中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)信息安全問(wèn)題探討

肖勇 沈紹武 田雙桂 張玉 趙娜

摘要：大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等新一代信息技術(shù)的不斷發(fā)展和應(yīng)用，改變了傳統(tǒng)的中醫(yī)藥管理方式和思維模式，將信息化引入中醫(yī)藥項(xiàng)目預(yù)算管理，其信息安全顯得尤為重要。本文探討中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)涉及的各種安全因素，梳理信息安全建設(shè)關(guān)鍵內(nèi)容，構(gòu)建監(jiān)控平臺(tái)信息安全模型，分析中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)建設(shè)安全策略，保障中醫(yī)藥項(xiàng)目預(yù)算信息化管理措施得到有效落實(shí)。

關(guān)鍵詞：項(xiàng)目預(yù)算監(jiān)控；中醫(yī)藥；信息安全

DOI：10.3969/j.issn.1005-5304.2016.11.002

中圖分類(lèi)號(hào)：R2-05 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1005-5304（2016）11-0004-04

Abstract： With constant development and application of new generation information technology such as big data， cloud computing and Internet of Things， traditional management style and thought patterns of TCM are being changed. It is particularly important to introduce information security into budget management of TCM projects. This article discussed security factors in TCM budget monitoring platform， organized key contents of information security construction， built information security model for monitoring platform， and analyzed security strategies for the construction of TCM budget monitoring platform， with a purpose to guarantee effective implementation of budget information management measures of TCM projects.

Key words： project budget monitor； traditional Chinese medicine； information security

信息化是經(jīng)濟(jì)與社會(huì)發(fā)展的創(chuàng)新驅(qū)動(dòng)力。大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)等新一代信息技術(shù)的不斷發(fā)展和應(yīng)用，加快了我國(guó)中醫(yī)藥信息化建設(shè)的步伐，改變著傳統(tǒng)中醫(yī)藥管理方式和思維模式。隨著信息技術(shù)在中醫(yī)藥行業(yè)各業(yè)務(wù)的深入應(yīng)用，信息加密、病毒防護(hù)、身份鑒別、訪問(wèn)控制、入侵防范、數(shù)據(jù)保護(hù)等安全問(wèn)題越來(lái)越突出。中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)（以下簡(jiǎn)稱(chēng)“監(jiān)控平臺(tái)”）作為中醫(yī)藥重點(diǎn)信息化工程，構(gòu)建了國(guó)家、省級(jí)、基層單位三級(jí)信息網(wǎng)絡(luò)平臺(tái)，覆蓋全國(guó)31個(gè)省、3000余家基層單位，對(duì)信息安全工作提出了更高的要求。為此，筆者以監(jiān)控平臺(tái)安全建設(shè)為基礎(chǔ)，深入分析影響監(jiān)控平臺(tái)的安全因素，從安全保護(hù)等級(jí)確定、信息安全模型構(gòu)建、物理環(huán)境和網(wǎng)絡(luò)體系創(chuàng)建、自身安全策略制定、數(shù)據(jù)傳輸通道建立、安全管理制度、人員培養(yǎng)等方面探討信息安全的應(yīng)用。

1 中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)安全隱患分析

1.1 項(xiàng)目預(yù)算信息

中醫(yī)藥項(xiàng)目預(yù)算是反映中醫(yī)藥事業(yè)發(fā)展政策的具體措施，主要涉及項(xiàng)目經(jīng)費(fèi)分配、預(yù)算執(zhí)行、組織實(shí)施、項(xiàng)目績(jī)效等信息，若預(yù)算經(jīng)費(fèi)信息被篡改，將影響中醫(yī)藥行政部門(mén)的權(quán)威性和可信度，易造成基層單位項(xiàng)目經(jīng)費(fèi)下達(dá)與執(zhí)行數(shù)據(jù)不符[1]。預(yù)算執(zhí)行是反映項(xiàng)目建設(shè)單位經(jīng)費(fèi)使用和任務(wù)完成的具體體現(xiàn)，若執(zhí)行數(shù)據(jù)被篡改，將影響預(yù)算執(zhí)行過(guò)程監(jiān)管的精準(zhǔn)性，造成對(duì)項(xiàng)目建設(shè)單位執(zhí)行能力和效率的決策失準(zhǔn)。

