策略。強制訪問控制由系統管理員指定安全策略,用戶本身無權更改自身的安全屬性。3)標記:對計算機系統資源(如用戶,進程,文件,設備)進行標記,通過標記來實現對系統資源的訪問控制。標記是實施強制訪問控制的基礎。
4)可信路徑:提供系統和用戶之間的可信通信路徑。目前,Windows為部分應用提供可信路徑,比如口令的輸人。
5)安全審計:對受保護客體的訪問進行審計,阻止非授權用戶對審計記錄的訪問和破壞。安全審計作為信息安全的一種事后補救或追蹤手段,對發現和追蹤違規操作非常重要。
6)剩余信息保護:在客體重新被分配給一個主體前,對客體所含內容進行徹底清除,防止新主體獲得原主體活動的任何信息。尤其是對于一些曾經存儲過涉密信息的介質,在使用前必須采取一定措施,確保不會造成涉密信息泄露。
7)數據機密性保護:防止敏感信息泄露給非授權用戶。通常采用加密技術來確保信息的機密性。
8)數據完整性保護:防止非授權用戶對信息進行修改或破壞。隨著計算機技術的不斷發展,完整性被破壞所造成的危害已遠大于機密性所造成的危害。目前常用的完整性保護是通過對被保護信息計算哈希值,通過將被保護信息的哈希值和預先存儲的哈希值進行比較來確定信息是否被篡改。
上述技術手段主要通過一些安全產品來實現。常用的安全產品有:VPN設備,安全路由器,安全防火墻,入侵檢測系統,入侵防御系統,CA系統,防病毒網關,漏洞掃描系統,抗拒絕服務系統,流量控制系統等。只有按照制定的安全策略,正確的配置安全產品,才能最大程度提供信息安全保障。3.2管理
在管理上,與信息系統中各種角色參與的活動有關,主要通過控制各種角色的活動,從政策、制度、規范、流程以及記錄等方面做出規定來實現。一個完善的信息安全管理體系,主要涉及以下幾方面的內容:
1)策略和制度
安全策略是對允許做什么,禁止做什么的規定。安全策略可以定義成一種文檔,用于陳述如何保護有形和無形的信息資產。建立信息安全管理體系既要制定說明信息系統安全的總體目標、范圍和安全框架的總體安全策略,也要制定包含風險管理策略、業務連續性策略、安全培訓與教育策略、審計策略、規劃策略、機構策略、人員策略等具體的安全策略。
安全策略屬于安全戰略范疇,它不需指定所使用的技術。因此,還需要在安全策略指導下,根據機構的總體安全策略和業務應用需求,制定信息系統安全管理的規程和制度。如網絡安全管理規定,系統安全管理規定,數據安全管理規定等。2)機構和人員
建立信息安全管理體系,需要建全安全管理機構,配置不同層次和類型的安全管理人員,明確各層各類安全管理機構和人員的職責與分工,建立人員錄用、離崗、考核和審查制度,定期對信息系統相關工作人員進行教育和培訓,制定第三方人員管理要求。3)風險管理
信息安全的實質是通過對信息系統分析,了解所存在的安全風險,通過相應的安全技術和措施,將安全風險降低到可接受的程度。風險管理包括威脅管理和脆弱性管理。進行風險評估,分析資產價值/重要性,分析信息系統面臨的威脅及信息系統的脆弱性,進而了解系統存在的風險,采取相應的安全措施避免風險的發生。要定期進行風險評估,并確定安全對策。4)環境和資源管理
需要對機房、辦公環境、資產、介質和設備進行管理,保障其安全可靠、穩定運行。如機房要防水、防火、防潮、防靜電、防雷擊、防磁等;設備、介質、資產要防盜、防毀,確保其安全可用。對資產的增加、減少和轉移要進行記錄。5)運行和維護管理
運行和維護涉及的內容較多,包括系統用戶管理,終端系統、服務器、設備管理,運行狀況監控,軟硬件維護,外包服務管理等。還包括對采用的各種技術手段進行管理,對安全機制和安全信息進行集中管理和整合。6)業務連續性管理
對數據備份的內容和周期進行管理,對介質、系統和設備進行冗余備份,制定應急響應機制和預案,在災難發生時能夠進行應急處理和災難恢復,保障業務的連續性。7)監督和檢查管理
