第一篇：安恒信息醫(yī)院信息系統(tǒng)安全解決方案

醫(yī)院信息系統(tǒng)是支撐醫(yī)療體系改革的“四梁八柱”之一，是計(jì)算機(jī)技術(shù)對醫(yī)院管理、臨床醫(yī)學(xué)、醫(yī)院信息管理長期影響、滲透以及相互結(jié)合的產(chǎn)物，它與醫(yī)院建設(shè)和醫(yī)學(xué)科學(xué)技術(shù)的發(fā)展同步。然而隨著醫(yī)院信息化的迅猛發(fā)展，信息的高度集中使得核心數(shù)據(jù)泄密的隱患也越來越突出，在利益的驅(qū)使下非正常的統(tǒng)方行為、患者信息泄密行為屢有發(fā)生，各級醫(yī)療機(jī)構(gòu)急需采取“教育為先、制度為主、技術(shù)為輔”的綜合管理手段，多管齊下，對敏感數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，對違規(guī)操作進(jìn)行追根溯源和智能控制，全面提升信息系統(tǒng)安全管理水平，有效遏制違法、違紀(jì)活動的發(fā)生。

通過對醫(yī)院信息系統(tǒng)的“業(yè)務(wù)層面、技術(shù)層面、管理層面”的安全需求分析，安恒信息提出內(nèi)/外并重的安全解決方案(參見示意圖)，即：在現(xiàn)有的安全保障措施下，在互聯(lián)網(wǎng)接入?yún)^(qū)增設(shè)WEB應(yīng)用防火墻，防止來自醫(yī)院外部的信息竊取;在不影響HIS系統(tǒng)、PACS系統(tǒng)、EMR系統(tǒng)等應(yīng)用系統(tǒng)的前提下，在核心業(yè)務(wù)服務(wù)區(qū)增設(shè)數(shù)據(jù)庫審計(jì)設(shè)備，通過對網(wǎng)絡(luò)中的海量、無序的數(shù)據(jù)進(jìn)行處理、關(guān)聯(lián)分析，實(shí)時(shí)監(jiān)控內(nèi)部人員的越權(quán)、違規(guī)操作，防止患者信息、醫(yī)院經(jīng)營/財(cái)務(wù)/科研等敏感數(shù)據(jù)的外泄，構(gòu)筑八大安全防線，保護(hù)院方的核心利益。

防非法“統(tǒng)方”

醫(yī)藥購銷領(lǐng)域商業(yè)賄賂給臨床醫(yī)生帶來很大負(fù)面影響，非法“統(tǒng)方”是醫(yī)藥代表事實(shí)定量賄賂的主要依據(jù)，醫(yī)院信息科、藥劑科、開發(fā)商是提供“統(tǒng)方”的重要來源。應(yīng)用數(shù)據(jù)庫操作監(jiān)控審計(jì)設(shè)備，對于來自HIS系統(tǒng)、EMR系統(tǒng)等業(yè)務(wù)系統(tǒng)的所有數(shù)據(jù)庫操作行為保留操作痕跡，以便在追究法律責(zé)任或醫(yī)療糾紛時(shí)可提供回溯性認(rèn)定;對于來自維護(hù)人員的遠(yuǎn)程數(shù)據(jù)庫操作進(jìn)行實(shí)時(shí)監(jiān)控，實(shí)時(shí)阻斷正在發(fā)生的非法“統(tǒng)方”違紀(jì)、違法行為，使工作人員從技術(shù)上遠(yuǎn)離“統(tǒng)方”禁區(qū)。

防惡意篡改

醫(yī)院信息系統(tǒng)全面記錄了患者的醫(yī)療活動，包括醫(yī)囑、病程記錄、各種檢查檢驗(yàn)申請與結(jié)果、手術(shù)記錄、影像、護(hù)理信息、費(fèi)用信息等，信息的真實(shí)性、可靠性、保密性頗受關(guān)注。然而為滿足提高醫(yī)療活動效率和質(zhì)量的需求，不僅醫(yī)療機(jī)構(gòu)內(nèi)部多個(gè)業(yè)務(wù)系統(tǒng)之間存在信息的流轉(zhuǎn)，同時(shí)也不可或缺的需要開放一些對外的接口，比如：醫(yī)院的門戶網(wǎng)站、患者服務(wù)平臺、醫(yī)療保險(xiǎn)接口、遠(yuǎn)程醫(yī)療咨詢系統(tǒng)接口等，使得信息系統(tǒng)的安全風(fēng)險(xiǎn)劇增。部署WEB應(yīng)用防火墻，可以實(shí)時(shí)檢測異常入侵，有效識別、阻止各類應(yīng)用層黑客攻擊，阻斷各類利用技術(shù)漏洞未授權(quán)修改綜合業(yè)務(wù)、臨床業(yè)務(wù)系統(tǒng)數(shù)據(jù)的行為，保障信息的真實(shí)性。

