医院HIS系统安全探讨
摘 要:近年来HIS系统在医院管理工作应用的广泛铺开与不断深入使得其相关安全工作也变得颇受广大相关技术人员的关注。如何在保证医院自身内部管理组织与特点的前提下更优秀的发挥HIS系统的管理特点,切实提高医院管理工作效率、医治水平、医疗相关服务质量是我们在医院实际运行管理过程中长时间运行HIS系统所关注的主要问题,尤其是安全工作问题,更是成为了本文关注的中心问题。
【关键词】医院 HIS系统 安全性
1 当前系统存在的安全隐患与问题表现
随着近代计算机黑客、病毒、破解技术的飞速发展,HIS系统虽然跟其他各个行业的系统一样,无论在计算机硬件还是软件系统中均配备了相关的安全性机制,但安全问题仍无时不刻不存在。
1.1 对日常访问口令加密的重要性没有足够的认知
现如今大多数医院的HIS系统采用的基本都是对使用者连接系统时候以简单的加密方式进行口令限制来实现安全目的,这种简单的模式在C/S的模式下的客户端因其能够直接访问数据库的用户名与密码,极易为第三方窃取或破解。
1.2 网络访问医院资源未区分层级
由于其公开访问的流通程度非常高使其相关重要的技术资源和数据易为他人非法截获并加以利用。
1.3 数据库自身控制技术与机制不足
这方面尤其表现在权限没有得到较好的控制,数据库内信息访问设置为信息安全留下很大的隐患。
1.4 医院内部普通科室的办公计算机也具有查看重要业务计算机的权限
这种设置无疑使得普通用户有接口进入关键数据服务器的便利,甚至外部用户也因此用了更大机会入侵服务器盗取甚至破坏重要信息。
1.5 客户端硬件系统的加密措施
现代化办公中USB等相关设备的广泛应用为日常工作带来的相当大的便利,但未经加密的客户端很容易因此发生病毒入侵导致系统瘫痪或关键信息流出。
1.6 数据库应设置独立的安全访问监测模块
在HIS系统上有效的绑定使用者访问登记监测环节,即使系统出现了问题仍然可以高效的查找问题的所在,有方向性的及时进行排查与处理。
1.7 防病毒意识不强
这主要表现在两个方面,一方面内网条件下大多数工作人员认为没有防毒必要,另一方面在有网络连接的条件下设备接入考虑安全性较少,防病毒软件缺失或未能及时更新。数据的及时安全备份也常常未能做到位,一发生问题就造成较为严重的后果。影响到整个系统的运作。
2 医院HIS系统安全管理工作的中心思想
2.1 医院HIS系统数据库安全
(1)数据安全的最直接保障就是作为其硬件保护的储存设备。服务器采用电源、通道等均为双备份设置的双机热备磁盘阵列,以保证整个HIS系统的持续运转和数据的安全性传输与应用。
(2)根据实际使用范围细化数据库访问安全级别。把整个系统的用户群有计划有严格级别区分的划分为SUPER ID、住院、门诊、接口管理与系统维护管理等多个层级的区别。SUPER ID掌握数据库的全部数据访问与管理权限,但要严格控制其数量和使用者,除了系统系统维护技术人员之外不允许普通使用者使用。单一工作内容的用户ID仅允许访问自己工作范围内的相关数据与内容,接口用户只能访问自己独立的接口表,对所有的访问进行监测和存盘记录,坚决杜绝随意用户即能访问全部数据库数据的情况,这样系统运行时间久了将造成相当混乱的局面。
(3)做好HIS系统的数据库异地备份,其形式包括差分、增量与完全等几种,而这几种方法交互使用则能得到更好的效果,数据容灾的重要手段之一就是异地备份,是使得重要数据安全性得以提升,免遭设备、系统受损或人为蓄意破坏的最佳方法。
2.2 安全管理终端用户
根据微软2013年最新发布的业界信息表示,截止到2014年8月8日微软公司将不再对Windows XP系统进行系统维护,不再对系统产生的安全等各项漏洞打补丁程序,而我国XP用户仍大比例存在,在医院HIS系统的应用中,相当大部分客户端仍然安装着XP系统,其信息安全隐患堪忧,面对系统外可能发生的信息窃取和非法入侵,相关技术人员要对客户端工作站一一对应的设置现实工作中的操作界面,严格控制USB类硬件设备的使用。
2.3 系统安全管理中的网络传输
合理有序的构建可升级易维护的网络,切实给予客户端在相应条件下对网络的顺畅访问,严防外来或不明的用户进入计算机系统损坏系统设置,避免信息存储出现问题导致信息丢失或不完整,从而保证HIS系统整体的网络安全性。
3 医院HIS系统安全管理实施的政策与管理方面的支持
3.1 上级对问题的认知与重视
医院管理层对HIS系统安全管理的重视度是整个管理工作的关键所在,领导层面要保有可持续发展的眼光来看待这类问题,强调现代化管理能够顺利实施,加强任务的执行力度。
3.2 实际操作的管理人员技术水平与工作责任心
多方面的专业知识是HIS系统安全管理的基本要素,除此之外对整个医院的日常事务,对系统的设置,管理维护以及排障都要有相当的的实战经验,这之前,职业道德、集体荣誉感都是医院HIS系统管理人员不可或缺的必备素质。尤其重点关注的是,对HIS系统进行实际操作的工作人员均为非专业医务人员,必须系统的,有针对性的对这部分工作人员进行培训与教育,使其具有医务人员的职业操守和道德准则。
3.3 保证网络畅通
采购符合国标的网络设备硬件,保证严格遵照相关规范要求对已知设备的检查、维修,以保证其长时间正常运作。
3.4 应急设备的准备与应用
这部分预算绝对不算浪费,相反更是HIS系统最有力的安全保障,是其安全管理工作的最后一道屏障,通过编制的应急预案,及时发现问题并解决问题,保证网络设备存有适量的冗余,以保证日后技术人员的日常维护之需。
4 小结
医院HIS系统的安全管理工作有着自身的特殊特点,不同的应用条件构成了复杂的安全环境,也对其安全管理提出了各种各样的新问题,上文所述的几点意见与建议还需要广大系统操作的技术人员与医院的医务人员共同合作研究。在网络安全问题越来越凸显的现代生活中摸索出适合自身的一套实际操作方法和管理理论。
参考文献
[1]陈春涛.数字化医院建设理论研究与实践[M].北京:军事医学科学出版社,第1版,2012(6).
[2]郭晓科.大数据[M].北京:清华大学出版社,第1版,2013(01).
作者简介
王娜(1984年10月-),女,满族,天津市人,本科,初级职称,研究方向:计算机。
作者单位
海洋石油总医院 天津市 300452