前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇医保网络安全管理制度范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
【关键词】信息安全等级保护 测评实施
1 引言
医院信息化建设快速发展,信息系统应用深入到各个环节,信息业务系统承载了门诊收费、门诊药房、住院收费、住院药房、医保、财务、门急诊医生护士站、住院医生护士站、电子病历、病案首页、检验LIS系统、检查PACS系统、体检系统等。保障重点信息系统的安全,规范信息安全等级保护,完善信息保护机制,提高信息系统的防护能力和应急水平,有效遏制重大网络与信息安全事件的发生,创造良好的信息系统安全运营环境势在必要。根据卫生部印发的《卫生行业信息安全等级保护工作的指导意见》,卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作,对于促进卫生信息化健康发展,保障医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义。
2 确定测评对象与等级
我院是一所二级甲等综合医院,日门诊人次1000人左右,住院日人次400余人。医院信息系统HIS、LIS、PACS、电子病历、体检等50余个系统无缝结合,信息双向交流。按照《信息系统安全等级保护定级指南》定级原理,确定医院信息业务系统的安全保护等级为第2级,其中业务信息安全保护等级为2级,系统服务安全保护等级为2级。
2.1 招标比选测评公司
医院通过四川警察网了解到四川省获得信息安全等级保护测评有资质的5家公司。医院电话通知该5家公司,简单介绍医院信息化情况,其中有3家公司到现场进行调查,掌握了信息系统情况。然后通过招标比选确定一家公司为我院测评安全等级保护。
2.2 测评实施
2.2.1 准备阶段
医院填报《安全等级保护备案申报表》、《安全等级保护定级报告》,确定安全主管人员、系统管理员、数据库管理员、审计管理员、安全管理员。医院组织相关人员到市级计算机安全学会进行安全培训学习。确定医院信息安全主管人员协助测评公司人员就医院信息业务系统做调研,提交准备资料。调研内容涉及网络拓扑结构图、线路链接情况、中心机房位置分布情况、应用系统组成情况、服务器操作系统、数据库系统以及相应的IP地址、网络互连设备的配置、网络安全设备的配置、安全文档等。
2.2.2 测评主要内容
主要针对医院信息系统技术安全和安全管理两方面实施测评,其中技术安全包括物理安全、网络安全、主机安全、应用系统安全、数据安全及备份恢复进行5;安全管理包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
2.2.3 测评方式与测评范围
测评公司综合采用了现场测评与风险分析方法测评、单元测评与整体测评。单元测评实施过程中采用现场访谈、检查和测试等测评方法。就各类岗位人员进行访谈,了解医院业务运作以及网络运行状况;查看主机房、应用系统软件、主机操作系统及安全相关软件、数据库管理系统、安全设备管理系统、安全文档、网络分布链接情况。检查物理安全、主机安全、网络安全、应用安全和数据安全及备份恢复等技术类测评任务,以及安全管理类测评任务;查阅分析文档、核查安全配置、监听与分析网络等检查方法查证防火墙、路由器、交换机部署及其配置情况、端口开放情况等;测评人员采用手工验证和工具测试进行漏洞扫描、系统渗透测试,检查系统的安全有效性。
整体测评主要应用于安全控制间、层面间和区域间等三个方面。主要就是针对同一区域内、同一层面上或不同层面上的不同安全控制间存在的安全问题以及不同区域间的互连互通时的安全性。
医院信息系统运用了身份鉴别措施、软件容错机制、用户权限分组管理、密码账户登录、数据库表中记录用户操作、对重要事件进行审计并留存记录。网络边界处部署防火墙防御入侵,终端使用了趋势网络版本防病毒产品,抵御恶意代码。开启系统审计日志,制定和实施有效安全管理制度,加强安全管理,降低系统安全风险。网络进行了有效的区域划分,区域之间通过访问控制列表实现安全控制,与社保局、医管办等第三方外联区之间通过防火墙严格限制访问端口。
2.2.5 差距分析与测评整改
通过测评,测评公司写出测评报告,提出整改建议。按照《信息系统安全等级保护基本要求》要求6,测评公司人员根据医院当前安全管理需要和管理特点,针对等级保护所要求的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理,从人员、制度、运作、规范等角度,进行全面的建设7,提供技术建设措施,落实等级保护制度的各项要求,就各类人员进行安全培训,提升医院信息系统管理的能力。医院分期逐步投入防网络入侵系统、数据库审计系统等。
2.2.6 编制报告,成功备案
测评公司编制报告,上报市公安局备案成功,获得二级信息系统备案证书。二级信息系统,每两年进行一次信息安全等级测评。实施安全等级保护测评备案使医院信息系统安全管理水平提高,安全保护能力增强,有效保障信息化健康发展。
3 结语
网络安全问题是一个集技术、管理和法规于一体的长期系统工程,始终有其动态性,医院需要不断进行完善,加强管理,持续增加安全设备以保障医院数据安全有效,保障信息系统安全稳定运行。医院信息安全建设要切合自身条件特点,分期分批循序建设,保证医院各系统长期稳定安全运行,以适应医院不断扩展的业务应用和管理需求8。
参考文献
[1]卫办发.〔2011〕85号,卫生部关于印发“卫生行业信息安全等级保护工作的指导意见”的通知,2011.