防隱私泄密

包括病歷信息在內(nèi)的海量級數(shù)據(jù)信息的保密關(guān)系到醫(yī)院的信譽(yù)。患者信息如：親屬信息、社會保障信息、既往病史、醫(yī)囑、檢驗(yàn)申請單及檢驗(yàn)結(jié)果等均屬于絕對的個(gè)人隱私，對這些敏感信息的閱讀、復(fù)制、打印均需要設(shè)置相應(yīng)的權(quán)限，并記錄使用記錄。WEB應(yīng)用防火墻的部署，可以抵御外部利用技術(shù)漏洞的數(shù)據(jù)盜用、竊取、篡改行為，數(shù)據(jù)庫審計(jì)設(shè)備的部署，可以從技術(shù)上監(jiān)督醫(yī)療機(jī)構(gòu)管理制度的落實(shí)情況，阻止患者信息、診療信息、費(fèi)用信息的外泄。

防越權(quán)操作

為有效遏制“統(tǒng)方”行為，各醫(yī)療機(jī)構(gòu)紛紛采取“角色分離、最小授權(quán)”的安全管理制度，對系統(tǒng)管理員、數(shù)據(jù)庫DBA、安全管理員分別給予不同的操作權(quán)限。數(shù)據(jù)庫審計(jì)設(shè)備的應(yīng)用，不僅能夠重點(diǎn)監(jiān)控未通過業(yè)務(wù)系統(tǒng)(HIS、PACS等)進(jìn)行的數(shù)據(jù)庫操作(比如：誤操作數(shù)據(jù)的糾正、應(yīng)用程序BUG引起的數(shù)據(jù)調(diào)整)，同時(shí)可以依據(jù)細(xì)粒度的審計(jì)規(guī)則(如：HIS系統(tǒng)中的價(jià)格數(shù)據(jù)維護(hù)，僅允許物價(jià)辦公室專崗人員進(jìn)行)，發(fā)現(xiàn)越權(quán)操作行為并及時(shí)告警。

防權(quán)限濫用

安全不僅是技術(shù)問題，更多的是管理問題，人的因素才是關(guān)鍵。利益的驅(qū)使、法律意識的淡薄，導(dǎo)致部分人員利用職務(wù)之便，鋌而走險(xiǎn)，監(jiān)守自盜，為自己及他人謀利益。數(shù)據(jù)庫審計(jì)設(shè)備的部署，一方面給這些不法之徒樹立了警示碑，另一方面從技術(shù)上對違規(guī)操作加大了監(jiān)管力度，一旦發(fā)現(xiàn)疑似違規(guī)操作自動告警，為及時(shí)制止違法、違規(guī)行為贏得了時(shí)間

防事后抵賴

一旦發(fā)生安全事件，攻擊者或內(nèi)部人員往往否認(rèn)自己的操作行為。職權(quán)分離的數(shù)據(jù)庫審計(jì)設(shè)備的部署，不僅滿足了信息系統(tǒng)安全等級保護(hù)及企業(yè)內(nèi)控的規(guī)范要求，同時(shí)，友好真實(shí)的操作回放功能使得攻擊行為、違紀(jì)行為暴露無遺，為公安機(jī)關(guān)查處違法案件提供有力的證據(jù)。

防保險(xiǎn)欺詐

病歷信息(如：法定醫(yī)學(xué)證明及報(bào)告、收費(fèi)收據(jù)等)在醫(yī)療事故、交通事故、社會醫(yī)療保險(xiǎn)、傷殘鑒定、遺產(chǎn)繼承等案件訴訟中的法律作用日趨重要，這些信息若被不法分子利用，可能造成保險(xiǎn)詐騙。通過敏感表的細(xì)粒度訪問控制規(guī)則及遠(yuǎn)程操作的監(jiān)控，識別未授權(quán)操作，并實(shí)時(shí)短信告警或阻斷操作。

防醫(yī)療糾紛

醫(yī)鬧事件不時(shí)見諸報(bào)端，不少患者家屬認(rèn)為醫(yī)院的醫(yī)療鑒定不夠客觀，總是懷疑醫(yī)院偽造、篡改病歷。數(shù)據(jù)庫審計(jì)設(shè)備能夠公正、客觀地記錄所有的操作，真正實(shí)現(xiàn)4W全程審計(jì)(who誰、when什么時(shí)間段內(nèi)、where通過什么途徑、what對什么(數(shù)據(jù))進(jìn)行了哪些操作、結(jié)果如何)。一旦出現(xiàn)醫(yī)療糾紛，完整清晰的操作回放為醫(yī)療糾紛的快速處理提供科學(xué)依據(jù)，維護(hù)醫(yī)院信譽(yù)。

