信息化建设的目的和意义2篇

信息化建设的目的和意义2篇信息化建设的目的和意义　数据库安全审计系统在医数据库安全审计系统在医院院信息化建设中的意义信息化建设中的意义邓威①①大竹县人民医院摘摘　要要医院信息系统是医院下面是小编为大家整理的信息化建设的目的和意义2篇,供大家参考。

篇一：信息化建设的目的和意义

库安全审计系统在医数据库安全审计系统在医院院信息化建设中的意义信息化建设中的意义 邓威① ①大竹县人民医院 摘摘

　要要 医院信息系统是医院各项业务运行的重要支撑系统，它的特殊性决定了安全性要求极高， 特别是信息系统的核心—数据库安全至关重要； 来自内部和外部的安全风险会引发信息系统瘫痪、 各种内部数据信息被泄露和篡改、 涉密数据信息被窃取和失泄等信息安全事件发生。

　医院信息中心在严格执行医院安全保密规定的同时， 应该采用数据库安全审计系统用以加强对信息系统的监控审计管理，保证信息系统的数据保密性、完整性、可靠性和不可否认性。

　关键关键词词 数据库安全审计

　医院信息系统

　数据库安全 1 1

　引言引言

　医院信息系统（HIS，Hospital Information System）是指利用计算机软硬件技术、网络通讯技术等现代化手段，对医院及其所属各部门对人流、物流、财流进行综合管理，对在医疗活动各阶段中产生的数据进行采集、存贮、处理、提取、传输、汇总、加工生成各种信息，从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。

　医院的信息化建设经过几年的不断投入， 已逐步发展完善成为含门诊管理系统、 住院管理系统、药品管理系统、财务管理系统、OA 管理系统、医嘱处理系统、医生工作站系统等综合型医院信息管理系统（HIS 系统）

　。该信息系统在支持医院的行政管理，事务处理，辅助高层领导决策，提高医院工作效率的同时，也有效地支持了医院医护人员的临床活动，通过收集和处理病人的临床医疗信息，辅助诊疗、辅助临床决策，提高医护人员的工作效率，为病人提供了更多、更快、更好的服务。

　医院信息系统（以下简称“HIS 系统” ）是现代化医院建设中不可缺少的基础设施与支撑环境，是支撑医疗体系改革的“四梁八柱”之一。特色主要是以信息标准化和数据库技术为基础，以临床应用为核心，以医疗质量控制和提高工作效率为目的，建立人、财、物、业务等方面的基本信息库，构建业务、管理和决策三个层次的系统功能，覆盖医院管理的各个部门及患者在诊疗中的各个环节， 满足医院日益增长的信息需求， 并为医院提供全方位的信息服务。

　现状：经历 20 多年的发展，中国医疗信息化建设已初具规模，随着信息技术的不断发展，在医院这种社会公共服务领域，收集和储存了大量的公民个人信息。但在当前对医疗行业提供的网络安全技术解决方案中， 仍以防火墙和防病毒为主流选择， 但是这些传统的安全技术手段只能阻挡部分从外部到内部的攻击， 并且对来自内部的信息窃取完全无能为力， 这就导致了“泄密门”事件一次次发生，引发重要数据的丢失、破坏，不仅严重影响到医院的网络正常运行和形象声誉，还直接威胁到患者的隐私和生命安全。

　事件举例：08 年深圳发生的全市孕妇信息库泄露事件，不法分子将孕妇的资料制成了“泄密光盘” ，4 万条包括孕妇姓名、出生日期（婴儿）

　、户口性质（流动、暂住、常住）

　、家庭住址、联系电话、以及就诊医院及预产期的信息以每条 0.3 元的价格进行销售，更令人咂舌的是这些信息每月还“滚动更新” ，累计达到了 10 万条。

　2 2

　安全需求安全需求

　HIS 系统是医院各项业务运行的重要支撑系统，它的特殊性决定了安全性要求极高，特别是 HIS 系统的核心——数据安全性的威胁体现在实际应用中， 重点要考虑来自二个方面的安全风险：

