保障医院网络信息系统安全

保障医院网络信息系统安全

“网络安全方案不要过于复杂,我个人认为简单就是可靠。”中国医院协会信息管理专业委员会副主任委员、解放军总医院(301医院)信息中心主任薛万国先生表示:“首先,安全对于医院信息化非常重要,该买的产品一定要买;其次,安全方案不要太复杂;再次,还应重视应用的安全。安全方案复杂了以后不稳定的因素是客观存在的,会导致网络出现问题。比如,如果加太多的防火墙、防病毒网关、行为管理软件等等以后,将会导致网络的实际带宽可能只剩有20%、30%。”

北京宣武医院信息中心的专家尚邦志认为:“解决网络安全问题不能只靠拿网络产品去堆砌,解决网络安全问题首先应该有一个系统的网络安全方案。网络安全问题是永远存在,安全问题实际上是管理加技术的问题,而且是管理在前,技术在后。一定要考虑在管理的前提下应用技术,这样才能保证安全。”

论坛中,尚邦志从安全方案的设计,风险评估,设备选型到施工等等方面展开的一一阐述。他认为,医院在进行网络安全设计时,不同的医院在需求上会有所不同,安全方案必须结合各自医院的具体需求情况,而对于厂商提供的方案一定要进行二次设计。在网络施工阶段,施工质量不好,施工的工艺不行,同样会造成网络安全遗患。同样,有很多的细节需要重视,比如交换机的配置,交换机买来了之后不是上来就用,一定要做好初始化配置。

此外,医院应该做好风险评估工作,风险是随着时间的推移而不断变化的。

在设备选型方面,尚邦志强调,所有最佳的产品设备简单组合在一起未必能组成一个最佳的系统,反倒不是最佳的产品设备组合在一起,可能会产生一个比较理想的系统,这需要具体问题具体分析,而不是盲目追求。

关于采用万兆网的选择问题,中国医院协会信息管理专业委员会常务委员兼秘书长,北医三院信息管理中心主任沈韬研究员表示:“目前北医三院的骨干网采用的是千兆,即便是高峰期能用到20%就不错了。所以,就目前医院的实际需要情况看,即便是在有很多应用的情况下,网络带宽并不是一个迫不急待需要解决的问题。”同样,薛万国主任也认为:“网络并不是最大的就好,一定要有容度才是最好。”

信息系统安全有法可依

俗话说:没有规矩,不成方圆。面对由新医改而引发的新一轮医疗信息化的热潮,保持清醒的认识,同时尽快在制度与规范方面保障医疗信息化的健康发展,这是医院领域众多有识之士共同关注的话题。

“新医改方案在将医疗信息化提高到空气高度的同时,也让我们感到责任的重大。” 北京市公共卫生信息中心刘伟书记表示:“最近两年以来,北京市公共卫生信息中心一直在积极推进医院信息化工作。2008年中,北京市公共卫生信息中心医院信息化推进部在专家委员会的大力支持下,编写了有关医院信息化的规范与指南,同时,还做了有关医院信息化的建设项目。无论是项目审核工作,还是编写医院信息化规范与指南,最终都应该落实在如何为医院信息化建设服务这个点上。北京市公共卫生信息中心是医院信息化建设的服务保障部门,2010年我们将继续地在原有的基础上不断地加强医院信息化建设的服务工作。”

中国医院协会信息管理专业委员会常务委员兼秘书长,北医三院信息管理中心主任沈韬研究员认为:“从当前医疗信息化的热潮看,可能医疗信息化的春天真的来了,尽管可能还是早春。我觉得这是中国的一次机遇,未来如何发展我们还需要拭目以待。”

中国医院协会信息管理专业委员会副主任委员何雨生表示:“从医院的管理机制方面看,江浙一带和广东一带的院长,尤其是地区级的院长相对的执行力非常强。在这一点上北京存在差距,应该学习和借鉴。”

值得关注的是,目前国内有关部门已经在医院的信息化,尤其是在信息安全方面,已经积极行动起来。2009年,上海市卫生局发布了《医疗机构信息系统安全等级保护基本要求》,这个文件遵循国家信息安全等级划分原则,把医院信息系统定义为二级和二级增强型两类,所谓二级增加型就是根据医院信息化的特点在二级基础上增加了部分三级等保标准的内容,并按照国际标准《信息系统安全等级保护基本要求》(GB/T22239-2008)对医院信息安全工作提出了具体要求。

不久前,卫生部统计信息中心副主任王才有对记者表示,鉴于医院业务应用的特殊性,其信息安全必然与国家标准中的一般信息安全内容有所不同。医院信息系统更关注防止信息非法篡改及数据安全性等方面。医院信息系统中的一些子系统可能会更关注业务连续性方面