1.2 監(jiān)控平臺(tái)

監(jiān)控平臺(tái)的數(shù)據(jù)中心承載著中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控?cái)?shù)據(jù)的計(jì)算、信息資源管理與服務(wù)等主要功能，支持?jǐn)?shù)據(jù)安全存儲(chǔ)，提供持續(xù)可靠的信息服務(wù)，其安全對(duì)信息服務(wù)和運(yùn)行能力提升至關(guān)重要。

1.2.1 物理因素 監(jiān)控平臺(tái)所應(yīng)用的服務(wù)器、交換機(jī)和路由器等網(wǎng)絡(luò)設(shè)備，以及防火墻、入侵檢測(cè)、漏洞掃描等安全設(shè)備都運(yùn)行在數(shù)據(jù)中心，保證這些設(shè)備的安全是監(jiān)控平臺(tái)穩(wěn)定運(yùn)行的前提。若遇盜竊、突然斷電等，監(jiān)控平臺(tái)將無(wú)法運(yùn)行。

1.2.2 網(wǎng)絡(luò)體系 監(jiān)控平臺(tái)網(wǎng)絡(luò)體系設(shè)計(jì)不規(guī)范、不能滿足業(yè)務(wù)發(fā)展需求，交換機(jī)、路由器等網(wǎng)絡(luò)設(shè)施和防火墻、網(wǎng)絡(luò)審計(jì)、行為管理等安全設(shè)備的選型、部署、使用、管理與中醫(yī)藥項(xiàng)目管理業(yè)務(wù)處理能力和安全需求不協(xié)調(diào)，安全策略規(guī)則不符合中醫(yī)藥項(xiàng)目預(yù)算管理流程，安全設(shè)備不能有效監(jiān)測(cè)和防御，易出現(xiàn)中醫(yī)藥項(xiàng)目經(jīng)費(fèi)監(jiān)控?cái)?shù)據(jù)不準(zhǔn)確、監(jiān)控手段不靈敏、監(jiān)控時(shí)效性不強(qiáng)，使中醫(yī)藥管理部門(mén)科學(xué)決策受影響。

1.2.3 系統(tǒng)服務(wù)器 監(jiān)控平臺(tái)服務(wù)器運(yùn)行著數(shù)據(jù)庫(kù)、系統(tǒng)軟件及電子簽章等，存儲(chǔ)了所有中醫(yī)藥項(xiàng)目預(yù)算實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)，是監(jiān)控平臺(tái)運(yùn)行的關(guān)鍵設(shè)備。其操作系統(tǒng)和數(shù)據(jù)庫(kù)易存在默認(rèn)的、多余的、長(zhǎng)期不使用的、共享的賬戶，用戶口令長(zhǎng)度和復(fù)雜度不符合等級(jí)保護(hù)要求，各類(lèi)補(bǔ)丁未能及時(shí)更新，這些均容易給網(wǎng)絡(luò)黑客破壞監(jiān)控平臺(tái)服務(wù)器創(chuàng)造條件，導(dǎo)致監(jiān)控?cái)?shù)據(jù)丟失、數(shù)據(jù)庫(kù)信息被篡改等。

1.2.4 信息系統(tǒng) 監(jiān)控平臺(tái)除依賴(lài)于網(wǎng)絡(luò)安全、操作系統(tǒng)、數(shù)據(jù)庫(kù)等安全措施外，其自身也需部署相應(yīng)安全策略，如用戶身份識(shí)別、口令長(zhǎng)度和復(fù)雜度控制、用戶訪問(wèn)權(quán)限和粒度設(shè)置、用戶登錄與操作痕跡的不可否認(rèn)性、最大并發(fā)會(huì)話連接數(shù)等，這些因素均是監(jiān)控平臺(tái)信息系統(tǒng)在開(kāi)發(fā)設(shè)計(jì)階段需要考慮的。