[2]尚邦治.做好信息安全等级保护工作[J].中国卫生信息管理杂志,2005.
[3]王建英,陈文霞,胡雯,张鹏.医院信息安全分析及措施[J].中国病案,2013.
[4]王俊.医院信息安全等级保护管理体系的构建[J].医学信息,2013.
[5]韩作为.医院信息安全等级保护三级建设流程与要点[J].中国数字医学,2006.
【关键词】危害 医院计算机信息网络 局域网 病毒 安全 维护
【中图分类号】R197.324 【文献标识码】B【文章编号】1004-4949(2014)03-0356-01
医院计算机信息系统,简称HIS。它是专门储存、维护和应用医院信息的数据库管理系统,是处理医院各种信息和支持医院管理流程的重要组成部分,也是为管理层决策提供真实信息的应用系统,所以,对医院计算机信息系统的维护和安全上的管理是信息科日常工作的重中之重。
我院于2009年开始安装和使用了HIS,选用了江苏南京的飓风医院管理系统,版本为HS4.0。内含门诊和住院部收费系统,护士站管理系统,配药系统,药库,药房管理系统,价表管理系统,报表系统和各种查询系统等等。系统稳定,界面随和,操作简便快捷,比较人性化。其中,门诊各类医保的收费和住院部各类医保的结算系统,都和我市各医保服务器做了接口,可以做到即时结算。所以网络安全十分重要。笔者在实际工作中对一些危害计算机信息网络安全的因素进行分析和应对如下:
1 危害因素
1.1计算机病毒
危害计算机网络的首要因素,就是计算机病毒的入侵。在网络环境下,计算机病毒通过各种方式感染局域网。使得单位的网络在短时间里瘫痪,频繁报错,数据丢失,正常工作不能进行。网络环境下,网络病毒具有可传播性,可执行性,破坏性等。它还具有以下特点:
1.1.1 感染速度快 在单机环境下,病毒只能通过媒介(软盘,U盘等)从一台计算机带到另一台,而在网络中则可通过网络通讯机制进行迅速扩散。只要有一个工作站有病毒,就可以感染局域网上的所有计算机。
1.1.2 扩散面广,传播形式复杂多样,而且难以清除。计算机病毒在局域网是通过“工作站-服务器-工作站”的途径传播,扩散面在短短几十分钟里,就可以传播局域网里所有计算机,传播的方式复杂多样。如果是单机的计算机病毒,可以通过删除带毒的文件,或格式化硬盘将病毒清除。而在局域网里,只要有一个工作站未能彻底清除病毒,就可使整个网络重新被病毒感染。
1.1.3 破坏性大和可激发性。 网络病毒可直接影响网络的工作,轻者降低速度,影响工作效率,重者使网络彻底瘫痪,破坏服务器信息,多年的工作毁于一旦。现在的网络病毒激发条件已经多样化,可以用内部时钟,系统的日期和用户名,甚至可以用网络的一次简单的通讯来激发。一个病毒程序,可以按照病毒设计者的要求,在某个工作站上激发,并连续地攻击。
1.2 硬件方面的问题
1.2.1 网络的安装 我院网络采取了光纤和双绞线的混合方式。门诊楼因为离服务器较近,我们采取了服务器+双绞线+交换机+工作站的方式。在实际工作中,有时会有网络延迟现象发生。特别是门诊收费工作站,各收费电脑使用互联网和内网HIS有接口,用于即时结算。当局域网发生网络不通,造成数据延迟的时候,会产生收费错误,还得反复退费,影响工作效率。住院部离服务器较远,我们采用了光纤传输,速度较快,没有明显的数据延迟。发生过两次异常,是因为交换机损坏和光纤接收器损坏造成,判断出原因,更换后恢复。
1.2..2 持续供电的问题 我院处于一大型企业生活区内,和当地的居民公用一条电路。在盛夏时节,由于附近居民和本院使用空调数量庞大,时常造成变压器跳闸,甚至有烧坏电力线路的事件发生。近几年,经常有电压不稳,突然断电的情况,容易造成服务器数据丢失,工作站的电脑在供电时,主板电路板被来电时的高压击穿损坏。
1.2.3 计算机老化和操作人员使用不当,违规使用外设。 我院很多计算机已经出现老化症状。最常见的情况是计算机各零部件的损坏,比如硬盘,内存,主板和显示器的损毁。一旦发生此类情况,如果备件不足,就会影响正常工作,当硬盘损毁的时候,甚至造成单机数据库和医保文件的丢失,损失比较大。局域网用户涉及操作人员,医护人员,管理人员等很多使用者,有些人缺少责任心违规操作,就会造成计算机事故。比如,违规在计算机上玩游戏,使用带互联网的医保电脑浏览不明网页,看电影,购物等。这些,都是危害计算机安全的行为。还有违规使用U盘,usb连接智能手机和大容量的移动外设,拷贝自己的文件或影像制品,这些都会给计算机网络造成极大危害,使全院局域网处于极度风险之中。