第二篇：信息系統(tǒng)安全

數(shù)字簽名過程 “發(fā)送報(bào)文時(shí)，發(fā)送方用一個(gè)哈希函數(shù)從報(bào)文文本中生成報(bào)文摘要,然后用自己的私人密鑰對這個(gè)摘要進(jìn)行加密，這個(gè)加密后的摘要將作為報(bào)文的數(shù)字簽名和報(bào)文一起發(fā)送給接收方，接收方首先用與發(fā)送方一樣的哈希函數(shù)從接收到的原始報(bào)文中計(jì)算出報(bào)文摘要，接著再用發(fā)送方的公用密鑰來對報(bào)文附加的數(shù)字簽名進(jìn)行解密，如果這兩個(gè)摘要相同、那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。

數(shù)字簽名有兩種功效：一是能確定消息確實(shí)是由發(fā)送方簽名并發(fā)出來的，因?yàn)閯e人假冒不了發(fā)送方的簽名。二是數(shù)字簽名能確定消息的完整性。因?yàn)閿?shù)字簽名的特點(diǎn)是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到不同的數(shù)字簽名。一次數(shù)字簽名涉及到一個(gè)哈希函數(shù)、發(fā)送者的公鑰、發(fā)送者的私鑰。”這報(bào)文鑒別的描述！數(shù)字簽名沒有那么復(fù)雜。數(shù)字簽名： 發(fā)送方用自己的密鑰對報(bào)文X進(jìn)行E運(yùn)算，生成不可讀取的密文Esk，然后將Esx傳送給接收方，接收方為了核實(shí)簽名，用發(fā)送方的密鑰進(jìn)行D運(yùn)算，還原報(bào)文。

口令攻擊的主要方法

1、社會工程學(xué)(social Engineering)，通過人際交往這一非技術(shù)手段以欺騙、套取的方式來獲得口令。避免此類攻擊的對策是加強(qiáng)用戶意識。

2、猜測攻擊。首先使用口令猜測程序進(jìn)行攻擊。口令猜測程序往往根據(jù)用戶定義口令的習(xí)慣猜測用戶口令，像名字縮寫、生日、寵物名、部門名等。在詳細(xì)了解用戶的社會背景之后，黑客可以列舉出幾百種可能的口令，并在很短的時(shí)間內(nèi)就可以完成猜測攻擊。

3、字典攻擊。如果猜測攻擊不成功，入侵者會繼續(xù)擴(kuò)大攻擊范圍，對所有英文單詞進(jìn)行嘗試，程序?qū)葱蛉〕鲆粋€(gè)又一個(gè)的單詞，進(jìn)行一次又一次嘗試，直到成功。據(jù)有的傳媒報(bào)導(dǎo)，對于一個(gè)有8萬個(gè)英文單詞的集合來說，入侵者不到一分半鐘就可試完。所以，如果用戶的口令不太長或是單詞、短語，那么很快就會被破譯出來。

4、窮舉攻擊。如果字典攻擊仍然不能夠成功，入侵者會采取窮舉攻擊。一般從長度為1的口令開始，按長度遞增進(jìn)行嘗試攻擊。由于人們往往偏愛簡單易記的口令，窮舉攻擊的成功率很高。如果每千分之一秒檢查一個(gè)口令，那么86%的口令可以在一周內(nèi)破譯出來。

5、混合攻擊，結(jié)合了字典攻擊和窮舉攻擊，先字典攻擊，再暴力攻擊。

避免以上四類攻擊的對策是加強(qiáng)口令策略。

6、直接破解系統(tǒng)口令文件。所有的攻擊都不能夠奏效，入侵者會尋找目標(biāo)主機(jī)的安全漏洞和薄弱環(huán)節(jié)，飼機(jī)偷走存放系統(tǒng)口令的文件，然后破譯加密的口令，以便冒充合法用戶訪問這臺主機(jī)。

7:網(wǎng)絡(luò)嗅探(sniffer)，通過嗅探器在局域網(wǎng)內(nèi)嗅探明文傳輸?shù)目诹钭址１苊獯祟惞舻膶Σ呤蔷W(wǎng)絡(luò)傳輸采用加密傳輸?shù)姆绞竭M(jìn)行。

8:鍵盤記錄，在目標(biāo)系統(tǒng)中安裝鍵盤記錄后門，記錄操作員輸入的口令字符串，如很多間諜軟件，木馬等都可能會盜取你的口述。

9:其他攻擊方式，中間人攻擊、重放攻擊、生日攻擊、時(shí)間攻擊。

避免以上幾類攻擊的對策是加強(qiáng)用戶安全意識，采用安全的密碼系統(tǒng)，注意系統(tǒng)安全，避免感染間諜軟件、木馬等惡意程序。

第三篇：醫(yī)院信息系統(tǒng)安全的重要性

醫(yī)院信息系統(tǒng)安全的重要性

來源：康巨瀛，張文麗 編輯：xiaoliang 時(shí)間：2010-3-1

【摘要】醫(yī)院信息系統(tǒng)安全防護(hù)措施的制定和實(shí)施是保證醫(yī)院信息系統(tǒng)的穩(wěn)定性、可靠性、安全性、可用性的利器。醫(yī)院信息系統(tǒng)的安全性直接關(guān)系到醫(yī)院醫(yī)療工作的正常運(yùn)行，一旦網(wǎng)絡(luò)癱瘓或數(shù)據(jù)丟失，將會給醫(yī)院和病人帶來巨大的災(zāi)難和難以彌補(bǔ)的損失，因此，醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全工作非常重要，我院制定了周密的網(wǎng)絡(luò)安全維護(hù)措施，以確保醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)持久、穩(wěn)定、高效、安全地運(yùn)行。