1.3 監(jiān)控信息傳輸

監(jiān)控平臺(tái)在互聯(lián)網(wǎng)和局域網(wǎng)中同時(shí)應(yīng)用，互聯(lián)網(wǎng)傳輸易遭受黑客和惡意軟件攻擊，存在諸多人為因素破壞的潛在威脅。監(jiān)控平臺(tái)在國(guó)家層面、省級(jí)、基層單位之間的數(shù)據(jù)傳輸依托互聯(lián)網(wǎng)，如何保證數(shù)據(jù)的完整性、抗否認(rèn)性、準(zhǔn)確性，需要重點(diǎn)考慮，如采用加密、訪問(wèn)控制、安全認(rèn)證等措施；國(guó)家級(jí)平臺(tái)和省級(jí)平臺(tái)內(nèi)部使用的安全性取決于單位內(nèi)部網(wǎng)絡(luò)體系安全建設(shè)[2]。

1.4 用戶終端

監(jiān)控平臺(tái)采用B/S模式，用戶終端涉及全國(guó)中醫(yī)藥項(xiàng)目建設(shè)單位，且無(wú)需運(yùn)行任何程序，但終端的安全短板效應(yīng)依然會(huì)影響監(jiān)控平臺(tái)整體安全防護(hù)能力，如操作系統(tǒng)漏洞、防病毒軟件缺失、USB Key丟失、帳號(hào)/密碼泄露等，易給攻擊者假冒合法用戶進(jìn)行某些破壞動(dòng)作留下可乘之機(jī)。

1.5 系統(tǒng)管理維護(hù)

監(jiān)控平臺(tái)覆蓋范圍廣，用戶復(fù)雜、水平參差不齊，若無(wú)健全的安全管理制度，特別是安全管理或使用人員操作手冊(cè)缺失，易產(chǎn)生人為的誤操作等；系統(tǒng)管理員、安全保密管理員、安全審計(jì)員的職責(zé)不清、人員不明，安全策略管理手段缺乏，易造成監(jiān)控平臺(tái)運(yùn)行維護(hù)的混亂；數(shù)據(jù)備份與恢復(fù)管理缺乏，易引起備份數(shù)據(jù)的不可恢復(fù)、監(jiān)控?cái)?shù)據(jù)的永久丟失；系統(tǒng)應(yīng)急預(yù)案和演練缺乏，一個(gè)很小系統(tǒng)安全問(wèn)題可能出現(xiàn)監(jiān)控平臺(tái)長(zhǎng)時(shí)間癱瘓、數(shù)據(jù)丟失等。

2 中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)的安全措施

2.1 確定監(jiān)控平臺(tái)安全保護(hù)等級(jí)