2应对办法
2.1完善计算机安全管理制度,制定计算机网络安全预案。网络安全管理必须以制度为保障,通过技术和行政手段强制执行,对违规操作造成严重后果的,课以重惩。情节严重的甚至可以上升到法律惩戒的范畴。只有这样,才能把网络安全做到位。
2.2服务器是医院网络的心脏,必须严加防护。通过安装网络版杀毒软件可以随时监控病毒和清除,并且定期进行在线的病毒库升级。我们一般一个星期进行两次升级,确保杀毒软件的病毒库为最新。服务器的数据库我们每天进行备份,以便当服务器硬件和被病毒损坏时,把数据损失降低到最小。服务器室单独设立,密封性好。并且一个星期清洁,通风一次,减少灰尘。服务器室配温度计,定期巡查室内温度。当发现温度过高的时候,开启空调降温。我们配备了两台空调,轮换使用。当一台空调发生故障的时候,另外一台仍就能正常工作,给服务器散热。
2.3 盛夏时节的供电 我们给服务器配备了品牌的UPS不间断电源,同时给门诊收费,住院部结算和门诊药房,各交换机都安装了UPS。这样,在断电的情况下,各UPS电源可以继续工作4个小时以上,保障了数据的安全性。
2.4 加强计算机操作人员的管理和培训。对每一个使用计算机的人员进行岗前培训,让他们熟知操作规程,并且加强网络安全教育,增强安全意识,杜绝使用各类外设,减少病毒的感染几率。
2.5 在争取到院领导重视的情况下,提出合理化建议,更换部分老旧计算机,提高工作质量和效率。另外,配备几台闲置电脑,和一些常用零部件,以备一线重要岗位计算机发生硬件故障,随时更换。
3结语
计算机系统是医院智能化建设中最重要的系统之一,他担负着医院信息的交换和传输,涉及到医院各项管理和服务工作。〔1〕为了保障医院计算机网络的正常运行,必须清醒的认识到网络安全的重要性。在日常的工作中,严格和规范各种操作,对各类设备进行精心维护,保证网络安全万无一失。
关键词:医院信息管理系统;病毒
1、医院信息系统的病毒及其危害
1.1 概述我院信息管理系统及病毒给医院带来的危害
随着信息技术的高速发展,医院信息系统发展速度也极为迅速。国外发达国家已在80年代建立了大型医院信息管理系统(HIS),目前已实施或正在实施医学影像存档与通信系统(PACS)。自20世纪90年代初,我国的各级医疗机构逐步将计算机作为基本工具,引入到医院的信息管理中。从单机管理到网络化管理,从自行开发软件到各类软件的商品化,使医院计算机信息管理日趋科学和完善。计算机网络化的医院信息系统(HIS)也将成为现代化医院运营必不可少的基础设施,是实现医院基本现代化的必备条件之一。
我院医院信息管理系统是由挂号系统、医生工作站、护士工作站、收费管理系统、药房管理系统、结构化电子病历、自动检验科系统、检查登记报告系统、影像系统、病案系统、办公自动化系统等组成。投入运行后几大系统纵横交错,构成了庞大的计算机网络系统。我院网络系统覆盖全院的各个部门,涵盖病人来院就诊的各个环节及信息,将近1000台计算机同时运行,支持各方面的管理,成为医院开展医疗服务的业务平台。
医院信息系统不仅直接与病人的诊疗过程息息相关,而且直接关系到医院财务收支及成本核算,如为病人进行治疗的电脑坏掉会耽误病人的治疗,门急诊系统中断会导致医院停业,而护士及医生工作站的终端会影响到对病人的正常诊疗。医院业务的正常运行越来越依赖于计算机系统[4]。医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失[1],因此保证医院信息系统的安全将是很重要的工作,防治病毒入侵乃是重中之重。
1.2 什么是计算机病毒
计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。
1.3 计算机病毒的主要危害
不同的计算机病毒有不同的破坏行为,其中有代表性的行为如下:
1.3.1 破坏主板BIOS内容,使计算机无法正常启动。
1.3.2 攻击硬盘的主引导扇区、BOOT扇区、FAT表、文件目录。影响系统的正常引导。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。
1.3.3 攻击文件,包括删除、修改软盘、硬盘及网络上可执行文件或数据文件的内容,在系统中产生无用的新文件等等。