【關(guān)鍵詞】醫(yī)院信息系統(tǒng);安全;重要性

醫(yī)院信息系統(tǒng)安全防護(hù)措施的制定和實(shí)施是保證醫(yī)院信息系統(tǒng)的穩(wěn)定性、可靠性、安全性、可用性的利器。我院是省屬大型三級甲等醫(yī)院，信息化建設(shè)從1988年開始，目前已經(jīng)是基本成型的數(shù)字化醫(yī)院，在醫(yī)院信息管理系統(tǒng)(HIS)、臨床信息系統(tǒng)(CIS)、醫(yī)學(xué)影像存儲與管理系統(tǒng)(PACS)、檢驗(yàn)信息管理系統(tǒng)(LIS)……投入運(yùn)行后，幾大系統(tǒng)縱橫交錯(cuò)，構(gòu)成了龐大的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。我院網(wǎng)絡(luò)系統(tǒng)覆蓋全院的每個(gè)部門，涵蓋病人來院就診的各個(gè)環(huán)節(jié)，600多臺計(jì)算機(jī)同時(shí)運(yùn)行，支持各方面的管理，成為醫(yī)院開展醫(yī)療服務(wù)的業(yè)務(wù)平臺，醫(yī)院信息系統(tǒng)的安全性直接關(guān)系到醫(yī)院醫(yī)療工作的正常運(yùn)行，一旦網(wǎng)絡(luò)癱瘓或數(shù)據(jù)丟失，將會給醫(yī)院和病人帶來巨大的災(zāi)難和難以彌補(bǔ)的損失。因此，醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全工作非常重要，我院制定了周密的網(wǎng)絡(luò)安全維護(hù)措施，以確保醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)持久、穩(wěn)定、高效、安全地運(yùn)行。

1中心機(jī)房及網(wǎng)絡(luò)設(shè)備的安全維護(hù)

1.1環(huán)境要求中心機(jī)房作為醫(yī)院信息處理中心，其工作環(huán)境要求嚴(yán)格，我們將溫度置于22℃左右，相對濕度為45%～65%，且機(jī)房內(nèi)無人員流動、無塵、半封閉。機(jī)房安裝了可靠的避雷設(shè)施、防雷設(shè)備。

1.2電源管理機(jī)房采用兩路供電系統(tǒng)，保證了中心機(jī)房供電的穩(wěn)定和連續(xù)，配有不間斷電源可12小時(shí)延時(shí)，并安裝有抗磁場干擾等裝置。

1.3網(wǎng)絡(luò)設(shè)備信息系統(tǒng)中的數(shù)據(jù)是靠網(wǎng)絡(luò)來傳輸?shù)模W(wǎng)絡(luò)的正常運(yùn)行是醫(yī)院信息系統(tǒng)的基本條件，所以網(wǎng)絡(luò)設(shè)備的維護(hù)至關(guān)重要。我科每天查看路由器、交換機(jī)、集線器、光纖收發(fā)器等設(shè)備的指示燈狀態(tài)是否正常，各種插頭是否松動，注意除垢、防水等。

2服務(wù)器的安全維護(hù)

服務(wù)器是醫(yī)院信息系統(tǒng)的核心，它在醫(yī)院信息系統(tǒng)安全運(yùn)行中起著主導(dǎo)作用，如果服務(wù)器發(fā)生故障，要么數(shù)據(jù)丟失，要么系統(tǒng)癱瘓，為確保服務(wù)器的穩(wěn)定、可靠、高效地運(yùn)行，我院每個(gè)系統(tǒng)都采用雙服務(wù)器，無論主服務(wù)器何時(shí)出問題，從服務(wù)器都可自動替代主服務(wù)器的所有服務(wù)功能，間隔時(shí)間不超過5分鐘。3工作站的安全維護(hù)

由于工作站分布在醫(yī)院的各個(gè)角落，工作站本地不保存數(shù)據(jù)，工作站一律不安裝軟驅(qū)、光驅(qū)，屏蔽USB口，有效地杜絕了病毒的侵入。工作站都安裝遠(yuǎn)程監(jiān)控系統(tǒng)，監(jiān)控用戶行為，能夠做到在工作室可以看到客戶機(jī)器屏幕顯示，實(shí)現(xiàn)遠(yuǎn)程安裝、管理、殺毒，達(dá)到與用戶本地機(jī)器操作相同的效果。

