醫院環境下移動存儲介質的信息安全管理

朱潔

(上海市浦東新區婦幼保健院信息科 上海 201206)

1 影響移動存儲介質信息安全的因素分析

1.1 影響移動存儲介質信息安全的客觀因素

(1)體積小,易丟失。隨著計算機制造技術的不斷提高,現在移動存儲介質體積都很小,容易造成移動存儲介質的遺失。

(2)易傳播病毒。通過移動存儲介質傳播的病毒程序日益增多。如：將未經病毒查殺過的移動存儲介質接入內網中的計算機上,就很可能使病毒感染計算機。如不及時處理,那么病毒又會在內網中迅速擴散,大量文件會被感染,最終會導致整個醫院的計算機全部癱瘓,危及醫療工作的正常開展。

(3)感染木馬,造成信息外泄。“擺渡”木馬是一種不需要網絡連接,通過移動存儲介質,來竊取內網信息的“間諜”木馬。移動存儲介質有可能被植入“擺渡”木馬程序,這樣計算機上的數據就會被竊取,醫院的數據信息和病人的個人隱私就全無保障。

1.2 影響移動存儲介質信息安全的主觀因素

(1)內外網交叉使用。醫院內網屬于醫院內部局域網,外網則連接到Internet網絡,劃分內外網,是保障網絡安全的第一個環節。由于普通移動存儲介質可以在任意計算機上使用,因此,違規將移動存儲介質插入內網計算機后再插入外網,或將移動存儲介質插入外網計算機后再插入內網,交叉使用,極有可能造成機密數據被非法拷貝。

(2)安全意識淡薄,公私混用。如醫院職工的信息安全意識比較淡薄,將個人的移動存儲介質可在醫院信息系統計算機上隨意使用,就很容易造成計算機病毒感染和泛濫,并引起泄密事件;如：內部專用的移動存儲介質被非法帶出醫院使用,更會造成大量數據的外泄。

(3)缺乏有效的監控管理機制。各家醫院對移動存儲介質的使用管理大多缺乏整體的設備登記、身份認證、訪問控制和審計機制。如：移動存儲介質無管理臺帳,沒有對介質的全部流通過程(購買、使用、銷毀)進行監控和管理;無法查詢移動存儲介質的操作日志,如：使用人、使用時間、文件進出、盤中文件的讀寫、刪改等,事后無法追查。

2 移動存儲介質的信息安全管理對策

2.1 嚴格管理,加強信息安全教育

移動存儲介質中資料的存儲要遵循“有用則存、隨用隨存、用后刪除”的原則,嚴禁向外人或外單位出借帶有醫院工作資料的移動存儲介質,妥善保管好移動存儲介質,防止遺失。有移動存儲介質的職工要加強自律意識,防范非法外聯現象。建立健全移動存儲介質的領用登記管理制度、使用管理制度、銷毀管理制度,規范對移動存儲介質的管理。

不斷增強全體職工的責任意識和風險防范意識教育。重視對干部職工的信息安全宣傳教育。對從互聯網上下載資料后的移動存儲介質,必須按照“先查毒、后使用”的原則操作,先進行嚴格殺毒,而后才能在工作用機中使用。要嚴格遵循“誰使用、誰管理、誰負責”的原則,出現問題,嚴格執行相關的通報處罰規定。

2.2 運用技術手段,進行監督管理

對移動存儲介質應遵循“事前防御、事中響應、事后審計”的全過程技術管理原則,充分利用技術手段,達到有效防范信息失密、安全保密的目的。具體來說：(1)通過移動存儲介質交換的數據必須是密文,保證數據離開應用環境后不可用;(2)數據交換前必須通過正確的身份認證,包括密碼認證或USB KEY等授權硬件的身份認證;(3)記錄數據交換過程的工作日志,便于以后進行跟蹤審計;(4)未經授權的移動存儲介質,在工作環境中不可用,只有經過醫院信息科授權的移動存儲介質才能進入醫院信息管理系統(HIS)環境;五是,根據工作需要配發的移動存儲介質被帶出辦公環境后變為不可用。

3 結語

醫院信息系統不同于一般的企業網,系統一旦投入運行,要求1d24h,每周7d不間斷運行,因此,信息安全變得越來越重要,一旦造成經濟損失及社會影響無法用金錢來衡量。隨著移動存儲介質技術的普遍應用,這項技術引起的危險因素和管理上的新問題引起了我們的足夠重視。因此,在醫院環境中要定期檢查已制定的安全制度和技術措施,重新對新的風險和需求進行評估,對發現保密的隱患和問題,要認真整改,切實消除隱患,堵塞泄密漏洞,不斷完善移動存儲介質的安全管理[2]。

[1] 丁寶芬.實用醫學信息學[M].南京：東南大學出版社,2003.

[2] 楊芹.移動存儲介質安全管理存在的難點及建議[J].實務運維管理,2010,6：74.