医院信息化建设是医院加强业务水平、提高医疗服务能力的有效手段。医院信息化建设的重点是医院信息系统的建设和维护。目前,医院信息系统(HIS)与其他应用软件、网络、数据库、服务器的功能越来越多地产生交叉,HIS系统的内涵和外延已经得到了极大的扩充,这的确使得HIS系统的功能性得到了很大程度的提高。但是技术的进步和引进,也给HIS系统的安全性带来了更多的风险和不确定因素。
我国医院信息系统的推广速度很快,其风险性也相应地在提高。这给医院信息安全带来了极大的挑战。从收费数据到医疗信息、从病人隐私保密到管理信息的保密,都要求医院信息系统处于高度安全的环境中。目前医院在应用信息系统时,普遍存在越权、操作不规范等现象,并因此导致了大量的医院业务中断、病人信息泄露等事故,这对病人切身利益、医院工作的开展,以及医患关系的维护都是极大的挑战。从信息安全管理的角度来分析,其根本原因就在于医院普遍缺乏没有科学合理、符合医院特殊需求的信息安全策略,由此导致对医院信息资产缺乏足够的物理安全保护,对用户缺乏足够的访问控制,同时不能保证网络通信和数据备份的安全性。
目前信息系统安全相关的研究很多,但很少有针对于医院信息系统的研究,更没有研究医院信息系统全局安全策略设计方法、步骤和实施细则。以往的研究者多侧重于从某个侧面研究一医院信息安全管理或技术细节。而许多国际标准的信息安全管理体系实施标准,如IS01779(9),在针对某个具体计算机信息系统实施起来时也有相当的难度,在易用性和实用性上有很大的不足。
为此,本文在综合国内外相关研究成果的基础上,着眼于医院信息系统安全维护实践中的问题和现实需求,提出了一套完整的医院信息系统信息安全策略体系设计及实施方法。该方法主要由信息资产识别、信息安全目标及安全需求分析、信息安全策略设计、信息安全管理体系设计、信息安全审计策略设计等环节组成,对每个环节进行了详细、完整地论述。本文提出的信息安全策略体系模型具有设计、实施、运行、监督管理上的有效性和易用性。
在信息资产识别与描述环节,本文基于对信息资产管理属性的分析,设计了一种实用合理的编码及标识方法,并利用实例阐释了其具体应用。
在信息系统安全目标及安全需求分析环节,本文对医院信息系统电子业务进行了识别,对目前的医院信息安全需求进行了分析。
在信息安全策略设计环节,本文提出了以信息资产识别为基础,以满足信息系统安全需求为目标,设计了包括物理安全策略、访问控制策略、授权策略、终端主机防护策略、网络通信防护策略和容灾策略,具有全面、适度、完备的信息安全策略的方法。