　来自外部安全风险：利用弱口令设置、数据库系统漏洞，非法授权进入 HIS 系统访问、拷贝和修改数据内容，甚至可以采用 SQL 注入，攻击数据库系统； 来自内部安全风险：

　以合法授权身份进入 HIS 系统对数据进行非法的访问和操作。

　由于HIS 系统庞大，系统的部分运行维护工作由软件开发商和系统集成商负责完成，因此该类维护人员通常具有系统权限，能够进入 HIS 系统，对系统的数据进行访问和操作。甚至医院内部有权限访问数据库的人员在发生误操作， 违规操作， 甚至一些恶意操作的时候都难以追踪、取证。部分情况下，信息系统自身在访问数据库的时候，由于一些难以避免的逻辑错误导致业务系统宕机的情况也会发生，极大影响日常工作，但是却难以及时定位找出问题根源。目前医院在存储了患者信息，财务信息，医院信息等的核心数据库，被人接触、查询、修改甚至删除核心数据等案例在国内已屡见不鲜， 如果这些情况发生将给医院极可能造成难以弥补的经济损失，带来很多负面影响。同时， 《四川省数字化医院评审标准》中也要求需加强对数据库后台的审计。

　以上安全风险会引发 HIS 系统瘫痪、 各种内部数据信息被泄露和篡改、 涉密数据信息被窃取和失泄等信息安全事件发生。

　为了加强 HIS 系统的数据安全管理， 医院信息中心在严格执行医院安全保密规定的同时， 应该采用数据库安全审计系统用以加强对 HIS 系统的监控审计管理，保证 HIS 系统的数据保密性、完整性、可靠性和不可否认性。

　3 3

　数据库安全审计系统描述数据库安全审计系统描述

　采用基于旁路监听的数据库审计系统作为医院信息系统数据库审计， 其基本原理是：

　通过旁路监听的方式， 对网络数据进行实时采集过滤， 对各种上层的数据库应用协议数据进行分析和还原，然后再进行 SQL 语法解析，最后对审计记录进行存储、对违规的审计记录进行实时报警，同时生成审计报表和统计报表信息。

　基于旁路监听的数据库审计的解决方案具有下面的一些优势：

　第一、 不需要对生产数据库进行任何设置，也不需要改变现有的网络架构和配置。第二、采用旁路监听方式，不影响生产数据库的性能， 不占用生产数据库服务器的网络带宽， 同时在对审计数据进行压缩备份时不影响业务系统的正常运行。

　第三、 与数据库管理系统本身的审计功能相比具有更快的响应速度，可以进行实时审计和处理。第四、审计数据更加安全。与原有的业务网络隔离，因此可以更有效地保护审计数据的安全，防止了审计信息的被窃、被篡改与身份假冒。第五、采用分布式的监控和集中式管理的结构，易于扩展。

　基于旁路监听的数据库审计系统从物理架构上又可以分成两种，一种是“一体机”的架构，另一种是“二层” （或“多层” ）架构。

　“一体机” 架构是将数据库审计的所有功能都放在同一个平台或设备上实现， 而 “二层”架构则是将数据库审计的功能模块分开，放在不同的平台或设备上来完成。

　“一体机”架构的好处是便于上架，比较适用于小型用户（业务流量小的用户）

　，然而，由于其所有功能都是在同一个平台或设备上实现，在业务流量大的环境下，性能会受到严重影响，同时对于分布式监控也不好管理。

　“二层”架构由审计引擎、审计数据中心组成，审计引擎实时监听网络中流动的数据报文，将符合规则的数据库操作报文上传到审计数据中心。审计引擎主要服务数据采集、协议分析、 预处理等操作。

　而审计数据中心则将符合分析需求的数据解析存放到审计数据中心的数据库， 以便数据库审计人员在事后进行查询与分析。

　同时审计数据中心还负责下发审计引擎需要的规则文件，提供友好的图形用户界面，便于数据库审计人员生成、下发规则文件。在审计人员查询审计数据的时候还提供了丰富的查询条件设置， 审计人员可以灵活地设置符合自己的查询条件，对审计记录进行有效查询。