對系統進行審計、監管、檢查。對建立的規章制度,定期進行監督和檢查,確保制度落到實處。同時,需要結合審計,對安全事件進行記錄,對違規操作進行報告,按照審計結果進行責任認定,并據此對機構和員工進行獎懲。8)生命周期管理 建立信息系統安全管理體系,還要對應用系統的整個生命周期進行全過程管理。確保開發的應用系統符合安全要求。應用系統的生命周期可以劃分為規劃組織階段、開發采購階段、實施交付階段、運行維護階段、變更和反饋階段和廢棄階段。在每一個階段中,信息安全管理貫穿始終。我們認為,如果能夠在每個階段進行類似于等級保護制度的備案,可以為系統的成功開發提供一定的監督和指導作用。
在規劃組織階段,需要在應用系統建設和使用的決策中考慮應用系統的風險及策略;在開發采購階段,需要基于系統需求和風險、策略將信息安全作為一個整體進行系統體系的設計和建設,并對建設的系統進行評估,以確保符合國家相關要求,如等級保護的要求;在實施交付階段,需要對承建方進行安全服務資格要求和信息安全專業人員資格要求,以確保施工組織的服務能力,確保交付系統的安全性;在運行維護階段,需要對信息系統的管理、運行維護、使用人員等進行管理,保障系統安全正常運行;在變更和反饋階段需要對外界提出的新的安全需求進行反饋,變更要求或增強原有的要求,重新進入信息系統的規劃階段;若信息系統無法滿足已有的業務需求或安全需求,系統進人廢棄階段。
4信息安全的建設過程
信息安全建設可以從宏觀和微觀兩方面來考慮。如圖1:
從宏觀上,包括風險評估與等級保護、災難備份和應急響應機制的建設。我國著名信息安全專家方濱興院士指出“風險評估和等級保護,兩者相輔相成,需要一體化考慮。因為風險評估是出發點,等級劃分是判斷點,安全控制是落腳點,所以風險評估和等級保護這兩件事兒是相輔相成的,只有知道了系統的脆弱性有多大,等級保護才能跟上去”。災難備份是指利用技術、管理手段以及相關資源,確保已有的關鍵數據和關鍵業務在災難發生后在確定的時間內可以恢復和繼續運營的過程。應急響應機制用于確保在緊急事件發生時,能夠盡快響應,將系統損失降低到最小。在平時,還需要進行安全演練或演習,模擬可能發生的安全事故,開展應急響應。
從微觀上,進行信息安全建設主要包括以下幾個步驟:
(1)制定安全策略。根據單位具體情況,依據風險評估的結果和等級保護要求,確定具體安全需求,制定安全策略。如:環境安全策略、數據訪問控制安全策略、數據加密與數據備份策略、身份認證及授權策略、災難恢復及事故處理策略、緊急響應策略、安全教育策略、審計策略等。安全策略對于整個系統安全方面的設計,安全制度的制定,安全相關功能的開發等都有著重要的指導意義。
(2)根據安全策略,確定安全機制。安全策略通過安全機制來保障和實施。安全機制是實施安全策略的技術、制度和標準。比如,我們制定了一項安全策略:“所有的通訊都必須經過加密”。為了保障這個策略的實施,我們需要確定采取何種技術來實現,比如我們可以依據此條策略確定所需要使用的技術:“所有的通訊都必須采用3DES(一種加密方案)進行加密”。
(3)制定業務流程。在安全機制的實施過程中,具體操作必須按照規定的流程進行才能夠確保不發生違反安全策略的事件。制定業務流程可以使操作過程更加清晰。
(4)設計表單。將所有的操作細節落實到表單上,對操作的結果進行記錄。
下面以機房巡檢為例,對信息安全建設過程進行說明。
在機房管理方面,首先根據單位具體要求,確定必須定期進行安全巡檢(安全策略);然后需要制定安全巡檢規則、巡檢內容等(安全機制);接著確定巡檢步驟,巡檢具體內容(業務流程);最后確定每次巡檢時需要記錄的巡檢結果(表單)。如圖2所示。
5結束語
信息安全是信息化建設中的重要一環,對于保證信息化建設的成功起著非常重要的作用。本文結合筆者的實際工作經驗,對信息安全在信息化建設中的地位,信息安全所涉及到的范圍以及信息安全的建設過程進行了闡述,希望可以為信息化建設過程中信息安全工作提供一定的指導。
(作者: 安迎建 范艷芳 謝俊奇)參考文獻:
[1]Matt Bishop.計算機安全學—安全的藝術與科學[M].北京,電子工業出版社,2005 [2]Sari Stern Greene.安全策略與規程[M].北京,清華大學出版社,2008 [3]穆瑛.方濱興院士對國家信息安全保障體系再解讀[J].信息安全與通信保密.2009,11-12
點擊咨詢 