1.3.4 抢占系统资源,内存是计算机的重要资源,大多数病毒在动态下都是常驻内存的,其攻击方式主要有占用大量内存、改变内存总量、禁止分配内存等,这就必然抢占一部分系统资源,导致一些较大的程序难以运行。
1.3.5干扰系统运行,除占用内存外,病毒还抢占中断,干扰系统运行。计算机操作系统的很多功能是通过中断调用技术来实现的。病毒为了传染激发,总是修改一些有关的中断地址,在正常中断过程中加入病毒的“私货”,从而干扰了系统的正常运行。
1.3.6影响计算机运行速度,病毒激活时,其内部的时间延迟程序启动,在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
1.3.7窃取用户隐私、机密文件、账号信息等。如今已是木马大行其道的时代,据统计如今木马在病毒中已占七成左右。而其中大部分都是以窃取用户信息,以获取经济利益为目的,如窃取用户资料,网银账号密码等。一旦这些信息失窃,将给用户带来巨大经济损失。
2、医院信息管理系统病毒的防治措施
在计算机病毒出现的初期,说到计算机病毒的危害,往往注重于病毒对信息系统的直)接破坏作用,比如格式化 硬盘、删除文件数据等,并以此来区分恶性病毒和良性病毒。其实这些只是病毒劣迹的一部分,随着计算机应用的发 展,人们深刻地认识到凡是病毒都可能对计算机信息系统造成严重的破坏。
2.1 计算机中毒的表征
2.1.1 电脑可以开机,但启动到某一步的时候自动重启。可能是病毒破坏了系统文件;也可能是系统文件被病毒感染后,被杀毒软件删除了。
2.1.2 电脑运行速度明显降低以及内存占有量减少,虚拟内存不足或者内存不足。如果虚拟内存不足可能是病毒占用,也可能是设置不当。若非内存太小,则电脑中毒的可能性很大。
2.1.3 Windows出现异常的错误提示信息,操作系统本身,除了用户关闭或者程序错误以外,是不会出现错误汇报的,因此,如果出现这种情况,很可能是中了病毒。
2.1.4 杀毒软件的实时监控程序无法自动运行了,手动启动也不行。
2.1.5 系统时间被更改,且无法改正过来(改了回头再看的时候,又变回去了)。
2.1.6 经常自动弹出网页,计算机屏幕上出现异常显示。
2.1.7 经常出现非法操作,特别是运行IE浏览器的时候。
2.1.8 主页被篡改了,而且改不回来(无法更改或改了又变回去)。
2.1.9 注册表无法使用,某些键被屏蔽、目录被自动共享等。
2.1.10 无法安装杀毒软件或安装后无法运行。
2.1.11 文件大小发生改变,丢失文件或文件损坏。
2.1.12 硬盘指示灯狂闪,此时就要检查所运行的程序是否占用系统资源太多或者是否感染了病毒。
2.2 如何诊断中毒
2.2.1 如发现电脑运行速度过慢,则先调出windows任务管理器查看系统运行的进程,找出系统资源占用较大并且名字不熟悉的进程并记下其名称(这需要经验),暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CP U的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
2.2.2 查看windows当前启动的服务项, 由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”,启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称。
2.2.3 Windows XP中运行msconfig查看是否有非法的启动项,或运行注册表编辑器,查看都有那些程序与windows一起启动。主要看
Hkey_Local_MachineSoftware MicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,随着经验的积累,可以轻易的判断病毒的启动项。
2.2.4 取消隐藏属性,查看系统文件夹windowssystem32,如果打开后文件夹为空,表明电脑已经中毒;打开system32 后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此。
2.2.5 使用杀毒软件判断是否中毒,如果中毒,杀毒软件的实时监控程序会被病毒程序自动终止,并且手动升级失败。
2.3 如何查杀病毒
