第一篇：淺談醫(yī)院信息化建設(shè)中的安全性問題-高峰

淺談醫(yī)院信息化建設(shè)中的安全性問題

高 峰

【摘要】近年來，隨著醫(yī)院信息化的迅猛發(fā)展，醫(yī)院信息系統(tǒng)覆蓋面越來越廣，應(yīng)用也越來越深入，當(dāng)前醫(yī)院信息化建設(shè)面臨的一個突出現(xiàn)象是：應(yīng)用系統(tǒng)越來越多，數(shù)據(jù)量越來越大，整個醫(yī)院的運營對信息系統(tǒng)的依賴越來越深；而與此同時，信息管理的復(fù)雜性越來越高。鑒于信息系統(tǒng)對醫(yī)療業(yè)務(wù)持續(xù)運行的重要性，建設(shè)安全、穩(wěn)定、可靠的信息系統(tǒng)將是醫(yī)院信息化建設(shè)的重要目標(biāo)。在本文中筆者結(jié)合本院實際建設(shè)情況，從信息系統(tǒng)的基礎(chǔ)設(shè)施的安全性、數(shù)據(jù)安全性、應(yīng)用安全性三個方面，闡述安全性問題對建設(shè)穩(wěn)定、可靠信息系統(tǒng)的重要意義。

【關(guān)鍵字】單點故障、容災(zāi)、審計

醫(yī)院信息管理系統(tǒng)為醫(yī)院的正常運營和科學(xué)化、精細(xì)化管理提供技術(shù)保障，在提高工作效率、獲取和保存醫(yī)療信息、改進(jìn)醫(yī)療服務(wù)質(zhì)量諸方面起到了非常重要的作用。醫(yī)院信息系統(tǒng)安全防護(hù)措施的制定和實施是保證醫(yī)院信息系統(tǒng)的穩(wěn)定性、可靠性、安全性、可用性的利器。然而，信息安全依然是醫(yī)院信息化建設(shè)的短板，嚴(yán)重影響和制約了醫(yī)院信息化進(jìn)程。在醫(yī)院日常醫(yī)療服務(wù)業(yè)務(wù)對信息系統(tǒng)的依賴性越來越強的背景下，一旦系統(tǒng)宕機將嚴(yán)重影響醫(yī)院日常的醫(yī)療服務(wù)，引發(fā)醫(yī)患矛盾。

穩(wěn)定、可靠的信息系統(tǒng)依賴于安全、可靠的底層基礎(chǔ)設(shè)施，包括網(wǎng)絡(luò)、主機、操作系統(tǒng)等；同時，目前的醫(yī)院信息系統(tǒng)都基于數(shù)據(jù)大集中的應(yīng)用系統(tǒng)，數(shù)據(jù)庫安全、數(shù)據(jù)安全是信息系統(tǒng)穩(wěn)定、可靠運行的核心；另外，在應(yīng)用系統(tǒng)使用過程中，如何確保應(yīng)用過程的安全，也是系統(tǒng)穩(wěn)定、可靠的重要保障。

一、基礎(chǔ)設(shè)施安全

在不安全、不穩(wěn)定的基礎(chǔ)設(shè)施上建設(shè)出穩(wěn)定、可靠的信息系統(tǒng)是絕對不可能的事情?；A(chǔ)設(shè)施包括了網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)等。我院在網(wǎng)絡(luò)改造項目中通過以下技術(shù)手段加強了基礎(chǔ)設(shè)施安全，提高運行的穩(wěn)定性。

1、網(wǎng)絡(luò)安全

核心交換機采用網(wǎng)絡(luò)核心虛擬化的形式，將兩臺核心交換機虛擬成一臺，在前端看到的是一臺虛擬的核心交換機。但在實際運行中，兩臺核心在做負(fù)載均衡的工作；當(dāng)一臺交換機故障時，另一臺可以繼續(xù)正常運行。核心交換機到接入交換機之間的關(guān)鍵線路采用線路冗余備份的方案，當(dāng)一條網(wǎng)絡(luò)線路出現(xiàn)故障時能夠自動切換到另一條備份路徑傳輸數(shù)據(jù)。形成“雙機雙鏈路”的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)。

