论文部分内容阅读
摘要:在智慧经济、信息经济快速发展的背景下,以“智慧医疗”为代表的卫生信息化建设全速推进,信息技术的安全问题已成为卫生行业管理工作的重要一环。以杭州市卫生系统的信息安全管理为例,必须加强信息安全管理的顶层设计,强化细节管理和防范。提出进一步加强卫生网络信息管理,必须提高管理人员的安全防范主动性,增强数据安全的整体规划,减少信息安全风险访问空间。
关键词:智慧经济;网络信息;安全管理
中图分类号:C931.9 文献识别码:A 文章编号:1001-828X(2015)012-000-01
引言
随着医药卫生体制改革的不断深入,卫生信息化的地位和作用日益显现。但在卫生信息化建设过程中,伴随着系统建设以及应用,产生了海量的数据,如何安全、妥善、正确地使用这些数据,变得尤为重要。建立完善的网络信息系统安全管理体系,确保信息网络系统平稳有序运行已成为当务之急。
一、卫生系统网络信息安全的隐患
网络手段和信息技术发展迅猛,技术更新速度远远超过信息系统的设计承载,再加上卫生系统的信息数据库的内容复杂,使用频繁,更新较快,直接导致网络信息安全隐患层出不穷。
1.网络信息系统设计先天不足
卫生系统不是专业的信息部门,由于关注的重心在于数据的收集处理,更多的把设计的要求体现在以功能实现为主,对信息安全、数据保护的规范化建设等方面相对要求反而不高,没有对整个信息系统的安全问题给予足够的重视。
2.网络信息管理安防硬件落后
卫生系统的信息化建设起步较早,就目前信息安全的严峻形势而言,在信息系统建设之初,计算机病毒防护、内外网物理隔离、高清视频监控等软硬件、设施设备的配置相对现在的需求就显得较为落后,甚至会出现内外网同时访问一台电脑、不同人同时操作一台电脑的情况,给信息数据安全造成极大隐患。
3.网络信息安全管理制度缺乏
卫生系统的信息安全管理滞后于信息化建设发展,安全管理习惯于靠自觉自律。具体表现在制度层面上的问题较为突出,特别是信息系统安全建设和管理的目标不明确,信息安全管理缺乏依据和标准,具体体现在网络信息安全管理制度的缺乏,或者是有一定的安全规范和制度但却在实际操作过程中执行不彻底。
4.网络信息安全防范意识不够
主观地认为卫生系统的相关信息数据不同于经济数据、涉密数据,针对卫生系统网络信息安全的防范意识不够,组织开展针对全体员工的安全法律法规和防范安全风险的教育与培训相对较少。管理过程中,还存在运行、维护和开发等岗位职责不清的现象。
二、加强卫生系统网络信息安全的实践探索
杭州市卫生系统在探索网络信息安全管理的过程中,信息安全管理部门通过在整体安全防范上的顶层设计、系统管理等,加强审计教育,管理实践取得了较好地成效。
1.加强信息安全管理系统的顶层设计
针对日常管理中存在的安全隐患,对整个安全防范措施加强顶层设计:主要是对数据区的几种访问方式及访问点进行了安全管控。应用区中的日常应用服务器对数据区进行日常的数据读取,需要经过防火墙安全策略的限制,防止非授权访问的进行。切断所有非授权数据访问,集中数据访问到阅览室,并且进行信息科申请访问方式进行,結合全程视频录像。
2.加强信息安全日常管理的细节处置
数据信息管理部门关闭了所有卫生专网内对卫生数据中心所有相关数据库的直接访问。拒绝远程进行外网维护,需要维护敏感的服务器则需要通过阅览室访问堡垒主机才能操作,并且在堡垒主机上留有操作记录,所有内网和外网的计算机全部采取IP和MAC进行绑定的做法,防止非管理人员进行访问。同时,管理部门开辟了专门的数据访问阅览室,进出阅览室需凭指纹进入,进入之后系统就留有进入记录和人一一对应,并留有记录可以时候查询。阅览室实行审批登记制度,厂家人员需要向管理部门进行申请,管理人员对厂家进行监督,并且拷贝进出文件留底备案,所有行为都在视频监控下进行。
3.加强信息安全防范监管的硬件配置
