朱潔

(上海市浦東新區(qū)婦幼保健院信息科 上海 201206)

1 影響移動(dòng)存儲(chǔ)介質(zhì)信息安全的因素分析

1.1 影響移動(dòng)存儲(chǔ)介質(zhì)信息安全的客觀因素

(1)體積小,易丟失。隨著計(jì)算機(jī)制造技術(shù)的不斷提高,現(xiàn)在移動(dòng)存儲(chǔ)介質(zhì)體積都很小,容易造成移動(dòng)存儲(chǔ)介質(zhì)的遺失。

(2)易傳播病毒。通過(guò)移動(dòng)存儲(chǔ)介質(zhì)傳播的病毒程序日益增多。如：將未經(jīng)病毒查殺過(guò)的移動(dòng)存儲(chǔ)介質(zhì)接入內(nèi)網(wǎng)中的計(jì)算機(jī)上,就很可能使病毒感染計(jì)算機(jī)。如不及時(shí)處理,那么病毒又會(huì)在內(nèi)網(wǎng)中迅速擴(kuò)散,大量文件會(huì)被感染,最終會(huì)導(dǎo)致整個(gè)醫(yī)院的計(jì)算機(jī)全部癱瘓,危及醫(yī)療工作的正常開(kāi)展。

(3)感染木馬,造成信息外泄?！皵[渡”木馬是一種不需要網(wǎng)絡(luò)連接,通過(guò)移動(dòng)存儲(chǔ)介質(zhì),來(lái)竊取內(nèi)網(wǎng)信息的“間諜”木馬。移動(dòng)存儲(chǔ)介質(zhì)有可能被植入“擺渡”木馬程序,這樣計(jì)算機(jī)上的數(shù)據(jù)就會(huì)被竊取,醫(yī)院的數(shù)據(jù)信息和病人的個(gè)人隱私就全無(wú)保障。

1.2 影響移動(dòng)存儲(chǔ)介質(zhì)信息安全的主觀因素

(1)內(nèi)外網(wǎng)交叉使用。醫(yī)院內(nèi)網(wǎng)屬于醫(yī)院內(nèi)部局域網(wǎng),外網(wǎng)則連接到Internet網(wǎng)絡(luò),劃分內(nèi)外網(wǎng),是保障網(wǎng)絡(luò)安全的第一個(gè)環(huán)節(jié)。由于普通移動(dòng)存儲(chǔ)介質(zhì)可以在任意計(jì)算機(jī)上使用,因此,違規(guī)將移動(dòng)存儲(chǔ)介質(zhì)插入內(nèi)網(wǎng)計(jì)算機(jī)后再插入外網(wǎng),或?qū)⒁苿?dòng)存儲(chǔ)介質(zhì)插入外網(wǎng)計(jì)算機(jī)后再插入內(nèi)網(wǎng),交叉使用,極有可能造成機(jī)密數(shù)據(jù)被非法拷貝。

(2)安全意識(shí)淡薄,公私混用。如醫(yī)院職工的信息安全意識(shí)比較淡薄,將個(gè)人的移動(dòng)存儲(chǔ)介質(zhì)可在醫(yī)院信息系統(tǒng)計(jì)算機(jī)上隨意使用,就很容易造成計(jì)算機(jī)病毒感染和泛濫,并引起泄密事件;如：內(nèi)部專用的移動(dòng)存儲(chǔ)介質(zhì)被非法帶出醫(yī)院使用,更會(huì)造成大量數(shù)據(jù)的外泄。

(3)缺乏有效的監(jiān)控管理機(jī)制。各家醫(yī)院對(duì)移動(dòng)存儲(chǔ)介質(zhì)的使用管理大多缺乏整體的設(shè)備登記、身份認(rèn)證、訪問(wèn)控制和審計(jì)機(jī)制。如：移動(dòng)存儲(chǔ)介質(zhì)無(wú)管理臺(tái)帳,沒(méi)有對(duì)介質(zhì)的全部流通過(guò)程(購(gòu)買、使用、銷毀)進(jìn)行監(jiān)控和管理;無(wú)法查詢移動(dòng)存儲(chǔ)介質(zhì)的操作日志,如：使用人、使用時(shí)間、文件進(jìn)出、盤中文件的讀寫(xiě)、刪改等,事后無(wú)法追查。