隨著網(wǎng)上預(yù)約、數(shù)據(jù)上報等網(wǎng)上醫(yī)療應(yīng)用的蓬勃發(fā)展，醫(yī)院信息系統(tǒng)內(nèi)部網(wǎng)絡(luò)想與外部網(wǎng)絡(luò)完全隔絕幾乎是不可能的了。在這種開放的網(wǎng)絡(luò)環(huán)境下，我院采取以下措施來加強網(wǎng)絡(luò)安全，維護(hù)內(nèi)部應(yīng)用系統(tǒng)的穩(wěn)定性運行：

（1）在網(wǎng)絡(luò)邊界處，設(shè)置防火墻，劃分為不同的安全區(qū)域，外部訪問內(nèi)部應(yīng)用的服務(wù)需要通過WEB Service之類的代理完成，并配置防火墻策略，采用點對點結(jié)合L4 Port規(guī)則加強安全。

（2）在安全級別不同的兩個網(wǎng)絡(luò)之間，如信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)，部署安全隔離網(wǎng)閘進(jìn)行內(nèi)外網(wǎng)數(shù)據(jù)交互，安全隔離網(wǎng)閘可以在保證安全的前提下，使用戶可以瀏覽網(wǎng)頁、收發(fā)電子郵件、在不同網(wǎng)絡(luò)上的數(shù)據(jù)庫之間交換數(shù)據(jù)。

（3）部署能及時發(fā)現(xiàn)威脅，又能實時阻止威脅的入侵防御系統(tǒng)。

（4）部署防病毒網(wǎng)關(guān)，檢測進(jìn)出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，以保護(hù)進(jìn)出數(shù)據(jù)的安全。

2、主機安全

服務(wù)器等主機設(shè)備是醫(yī)院信息系統(tǒng)最核心的設(shè)備，主機安全直接影響信息系統(tǒng)的穩(wěn)定運行。我院利用數(shù)據(jù)中心建設(shè)項目，對中心機房核心設(shè)備進(jìn)行了整改，采用如下技術(shù)手段加強主機安全。

（1）雙機群集 核心數(shù)據(jù)庫服務(wù)器采用雙機群集配置，消除服務(wù)器單點故障。Oracle、DB2數(shù)據(jù)庫可以采用RAC或pureScale技術(shù)實現(xiàn)Active-Active（雙活）群集，我院使用的是SQL Server數(shù)據(jù)庫，因此采取Active-Standby（主備）群集；（2）負(fù)載均衡與虛擬化 三層結(jié)構(gòu)中的應(yīng)用服務(wù)器，可以使用諸如F5之類的負(fù)載均衡設(shè)備，消除單點故障；也可以將應(yīng)用服務(wù)器進(jìn)行虛擬化，選擇Vmware、Hyper-V之類的虛擬化解決方案，在消除物理應(yīng)用服務(wù)器的單點故障的同時，可以更好的實現(xiàn)靈活性。我院采取了Vmware的虛擬化解決方案。

（3）日志記錄與審計 主機的安全事件、系統(tǒng)日志需要進(jìn)行全面的安全審計，及時了解系統(tǒng)運行情況，針對異常事件可以及時進(jìn)行處理。我院采用了思福迪LogBase等設(shè)備進(jìn)行全面的日志記錄與審計，該設(shè)備可以實現(xiàn)對信息系統(tǒng)中各類主機、數(shù)據(jù)庫、應(yīng)用和設(shè)備的安全事件、用戶行為、系統(tǒng)狀態(tài)的實時采集、實時分析、異常報警、集中存儲和事后分析，支持分布式、跨平臺的統(tǒng)一智能化日志管理及審計設(shè)備，可以對各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、WEB服務(wù)、中間件、數(shù)據(jù)庫和其它應(yīng)用進(jìn)行全面的安全審計。

二、數(shù)據(jù)安全

數(shù)據(jù)是醫(yī)院多年積累下來的保貴財富，是醫(yī)院信息化潮流真正的主題，醫(yī)院已經(jīng)把關(guān)鍵數(shù)據(jù)視為正常運營的基礎(chǔ)，一旦遭遇數(shù)據(jù)損壞，那么整體工作會陷入癱瘓，帶來難以估量的損失。因此確保數(shù)據(jù)安全是醫(yī)院信息系統(tǒng)安全、可靠運行的基石。數(shù)據(jù)安全就是要維護(hù)醫(yī)院數(shù)據(jù)的：機密性（Confidentiality）、完整性（Integrity）和可用性（Availability）。