2.3.1 在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值并删除。当成系统服务启动的病毒程序,会在
Hkey_Local_MachineSystemControlSet001services
和controlset002services里藏身,找到之后一并删除。
2.3.2 停止有问题的服务,改自动为禁止。
2.3.3 重新启动电脑,点F8进入“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
2.3.4 搜索病毒的执行文件,手动删除,也可以下载该病毒的专杀工具进行杀毒。
2.3.5 对Windows升级打补丁和对杀毒软件升级。
2.3.6 关闭不必要的系统服务。
2. 3.7 对Windows升级打补丁和对杀毒软件升级完成后用杀毒软件对系统进行全面的扫描,把病毒一网打尽。
2.3.8 所有工作完成后,重新启动计算机,完成所有操作。
2.4 我院对计算机病毒的防范措施
我院根据自身网络的实际情况确定安全管理范围,制订有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等,建立适合自身的网络安全管理策略。网络信息安全是一个整体的问题,需要从管理与技术相结合的高度,制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高网络信息系统安全性的目的。在网络安全实施的策略及步骤上考虑以下五个方面的内容:制定统一的安全策略、购买相应的安全产品实施安全保护、监控网络安全状况(遇攻击时可采取安全措施)、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略。从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,加强安全培训,增强医务人员的安全防范意识以及制定网络安全应急方案等。具体措施如下:
2.4.1 树立病毒防范意识,从思想上重视计算机病毒。
2.4.2 内外网隔离。内网就是承载医院信息管理系统业务的网络,绝对不可以与公共网络连接。
2.4.3 安装网络版杀毒软件,定时升级?,保证内网客户端所有电脑的病毒库都及时更新到最新版本[1]。对网络进行实时监控。由于我院与北京市医保中心要进行网上实时结算,为了防止外来病毒的入侵,医院又购置了防火墙对所有进出数据进行过滤。
2.4.4 我院内网电脑统一安装安全管理软件,内网电脑一律不安装光驱、软驱,USB接口禁止连接存储器,更不准擅自安装光驱、软驱及更改硬件设施。
2.4.5 经常更新操作系统漏洞补丁,对操作系统和数据库系统进行合理的安全策略配置。
2.4.6 经常备份重要数据,要定期与不定期地对磁盘文件进行备份,特别是
一些比较重要的数据资料,以便在感染病毒导致系统崩溃时可以最大限度地恢复数据,尽量减少可能造成的损失。
2.4.7 安装应急服务器,实时备份数据服务器内容,一旦系统遭受病毒破坏
启动不了时,马上更换到应急服务器上,让医院信息系统能正常运行。
2.4.8 每台内网电脑都安装一键还原软件,备份新安装好的干净系统,并要求系统盘下不能保存文件。如电脑不幸感染病毒不能进入系统,则直接使用一键还原软件还原到干净系统后查杀病毒。
2.4.9 定期巡检所有内网电脑,查杀病毒,磁盘清理,让电脑处于最佳状态,更好的为临床服务。
2.4.10 建立规章制度, 制定工作站管理制度,落实责任,如导致网络感染病毒或损坏,根据绩效考核按情节轻重进行处理,并且对客户端用户的密码强调专人专用。预防内部犯罪[1]。
3、医院信息管理系统病毒防治中需要重点解决的问题
3.1 以计算机病毒、黑客攻击等为代表的安全事件频繁发生,危害日益严重病毒泛滥、系统漏洞、黑客攻击等诸多问题,已经直接影响到医院的正常运营。目前,多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起的。在医院网中,用户终端不及时升级系统补丁和病毒库的现象普遍存在;私设服务器、私自访问外部网络、滥用政府禁用软件等行为也比比皆是。“失控”的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证医院网络安全运行的前提,也是目前医院网络安全管理急需解决的问题。