監(jiān)控平臺(tái)建設(shè)初期，我們分析中醫(yī)藥項(xiàng)目預(yù)算管理的信息化和安全防護(hù)需求，邀請(qǐng)中醫(yī)藥財(cái)務(wù)、信息安全、信息技術(shù)等領(lǐng)域?qū)＜乙?guī)劃和設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和體系框架，確定監(jiān)控平臺(tái)的應(yīng)用覆蓋面、預(yù)算管理業(yè)務(wù)依賴(lài)性、系統(tǒng)數(shù)據(jù)敏感度、平臺(tái)服務(wù)范圍等。監(jiān)控平臺(tái)業(yè)務(wù)信息和系統(tǒng)服務(wù)受到破壞時(shí)，所侵害客體是國(guó)家和各級(jí)中醫(yī)藥管理部門(mén)、中醫(yī)藥項(xiàng)目建設(shè)單位，中醫(yī)藥項(xiàng)目預(yù)算管理和執(zhí)行信息篡改、不準(zhǔn)確，將會(huì)嚴(yán)重影響國(guó)家和各級(jí)中醫(yī)藥管理部門(mén)的公信力和權(quán)威性，業(yè)務(wù)信息破壞達(dá)到嚴(yán)重?fù)p害程度，所以，業(yè)務(wù)信息安全保護(hù)等級(jí)確定為第三級(jí)。監(jiān)控平臺(tái)主要為國(guó)家和各級(jí)中醫(yī)藥管理部門(mén)、中醫(yī)藥項(xiàng)目建設(shè)單位提供系統(tǒng)服務(wù)，當(dāng)其遭到破壞時(shí)對(duì)使用人員損害程度比較有限，所以，系統(tǒng)服務(wù)安全保護(hù)等級(jí)確定為第二級(jí)。根據(jù)信息系統(tǒng)安全保護(hù)等級(jí)由業(yè)務(wù)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)較高者決定的原則，最終確定監(jiān)控平臺(tái)安全保護(hù)等級(jí)為第三級(jí)[3]。

2.2 構(gòu)建監(jiān)控平臺(tái)完整安全防線

2.2.1 監(jiān)控平臺(tái)信息安全 模型在監(jiān)控平臺(tái)信息安全等級(jí)第三級(jí)的基礎(chǔ)上，我們結(jié)合開(kāi)放式系統(tǒng)互聯(lián)（OSI）安全體系結(jié)構(gòu)、分布式動(dòng)態(tài)主動(dòng)模型PPDR（策略、保護(hù)、檢測(cè)、響應(yīng)）等信息安全模型結(jié)構(gòu)，從中醫(yī)藥項(xiàng)目預(yù)算管理業(yè)務(wù)的需求出發(fā)，保障預(yù)算管理與執(zhí)行信息的安全可靠，建立了一套較為完善的中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)信息安全模型。在系統(tǒng)部署層面，采用B/S/S服務(wù)器級(jí)連接模式，通過(guò)WEB服務(wù)器將外部終端與數(shù)據(jù)服務(wù)器隔離，防止非法入侵者通過(guò)系統(tǒng)漏洞直接獲取預(yù)算數(shù)據(jù)。在數(shù)據(jù)傳輸層面，在平臺(tái)服務(wù)器端與客戶端之間部署防火墻和基于SSL協(xié)議的VPN通道，引用電子簽章、數(shù)字認(rèn)證等數(shù)據(jù)加密手段。在數(shù)據(jù)存儲(chǔ)層面，采用安全性較為完善的SQL Server數(shù)據(jù)庫(kù)系統(tǒng)，所有預(yù)算相關(guān)數(shù)據(jù)存儲(chǔ)均進(jìn)行加密，采用磁帶機(jī)等進(jìn)行數(shù)據(jù)的自動(dòng)備份，防止數(shù)據(jù)庫(kù)服務(wù)器遭受意外攻擊或損壞后可能產(chǎn)生的安全隱患。在表示應(yīng)用層面，運(yùn)用S-HTTP協(xié)議分離CA認(rèn)證與應(yīng)用界面，嚴(yán)格區(qū)分前后臺(tái)系統(tǒng)，應(yīng)用層數(shù)據(jù)須經(jīng)加密認(rèn)證后再由傳輸層傳輸。在平臺(tái)內(nèi)部網(wǎng)絡(luò)層面，配備安全管理平臺(tái)，采用防火墻、入侵檢測(cè)、漏洞掃描、網(wǎng)絡(luò)審計(jì)、防病毒等安全技術(shù)，實(shí)現(xiàn)實(shí)時(shí)全方位監(jiān)控[4]。詳見(jiàn)圖1。