的要求。医院信息安全建设的主要内容就是按照国家《信息系统安全等级保护基本要求》标准,针对医院信息化建设特点和要求,加强信息安全的保护能力。

据悉,国家还有一个相关的技术标准叫《信息系统等级保护安全设计技术要求》,该标准目前还处于审批阶段。这个标准从安全计算环境,安全区域边界,安全通信网络和安全管理中心等方面提出了整体设计要求。安全计算环境就是以访问控制为核心的信息处理环境,安全区域边界就是进入和流出的信息必须得到控制,安全通信网络就是保证信息交换过程中的安全性,防止被掉包,篡改,窃听等。此外,还需要设计一个安全管理中心制定安全策略,提供一个信息处理的三权分立体制,从而实现对信息的安全管理,不能想干什么就干什么,谁都没有绝对的权力。安全管理中心将安全管理制度与安全技术手段结合在一起,实现对信息安全的管理和控制,强调的是从整体上实现信息安全的要求。

信息安全不仅中国在关注,美国在制定其国家卫生信息化战略规划中,也同样把“信息安全与患者隐私保护”定位为卫生信息化发展的首要任务目标。

保障医院网络信息系统安全

“网络安全方案不要过于复杂,我个人认为简单就是可靠。”中国医院协会信息管理专业委员会副主任委员、解放军总医院(301医院)信息中心主任薛万国先生表示:“首先,安全对于医院信息化非常重要,该买的产品一定要买;其次,安全方案不要太复杂;再次,还应重视应用的安全。安全方案复杂了以后不稳定的因素是客观存在的,会导致网络出现问题。比如,如果加太多的防火墙、防病毒网关、行为管理软件等等以后,将会导致网络的实际带宽可能只剩有20%、30%。”

北京宣武医院信息中心的专家尚邦志认为:“解决网络安全问题不能只靠拿网络产品去堆砌,解决网络安全问题首先应该有一个系统的网络安全方案。网络安全问题是永远存在,安全问题实际上是管理加技术的问题,而且是管理在前,技术在后。一定要考虑在管理的前提下应用技术,这样才能保证安全。”

论坛中,尚邦志从安全方案的设计,风险评估,设备选型到施工等等方面展开的一一阐述。他认为,医院在进行网络安全设计时,不同的医院在需求上会有所不同,安全方案必须结合各自医院的具体需求情况,而对于厂商提供的方案一定要进行二次设计。在网络施工阶段,施工质量不好,施工的工艺不行,同样会造成网络安全遗患。同样,有很多的细节需要重视,比如交换机的配置,交换机买来了之后不是上来就用,一定要做好初始化配置。

此外,医院应该做好风险评估工作,风险是随着时间的推移而不断变化的。

在设备选型方面,尚邦志强调,所有最佳的产品设备简单组合在一起未必能组成一个最佳的系统,反倒不是最佳的产品设备组合在一起,可能会产生一个比较理想的系统,这需要具体问题具体分析,而不是盲目追求。

关于采用万兆网的选择问题,中国医院协会信息管理专业委员会常务委员兼秘书长,北医三院信息管理中心主任沈韬研究员表示:“目前北医三院的骨干网采用的是千兆,即便是高峰期能用到20%就不错了。所以,就目前医院的实际需要情况看,即便是在有很多应用的情况下,网络带宽并不是一个迫不急待需要解决的问题。”同样,薛万国主任也认为:“网络并不是最大的就好,一定要有容度才是最好。”

信息系统安全有法可依

俗话说:没有规矩,不成方圆。面对由新医改而引发的新一轮医疗信息化的热潮,保持清醒的认识,同时尽快在制度与规范方面保障医疗信息化的健康发展,这是医院领域众多有识之士共同关注的话题。

“新医改方案在将医疗信息化提高到空气高度的同时,也让我们感到责任的重大。” 北京市公共卫生信息中心刘伟书记表示:“最近两年以来,北京市公共卫生信息中心一直在积极推进医院信息化工作。2008年中,北京市公共卫生信息中心医院信息化推进部在专家委员会的大力支持下,编写了有关医院信息化的规范与指南,同时,还做了有关医院信息化的建设项目。无论是项目审核工作,还是编写医院信息化规范与指南,最终都应该落实在如何为医院信息化建设服务这个点上。北京市公共卫生信息中心是医院信息化建设的服务保障部门,2010年我们将继续地在原有的基础上不断地加强医院信息化建设的服务工作。”

中国医院协会信息管理专业委员会常务委员兼秘书长,北医三院信息管理中心主任沈韬研究员认为:“从当前医疗信息化的热潮看,可能医疗信息化的春天真的来了,尽管可能还是早春。我觉得这是中国的一次机遇,未来如何发展我们还需要拭目以待。”

中国医院协会信息管理专业委员会副主任委员何雨生表示:“从医院的管理机制方面看,江浙一带和广东一带的院长,尤其是地区级的院长相对的执行力非常强。在这一点上北京存在差距,应该学习和借鉴。”

值得关注的是,目前国内有关部门已经在医院的信息化,尤其是在信息安全方面,已经积极行动起来。2009年,上海市卫生局发布了《医疗机构信息系统安全等级保护基本要求》,这个文件遵循国家信息安全等级划分原则,把医院信息系统定义为二级和二级增强型两类,所谓二级增加型就是根据医院信息化的特点在二级基础上增加了部分三级等保标准的内容,并按照国际标准《信息系统安全等级保护基本要求》(GB/T22239-2008)对医院信息安全工作提出了具体要求。