3.2 信息安全意识不强,安全制度不健全
从许多安全案例来看,很多医院要么未制定安全管理制度,要么制定后却得不到实施。医院内部员工计算机知识特别是信息安全知识和意识的缺乏是医院信息化的一大隐患。加强对员工安全知识的培训刻不容缓。
4、总结:
医院信息管理系统现在已经成为医院开展业务的主要平台,保证医院信息系统的正常运行是我们信息中心的职责所在。对于医院信息管理系统来讲对计算机病毒的防范远甚于查杀病毒,因此建立一套严密而系统的管理和防范体系是十分必要的,我们信息中心也是在工作中不断摸索、积累经验,通过技术防治和管理防范相结合,建立有效、健全的安全防御体系,以及积极主动的防御理念和中央控管的管理机制保证医院的信息系统安全,推进信息化建设,以提高医院的服务水平和核心竞争力。
参考文献:
[1]曹宏伟,彭东亮,邱 景,杨 扬? 医院信息系统安全管理与防范 影像学与特种医学 200081
[2]韩莜卿.计算机病毒分析与防范大全[M].北京:电子工业出版社.2006
随着医疗体制改变的深入和医保改变的实施,医院规模越来越庞大,救治患者也越来越,管理难度急剧增大。因此,医院信息管理系统已成为医院必不可少的基础设施。我院是我市技术力量雄厚的综合性医院,实际展开床位614张,年门诊人次约20万。医院于1992年在收费和药房开始使用计算机。由于原有的系统已不能适应新形势,2000年我院建设了医院信息管理系统(军字一号工程)。该系统涵盖了医疗、护理、医技、财务核算、药品、物资、行政管理等部门,功能强大,方便实用,深受广大医护人员和管理人员的欢迎,已经成为我院管理和医疗工作的核心中枢系统。在这种情况下,如何保证医院信息管理系统安全有效和正常运行,对保障医院的有效管理和正常运作有着十分重要的意义。本文根据平时的工作经验简要介绍医院管理系统的管理和维护知识。
1医院信息系统的结构和组成
医院信息系统的主要功能是为医院及其所属各部门提供病人医疗信息、财务核算分析、行政管理信息和决策分析统计信息的收集、存贮、处理、提取和数据通讯,并能满足所有授权用户对信息的各种需求[1]。将门诊管理、住院管理、医技管理、职能科室管理等各部门通过计算机网络有机集成在一起的先进管理模式,提高医院信息利用率和医院整体运行效率,建立以院长为中心的医院信息的全面网络化管理和决策,同时为医院的管理、医疗、科研、社保、医保、司法等提供完整、高效且实用的定量化依据[2]。系统采用当前最先进的也是最流行的B/S的结构,见图1。图1系统结构图
软件系统划分成大厅查询、挂号管理、医生处方、划价收费、门诊药房管理、门诊部管理、入院管理、医嘱管理、住院药房、药库管理、出院结算、检验管理、医技科管理、医保管理、医疗管理、药品物资管理、设备管理、物价管理、职能科室管理、病人查询、院长管理、系统维护、病员动态管理系统、检验系统等子系统。子系统之间既相对独立便于实现各自的功能,又互有联系便于实现网络运行时资源共享的特点。系统平台方面,服务器使用HP-LH6000,操作系统为Windows2000Server,以及HIS软件和Oracle&1数据库。
2医院信息系统的管理和维护
由于医院信息系统在内容上覆盖了医院全部的业务和管理工作,在组成上又包含软件、硬件、网络等子系统,管理和维护工作十分重要而又艰巨,包括服务器的维护、数据的备份、用户的管理以及网络的安全和维护。
2.1服务器的维护
2.1.1服务器的日常维护服务器的日常维护重点在于软件维护。定期或不定期的进行内存监控、磁盘空间监控,安全访问监控,计算机病毒检查等。系统运行一定时间后,为了不降低系统性能,影响速度,将历史数据定期从在线服务器中移到磁带或光盘上,并妥善保管好磁介质。
2.1.2服务器的灾难性恢复数据的备份和恢复是系统安全运行中必须考虑的重要问题,再可靠的系统也不能保证不出问题,硬件故障、软件崩溃、病毒作用以及不可抗拒或不可预知的灾难发生,都有可能导致系统的失败,危及数据安全。硬件备份是从灾难和系统崩溃中恢复的最有效手段。为了同时满足系统的实时服务和数据保护等要求,实现数据的高可用性、运行系统的自动切换和最少恢复时间,设计出如下系统备份方案—双机热备。即:两台服务器,一台共享磁盘阵列,其中一台服务器处在激活工作状态(称为主机)并控制磁盘柜,另一台服务器为备用状态(称为备机)。