數(shù)據(jù)安全有兩方面的含義：一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對數(shù)據(jù)進(jìn)行主動保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向強身份認(rèn)證等，二是數(shù)據(jù)防護(hù)的安全，主要是采用現(xiàn)代信息存儲手段對數(shù)據(jù)進(jìn)行主動防護(hù)，如通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)的安全等。如何有效的防止數(shù)據(jù)在錄入、處理、統(tǒng)計或打印中由于硬件故障、斷電、死機、人為的誤操作、程序缺陷、病毒或黑客等造成的數(shù)據(jù)庫損壞或數(shù)據(jù)丟失現(xiàn)象；如何防范某些敏感或保密的數(shù)據(jù)被不具備資格的人員或操作員閱讀，而造成數(shù)據(jù)泄密等后果，是數(shù)據(jù)安全防護(hù)的重要方面。

1、數(shù)據(jù)存儲安全防護(hù)技術(shù)

隨著醫(yī)院產(chǎn)生的數(shù)據(jù)越來越多，醫(yī)院一般都會采用多種安全防護(hù)措施來確保數(shù)據(jù)的安全，下面簡單介紹幾種常用和流行的數(shù)據(jù)安全防護(hù)技術(shù)：

（1）磁盤陣列 磁盤陣列是數(shù)據(jù)安全防護(hù)的基本手段，作為數(shù)據(jù)庫服務(wù)器，為更好地平衡安全、性能、成本，保存事務(wù)日志的磁盤一般采用Raid10配置，保存核心數(shù)據(jù)的磁盤采用Raid5或Raid6配置,同時配置一個全局熱備用（Hot-Spare）硬盤，以防短時間內(nèi)磁盤柜中的硬盤連續(xù)損壞。

（2）數(shù)據(jù)備份 為確保數(shù)據(jù)安全，醫(yī)院信息系統(tǒng)數(shù)據(jù)庫應(yīng)工作在歸檔模式（Oracle）或完全日志模式（SQL Server）,采用數(shù)據(jù)庫完全備份、差異備份、事務(wù)日志備份相結(jié)合的方式進(jìn)行數(shù)據(jù)庫備份。

（3）雙活存儲容災(zāi) 不論采用數(shù)據(jù)庫群集，還是Vmware、Hyper-V之類軟件創(chuàng)建的虛擬化群集，都是基于共享存儲的工作模式，群集雖然消除了服務(wù)器單點故障，但共享存儲仍是一個潛在的單點故障。為此，需要對群集中的共享存儲進(jìn)行容災(zāi)配置，以消除共享存儲的單點故障。共享存儲的容災(zāi)的方式很多，這里著重介紹基于存儲虛擬化技術(shù)的容災(zāi)，其代表產(chǎn)品有EMC Vplex、IBM SVC等。相比其它存儲容災(zāi)技術(shù)，不但數(shù)據(jù)丟失容忍量（RPO）為零（即不允許數(shù)據(jù)丟失），且業(yè)務(wù)系統(tǒng)恢復(fù)時間（RTO）接近于零；通過虛擬化存儲設(shè)備的數(shù)據(jù)鏡像功能，可以實現(xiàn)了數(shù)據(jù)異地實時同步，保證了在同一時間點、不同物理地點有雙份業(yè)務(wù)數(shù)據(jù)分開存儲；同時系統(tǒng)可以連接異構(gòu)存儲，有利于利舊；并且兩套存儲都工作在Active-Active（雙活）模式，提高了設(shè)備利用率；還有就是進(jìn)行容災(zāi)演練時不需要停機或停機時間很短，提高了系統(tǒng)的可用性；以虛擬化為基礎(chǔ)，為過渡到云平臺打下了堅實的基礎(chǔ)。

（4）數(shù)據(jù)加密 對數(shù)據(jù)庫中數(shù)據(jù)加密可以對數(shù)據(jù)庫存儲的內(nèi)容實施有效保護(hù)。通過數(shù)據(jù)庫存儲加密等安全方法實現(xiàn)了數(shù)據(jù)庫數(shù)據(jù)存儲保密和完整性要求，使得數(shù)據(jù)以密文方式存儲并在密態(tài)方式下工作，確保了數(shù)據(jù)安全，如醫(yī)院信息系統(tǒng)中的密碼字段、重要患者的敏感信息，均需要考慮加密存儲。