　采用“二层”架构的数据库审计系统的好处是，首先，可以最大限度地保证审计引擎数据采集的完整性，最大限度地降低丢包率。其次，由于采集的数据已经上传到审计中心，因此可以对审计数据进行长期保存，以便日后取证之用。同时，该架构也方便进行分布式的监控和集中式管理。

　数据库安全审计系统包括：审计引擎、数据审计中心、管理控制台三大组件构成。其逻辑图示如下：

　 数据库安全审计系统引擎通过旁路监听的方式接入网络， 通过在核心交换机上设置端口

　镜像模式或采用 TAP 分流监听模式， 使安全审计引擎能够监听到所有用户通过交换机与数据库进行通讯的所有操作，并把数据库操作进行协议还原和分析，发送到数据审计中心。

　数据审计中心通过接收来自于安全审计引擎的数据包和本地数据库的归档日志， 对其进行数据库操作的关联分析， 根据管理控制台发送的策略和指令进行分析处理， 最终形成处理结果发送到管理控制台。

　管理控制台提供置、查询、报警和报表功能。

　 4 4

　实实现现效果效果

　第一、 实现了针对所有帐户对数据库访问与操作的全面监测审计。

　提供包括对 HIS 系统管理员的账户在内的所有帐户登录、 访问和各种操作， 可以审计来自直接进入数据库系统的，也可以审计通过中间件应用服务器进入数据库系统的， 通过关联可以清晰地知道何时、 何地、何人进入数据库系统在做什么，是授权的，还是非授权的，访问和操作是否合规或违规。

　第二、 加强了针对重要敏感数据的访问的审计监。

　HIS 数据库系统中的数据具有商业性、技术性、保密性特点，这些数据对医院来讲是举足轻重的，如果这些数据被泄露或篡改，会给医院带来各种严重的后果。

　通过严密的监测审计功能， 可以帮助信息中心的系统管理人员严密地监测和掌控所有对 HIS 数据库系统中重要敏感数据的访问和操作， 及时发现违规操作和追根查源。

　第三、提供了详细的数据库审计记录及分类统计。能够对所有审计信息进行记录、分类统计。通过详细的审计统计报表，清晰地掌握 HIS 数据库系统安全运行和合规使用情况。

　第四、实现了数据库异常操作监测报警。根据事先制定的监测报警策略，对各类操作进行实时监测。当发现违反策略的操作时，立即产生报警信息，警示管理部门尽快查明原因，降低风险系数。

　第五、弥补了数据库系统内置日志审计的缺陷。数据库系统内置的日志审计功能单一，日志记录可以被人为修改、删除，数据库安全审计系统是一个完全独立于数据库系统的“黑盒子” ，审计记录自我保护性强，弥补了数据库内置日志审计的缺陷。

　5 5

　总结总结

　数据库审计系统的应用， 能有效地降低医院内部风险， 提高医院信息系统数据数据保密性、完整性、可靠性；为医院信息系统进一步深入研发应用系统提供了强而有力的保障，对医院信息化建设具有深远的积极意义。

　参考文献

　[1] 郝宁.医院信息系统的数据安全.邯郸职业技术学院学报，2007，20(2)：66-67. [2] 李华.数据库安全审计的应用研究.铝镁通讯，2008(3)：35-36. [3] 陈海东，黄绍君，朱海云.ORACLE 数据库审计功能和触发器在医院数据监管中的应用.中国医疗设备，2008，23(7)：43-44. [4] 杨泉.数据库安全问题的探讨.科技信息，2008(21)：55-76.