4防病毒措施

安裝瑞星網(wǎng)絡(luò)版殺毒軟件，使用殺毒軟件在網(wǎng)絡(luò)安全中起著重要的作用。它對網(wǎng)絡(luò)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控，防止計(jì)算機(jī)病毒入侵破壞網(wǎng)絡(luò)，保證醫(yī)院信息系統(tǒng)在無病毒狀態(tài)下安全運(yùn)行。每周六全院統(tǒng)一升級。

5數(shù)據(jù)庫的安全

備份數(shù)據(jù)安全是醫(yī)院信息系統(tǒng)安全的核心部分。硬盤損壞、偶然或惡意的數(shù)據(jù)破壞、病毒入侵、自然災(zāi)害等都會引起數(shù)據(jù)丟失，因此需要實(shí)時(shí)對數(shù)據(jù)進(jìn)行備份。我院采用異地容災(zāi)的方式進(jìn)行數(shù)據(jù)的實(shí)時(shí)鏡像，這樣不但保證了系統(tǒng)的正常運(yùn)轉(zhuǎn)，同時(shí)也確保了數(shù)據(jù)的完整性，將數(shù)據(jù)的損失減少到最小量。

6網(wǎng)絡(luò)訪問控制的安全措施

在醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)中，訪問控制主要是主體訪問客體的權(quán)限控制。根據(jù)MicrosotSQLServer特性，運(yùn)用系統(tǒng)軟件和應(yīng)用軟件的相應(yīng)功能，合理設(shè)置系統(tǒng)的使用權(quán)限。醫(yī)院網(wǎng)絡(luò)用戶的特點(diǎn)是分散處理、高度共享，用戶涉及醫(yī)生、護(hù)士、醫(yī)療技術(shù)、管理人員等，根據(jù)這個(gè)特點(diǎn)，通過設(shè)定權(quán)限控制用戶對特定數(shù)據(jù)的使用，使每個(gè)用戶在整個(gè)系統(tǒng)中只具有唯一的帳號，既方便靈活地操作自己的程序和調(diào)用數(shù)據(jù)，又禁止用戶對無關(guān)目錄進(jìn)行讀寫。這樣保證了數(shù)據(jù)的共享和數(shù)據(jù)的安全，防止了非法用戶侵入網(wǎng)絡(luò)，確保網(wǎng)絡(luò)運(yùn)行安全。

7合理的網(wǎng)絡(luò)管理制度

7.1建立服務(wù)器管理制度服務(wù)器是整個(gè)信息系統(tǒng)的核心，必須對服務(wù)器進(jìn)行有效的管理，每天記錄服務(wù)器的各種操作，包括機(jī)房溫度、濕度、設(shè)備的檢查記錄、服務(wù)器的啟停記錄、對數(shù)據(jù)庫的日常維護(hù)記錄、服務(wù)器運(yùn)行情況和對用戶的監(jiān)控記錄等。

7.2專人維護(hù)進(jìn)入數(shù)據(jù)庫的密碼由專人掌握，并且定期更換，所有子系統(tǒng)的程序由專人修改、更新，以保證程序的統(tǒng)一性和完整性。

7.3建立嚴(yán)格的操作規(guī)程系統(tǒng)中的所有信息來源于工作站的操作人員，為使采集的數(shù)據(jù)真實(shí)有效，制定了工作站入網(wǎng)操作規(guī)程，以提高信息的準(zhǔn)確性。總之，醫(yī)院網(wǎng)絡(luò)安全涉及的范圍廣，在實(shí)際工作中，網(wǎng)絡(luò)管理人員只有不斷更新知識、積累經(jīng)驗(yàn)，才能未雨綢繆，扼殺網(wǎng)絡(luò)癱瘓，把危害降到最低。因此醫(yī)院的網(wǎng)絡(luò)管理人員更要加強(qiáng)自身素質(zhì)的培養(yǎng)，加強(qiáng)網(wǎng)絡(luò)管理，確保醫(yī)院網(wǎng)絡(luò)安全運(yùn)行。

第四篇：醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全制度

醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)安全制度

一、信息系統(tǒng)安全管理措施

（一）硬件方面

為保證系統(tǒng)數(shù)據(jù)安全，醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)核心設(shè)備均采用雙機(jī)、并行架構(gòu)，在保證系統(tǒng)穩(wěn)定性的同時(shí)提高主機(jī)利用效率。網(wǎng)絡(luò)設(shè)備采用雙核心，并行方式；網(wǎng)絡(luò)鏈路雙冗余，安裝有IDS入侵檢測系統(tǒng)、防火墻檢測和過濾網(wǎng)絡(luò)信息。同時(shí)建有災(zāi)備機(jī)房，在主機(jī)房發(fā)生火災(zāi)及其他災(zāi)害時(shí)快速接管醫(yī)院主要業(yè)務(wù)系統(tǒng)。

（二）軟件方面

數(shù)據(jù)方面，定期對HIS、PACS等系統(tǒng)數(shù)據(jù)進(jìn)行全備份。客戶端配備桌面管理軟件，管理外接存儲設(shè)備和監(jiān)控。客戶端配備網(wǎng)絡(luò)防病毒軟件，定期升級病毒庫、查殺全網(wǎng)病毒。