2、數(shù)據(jù)訪問安全防護(hù)技術(shù)

（1）數(shù)據(jù)訪問權(quán)限控制 數(shù)據(jù)庫權(quán)限一旦失控，將會造成嚴(yán)重的后果。黑客可能通過客戶端，直接進(jìn)入數(shù)據(jù)庫篡改數(shù)據(jù)。因此必須嚴(yán)格控制數(shù)據(jù)庫權(quán)限，用戶數(shù)據(jù)庫的登錄密碼應(yīng)該定期進(jìn)行更換，密碼應(yīng)符合復(fù)雜性要求（如長度在 8 位以上，包含數(shù)字與特殊字符等）。數(shù)據(jù)訪問應(yīng)遵循最小權(quán)限原則，只賦予每一個合法操作主體最小的權(quán)限，保護(hù)數(shù)據(jù)以及功能避免受到錯誤或者惡意行為的破壞。

（2）數(shù)據(jù)審計 數(shù)據(jù)審計可以及時發(fā)現(xiàn)非法的數(shù)據(jù)庫訪問，并發(fā)送警告。除之前提到的思福迪數(shù)據(jù)庫審計設(shè)備外，現(xiàn)在業(yè)內(nèi)廣泛使用的橫渡防統(tǒng)方系統(tǒng)，本質(zhì)上也是數(shù)據(jù)庫審計的一種應(yīng)用模式。

三、應(yīng)用安全

基礎(chǔ)設(shè)施、數(shù)據(jù)安全做得再好，如果應(yīng)用跟不上，漏洞百出、不具備足夠的安全性，整個醫(yī)院信息系統(tǒng)的安全性、可靠性、穩(wěn)定性同樣無從保證。

1、系統(tǒng)登錄限制 如訪問IP段的限制，登錄時間段的限制，連接數(shù)的限制，特定時間段內(nèi)登錄次數(shù)的限制等，它們就如同應(yīng)用系統(tǒng)第一道防護(hù)大門。

2、程序資源訪問控制 對程序資源的訪問進(jìn)行安全控制，在客戶端上，為用戶提供和其權(quán)限相關(guān)的用戶界面，僅出現(xiàn)和其權(quán)限相符的菜單、操作按鈕等。

3、功能性安全 功能性安全會對程序流程產(chǎn)生影響，如用戶在操作業(yè)務(wù)記錄時，是否需要審核，上傳附件不能超過指定大小等。這些安全限制已經(jīng)不是入口級的限制，而是程序流程內(nèi)的限制，在一定程度上影響程序流程的運行。

4、數(shù)據(jù)域安全 數(shù)據(jù)域安全包括兩個層次，其一是行級數(shù)據(jù)域安全，即用戶可以訪問哪些業(yè)務(wù)記錄；其二是字段級數(shù)據(jù)域安全，即用戶可以訪問業(yè)務(wù)記錄的哪些字段；

5、數(shù)字證書 醫(yī)生的登錄名、密碼及個人電子簽名等信息可以保存在類似于 U 盤的加密存儲設(shè)備中，用戶在登錄系統(tǒng)時，將該類設(shè)備連接在計算機中。由程序讀取加密存儲的用戶登錄信息進(jìn)行登錄。程序在運行時，該設(shè)備也需要一直連接在計算機中。如果該設(shè)備從計算機中拿下，程序?qū)⑦M(jìn)入鎖定狀態(tài)或者退出。

6、虛擬化應(yīng)用安全 隨著信息化的高速發(fā)展和社會生活節(jié)奏的加快，移動辦公、遠(yuǎn)程訪問應(yīng)用成為提高工作效率的不二選擇，但隨之而來的數(shù)據(jù)保密等安全性問題需要慎重考慮。遠(yuǎn)程虛擬化應(yīng)用應(yīng)該做到：