篇二：信息化建设的目的和意义

信息 化安全建设项目背景内容目标及建设必要性 1.1

　项目背景 随着医院信息化建设的逐步深入，网上业务由单一到多元化，各类应用系统数十个，信息系统承受的压力日益增长，医院信息系统已经成为医院正常运行不可或缺的支撑环境和工作平台，因此按照信息系统等级保护的基本要求，通过建立合理可靠的技术平台，细致的日常管理与及时的故障处理应急预案，将信息系统等级保护措施落实到实处，确保信息系统不间断运行，只有在技术和管理互相提供支撑的前提下才能确保系统的稳定运行。

　从医院角度依据信息安全等级保护的要求，通过对医院核心信息系统的建设。充分发挥网络在医院信息系统中的应用。从技术安全阐述如何建立合理技术平台，加强安全防护对策。强调了保障网络和信息系统安全，让安全稳定的网络支撑医院走上可持续发展之路。核心业务是医院信息化建设

　的基础，是医院信息系统运行的平台，对医院运行效率和管理水平都有重要作用，因此创造良好信息系统安全运营环境是医院信息安全的最终目。

　医疗信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业医疗机构信息安全等级保护工作，卫生部办公厅印发了关于三级甲等医院信息安全等级保护建设的相关通知，具体如：

　卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知 卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知 建设和整改要求：

　1.对三级甲等医院已确定安全保护等级的第三级信息系统，应当按照国家信息安全等级保护工作规范和《医疗机构

　信息系统安全等级保护基本要求》、《医疗机构重要信息系统等级保护三级测评技术要求项》等国家标准，开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。

　2.根据信息系统安全保护现状分析结果，按照《信息安全技术信息系统安全等级保护基本要求》、《医疗机构信息系统安全等级保护基本要求》、《医疗机构重要信息系统等级保护三级测评技术要求项》等国家标准，制订信息系统安全等级保护建设整改方案。三级卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证，完善安全保护设施，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和信息安全管理体系，有效保障医院信息系统安全。

　1.2

　建设目标 依据国家相关政策要求，依据***医院信息系统的实际需要，基于现代信息系统安全保障理论，采用现代信息安全保

　护技术，按照一定规则和体系化的信息安全防护策略进行的整体设计。建设目标覆盖以下内容  完善基础安全防护整体架构，开展并完成信息系统等保工作，使之基本达到（符合）行业等级保护基本要求。

　 加强信息安全管理工作，制订科学合理的信息安全工作方针、政策，进一步完善信息安全管理制度体系，实现管理制度的标准化、规范化和流程化。

　 建立科学、完备的信息安全运维管理体系，实现信息安全事件的全程全周期管理，切实保障信息系统安全、稳定运行。

　1.3

　建设内容 依据国家相关政策要求，对***医院的信息系统进行安全建设，覆盖信息安全的管理体系、技术体系和运维体系三个方面，建设内容覆盖以下各个层面  物理层面

　 网络层面  主机层面  应用层面  数据层面  管理层面

　1.4

　建设必要性 通过近几年的信息化建设，***医院已建成基本稳定的信息系统软、硬件平台，在信息安全方面也进行了基础性的部分建设，使系统有了一定的防护能力。但由于病毒攻击、恶意攻击泛滥，应用软件漏洞层出不穷，***医院的信息安全方面仍面临较大的挑战。另一方面，***医院安全措施比较薄弱，安全防护意识有待加强，安全制度还有待完善。随着信息技术的飞速发展，如今基于信息系统安全防护已不能仅停留在普通网络安全设备的层面上，需要部署完善的、基于保护操作系统、数据、网络和应用的安全防护体系。

　从等级保护安全要求来看，安全建设的必要性主要体现在两个方面：

　 安全管理现状与等级保护要求的差距 ***医院自身信息系统建设及运维基础上，建立了一套满足并能够促进网络运维的安全管理体系，但同等级保护的安全管理要求相比较，现有管理制度不论在涉及方面的健全性，还是具体内容的完善性，都存在差距。主要包括：建立信息安全总体策略、完善各个方面的信息安全管理制度、以及落实各类制度需要的表单。

　 安全技术现状与等级保护要求的差距 整体设计方面的问题，即某些差距项的不满足是由于该系统在整体的安全策略设计上存在问题。同事缺乏相应产品实现安全控制，未能通过对产品的正确选择、部署和恰当配置满足相应要求。另外，由于使用者技术能力、安全意识的原因，或出于对系统运行性能影响的考虑等原因，产品没有得到正确的配置，从而使其相关安全功能没有得到发挥。

推荐访问:信息化建设的目的和意义 目的 信息化建设 意义