严格执行内外网严格物理隔离,管理部门内部分别安装内、外网网络环境和设备,杜绝内外网能够同时访问的情况,降低了相关电子病历数据被非法访问的风险。在阅览室、开发室等重要办公地点安装高清视频监控、指纹门禁。视屏监控对准电脑屏幕,和出入口,能够清晰准确的记录下进入人员在电脑屏幕上进行的操作,提醒和警示进入人员安全谨慎操作。采用指纹门禁而不允许使用密码方式开门,则杜绝了非授权人员的非法进入及密码泄露的问题。
4.加强信息安全管理防范的制度建设
在技防的基础上,进一步发挥人防的作用,重点是建立和健全了信息安全管理薄弱环节的制度建设,包括设备台账、软件安装、日常维护等管理制度。同时,进一步规范内部管理流程,管理部门内部明确职责和分工,明确工作流程并上墙管理。对管理人员有严格的操作规范和完整的日志留存,方便工作定期考核,出现问题便于追责。
三、实践启示
1.强化数据安全的整体规划和设计
随着信息化建设的深入,解决安全体系建设的问题需要使用组合的方式和健全相关制度,才能完成整个安全体系的构建,进一步提升数据的安全防护性,从大安全的规划角度来设计措施和制度。
2.减少信息安全风险访问的空间
信息安全防范中,安全建设永远在路上,威胁和对手大多时候处于未知,所以要尽可能的减少涉及到安全访问的地点,把可以访问的地点完全置于可控和监督下,减少未知的安全风险,把隐患降到最低。
3.增强信息安全从业人员的主动性
信息安全人员日常工作的开展,必须依靠完善的制度和规范的流程,要让责任和访问的权限对等,才能让信息安全人员更主动地去发现日常工作中存在的安全漏洞,并督促厂商做好相关的措施,这样才能确保制度和措施落到实处。
参考文献:
[1]黄登权浅析网络信息系统的安全管理[J].计算机光盘软件与应用2014(7):166.
[2]施超计算机网络信息管理及其安全防护策略[J].信息安全与技术,2012(3):8-9.
[3]刘琼牧涛论网络信息安全的信息管理[J].网络安全技术与应用,2014(3):134.
作者简介:薛 亮(1981–),男,汉族,浙江杭州人,公共管理硕士,经济师,研究方向:医疗机构经济管理工作。
关键词:智慧经济;网络信息;安全管理
中图分类号:C931.9 文献识别码:A 文章编号:1001-828X(2015)012-000-01
引言
随着医药卫生体制改革的不断深入,卫生信息化的地位和作用日益显现。但在卫生信息化建设过程中,伴随着系统建设以及应用,产生了海量的数据,如何安全、妥善、正确地使用这些数据,变得尤为重要。建立完善的网络信息系统安全管理体系,确保信息网络系统平稳有序运行已成为当务之急。
一、卫生系统网络信息安全的隐患
网络手段和信息技术发展迅猛,技术更新速度远远超过信息系统的设计承载,再加上卫生系统的信息数据库的内容复杂,使用频繁,更新较快,直接导致网络信息安全隐患层出不穷。
1.网络信息系统设计先天不足
卫生系统不是专业的信息部门,由于关注的重心在于数据的收集处理,更多的把设计的要求体现在以功能实现为主,对信息安全、数据保护的规范化建设等方面相对要求反而不高,没有对整个信息系统的安全问题给予足够的重视。
2.网络信息管理安防硬件落后
卫生系统的信息化建设起步较早,就目前信息安全的严峻形势而言,在信息系统建设之初,计算机病毒防护、内外网物理隔离、高清视频监控等软硬件、设施设备的配置相对现在的需求就显得较为落后,甚至会出现内外网同时访问一台电脑、不同人同时操作一台电脑的情况,给信息数据安全造成极大隐患。
3.网络信息安全管理制度缺乏
卫生系统的信息安全管理滞后于信息化建设发展,安全管理习惯于靠自觉自律。具体表现在制度层面上的问题较为突出,特别是信息系统安全建设和管理的目标不明确,信息安全管理缺乏依据和标准,具体体现在网络信息安全管理制度的缺乏,或者是有一定的安全规范和制度但却在实际操作过程中执行不彻底。