（三）管理方面

計(jì)算機(jī)中心設(shè)24小時(shí)專人值班，監(jiān)控網(wǎng)絡(luò)運(yùn)行，每天檢查主機(jī)硬件及附屬設(shè)備運(yùn)行情況，及時(shí)排除各種安全隱患。一旦發(fā)現(xiàn)問題，及時(shí)處理并迅速向科室領(lǐng)導(dǎo)報(bào)告。故障排除后，完成相關(guān)記錄。信息系統(tǒng)、數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備密碼由專人進(jìn)行管理，不得外泄。新人院職工必須經(jīng)過系統(tǒng)培訓(xùn)、考試合格后方可上機(jī)操作。

二、信息系統(tǒng)安全管理制度

（一）敏感數(shù)據(jù)（指涉及醫(yī)院藥品、財(cái)務(wù)運(yùn)營、消耗材料的數(shù)據(jù)）統(tǒng)計(jì)

1．申請人或部門（包括院外單位）提出書面申請，科室負(fù)責(zé)人簽字并蓋章確認(rèn)，提交醫(yī)務(wù)部。2．醫(yī)務(wù)部審核無誤，簽字并蓋章，提交紀(jì)檢部門。3．紀(jì)檢部門審核無誤，簽字并蓋章，提交計(jì)算機(jī)中心。4．計(jì)算機(jī)中心審核無誤，簽字確認(rèn)，安排相關(guān)人員進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，統(tǒng)計(jì)人員要做到對統(tǒng)計(jì)結(jié)果不擴(kuò)散、不泄密、不修改。

5．計(jì)算機(jī)中心將申請歸檔保存。

（二）普通數(shù)據(jù)統(tǒng)計(jì)

1．申請人或科室（包括院外單位）提出書面申請，科室負(fù)責(zé)人蓋章并簽字后，提交醫(yī)務(wù)部。

2．醫(yī)務(wù)部審核無誤，簽字蓋章，提交計(jì)算機(jī)中心。

3．計(jì)算機(jī)中心負(fù)責(zé)人審核無誤，簽字確認(rèn)，安排相關(guān)人員進(jìn)行數(shù)據(jù)統(tǒng)計(jì)，統(tǒng)計(jì)人員要做到對統(tǒng)計(jì)結(jié)果不擴(kuò)散、不泄密、不修改。

4．計(jì)算機(jī)中心將申請歸檔保存。

（三）系統(tǒng)用戶賬戶管理

1．用戶注冊流程。開通信息系統(tǒng)賬戶，由個(gè)人或部門提出書面申請（需提供人員信息：姓名、工資號、性別、出生年月、職稱、人員類型等），經(jīng)科室負(fù)責(zé)人簽字，醫(yī)務(wù)部、護(hù)理部、財(cái)務(wù)科、人力資源部等主管部門審核蓋章后，交由計(jì)算機(jī)中心完成信息注冊。

2．用戶轉(zhuǎn)科流程。轉(zhuǎn)科流程參照注冊流程，送交的信息中需注明原科室和更換科室的名稱。科室內(nèi)部調(diào)整，經(jīng)科室負(fù)責(zé)人簽字并蓋章后，報(bào)送醫(yī)務(wù)部。

3．退休流程。干部科、人勞辦以書面形式通知醫(yī)務(wù)部，注銷或變更退休人員在信息系統(tǒng)中的權(quán)限。

（四）信息系統(tǒng)權(quán)限管理 1．用戶賬號管理。登錄系統(tǒng)須有用戶賬號，相當(dāng)于身份標(biāo)識。進(jìn)修人員由醫(yī)務(wù)部統(tǒng)一編號。

2．用戶密碼管理。第一次登錄信息系統(tǒng)時(shí)，由管理員分配用戶初始密碼。登錄信息系統(tǒng)后，由使用人員自行設(shè)定，系統(tǒng)每三個(gè)月強(qiáng)制用戶修改一次密碼。用戶密碼遺失，須持工作證、胸牌或科室證明文件由本人到計(jì)算機(jī)中心重置密碼。

3．用戶權(quán)限管理。按照操作功能與訪問數(shù)據(jù)的限制，授予不同用戶、不同角色一定級別的應(yīng)用功能，保證信息系統(tǒng)安全運(yùn)行。

4.部門所屬權(quán)限。財(cái)務(wù)科擁有財(cái)務(wù)部分系統(tǒng)權(quán)限；護(hù)理部擁有病區(qū)護(hù)士管理系統(tǒng)權(quán)限；醫(yī)務(wù)部擁有醫(yī)生工作站管理系統(tǒng)權(quán)限；藥學(xué)部擁有藥師工作站管理系統(tǒng)權(quán)限；系統(tǒng)管理員擁有系統(tǒng)用戶新增、變更、注銷等系統(tǒng)維護(hù)權(quán)限。

