妇幼保健信息系统安全策略探讨

2018-03-04◆戴芊

网络安全技术与应用 2018年2期

◆戴芊

妇幼保健信息系统安全策略探讨

◆戴芊

(攀枝花市妇幼保健院四川 617000)

简单理解妇幼保健就是政府采取一定手段对妇女和儿童进行保健信息管理，随着互联网技术与各行各业之间的联系逐渐密切，信息技术在妇幼保健信息系统管理中的应用日益突出。信息数据的集中管理给管理工作带来很大方便，但同时也很容易使得系统遭到不法分子的攻击，而使得信息外泄，保证妇幼保健信息系统的安全性和稳定性成为关键。

妇幼保健；信息系统；安全策略

0 引言

妇幼保健包含两个方面，一方面是指妇女保健，其信息包括婚检、孕妇的产前检查、孕妇叶酸的发放、高危孕产妇的监控、生殖健康的宣传、分娩的一系列检查和产后访视等；另一方面是指儿童保健，其信息包括婴儿产后访视、体检、疫苗接种、体弱儿的监控、新生儿筛查等。妇幼保健信息安全工作是我国卫生事业发展的重要组成部分，做好信息安全等级保护工作，对于促进卫生信息化健康发展、保障医药卫生体制改革、维护公共利益、维护社会秩序和构建和谐社会具有重要意义。

1 妇幼保健信息系统安全性影响因素

建立妇幼保健信息系统的主要目的是对妇女、儿童的健康情况进行追踪、检测和综合管理，通过信息化集成形成一个能够高效开展信息收集的平台，为我国妇幼卫生政策的制定、实施提供参考依据，是制定政策的数据支撑。妇幼保健信息系统包含孕产妇保健管理、儿童保健管理、计划免疫管理、出生证明管理、统计报表管理等几个大的系统，以系列管理和网络化管理为设计思想，通过系统数据共享，对妇幼保健工作进行全程的动态管理。分析当前妇幼保健信息系统运行情况，其系统安全性影响因素包括以下几个方面：

1.1系统物理环境的安全

管理系统机房以及各种硬件设备所在的场所安全以及保障电力供应的安全，物理环境一旦出现问题将可能导致整个系统运行崩溃。

1.2硬件设备自身的安全

计算机、网络设备、终端设备以及计算机外围辅助设备的安全问题，这些设备一旦受到电磁辐射干扰、雷击等自然灾害时，都将产生相对比较严重的后果。

1.3软件设置的安全

系统软件以及应用软件不可能毫无漏洞，这些漏洞一旦被不法分子利用，使得计算机系统遭受攻击，那么妇幼保健信息就面临被盗取的危险。

1.4管理者和使用者的安全

管理者和使用者包括系统管理员、操作人员、维修人员、网络管理人员等，例如妇幼医疗相关人员访问数据库的过程中，操作不当引起的；妇幼相关人员因权限差异，对无权限的信息进行了非法访问；非法人员绕过安全防护，对秘密数据进行窃取等；他人未经允许使得数据库信息的真实、正确、完整性受到威胁；网络防护硬件更新不及时，使得数据库系统暴露在网络上；数据库使用时间过长造成数据冗余，使得数据保密性下降等；这一类安全医患的发生不常见，但是一旦发生也将产生严重的后果。

2 妇幼保健信息系统安全策略

2.1加强物理环境安全性力度

管理妇幼保健信息的主要工具是计算机设备，保证系统物理环境安全性就是要为计算机设备管理营造出相对稳定的运行条件。在环境温度控制上要保证室内温度处于15～35℃之间，温度过低会造成软盘驱动器对软盘的读写出现错误，温度过高会影响机器内部各部件的正常工作。在环境湿度控制上要保证相对湿度最高不超过80%，湿度过高会由于结露而使得计算机内部的元器件受潮变质甚至发生短路而损坏机器；相对湿度也不能低于20%，否则就会由于过分干燥而产生静电干扰引起计算机的错误动作。在清洁程度保持上要求定期对其进行清洁，如果机房内灰尘过多会使得灰尘附着在磁盘或磁头上，不仅造成对磁盘读写错误，而且会缩短计算机的使用寿命，因此机房中应当配置除尘设备。