4.网络信息安全防范意识不够
主观地认为卫生系统的相关信息数据不同于经济数据、涉密数据,针对卫生系统网络信息安全的防范意识不够,组织开展针对全体员工的安全法律法规和防范安全风险的教育与培训相对较少。管理过程中,还存在运行、维护和开发等岗位职责不清的现象。
二、加强卫生系统网络信息安全的实践探索
杭州市卫生系统在探索网络信息安全管理的过程中,信息安全管理部门通过在整体安全防范上的顶层设计、系统管理等,加强审计教育,管理实践取得了较好地成效。
1.加强信息安全管理系统的顶层设计
针对日常管理中存在的安全隐患,对整个安全防范措施加强顶层设计:主要是对数据区的几种访问方式及访问点进行了安全管控。应用区中的日常应用服务器对数据区进行日常的数据读取,需要经过防火墙安全策略的限制,防止非授权访问的进行。切断所有非授权数据访问,集中数据访问到阅览室,并且进行信息科申请访问方式进行,結合全程视频录像。
2.加强信息安全日常管理的细节处置
数据信息管理部门关闭了所有卫生专网内对卫生数据中心所有相关数据库的直接访问。拒绝远程进行外网维护,需要维护敏感的服务器则需要通过阅览室访问堡垒主机才能操作,并且在堡垒主机上留有操作记录,所有内网和外网的计算机全部采取IP和MAC进行绑定的做法,防止非管理人员进行访问。同时,管理部门开辟了专门的数据访问阅览室,进出阅览室需凭指纹进入,进入之后系统就留有进入记录和人一一对应,并留有记录可以时候查询。阅览室实行审批登记制度,厂家人员需要向管理部门进行申请,管理人员对厂家进行监督,并且拷贝进出文件留底备案,所有行为都在视频监控下进行。
3.加强信息安全防范监管的硬件配置
严格执行内外网严格物理隔离,管理部门内部分别安装内、外网网络环境和设备,杜绝内外网能够同时访问的情况,降低了相关电子病历数据被非法访问的风险。在阅览室、开发室等重要办公地点安装高清视频监控、指纹门禁。视屏监控对准电脑屏幕,和出入口,能够清晰准确的记录下进入人员在电脑屏幕上进行的操作,提醒和警示进入人员安全谨慎操作。采用指纹门禁而不允许使用密码方式开门,则杜绝了非授权人员的非法进入及密码泄露的问题。
4.加强信息安全管理防范的制度建设
在技防的基础上,进一步发挥人防的作用,重点是建立和健全了信息安全管理薄弱环节的制度建设,包括设备台账、软件安装、日常维护等管理制度。同时,进一步规范内部管理流程,管理部门内部明确职责和分工,明确工作流程并上墙管理。对管理人员有严格的操作规范和完整的日志留存,方便工作定期考核,出现问题便于追责。
三、实践启示
1.强化数据安全的整体规划和设计
随着信息化建设的深入,解决安全体系建设的问题需要使用组合的方式和健全相关制度,才能完成整个安全体系的构建,进一步提升数据的安全防护性,从大安全的规划角度来设计措施和制度。
2.减少信息安全风险访问的空间
信息安全防范中,安全建设永远在路上,威胁和对手大多时候处于未知,所以要尽可能的减少涉及到安全访问的地点,把可以访问的地点完全置于可控和监督下,减少未知的安全风险,把隐患降到最低。
3.增强信息安全从业人员的主动性
信息安全人员日常工作的开展,必须依靠完善的制度和规范的流程,要让责任和访问的权限对等,才能让信息安全人员更主动地去发现日常工作中存在的安全漏洞,并督促厂商做好相关的措施,这样才能确保制度和措施落到实处。
参考文献:
[1]黄登权浅析网络信息系统的安全管理[J].计算机光盘软件与应用2014(7):166.
[2]施超计算机网络信息管理及其安全防护策略[J].信息安全与技术,2012(3):8-9.
[3]刘琼牧涛论网络信息安全的信息管理[J].网络安全技术与应用,2014(3):134.
作者简介:薛 亮(1981–),男,汉族,浙江杭州人,公共管理硕士,经济师,研究方向:医疗机构经济管理工作。