5．責(zé)任承擔(dān)。賬號所有者應(yīng)對該賬號在系統(tǒng)中所做的操作及結(jié)果負(fù)全部責(zé)任。

（五）終端安全管理

1．安裝到位的網(wǎng)絡(luò)工作站作為醫(yī)院統(tǒng)一專用內(nèi)網(wǎng)終端設(shè)備，使用者不得擅自安裝軟件或外接硬件，如需安裝必須由計(jì)算機(jī)中心監(jiān)督安裝或授權(quán)使用科室安裝使用硬件。

2．新入網(wǎng)的工作站必須由計(jì)算機(jī)中心統(tǒng)一安裝醫(yī)院正版HIS系統(tǒng)和網(wǎng)絡(luò)安全管理軟件、殺毒軟件后按人醫(yī)院內(nèi)網(wǎng)。

3．網(wǎng)絡(luò)工作站外接硬件，須由計(jì)算機(jī)中心統(tǒng)一管理驅(qū)動程序。4．連接醫(yī)用儀器設(shè)備的網(wǎng)絡(luò)工作站必須由計(jì)算機(jī)中心監(jiān)督安裝，統(tǒng)一管理。5．嚴(yán)禁在醫(yī)院內(nèi)網(wǎng)網(wǎng)絡(luò)終端使用U盤和外接存儲設(shè)備，或使用其他用途私人外接設(shè)備。

6．嚴(yán)禁人為破壞網(wǎng)絡(luò)終端設(shè)備。

7．網(wǎng)絡(luò)終端設(shè)備報(bào)修，應(yīng)及時(shí)聯(lián)系儀器維修室。

8．使用網(wǎng)絡(luò)終端前，由計(jì)算機(jī)中心統(tǒng)一組織培訓(xùn)，合格后方能上崗。

9．操作人員要熟練掌握用戶入網(wǎng)口令，并注意嚴(yán)格保密。10．每次使用時(shí)需記錄用機(jī)時(shí)間、工作內(nèi)容和機(jī)器運(yùn)轉(zhuǎn)情況，機(jī)器運(yùn)行期間操作人員不得擅自離開。

11．使用時(shí)如發(fā)現(xiàn)運(yùn)行故障，應(yīng)及時(shí)向計(jì)算機(jī)中心值班人員報(bào)告并做好記錄。

12．工作站配置的電腦、打印機(jī)等設(shè)備須指定專人使用、保管和維護(hù)，轉(zhuǎn)交他人保管時(shí)需嚴(yán)格交接，并報(bào)請計(jì)算機(jī)中心批準(zhǔn)備案。

13．操作人員要保證工作站電腦正常運(yùn)行、數(shù)據(jù)及時(shí)錄入和提取。14．操作人員須嚴(yán)格遵守操作規(guī)程，工作完畢時(shí)，必須切斷電源，蓋好機(jī)罩，鎖盤。

三、信息安全問題處置措施

一旦網(wǎng)絡(luò)出現(xiàn)安全問題，計(jì)算機(jī)中心值班人員或發(fā)現(xiàn)人應(yīng)立即向計(jì)算機(jī)中心信息安全負(fù)責(zé)人報(bào)告，檢查信息系統(tǒng)的日志等資料，確定問題來源，并迅速采取適當(dāng)措施，保證信息系統(tǒng)盡可能不影響終端和數(shù)措安全。若事態(tài)嚴(yán)重，應(yīng)立即向主管領(lǐng)導(dǎo)報(bào)告，組織院內(nèi)相關(guān)部門處理。

四、設(shè)備安全處理措施

（一）交換機(jī)等關(guān)鍵設(shè)備損壞后，應(yīng)立即查明原因．并向有關(guān)部門 或單位報(bào)修。

（二）如果能夠白行恢復(fù)，應(yīng)立即用備件替換受損部件。

（三）如果不能自行恢復(fù)，應(yīng)立即與設(shè)備提供商聯(lián)系，請求派遣維護(hù)人員前來維修。

（四）如果設(shè)備不能立即修復(fù)，應(yīng)向科室負(fù)責(zé)人報(bào)告，如有需要，向院領(lǐng)導(dǎo)報(bào)告。

五、設(shè)備密碼安全緊急處置措施

交換機(jī)等設(shè)備密碼保存在計(jì)算機(jī)中心，緊急情況下值班人員經(jīng)計(jì)算機(jī)中心主任授權(quán)方可使用，不得隨意更改密碼。

第五篇：信息系統(tǒng)安全檢查工作報(bào)告(醫(yī)院)

醫(yī)院信息系統(tǒng)安全檢查報(bào)告

為認(rèn)真貫徹落實(shí)縣政府及衛(wèi)生局布置工作要求，做好我院“兩節(jié)”及“十八大”期間安全生產(chǎn)工作，我科組織人員對全院范圍內(nèi)的信息系統(tǒng)工作站進(jìn)行了一次全面的自查工作。現(xiàn)將自查情況報(bào)告如下：