（1）無真實數(shù)據(jù)傳輸：公網(wǎng)上進(jìn)行傳輸時，采用專有虛擬通信協(xié)議，服務(wù)器與客戶端之間傳輸?shù)闹皇强蛻舳说逆I盤、鼠標(biāo)動作以及顯示屏幕變化的刷新部分信息，不是真正意義上的應(yīng)用交互所產(chǎn)生的數(shù)據(jù)包。也就是說公網(wǎng)上傳輸?shù)牟皇怯脩魧嶋H數(shù)據(jù)，從根本上保證數(shù)據(jù)安全。

（2）用戶數(shù)據(jù)安全：客戶端不保存數(shù)據(jù)，保證移動設(shè)備丟失情況下數(shù)據(jù)不外泄。

（3）設(shè)備準(zhǔn)入控制：可根據(jù)用戶名、客戶端的唯一標(biāo)識（如MAC地址、設(shè)備ID）對設(shè)備的接入進(jìn)行管理，大大降低非法訪問產(chǎn)生的風(fēng)險。

7、患者隱私保密 首先，我們應(yīng)對患者信息的查閱進(jìn)行分級權(quán)限進(jìn)行。應(yīng)根據(jù)醫(yī)院內(nèi)固定的工作流程和要求，對有必要接觸病人信息的人員設(shè)定工作權(quán)限，同時對患者的信息依據(jù)敏感程度進(jìn)行分級，如患者的家庭地址、聯(lián)系電話等基本信息，應(yīng)與其診療信息分離?；拘畔?yīng)嚴(yán)格控制查閱權(quán)限，減少患者信息的泄漏。要加大對信息技術(shù)應(yīng)用的管理，如限制批量打印，禁止拷貝患者基本信息等。對院內(nèi)需要公開的患者信息，也應(yīng)采取適當(dāng)?shù)拇胧┻M(jìn)行脫敏，重要數(shù)據(jù)資料要遵守國家有關(guān)保密制度的規(guī)定，從數(shù)據(jù)輸入、處理、存儲、輸出嚴(yán)格審查和管理，不允許通過醫(yī)院信息系統(tǒng)非法擴散。

綜上所述，通過以上安全技術(shù)措施的實施，整體提高了網(wǎng)絡(luò)、業(yè)務(wù)數(shù)據(jù)、應(yīng)用系統(tǒng)的安全性，減少了系統(tǒng)的單點故障，顯著提高了業(yè)務(wù)系統(tǒng)運行的穩(wěn)定性，確保了系統(tǒng)的持續(xù)、穩(wěn)定運行，為醫(yī)院業(yè)務(wù)順利開展提供了有力的技術(shù)保障。由此可見，信息安全對建設(shè)穩(wěn)定、可靠的信息系統(tǒng)的重要意義。

作者單位：中山大學(xué)光華口腔醫(yī)學(xué)院·附屬口腔醫(yī)院 科室（部門）：信息科

聯(lián)系方式：***@163.com

第二篇：信息化建設(shè)中發(fā)展計劃

信息化建設(shè)中發(fā)展計劃

為進(jìn)一步貫徹落實中小學(xué)校教育信息化工作的精神，推進(jìn)我校教育信息化工作，結(jié)合我校實際，特制定2017-2018學(xué)校信息化工作計劃，全面推進(jìn)教育現(xiàn)代化工程。

一、指導(dǎo)思想

我校教育信息化工作的推進(jìn)結(jié)合鹽城市有關(guān)信息化工作的精神，以信息技術(shù)教育與信息技術(shù)的應(yīng)用為重點，提高教育資源的利用能力，逐步實現(xiàn)教育現(xiàn)代化。

二、主要工作

1、統(tǒng)一思想，提高認(rèn)識，加強領(lǐng)導(dǎo)

要廣泛宣傳發(fā)動，提高全體教師的認(rèn)識：信息技術(shù)是目前發(fā)展最迅速、影響最廣泛的科學(xué)技術(shù)領(lǐng)域之一，信息化是當(dāng)今世界經(jīng)濟(jì)和社會發(fā)展的大趨勢，教育信息化已經(jīng)成為推動教育改革的強大動力，以教育信息化來推動中小學(xué)教育改革向縱深發(fā)展，是全面實施素質(zhì)教育的必由之路。

強化管理，構(gòu)筑信息化管理網(wǎng)絡(luò)。信息化工作涉及面廣，涵蓋學(xué)校工作的方方面面，重視管理，樹立服務(wù)第一，建立領(lǐng)導(dǎo)小組，教育信息化小組職責(zé)為： ①實施、維護(hù)校園網(wǎng)建設(shè)工作。

