医院的信息安全分析及措施
1医院信息安全问题分析
1.1物理环境安全分析
信息中心机房安全对医院信息系统异常重要,它是承载整个信息系统的基础条件,直接影响信息系统能否正常工作。同时,中心机房工作环境影响设备能否长期正常工作。根据调查,机房环境温度每上升1度,计算机系统寿命减少一半;机房湿度低容易产生静电,大量静电容易损坏电路芯片,湿度太高容易腐蚀元器件等。从信息系统安全等级保护要求来看,物理环境安全分为设备物理安全、环境物理安全、系统物理安全三大方面。其中,设备物理安全主要包括静电放电、电磁辐射骚扰、电源适应能力等21项具体要求;物理环境安全主要包括场地选择、机房防火、机房屏蔽、供电系统、温湿度控制等19项具体要求;系统物理安全主要包括:灾难备份与恢复、防止非法设备接入、防止设备非法外联等6项具体要求。
1.2网络安全分析
在医疗行业中大家对网络安全普遍的认识是以防火墙加防病毒来进行网络安全防护,但事实上网络安全问题涉及的内容很多。随着医院网络整体应用规模的不断扩大,大规模dos侵入、黑客攻击、蠕虫病毒、外来工作人员等因素导致网络安全环境日益恶化,现有安全技术手段逐渐暴露出安全防护力度不够,强度不高等问题,由于网络安全引发重要数据的丢失、破坏,将造成难以弥补的损失,严重影响到医院网络的正常运行。从等级保护要求方面,网络安全应该从身份鉴别、自主访问控制、强制访问控制、安全审计、可行路径、防抵赖等11个方面的进行安全防护建设和防护。
1.3主机安全分析
主机是医院信息系统的主要承载硬件设备,其安全性不言而喻,主机安全主要涉及:身份鉴别、访问控制、审计安全、入侵防范、资源控制等。影响主机安全的主要因素来源于两方面:一方面是针对操作系统的后门、木马与病毒攻击、黑客攻击、信息篡改、信息泄露、拒绝服务攻击等方面;另一方面是针对数据库的审计记录不足、拒绝服务、数据库通讯协议泄露、身份验证问题等方面。
1.4数据安全分析
数据库是医院信息系统数据存储的核心,从某种意义上说,医疗数据安全是医院信息安全的最主要防护重点,是整个安全防护的最重要核心。数据涉及到信息覆盖面广,数据量大,信息种类繁多,要保持每天24小时不间断运行[2],一旦数据破坏或丢失,都会给医院造成不可估量的损失。
1.5应用安全分析
众所周知,我国信息安全采用信息安全等级保护制度,按照应用系统的安全等级进行划分,应用系统是等级保护的核心,所处的it环境包括主机、数据库、网络传输、物理等,这些因素从客观上增加了应用系统的安全风险,这些风险是必然存在的。应用系统从自身架构上基本包含数据采集、数据处理与汇总分析、人机界面以及各层之间的api接口,这些组成部分从主观上增加了应用系统本身的安全风险,而应用系统本身安全又包括应用系统架构设计安全、模块间数据通讯安全、数据存储安全设计、访问控制、身份认证等主要方面,因此每个层面都需要在系统设计时进行安全考虑和设计。
(未完,全文共3642字,当前显示1209字)
(请认真阅读下面的提示信息)