淺談醫院信息化安全策略五問題

葉建平 廈門大學附屬第一醫院

隨著醫院的不斷發展和國家醫療衛生管理要求的不斷提高，對信息網絡系統的依賴性也表現得越來越強。但是信息網絡系統所表現出來的先進性，以及所帶來的勞動效率提高和生產成本降低，并不能掩飾其存在的種種安全隱患。特別是醫院的信息網絡系統中運載著大量重要的數據和信息，無論是硬件、軟件、環境、人為方面的影響都可能導致這些數據遭受破壞，給醫院帶來無法挽回的損失。因此保護信息系統的數據安全，構建信息系統安全平臺成為了醫院信息化建設的當務之急。制定有效的安全策略前，可以先想想下列幾個問題:

1 資產。

要保護的是什么？在任何安全實施中，通過安全措施識別出將要被保護的資產是第一步，也是最關鍵的一步。如果不能正確回答這個問題，就可能導致不適合的安全控制，或者使安全控制保護的是不該保護的東西。列如，在設計一個患者回訪系統的時候，問一問這個問題可能使得設計者能夠識別出下面這些需要保護的東西:患者的姓名和地址、聯系電話、病情等。網絡連接的加密、將患者數據放置在相互隔離的數據庫中并對數據進行加密。如果不能提出這些問題，就可能使設計者忘記考慮加密。根據對這些問題的回答，可以列出要保護的資產列表。

2 風險。

什么是威脅矢量、脆弱性和風險？在要保護的資產在問題1中被識別出來之后，對于這些資產的威脅就可以同與他們相關的資源一起被列舉出來，然后就可以找到與可能受到威脅的資產相關的脆弱性。風險則與每一種已經出現的威脅所導致的損失有相似性，也應當被識別出來。這三種因素加起來，就能提供所需的信息，以決定要考慮采用哪一種安全控制，可能將它們放在哪里，以及它們的花費是多少。對這個問題的回答就是風險分析的結果。

3 保護。

該怎樣保護資產呢？一旦識別出了業務需求，并進行了文檔記錄（像在問題1中一樣），而且基于問題2完成了風險分析，安全管理小組就可以考慮實際的策略、處理過程和技術，并針對與他們相關的威脅矢量，使用他們來為資產提供合適的保護級別。然后安全管理人員就可以保證他們在安全實施中進行了適當的處理，并能夠獲得成功。有一些保護措施是分別提供的，即為用戶和管理者提供的操作指示是不同的，以分別知道他們如何開展業務，并采取適當的強制措施。一些保護措施由防御技術提供，比如防火墻、訪問控制設備加密等等。其他的保護措施將通過檢測和制止控制來提供，比如監控軟件或由安全管理人員進行人工監控。對于這個問題的回答可以列出一張常用技術表，我們將可以使用這些技術來對信息資產進行保護。

4 工具。

要保證安全保護措施的實施，需要做些什么呢？給出問題3中識別出主要的保護類別，就得應當選擇的特殊工具。在這個階段會進行產品估價，并能識別出需要使用安全策略的地方，而且要定義出必須進行歸檔的規程。根據對這些問題的回答，可以列出將要采取的特定保護步驟。

5 優先權。

保護措施將以怎樣的步驟實施呢？一旦根據威脅識別出了保護資產所需的工具和技術，并假定醫院沒有足夠的資源來同時實施所有這一切，就必須為每種工具和技術分配優先權，以便他們以一種合理的順序得到實施。比如，在安裝防火墻之前打開WEB服務器是不可取的，相反，應該先安裝防火墻，然后部署WEB服務，再實施加密和安全數據庫，最后打開所有東西，這樣可能最有意義。對于每一種環境來說，細節是有所不同的，但以這樣的順序詢問這5個問題，就可以幫助信息安全管理者考慮到使安全方案成功實施的因素。

[1]黃曉飛;醫院信息系統信息安全防范策略研究[J];科技風;2013年02期

[2]劉青超;淺論醫院信息化安全策略[J];山西科技;2014年02期

[3]黃碧香;醫院信息系統的安全策略體系[J];企業科技與發展;2013年24期

[4]方淑英;醫院信息管理系統網絡安全策略[J];海峽科學;2004年12期

[5]王非,谷敏,高曉娟;醫院信息網絡系統安全策略與維護[J];江蘇科技信息;2011年03期

[6]劉陽;醫院計算機網絡信息系統安全問題策略[J];硅谷;2014年05期

[7]劉國軍,楊宏志;淺析醫院信息管理系統的安全策略[J];中國西部科技;2011年29期

[8]桂凌;基于醫院管理信息系統安全性策略的研究[J];科技信息;2010年32期