当主机因为主动原因或被动原因(出现故障),不能继续提供服务时,备机能够在规定的时间内代替主机的服务,在共享磁盘柜上建立的数据库也会自动由备机接管,继续提供服务,从而达到不停机的服务。双机备份技术之所以能够保证系统的正常运行和基本不停机,是因为它采用两台服务器以及相关技术对集群系统的控制。两台服务器通过一根称为“心跳线”的网线相连。“心跳线”能够互相监测运行情况,一旦运行正常的备机发现主机出现死机,则马上接管“死机”的运行任务。磁盘阵列柜中的磁盘做RAID处理,RAID工作原理为:利用数台价廉的硬盘做出一个性能远胜于单一硬盘的磁盘阵来达到容错功能。牺牲一部分磁盘容量来记录多余、甚至重复的资料,以确保磁盘的可靠性,使其成为一个容错的磁盘系统。RAID5使多个磁盘的磁头同时读写资料,突破单个硬盘的存取瓶颈,能够提高执行效率,增加数据安全性,避免了由于服务器死机而导致磁盘数据的无法读取。
2.2数据安全和备份目前计算机软、硬件系统的可靠性得到了极大的提高,而且还可以采用磁盘阵列等设备来提高系统的容错能力。这些技术改善了系统的可靠性,然而无法保证系统安全万无一失,它们只是在一定程度上少了由于介质故障带来的损失[3]。对于意外失误操作或蓄意的破坏性操作、破坏性病毒的攻击、自然灾害等原因所引起的系统故障,定期进行数据库备份是保证系统安全的另项重措施。在意外情况发生时,可以依靠备份来恢复数据。我们采取的备份方案如下:每天在业务量较少的凌晨和中午各做一次备份,分别备在服务器硬盘上和磁盘阵列中。每周做一次磁带备份。同时采用了数据异地备份措施,定期将数据磁介质送往档案室保管,这样使得在发生灾难事故的情况下,以保护数据的安全。
2.3用户的管理HIS系统站点多且分散,用户涉及医师、护士、医技、管理人员、财务等,对收费系统数据和财务数据的安全和保密要求高。系统采用了WindowsServer2000操作系统、数据库级用户极限和应用程序运行权限的三重控制机制,提供了统一的基于角色的用户管理手段,使每个用户在系统中有唯一的账号、密码,且给予不同级别的权限,使之只能操作自己的程序和调用相关的数据,不能随便调阅不需知道的数据、文件。同时,我们还设有用户监控程序。通过这些措施可有效地防止非法用户侵入网络,确保网络安全运行。
2.4网络安全的管理和维护网络系统的安全是与应用体系结构紧密相关的,网络安全主要是指当用户通过网络访问应用服务器和数据库服务器时如何保证服务器的安全。从各个层次的用途和安全性分析,需要特别保护的是数据层,不能让用户直接访问。应用服务器层也需要进行保护,需要控制用户的访问。制定了严格的网络安全管理制度,从网络设备和线路的管理到服务器、工作站的使用,用户的登陆等方面做了严格的规定。在技术上,主要有以下措施:采用防火墙技术,防止非法的机器访问;严格控制内部地址的管理;采用复杂的密码体系;严格的身份认证等。
2.5其他要保证服务器、网络设备等正常安全运行,还需要做好机房的管理。机房的管理制度和运行设施要齐全、可靠,比如安装门禁系统,严格人员的出入;安装空调设备,保证设备安全;安装不间断电源,保证断电情况下系统正常运行。
3总结
要使HIS系统发挥其应有的效用,我认为除了上述的管理和维护工作以外,还要求医院领导高度重视,组建一支技术过硬的系统管理队伍;规范各项管理制度,并建立统一规范的专用字典及数据库等。
参考文献
1蒋德贵.基于交换式以太网的医院信息系统.计算机系统应用,1997,(11):30-34.
不合理收费具体表现在以几个方面:
一是未经批准擅自收费。随着医学的发展,新技术和新项目日益增多,对这些新的医疗技术和项目,医院没有及时向物价部门申报价格,导致医院在没有收费标准的情况下擅自收费。
二是多收费、乱收费。由于对物价政策理解不透彻,掌握不全面,存在该收的不收,不该收的乱收,特别是在一些治疗和检查项目中就高不就低,收大不收小;由于停医嘱不及时使得有些长期医嘱始终每日自动上账;还有一些已经开出的医嘱检查项目,患者没有做也没有及时停开,导致患者没有发生的费用却在结算单上。
三是滥检查、滥用药等过度服务。由于近几年医院实行成本核算,科室的利润直接影响到个人的收入,因此滥检查,滥用药现象时有发生。
四是一次性卫生材料及高额耗材是漏洞多,问题多。由于对物价政策理解得不透彻和管理上的漏洞,导致一次性耗材漏记和多记的情况时有发生。
