江传 济宁市第一人民医院

信息化水平的提升，使得信息化系统进入到了医院的各项管理工作当中，信息系统的安全性一旦受到威胁，必然会对医院其他工作活动的开展产生不利的影响。因此，加强对医院信息安全保护是非常必要的。等级保护制度是国家针对于信息安全制定的等级保护方式，最根本的目的就是要保证信息的安全性，提高信息的防护水平与应急能力。同时，随着医院信息化水平的不断提升，医院在档案管理、远程医疗、移动医疗等方面的建设也会逐渐实现全面地信息化，这也是医院以后要发展的目标。

一、信息安全技术途径

医院息息等级保护三级安全对医院来说既是一项挑战，也是提高医院安全性能的一个重要机会。三级安全主要分为信息安全技术途径与信息安全管理途径两个部分，而其中信息安全技术又包括物理安全、网络安全、主机与数据安全、应用安全等方面。

第一，物理安全。简单来说就是对机房安全进行保护，根据机房的建设标准增设相应的安全防护设备，其中包括了防火、防潮、防电磁干扰、防雷、防静电等、配设远离用水设备、采取双路供电、自动灭火系统等。

第二，网络安全。网络在信息建设中具有基础性的作用，也是等级安全保护工作的重点。首先，布线是基础工作，要规范化地开展布线工作，避免受到电磁干扰，起到防雷击等作用。其次，要将网络中的单点故障进行消除，保证设备应用中的安全性问题。在网络边界安全设计重要对VLAN 进行划分，对硬件防火墙进行部署，对入侵情况进行检测，实施网络安全审计等工作。

第三，主机与数据的安全。在医院信息安全系统的建设过程中，数据库处于核心的地位上，是医院重要的信息资源和宝贵的财富。因此，在三级安全防护上所应用的数据库系统和服务器要具备稳定性能高、可靠性强等特点，并具有实时备份和异地备份的功能。在核心的服务器当中要进行双机热备设计。同时还要增加网络防护技术，对数据库被破坏和攻击等问题进行防止，比如可以对网络入侵情况进行侦查、对病毒进行预防和杀害，对网路进行设计以及数据库超级用户管理等。可见，保证数据的安全是三级保护最重要的目的。

第四，应用安全。对用户的身份进行甄别。根据业务需求，用户需要在不同的独立系统上进行业务工作的完成，管理员就需要对应用系统和分散的资源进行分别地管理，根据不同用户信息指定不同的安全策略，这就给管理工作的开展带来了很大的难度。因此，在应用安全上会通过用户统一管理、统一认证、单点登录、多点漫游、共享信息及安全审计等方面解决这一问题，降低系统存在的安全隐患，提高系统运行的稳定性。

二、信息安全管理途径

信息安全管理在信息安全防护方面具有非常重要的作用，有了技术和设备还要有完善的管理制度和策略，并制定风险防范方案。在信息安全管理途径的实施上要规范化地进行，在技术、运行、管理、维护等方面进行严格地执行。

在信息安全管理方面，部分医院在对内外网络安全审计系统进行测试时，会发现硬盘丢失的现象，需要与厂家联系并重新更换设备。在内网的主要应用数据边界防火墙上如果长时间地没有出现数据流量，就会出现丢包的现象，导致跨网段相关接口的业务不能够顺利地运行，进而给系统运行的稳定性造成不良的影响。因此，需要先对防护墙进行维护，然后对交换机设备进行测试和更换，观察是否还存在此种现象。如果仍然没有解决就需要利用路由器定时自动发数据包到防火墙，阻止该现象的发生，以此来保证系统运行的稳定性。

三级安全保护是一个集设备、系统、项目等方面为一体的复杂性项目内容，在开展具体的安全保护工作中不仅是对医院的考验，也是为医院提供了一个重要的学习机会。因此，医院应该以最高责任人为首对信息中心负责，并由相关的科室的信息人员与信息安全小组进行配合，在信息安全小组内切实地贯彻信息安全相关的知识内容，并协调各方面的关系，提高大家的安全防范意识。采取对应急方案进行测试和落实的方式，使各项工作都能够有人负责，以此来提高医院的风险应急能力，促进医院信息安全水平的整体提升。

三、结束语

综上所述，医院信息等级保护三级安全途径的开展保证医院信息系统稳定运行的基础和前提，也是维护医院各项活动能够顺利进行的重要保证。随着医院信息系统的不断程度，处理的数据量不断地加大，涉及的业务面不断地拓宽，应用的环节越来越复杂，相关人员也越来越广泛，所以医院各项活动的开展与信息化系统是不可分离的，因此加强信息系统的安全防范具有非常重要的作用。