一．信息安全狀況總體評價(jià)：

1、領(lǐng)導(dǎo)重視，機(jī)構(gòu)健全。我院信息安全管理工作由分管信息科領(lǐng)導(dǎo)，信息科負(fù)責(zé)具體執(zhí)行。

2、制定方案，加強(qiáng)檢查。我院使用信息系統(tǒng)作為辦公工具已有十余年的歷史，在信息安全管理方面已擁有一整套完善規(guī)范合理的信息安全制度。為了保證我院應(yīng)用系統(tǒng)信息的安全、完整和保密，保證各應(yīng)用系統(tǒng)穩(wěn)定、高效運(yùn)行，我科制定了醫(yī)院信息系統(tǒng)安全管理制度、醫(yī)院內(nèi)網(wǎng)防病毒制度、數(shù)據(jù)備份及服務(wù)器應(yīng)急方案等一系列信息安全規(guī)范和制度。

二．信息安全自查情況：

1、我院信息系統(tǒng)采取內(nèi)外網(wǎng)物理隔離的方式，從根本上了防止醫(yī)院業(yè)務(wù)信息系統(tǒng)遭到外部的攻擊和竊取，充分保護(hù)涉及醫(yī)院和患者信息的安全。

2、嚴(yán)格把關(guān)接入內(nèi)網(wǎng)電腦接口。我院所有內(nèi)網(wǎng)電腦一律禁止使用U盤、光盤等外接存儲設(shè)備，所有需要進(jìn)入內(nèi)網(wǎng)的數(shù)據(jù)一律在信息科確定其安全性后方能存入。

3、對醫(yī)院信息系統(tǒng)各操作員權(quán)限進(jìn)行嚴(yán)格控制。按操作者的職務(wù)和專業(yè)分配使用醫(yī)院業(yè)務(wù)系統(tǒng)的權(quán)限。醫(yī)院的各工作人員只能獲取與其工作相關(guān)和與其職稱職務(wù)相關(guān)的信息，充分保護(hù)了醫(yī)院機(jī)密和患者隱私。

4、全院電腦安裝國產(chǎn)專業(yè)殺毒軟件，并及時(shí)更新病毒庫，做到病毒防護(hù)軟件等的補(bǔ)丁及時(shí)升級。

5、建立了完善的信息設(shè)備安全監(jiān)控手段和值班制度。我科定期對軟件進(jìn)行測試，對檢測和用戶反應(yīng)的問題進(jìn)行研究，制定相應(yīng)的措施，并做好版本的備案。對服務(wù)器，殺毒軟件，安全策略，系統(tǒng)安全日志，進(jìn)行定期安全檢測保證其在安全的前提下，確保數(shù)據(jù)傳輸和信息的安全。

6、我科已經(jīng)做好各項(xiàng)準(zhǔn)備工作，對可能發(fā)生的各類信息安全事件做到心中有數(shù)，進(jìn)一步完善了信息安全應(yīng)急預(yù)案，明確應(yīng)急處置流程，明確了應(yīng)急技術(shù)支撐隊(duì)伍，把信息安全工作落實(shí)到位。積極組織開展了應(yīng)急演練，檢驗(yàn)了應(yīng)急預(yù)案的可操作性，提高了應(yīng)急處置能力。

三．檢查發(fā)現(xiàn)的主要問題及整改情況

（一）存在的問題及其原因

1、醫(yī)院工作人員較多，信息安全意識總體水平較低，且層次不齊。廣大醫(yī)務(wù)工作者工作繁忙，我科多次對各科室進(jìn)行信息安全相關(guān)培訓(xùn)，但收效甚微。

（二）下一步工作打算

1、加強(qiáng)信息網(wǎng)絡(luò)安全技術(shù)人員培訓(xùn)，使安全技術(shù)人員及時(shí)更新信息網(wǎng)絡(luò)安全管理知識，提高相關(guān)管理及法律法規(guī)等的認(rèn)識，不斷地加強(qiáng)信息網(wǎng)絡(luò)安全管理和技術(shù)防范水平。繼續(xù)加強(qiáng)對醫(yī)護(hù)人員、行政后勤人員的安全意識教育，提高做好信息安全工作的主動性和自覺性。

2、加大網(wǎng)絡(luò)安全設(shè)備的投入，購買防病毒及防攻擊型網(wǎng)絡(luò)交換機(jī)，進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全。

3、切實(shí)增強(qiáng)信息安全制度的落實(shí)工作，定期不定期的對安全制度執(zhí)行情況進(jìn)行檢查，對于導(dǎo)致不良后果的責(zé)任人，要嚴(yán)肅追究責(zé)任，從而提高人員安全防護(hù)意識。

4、是要加大對線路、系統(tǒng)等的及時(shí)維護(hù)和保養(yǎng)，加大設(shè)備更新力度。各科室對本科室電腦設(shè)備要愛護(hù)和保養(yǎng)，定期擦拭清除電腦顯示器、鍵盤及主機(jī)上面的灰塵，保持電腦設(shè)備的干凈整潔。