2.2保证系统设备安全性

计算机设备自身安全性的保证主要是从电源和防止干扰两方面出发，计算机对电源有两个基本要求，第一，电压要稳定，电压的不稳定不仅会造成磁盘驱动器运行不稳定而引起读写数据错误，而且对显示器和打印机的工作有影响，为了获得稳定的电压，可以使用交流稳压电源；第二，机器工作时供电不能间断，为防止突然断电对计算机工作的影响，在要求较高的应用场合，可以装备不间断供电电源（UPS），以便断电后能使计算机继续工作一小段时间，使操作人员能及时处理完计算工作或保存好数据。在计算机正在工作时，还应避免附近存在强电设备的开关动作，因此，在机房内应尽量避免使用电炉、电视或其它强电设备，空调设备的供电系统与计算机供电系统应是相对独立的系统。

2.3构建相对完善的管理系统

妇幼保健信息系统的构建必须依据妇幼保健的实际工作需求而设计，采用智能客户端和客户机结构开展服务工作，信息以数据中心形式进行采集和管理，并提供数据共享平台。在系统构建过程中首先应当完善证件管理，对于妇幼保健机构的证件进行统一核查和颁发，尤其是《出生医学证明》，尽量避免人为因素的干扰，将各个区域的卫生信息进行串联，实现各个管理平台上的数据共享，最大程度发挥信息系统建设的作用和价值。其次是对现有的各级妇幼保健服务机构的计算机资源和设备进行资源整合利用，全面实现跨区域信息化建设。妇幼保健信息系统承担多种功能，其信息管理要贯彻妇女和儿童的各个生命阶段，将数据信息分为长期保存、中期保存以及短期保存等多种类型，这样可以有效减轻数据储存的压力。妇幼保健信息系统在网络环境下面临很多设计技术问题，这对系统投入使用后的维护完善更新工作就提出了更高的要求：不仅需要加强相关的硬件设备，防火墙需进行不断的更新换代，使得网络入侵无处遁形；还要加强相关的开发技术人员业务水平、设立专职专业人员为系统提供维护更新以及操作人员的系统使用能力。

2.4系统设置不同使用权限

妇幼保健信息系统安全不仅要依靠防火墙、病毒软件或各种各样的安全产品，还要慎重考虑系统的安全需求，将各种安全技术结合在一起，才能为妇幼保健信息管理构建一个相对高效、适用、安全的网络系统环境。为此可以将妇幼保健信息系统设置不同使用权限，要求相关使用人员签订严格的保密协议，防止非相关人员的不合理登录，有效避免妇女儿童保健信息的泄露。通过专业的妇幼保健信息系统相关知识培训活动，全面提高操作人员的系统使用水平，只有系统使用水平得到了提升，整个妇幼信息系统建设才有意义，才能使其发挥最大的作用，让妇幼卫生信息得到最大范围的共享与用处。

2.5制定妇幼保健信息系统使用制度

为了确保妇幼保健信息系统使用的安全性，有必要针对系统使用等相关事宜制定相应的规章制度，加强计算机信息系统安全的管理工作，管理要点包括：按照“谁主管谁负责、谁运行谁负责”的原则，每个使用该系统的工作人员都要明确自身职责，要带着强烈的工作责任感做好妇幼保健信息系统的安全和保密管理工作；凡是使用妇幼保健信息系统的相关人员都严禁私自更改IP地址、MAC地址，私自拉扯网线光纤，设置开机口令，其长度不得少于8个字符，并定期更换，防止口令被盗；系统管理人员要定期检查防病毒等安全防护软件的可靠性和稳定性，定期进行更新和检查，防止系统出现瘫痪；要求工作人员在使用移动储存设备之前要进行病毒查杀，并严禁工作人员将系统中的数据带出工作场所，一经发现必将严厉处置；加强对妇幼保健信息系统相关使用人员的技术培训工作，开展经常性的保密教育培训以及使用水平培训；对于离职的前工作人员要设置系统访问权限；要加强对计算机信息系统安全和保密管理情况的监督，定期开展检查，发现问题及时纠正。只有将责任和义务落实到各个岗位，才能促使工作人员明确自身权责，从而更加有效的保证妇幼保健信息系统的安全性和稳定性。