浅谈医院信息化安全策略五问题

叶建平 厦门大学附属第一医院

随着医院的不断发展和国家医疗卫生管理要求的不断提高，对信息网络系统的依赖性也表现得越来越强。但是信息网络系统所表现出来的先进性，以及所带来的劳动效率提高和生产成本降低，并不能掩饰其存在的种种安全隐患。特别是医院的信息网络系统中运载着大量重要的数据和信息，无论是硬件、软件、环境、人为方面的影响都可能导致这些数据遭受破坏，给医院带来无法挽回的损失。因此保护信息系统的数据安全，构建信息系统安全平台成为了医院信息化建设的当务之急。制定有效的安全策略前，可以先想想下列几个问题:

1 资产。

要保护的是什么？在任何安全实施中，通过安全措施识别出将要被保护的资产是第一步，也是最关键的一步。如果不能正确回答这个问题，就可能导致不适合的安全控制，或者使安全控制保护的是不该保护的东西。列如，在设计一个患者回访系统的时候，问一问这个问题可能使得设计者能够识别出下面这些需要保护的东西:患者的姓名和地址、联系电话、病情等。网络连接的加密、将患者数据放置在相互隔离的数据库中并对数据进行加密。如果不能提出这些问题，就可能使设计者忘记考虑加密。根据对这些问题的回答，可以列出要保护的资产列表。

2 风险。

什么是威胁矢量、脆弱性和风险？在要保护的资产在问题1中被识别出来之后，对于这些资产的威胁就可以同与他们相关的资源一起被列举出来，然后就可以找到与可能受到威胁的资产相关的脆弱性。风险则与每一种已经出现的威胁所导致的损失有相似性，也应当被识别出来。这三种因素加起来，就能提供所需的信息，以决定要考虑采用哪一种安全控制，可能将它们放在哪里，以及它们的花费是多少。对这个问题的回答就是风险分析的结果。

3 保护。

该怎样保护资产呢？一旦识别出了业务需求，并进行了文档记录（像在问题1中一样），而且基于问题2完成了风险分析，安全管理小组就可以考虑实际的策略、处理过程和技术，并针对与他们相关的威胁矢量，使用他们来为资产提供合适的保护级别。然后安全管理人员就可以保证他们在安全实施中进行了适当的处理，并能够获得成功。有一些保护措施是分别提供的，即为用户和管理者提供的操作指示是不同的，以分别知道他们如何开展业务，并采取适当的强制措施。一些保护措施由防御技术提供，比如防火墙、访问控制设备加密等等。其他的保护措施将通过检测和制止控制来提供，比如监控软件或由安全管理人员进行人工监控。对于这个问题的回答可以列出一张常用技术表，我们将可以使用这些技术来对信息资产进行保护。

4 工具。

要保证安全保护措施的实施，需要做些什么呢？给出问题3中识别出主要的保护类别，就得应当选择的特殊工具。在这个阶段会进行产品估价，并能识别出需要使用安全策略的地方，而且要定义出必须进行归档的规程。根据对这些问题的回答，可以列出将要采取的特定保护步骤。

5 优先权。

保护措施将以怎样的步骤实施呢？一旦根据威胁识别出了保护资产所需的工具和技术，并假定医院没有足够的资源来同时实施所有这一切，就必须为每种工具和技术分配优先权，以便他们以一种合理的顺序得到实施。比如，在安装防火墙之前打开WEB服务器是不可取的，相反，应该先安装防火墙，然后部署WEB服务，再实施加密和安全数据库，最后打开所有东西，这样可能最有意义。对于每一种环境来说，细节是有所不同的，但以这样的顺序询问这5个问题，就可以帮助信息安全管理者考虑到使安全方案成功实施的因素。

[1]黄晓飞;医院信息系统信息安全防范策略研究[J];科技风;2013年02期

[2]刘青超;浅论医院信息化安全策略[J];山西科技;2014年02期

[3]黄碧香;医院信息系统的安全策略体系[J];企业科技与发展;2013年24期

[4]方淑英;医院信息管理系统网络安全策略[J];海峡科学;2004年12期

[5]王非,谷敏,高晓娟;医院信息网络系统安全策略与维护[J];江苏科技信息;2011年03期

[6]刘阳;医院计算机网络信息系统安全问题策略[J];硅谷;2014年05期

[7]刘国军,杨宏志;浅析医院信息管理系统的安全策略[J];中国西部科技;2011年29期

[8]桂凌;基于医院管理信息系统安全性策略的研究[J];科技信息;2010年32期