五是虽然长期以来,社会和有关部门一直呼吁提高医疗收费透明度,要求医疗收费清单,住院费用一日清单等无条件的提供给患者,但是大多数医院力度不大,患者不能明明白白消费,很多患者在出院结账时才发现结算的费用与实际消费有较大出入,这不仅增加了医患矛盾,也削减了患者对医院的信任。
六是医院信息化水平不高,计算机信息未像财务信息一样纳入内部审计范畴,缺乏必要和有效的内部控制制度,甚至连必要的检查和监督机制也较缺乏,形成了一个看不见的黑洞。如各科室计算机的使用权限和密码管理中存在漏洞,医嘱输入,审核均为同一人;一些医院没有医生工作站,医嘱由护士录入,这样存在漏洞的可能性大,因为护士录医嘱的目的只是收费,随意性较大,账单与医嘱不符就在所难免,从而导致多收、重复收费现象发生。
笔者认为,医疗要加大收费规范管理的力度,其主要思路:
第一,提高对医疗收费相关法规和制度的知晓率,加大执行、监督和奖惩力度。(1)按照“依法、科学、规范”的原则建章立制,有重点地加大对相关人员的培训和考核力度。引导职工正确认识医疗收费管理,自觉执行医疗收费标准是以病人为中心的具体体现,是维护病人利益,坚持办院方向的必然要求,是关系医院生存发展的大问题,从而增强广大职工认真执行医疗收费标准的自觉性和责任感。并针对职工对合理与合法关系认识不清、缺乏对价格宏观控制的现象进行培训,让职工明确医疗收费标准偏低的不合理性,有历史、地域经济基础等方面的原因。现行医疗收费标准只能以物价部门认可的标准,任何没有经过物价部门审批的收费,即使是合理的也是不合法的,对于合理不合法的收费,只能通过合法程序报经物价部门同意方可收费。加强财务收费人员的业务培训和考核因为划价准确率的高低,直接关系着医疗收费标准合格率。提高划价准确率,首先要提高财务人员的责任心,加强划价人员的业务培训和考核。(2)启动医院自我监督、院外监督员和政府部门监督等多方位、多层次的检查监督管理体系。(3)强化责任意识,推行责任制。明确收费岗位责任,落实岗位责任,建立问责制度,实施医疗服务收费各环节的全程无缝监管,形成齐抓共管,人人有责的格局,确保依法按章收费,杜绝乱收费与漏收费行为。
第二,理顺医疗收费价格体系。根据《全国医疗服务价格项目规范》及各医院临床工作需要,及时清理医疗收费项目和收费标准,规范新项目和特需服务项目的管理。对没有依据的收费项目坚决取消;对自行提高收费标准,扩大收费范围的收费项目立即纠正;对允许收费的一次性耗材和开展的技术项目按成本计价,经物价部门批准后实施。
第三,提高医疗收费透明度,全面推行“阳光收费”。其一,落实明码标价。公示医院常见诊治项目和常用药品收费标准。其二,严格“一日清单”制度。把门诊,住院一日清单制,细化至一日明细清单制。其三,实施费用昂贵的重大诊治项目,征得患者或家属同意并签字后方可进行。其四,制定《医疗收费情况检查登记表》,按月进行检查登记、分析、评价。设立院长信箱,病人住院时发意见卡,按时发放满意度调查表,出院病人随访表,定期召开社会监督员座谈会,使医院的各项工作时时处于患者的监督之下。
第四,建立“医疗收费三级管理网络”,使不合理收费在发生前一刻得到及时制止。一级网络是每个科室都要有1名~2名医疗收费责任人,负责对每份住院病历收费的复核审查。二级网络是医院物价管理部门及收费处,负责对上述收费项目的再次符合审查。三级网络是医院纪检监察部门和内部审计部门,负责对特大病历,特大处方,严重超标准的医保病人的项目进行符合审查。
第五,加强一次性耗材和高额医用材料采购使用和收费的管理。倡导开展适宜技术,把握好“因病施治”的原则,杜绝提供过度医疗服务。
随着医疗卫生事业的发展,一次性耗材大量地涌入医疗市场并应用于临床,并纳入了医院的绝对成本,而传统的管理模式使物价和卫材形成了两个部门、两种渠道、两个方式的管理,并且在管理中缺少交流和沟通,致使在材料费的管理出现许多漏洞;医院新特药、新材料的不断投入使用,新技术、新项目的开展,高坚设备的应用等诸多旨在提高诊疗能力和质量而导致医院成本增加,医疗费用迅速上涨,患者“看病贵”激化了医患矛盾。因此,必须加强一次性耗材和高额医用材料的进货、出入库和使用审批手续,推行适宜技术,遏制诱导消费和过度服务的现象。
第六,在严格质量控制和标准化管理的基础上,实行部分医学检查结果互认,减少不必要的重复检查,减轻患者医疗的费用负担
第七,建立执业操守档案或警示榜,根治不合理收费,将医疗收费执行情况作为科室和个人考评的重要指标。