2.2.2 創(chuàng)造安全的物理環(huán)境和網(wǎng)絡(luò)體系 國(guó)家級(jí)、省級(jí)監(jiān)控平臺(tái)分別部署在國(guó)家中醫(yī)藥管理局和各省中醫(yī)藥管理部門(mén)機(jī)房，均具備一定的安全物理環(huán)境，按照三級(jí)等級(jí)保護(hù)要求完善安全措施，如為國(guó)家級(jí)監(jiān)控平臺(tái)數(shù)據(jù)專(zhuān)門(mén)配備氣體滅火器，增裝機(jī)房專(zhuān)用空調(diào)，國(guó)家級(jí)和省級(jí)監(jiān)控平臺(tái)使用的所有服務(wù)器、安全設(shè)備等粘貼統(tǒng)一的監(jiān)控平臺(tái)專(zhuān)用標(biāo)識(shí)。

針對(duì)中醫(yī)藥項(xiàng)目預(yù)算管理需求，基于互聯(lián)網(wǎng)建立國(guó)家、省、項(xiàng)目建設(shè)單位3級(jí)信息網(wǎng)絡(luò)架構(gòu)，劃分國(guó)家級(jí)、省級(jí)等不同安全域，統(tǒng)一制定安全管理策略。在國(guó)家級(jí)監(jiān)控?cái)?shù)據(jù)中心部署防火墻、入侵檢測(cè)、漏洞掃描、主機(jī)監(jiān)控與審計(jì)、網(wǎng)絡(luò)安全審計(jì)等；在省級(jí)監(jiān)控?cái)?shù)據(jù)中心部署防火墻、網(wǎng)絡(luò)安全審計(jì)、防病毒系統(tǒng)等，共同監(jiān)測(cè)、抵御和防范病毒木馬和黑客等各種攻擊、入侵行為及非法訪問(wèn)和操作等，做到非監(jiān)控平臺(tái)使用人員進(jìn)不來(lái)、看不到、看不懂。在服務(wù)器和數(shù)據(jù)庫(kù)安全防護(hù)方面，及時(shí)更新操作系統(tǒng)和數(shù)據(jù)庫(kù)的補(bǔ)丁、漏洞，刪除或停用默認(rèn)、多余和共享的賬戶，特別是測(cè)試階段所使用的賬戶和已經(jīng)撤銷(xiāo)的機(jī)構(gòu)賬戶，只開(kāi)放監(jiān)控系統(tǒng)用到的服務(wù)器端口，數(shù)據(jù)庫(kù)帳號(hào)由監(jiān)控平臺(tái)數(shù)據(jù)庫(kù)管理員負(fù)責(zé)。在數(shù)據(jù)保護(hù)方面，國(guó)家級(jí)平臺(tái)采取磁帶庫(kù)和服務(wù)器備份雙備份方式，省級(jí)平臺(tái)采取服務(wù)器備份方式。

2.2.3 實(shí)施監(jiān)控平臺(tái)自身安全策略 監(jiān)控平臺(tái)采用基于角色的訪問(wèn)控制（RBAC）安全模型，做到信息操作軌跡可追溯。用戶管理員將監(jiān)控平臺(tái)用戶分別授予國(guó)家級(jí)用戶、省級(jí)用戶、基層單位用戶、系統(tǒng)管理員、安全保密管理員、安全審計(jì)員等角色組，各角色組和角色之間具有角色互斥關(guān)系；角色管理員針對(duì)不同角色分配給監(jiān)控平臺(tái)數(shù)據(jù)的查詢、增加、修改、刪除、退回等操作權(quán)限。如國(guó)家中醫(yī)藥管理局人員被授予國(guó)家級(jí)用戶角色，只能操作國(guó)家級(jí)平臺(tái)，授予查詢和退回各省報(bào)送數(shù)據(jù)，不能修改和增加省級(jí)、項(xiàng)目建設(shè)單位報(bào)送的數(shù)據(jù)。針對(duì)監(jiān)控平臺(tái)財(cái)務(wù)數(shù)據(jù)的高保密性，用戶身份驗(yàn)證采用基于數(shù)字證書(shū)的雙向認(rèn)證并結(jié)合靜態(tài)口令認(rèn)證的USB Key，口令要求字母、數(shù)字、符號(hào)兩者以上組成的8位以上長(zhǎng)度。嚴(yán)格監(jiān)控平臺(tái)賬戶訪問(wèn)和操作規(guī)則，口令輸入錯(cuò)誤超過(guò)5次立即鎖定，30 min后方可再次登錄，30 min無(wú)操作監(jiān)控平臺(tái)的賬戶自動(dòng)退出，避免無(wú)關(guān)人員攻擊或操作監(jiān)控平臺(tái)。