②為推動現(xiàn)代教育技術(shù)在學(xué)校的發(fā)展,搞好局域網(wǎng)、計算機房、等硬件建設(shè)。③制定培訓(xùn)計劃，分層推進(jìn)師資隊伍信息技術(shù)培訓(xùn)。④推動學(xué)校軟件的開發(fā)與建設(shè)。⑤發(fā)揮現(xiàn)代教育技術(shù)在教育中的作用。

2、教師信息技術(shù)應(yīng)用能力方面。

教師是實現(xiàn)教育信息化的主導(dǎo)力量，培訓(xùn)教師是實現(xiàn)教育信息化的關(guān)鍵。根據(jù)我校實際，教師的培訓(xùn)著力于信息技術(shù)應(yīng)用能力與水平的提高，初步開展網(wǎng)絡(luò)條件下的模式的探究，掌握網(wǎng)絡(luò)條件下所必須的技能。建設(shè)一支適應(yīng)教育信息化需要的師資隊伍，是推進(jìn)教育信息化、實現(xiàn)教育現(xiàn)代化的關(guān)鍵。加強在職教師的信息技術(shù)培訓(xùn)，中青年教師100%通過信息技術(shù)培訓(xùn)，使網(wǎng)絡(luò)學(xué)習(xí)成為教師自我進(jìn)修的一種重要手段。從理論與實踐的結(jié)合上，探索現(xiàn)代信息技術(shù)在基礎(chǔ)教育中的應(yīng)用模式，特別是網(wǎng)絡(luò)環(huán)境下的德育、課堂的模式。

3、信息技術(shù)教育方面 積極開展對學(xué)生進(jìn)行計算機運用的培訓(xùn)，培養(yǎng)學(xué)生具有創(chuàng)新精神和實踐能力，特別是自主學(xué)習(xí)的能力。同時，組織學(xué)生積極參加各級教育行政、教科研部門組織的信息技術(shù)方面的競賽。開展學(xué)生的計算機創(chuàng)作活動，收集學(xué)生作品

4、努力建設(shè)學(xué)科教學(xué)資源庫平臺

2015年，我校將建設(shè)學(xué)校自己的校本資源庫，以資源庫的績效性、科學(xué)性、原創(chuàng)性為切入點，開展校內(nèi)資源庫評比，努力將我校建設(shè)為學(xué)科資源庫平臺。在做好必要的實踐積累同時，信息中心將與教科處、教務(wù)處一起，組織全校教師就學(xué)科資源庫如何在具體課堂教學(xué)中的有效運用，共同做好理論與實踐兩個層面的探討。小學(xué)一年級下冊班務(wù)計劃與此同時，我校將不斷吸取校外的優(yōu)勢教育資源，引導(dǎo)學(xué)校教師通過構(gòu)建的平臺資源，努力實現(xiàn)教師課堂與網(wǎng)絡(luò)的緊密銜接，開展“構(gòu)建網(wǎng)絡(luò)化學(xué)習(xí)環(huán)境的理論與實踐”的總結(jié)與反思工作。以點帶面，從具體的課堂教學(xué)案例中不斷總結(jié)經(jīng)驗，反思網(wǎng)絡(luò)環(huán)境下，課程整合與學(xué)科教學(xué)的突破口，從理論與實踐互通的層次去發(fā)掘、去體會新課程改革的精髓，全面推進(jìn)教師學(xué)習(xí)網(wǎng)絡(luò)環(huán)境下教育信息理論與課程整合的工作深入、具體、有層次地向縱深發(fā)展。

5、結(jié)合信息技術(shù)與課程整合，深入開展教師現(xiàn)代教育技術(shù)培訓(xùn)工作

隨著校本教研工作的深入開展，我校將根據(jù)自身特點，繼續(xù)開展教師現(xiàn)代教育技術(shù)培訓(xùn)工作。具體的教師培訓(xùn)工作，我們將根據(jù)教師的實際情況，以自學(xué)和集中培訓(xùn)相結(jié)合的方式，提高教師培訓(xùn)效果。