不久前,卫生部统计信息中心副主任王才有对记者表示,鉴于医院业务应用的特殊性,其信息安全必然与国家标准中的一般信息安全内容有所不同。医院信息系统更关注防止信息非法篡改及数据安全性等方面。医院信息系统中的一些子系统可能会更关注业务连续性方面

的要求。医院信息安全建设的主要内容就是按照国家《信息系统安全等级保护基本要求》标准,针对医院信息化建设特点和要求,加强信息安全的保护能力。

据悉,国家还有一个相关的技术标准叫《信息系统等级保护安全设计技术要求》,该标准目前还处于审批阶段。这个标准从安全计算环境,安全区域边界,安全通信网络和安全管理中心等方面提出了整体设计要求。安全计算环境就是以访问控制为核心的信息处理环境,安全区域边界就是进入和流出的信息必须得到控制,安全通信网络就是保证信息交换过程中的安全性,防止被掉包,篡改,窃听等。此外,还需要设计一个安全管理中心制定安全策略,提供一个信息处理的三权分立体制,从而实现对信息的安全管理,不能想干什么就干什么,谁都没有绝对的权力。安全管理中心将安全管理制度与安全技术手段结合在一起,实现对信息安全的管理和控制,强调的是从整体上实现信息安全的要求。

信息安全不仅中国在关注,美国在制定其国家卫生信息化战略规划中,也同样把“信息安全与患者隐私保护”定位为卫生信息化发展的首要任务目标。


相关文章

  • 医院网络信息安全需求分析
  • [摘要] 随着医院信息化建设步伐的不断加快,信息网络技术在医疗行业的应用日趋广泛,这些先进的技术给医院的管理带来了前所未有的便利,也提升了医院的管理质量和服务水平,同时医疗业务对行业信息和数据的依赖程度也越来越高,也带来了不可忽视的网络系统 ...查看


  • 医院信息系统管理制度
  • 医院信息系统管理制度 (一)总则 1.为了加强医院信息系统的领导和管理,促进医院信息化工程的应用和发展, 保障系统有序运行,制定本规则. 2.本规则所称的信息系统,是由计算机及其相关配套的设备.设施构成的, 按照系统应用目标和规则对医院信息 ...查看


  • 医院信息化建设中长期规划和年度工作计划(4000字)
  • 沈阳经济技术开发区人民医院 医院信息化建设中长期规划 一.背景 近几年来医院医疗业务逐年迅速增长,大部分基础设施.设备(包括网络与信息设施.设备).人才资源的使用相继接近满负荷甚至超负荷.随着市场经济体系的建立和卫生改革不断深化,医疗市场竞 ...查看


  • 银江智慧医疗整体解决方案分析
  • 银江智慧医疗整体解决方案分析 多年来,银江致力于国内医疗信息化建设,已经形成了数字医院.区域医疗.公共卫生.移动医疗和医疗物联网等五大领域核心产品和解决方案,为医疗行业客户提供最先进的信息化产品和服务,引领智慧医疗未来,开启医疗物联网时代! ...查看


  • XX医院信息管理制度
  • XX医院信息管理制度 为了加强医院信息系统的领导和管理, 保障系统有序运行,制定本制度. 一.组织管理 (一)医院信息化领导小组 组 长: 副组长: 成 员: 医院信息化领导小组职责: 1.负责医院信息化建设全面领导工作. 2.组织协调.监 ...查看


  • 医院信息安全制度
  • 医院信息安全制度 为保证我院计算机网络的正常运行和健康发展,根据<中华人民共和国计算机信息系统安全保护条例>.<中华人民共和国计算机信息网络国际联网管理暂行规定>.和国家有关法律规定,结合我院实际情况,针对医院信息安 ...查看


  • 医院信息系统管理制度及应急预案(草案)
  • 武汉市优抚医院信息系统管理制度 一. 遵守国家有关法律.法规,严格执行安全保密制度,不得利用网络从事危害国家安全.泄露国家秘密等违法犯罪活动,不得制作.浏览.复制.传播反动及色情信息,不得在网络上发布反动.非法和虚假的消息,不得在网络上漫骂 ...查看


  • 医院信息系统建设的几个原则
  • 浅谈医院信息系统建设的几个原则 惠州市卫生局 叶礼全 陈柏培 摘要: 本文分析了我市医院信息系统的建设概况,结合去年SARS 的爆发使得医院信息系统暴露出来的多方面问题,以及国家对公共卫生信息系统与医疗救治信息系统投资力度的加大,本文旨在上 ...查看


  • 医院信息系统的安全隐患及预防对策
  • 龙源期刊网 http://www.qikan.com.cn 医院信息系统的安全隐患及预防对策 作者:鲁赞 来源:<硅谷>2013年第08期 摘 要 当前,网络信息技术不断发展进步,显著加快了医院信息化建设的进程,同时医院的网络信 ...查看


热门内容