2.2.4 建立安全可信的數(shù)據(jù)傳輸通道 監(jiān)控平臺(tái)是基于互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)傳輸和通信，如何確保預(yù)算數(shù)據(jù)下達(dá)、預(yù)算執(zhí)行數(shù)據(jù)上報(bào)、預(yù)警信息通報(bào)等過(guò)程中信息不被泄露或篡改，監(jiān)控平臺(tái)通過(guò)部署SSL VPN設(shè)備和PKI系統(tǒng)，利用SSL安全套接層協(xié)議對(duì)監(jiān)控平臺(tái)預(yù)算信息進(jìn)行加密，在服務(wù)器端和客戶端建立虛擬專(zhuān)用網(wǎng)絡(luò)，應(yīng)用數(shù)字證書(shū)和私鑰進(jìn)行用戶數(shù)字認(rèn)證和身份確認(rèn)，從而保護(hù)在互聯(lián)網(wǎng)上預(yù)算數(shù)據(jù)傳輸?shù)陌踩?、完整性、機(jī)密性。同時(shí)，搭建基于CA認(rèn)證的統(tǒng)一身份管理平臺(tái)，在PKI系統(tǒng)的基礎(chǔ)上，將電子簽章、電子簽名技術(shù)與CA數(shù)字認(rèn)證技術(shù)相結(jié)合，統(tǒng)一將用戶信息存儲(chǔ)在身份認(rèn)證服務(wù)器，實(shí)現(xiàn)各級(jí)各類(lèi)用戶身份的統(tǒng)一強(qiáng)鑒別認(rèn)證和訪問(wèn)控制，保證監(jiān)控平臺(tái)數(shù)據(jù)的真實(shí)性和使用人員的不可否認(rèn)性[5]。

2.3 建立監(jiān)控平臺(tái)安全管理制度

信息安全“三分技術(shù)、七分管理”。在監(jiān)控平臺(tái)建設(shè)過(guò)程中，成立監(jiān)控平臺(tái)信息安全管理領(lǐng)導(dǎo)小組，統(tǒng)籌規(guī)劃監(jiān)控平臺(tái)的信息安全，設(shè)立信息安全工作小組，全面負(fù)責(zé)監(jiān)控平臺(tái)信息安全措施的執(zhí)行和監(jiān)督，要求省級(jí)監(jiān)控平臺(tái)由專(zhuān)人負(fù)責(zé)信息安全維護(hù)。制定監(jiān)控平臺(tái)操作手冊(cè)、安全設(shè)備管理、賬戶與密碼管理、用戶訪問(wèn)控制、監(jiān)控?cái)?shù)據(jù)存儲(chǔ)管理、監(jiān)控?cái)?shù)據(jù)分析與利用規(guī)范、運(yùn)行維護(hù)手冊(cè)、數(shù)據(jù)備份與恢復(fù)方案、應(yīng)急預(yù)案、風(fēng)險(xiǎn)評(píng)估等一系列25個(gè)安全管理制度，編制防火墻、入侵檢測(cè)、漏洞掃描、VPN設(shè)備等安全策略，做到監(jiān)控平臺(tái)的每個(gè)環(huán)節(jié)、每個(gè)操作都有據(jù)可依、有章可循，最大限度地降低安全風(fēng)險(xiǎn)。設(shè)立監(jiān)控平臺(tái)系統(tǒng)管理員、安全保密管理員、安全審計(jì)員，定期開(kāi)展國(guó)家級(jí)和省級(jí)監(jiān)控平臺(tái)信息安全事件應(yīng)急預(yù)案演練，創(chuàng)造信息安全應(yīng)急技術(shù)支撐隊(duì)伍和保障條件。