2 移動(dòng)存儲(chǔ)介質(zhì)的信息安全管理對(duì)策

2.1 嚴(yán)格管理,加強(qiáng)信息安全教育

移動(dòng)存儲(chǔ)介質(zhì)中資料的存儲(chǔ)要遵循“有用則存、隨用隨存、用后刪除”的原則,嚴(yán)禁向外人或外單位出借帶有醫(yī)院工作資料的移動(dòng)存儲(chǔ)介質(zhì),妥善保管好移動(dòng)存儲(chǔ)介質(zhì),防止遺失。有移動(dòng)存儲(chǔ)介質(zhì)的職工要加強(qiáng)自律意識(shí),防范非法外聯(lián)現(xiàn)象。建立健全移動(dòng)存儲(chǔ)介質(zhì)的領(lǐng)用登記管理制度、使用管理制度、銷毀管理制度,規(guī)范對(duì)移動(dòng)存儲(chǔ)介質(zhì)的管理。

不斷增強(qiáng)全體職工的責(zé)任意識(shí)和風(fēng)險(xiǎn)防范意識(shí)教育。重視對(duì)干部職工的信息安全宣傳教育。對(duì)從互聯(lián)網(wǎng)上下載資料后的移動(dòng)存儲(chǔ)介質(zhì),必須按照“先查毒、后使用”的原則操作,先進(jìn)行嚴(yán)格殺毒,而后才能在工作用機(jī)中使用。要嚴(yán)格遵循“誰(shuí)使用、誰(shuí)管理、誰(shuí)負(fù)責(zé)”的原則,出現(xiàn)問(wèn)題,嚴(yán)格執(zhí)行相關(guān)的通報(bào)處罰規(guī)定。

2.2 運(yùn)用技術(shù)手段,進(jìn)行監(jiān)督管理

對(duì)移動(dòng)存儲(chǔ)介質(zhì)應(yīng)遵循“事前防御、事中響應(yīng)、事后審計(jì)”的全過(guò)程技術(shù)管理原則,充分利用技術(shù)手段,達(dá)到有效防范信息失密、安全保密的目的。具體來(lái)說(shuō)：(1)通過(guò)移動(dòng)存儲(chǔ)介質(zhì)交換的數(shù)據(jù)必須是密文,保證數(shù)據(jù)離開(kāi)應(yīng)用環(huán)境后不可用;(2)數(shù)據(jù)交換前必須通過(guò)正確的身份認(rèn)證,包括密碼認(rèn)證或USB KEY等授權(quán)硬件的身份認(rèn)證;(3)記錄數(shù)據(jù)交換過(guò)程的工作日志,便于以后進(jìn)行跟蹤審計(jì);(4)未經(jīng)授權(quán)的移動(dòng)存儲(chǔ)介質(zhì),在工作環(huán)境中不可用,只有經(jīng)過(guò)醫(yī)院信息科授權(quán)的移動(dòng)存儲(chǔ)介質(zhì)才能進(jìn)入醫(yī)院信息管理系統(tǒng)(HIS)環(huán)境;五是,根據(jù)工作需要配發(fā)的移動(dòng)存儲(chǔ)介質(zhì)被帶出辦公環(huán)境后變?yōu)椴豢捎谩?/p>

3 結(jié)語(yǔ)

醫(yī)院信息系統(tǒng)不同于一般的企業(yè)網(wǎng),系統(tǒng)一旦投入運(yùn)行,要求1d24h,每周7d不間斷運(yùn)行,因此,信息安全變得越來(lái)越重要,一旦造成經(jīng)濟(jì)損失及社會(huì)影響無(wú)法用金錢來(lái)衡量。隨著移動(dòng)存儲(chǔ)介質(zhì)技術(shù)的普遍應(yīng)用,這項(xiàng)技術(shù)引起的危險(xiǎn)因素和管理上的新問(wèn)題引起了我們的足夠重視。因此,在醫(yī)院環(huán)境中要定期檢查已制定的安全制度和技術(shù)措施,重新對(duì)新的風(fēng)險(xiǎn)和需求進(jìn)行評(píng)估,對(duì)發(fā)現(xiàn)保密的隱患和問(wèn)題,要認(rèn)真整改,切實(shí)消除隱患,堵塞泄密漏洞,不斷完善移動(dòng)存儲(chǔ)介質(zhì)的安全管理[2]。

[1] 丁寶芬.實(shí)用醫(yī)學(xué)信息學(xué)[M].南京：東南大學(xué)出版社,2003.

[2] 楊芹.移動(dòng)存儲(chǔ)介質(zhì)安全管理存在的難點(diǎn)及建議[J].實(shí)務(wù)運(yùn)維管理,2010,6：74.