安全使用医院信息系统（一）

  医院信息系统（his）一旦投入运行，其数据安全问题就成为系统能否持续正常运行的关键。作为一个联机事务系统，要求能每天24小时不间断运行，像门诊收费、挂号这样的系统，不能想象有30分钟的中断，也绝对不允许数据丢失，稍有不慎就会造成灾难性后果和巨大损失。而造成数据不安全问题的原因是多方面的，包括因特网黑客侵入、内部局域网非法用户侵入、系统或人为故障等。
　　来自因特网的病毒和黑客侵入是很难防范的，因此应将内部信息系统和外部因特网在物理上隔离起来。内部局域网主要是非法用户的侵入，可采用多级动态密码体系，并用windows优化大师和超级兔子魔法设置等软件把与局域网内业务无关的系统功能锁起来。尽量使用无盘工作站，有硬盘的应安装防毒、防黑软件。人为或系统故障主要采取严格的安全管理和冗余技术来减少该类损害。
　　想要实施有效的数据安全管理，仅采取以上措施是远远不够的，还需要建立起一个完善的安全管理体系。以下分类进行深入探讨：
　　风险管理：研究信息系统存在的漏洞缺陷、面临的风险与威胁，可以通过安全风险评估技术来实现，对于可能发现的漏洞、风险，规定相应的补救方法，或者取消一些相应的服务。例如，我们也可以采用主动防御的方法，口令攻击软件和黑客攻击软件，并在自己的网络上利用他们来寻找可能包含系统信息的文件，这样，我们也许能够发现某些我们还未察觉到的安全风险。
  行为管理：对网络行为、各种操作进行实时的监控，对各种行为进行分类管理，规定行为的范围和期限。
  信息管理：信息是it业的重要资产，由于它的特殊性，因此必须采用特殊的方式和方法进行管理，根据具体的实际情况，对不同类型、不同敏感度的信息，规定合适的管理制度和使用方法，禁止不良信息的传播。
  安全边界：信息系统与外部环境的连接处是防御外来攻击的关口，根据具体情况，必须规定系统边界上的连接情况，防止非法用户的入侵以及系统敏感信息的外泄，如可以利用防火墙对进出的连接情况进行过滤和控制。
　　系统安全：操作系统是信息系统运行的基础平台，它的安全也是信息安全的基础。根据具体的安全需求，应该规定所要采用的操作系统类型、安全级别以选择的安全的服务器系统有unix、window t、novell等，关键服务器最好使用unix系统。很多服务器系统都被发现有不少漏洞，服务商会不断在网上发布系统的补丁，为了保证系统的安全性，应随时关注这些信息，及时完善自己的系统。
　　身份认证与授权：信息系统是为广大用户提供服务的，为了区分各个用户以及不同级别的用户组，需要对他们的身份和操作的合法性进行检查。体系应该规定实现身份认证与权限检查的方式、方法以及对这些用户的管理要求。可采用不易破解的动态密码，选用安全的口令，80％的“非法”入侵可以通过选择好的口令来阻止。
　　应用安全：基于网络信息的应用系统有很多，存在的安全问题也很多。为了保证安全，应该根据安全需求规定所使用的应用的种类和范围以及每一种应用的使用管理制度。谨慎使用共享软件。许多程序员为了测试和调试的方便，在他们看起来无害的软件中藏有后门、秘诀和陷阱，发布软件时却忘了去掉它们。对于共享软件和免费软件，一定要彻底地检测，如果不这样做，可能会损失惨重。还应注意谨慎开放缺乏安全保障的应用程序和端口。