2.4 加強(qiáng)信息安全管理技術(shù)人員培養(yǎng)

高素質(zhì)的信息安全技術(shù)隊(duì)伍是信息安全保障體系的智力支撐。開(kāi)展監(jiān)控平臺(tái)管理和使用人員的操作培訓(xùn)，將監(jiān)控平臺(tái)信息安全建設(shè)和后期運(yùn)行維護(hù)納入監(jiān)控平臺(tái)管理與技術(shù)人員培訓(xùn)主要內(nèi)容，建立多層次、多形式、多途徑、重實(shí)效的信息安全人才培養(yǎng)機(jī)制，培養(yǎng)監(jiān)控平臺(tái)管理和使用人員安全意識(shí)、職業(yè)道德和責(zé)任心，規(guī)范用戶合法合規(guī)操作。委托監(jiān)控平臺(tái)開(kāi)發(fā)單位和信息安全專(zhuān)業(yè)機(jī)構(gòu)定期舉辦培訓(xùn)班，開(kāi)展系統(tǒng)安全使用、電子簽章、CA認(rèn)證等專(zhuān)業(yè)技術(shù)培訓(xùn)。

3 結(jié)語(yǔ)

中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)是“中醫(yī)藥信息化建設(shè)‘十二五規(guī)劃”的重要任務(wù)之一，其信息安全保護(hù)不容忽視，信息安全管理與技術(shù)體系建設(shè)已成為不可或缺的重要組成部分。作為管理者和使用者，應(yīng)充分認(rèn)識(shí)信息安全的重要性，在設(shè)計(jì)、開(kāi)發(fā)、建設(shè)、運(yùn)維的各個(gè)階段，強(qiáng)化信息安全技術(shù)和管理措施的落實(shí)，建立完善的信息安全策略和管理制度，做到事前預(yù)防、事中監(jiān)控、事后應(yīng)急，保障監(jiān)控平臺(tái)的安全穩(wěn)定運(yùn)行，有效提高中醫(yī)藥項(xiàng)目經(jīng)費(fèi)預(yù)算管理的科學(xué)性，為中醫(yī)藥行業(yè)其他應(yīng)用系統(tǒng)信息安全建設(shè)提供借鑒和參考。

參考文獻(xiàn)：

[1] 田雙桂，沈紹武.中醫(yī)藥項(xiàng)目預(yù)算管理信息化需求探討[J].中醫(yī)藥管理雜志，2013，21（8）：802-803.

[2] 李繼珍.重視中醫(yī)藥發(fā)展時(shí)期信息安全問(wèn)題的探討[J].中醫(yī)藥管理雜志，2012，20（4）：391-392.

[3] 肖勇，沈紹武，田雙桂，等.中醫(yī)藥項(xiàng)目預(yù)算監(jiān)控平臺(tái)信息安全等級(jí)保護(hù)實(shí)踐[J].醫(yī)學(xué)信息學(xué)雜志，2014，35（9）：7-11.

[4] 肖革新，張燁，張睿，等.公共衛(wèi)生數(shù)據(jù)中心安全保障體系建設(shè)與思考[J].醫(yī)學(xué)信息學(xué)雜志，2012，33（2）：13-17.

[5] 梁志偉，呂玉波，羅云堅(jiān)，等.醫(yī)院電子簽名和信息加密系統(tǒng)解決方案與應(yīng)用[J].醫(yī)學(xué)信息，2007，20（6）：901-905.