(1)組織聘請一些有經(jīng)驗的專家來我校為教師進(jìn)行講學(xué)與培訓(xùn)，介紹最新的現(xiàn)代教育技術(shù)理論與實踐方面的研究，并積極組織學(xué)科教師進(jìn)一步按照學(xué)習(xí)《全國基礎(chǔ)教育課程改革綱要》及有關(guān)教育教學(xué)理論，學(xué)習(xí)國內(nèi)外信息技術(shù)課堂教學(xué)中的有效教學(xué)策略和教學(xué)評價的理論、經(jīng)驗(如任務(wù)驅(qū)動法、項目學(xué)習(xí)法、探究式學(xué)習(xí))等，恰當(dāng)?shù)剡\用在我校的課堂教學(xué)中，促進(jìn)學(xué)生學(xué)習(xí)方式的轉(zhuǎn)變。

(2)將繼續(xù)對中青年教師進(jìn)行課件制作、收集信息資源等技術(shù)培訓(xùn)，提高教師的信息技術(shù)應(yīng)用水平。

(3)并希望教師能夠通過自學(xué)一些簡單的服務(wù)于教育教學(xué)的應(yīng)用軟件，提升個人運用現(xiàn)代教育技術(shù)的能力。

(4)組織優(yōu)秀中青年教師參加各種交流活動，借鑒和吸取兄弟學(xué)校優(yōu)秀經(jīng)驗的同時，不斷提高運用現(xiàn)代教育技術(shù)的水平與層次。

6、牢固樹立“以人為本”理念，進(jìn)一步提升信息中心管理工作

本學(xué)期，2011年小學(xué)教導(dǎo)處工作計劃緊密聯(lián)系日照市教育發(fā)展思路，積極開展校本教研培訓(xùn)工作。在做好為全校教師服務(wù)的同時，牢固樹立“以人為本”理念，為學(xué)科教師提供現(xiàn)代教育技術(shù)理論與實踐的有力支撐。信息中心的管理工作要深入、細(xì)致地剖析管理層面的寶貴經(jīng)驗，繼續(xù)總結(jié)信息中心的管理工作。在總結(jié)經(jīng)驗的基礎(chǔ)上，不斷創(chuàng)新，并以此為契機，加強信息技術(shù)日常的教學(xué)管理工作，提高管理層面的效能，為學(xué)科教師提供現(xiàn)代教育技術(shù)理論與實踐的平臺為支撐的同時，時刻“以人為本”要求信息中心的各項工作，緊密配合教師順利完成運用現(xiàn)代教育技術(shù)手段促進(jìn)課堂教學(xué)效能的工作。要不斷總結(jié)校本課程的開發(fā)成果，深入的去探討從課例研究向課程建設(shè)過渡的經(jīng)驗與不足，在具體教學(xué)中注意摸索與反思，總結(jié)成功經(jīng)驗為今后的校本課程開發(fā)奠定堅實的基礎(chǔ)。并結(jié)合校內(nèi)資源庫的開發(fā)，不斷加強教學(xué)素材的積累，形成有校本特色的資源庫和素材庫。

7、保證實驗室能較好的配合任課教師的實驗工作。為適應(yīng)教學(xué)中新教材的使用，實驗室教師要熱愛本職工作，認(rèn)真學(xué)習(xí)新教學(xué)標(biāo)準(zhǔn)，加強新實驗的準(zhǔn)備和操作能力，加強與任課教師間的聯(lián)系。配合任課教師做好演示實驗和學(xué)生分組實驗、認(rèn)真做好實驗教學(xué)情況記錄。為教師公開課及科技興趣活動做好必要的準(zhǔn)備和協(xié)助工作。實驗室做好準(zhǔn)備工作，配合任課教師指導(dǎo)學(xué)生訓(xùn)練和復(fù)習(xí)，檢修好實驗器材，改進(jìn)器材的性能，確保各項實驗圓滿成功。對新教材中的新型實驗設(shè)備進(jìn)行研究，提高操作能力和故障處理能力，保持設(shè)備的正常使用率在95%以上。

8、做好實驗儀器、藥品的訂購工作，對調(diào)撥的儀器、藥品及時登記，保存好說明書和有關(guān)資料，按類別分室保管。對現(xiàn)有的儀器、藥品與新課程的要求進(jìn)行對比，提出增訂的計劃。做好每個實驗室的使用記錄，保證實驗室的正常使用，維持實驗室的衛(wèi)生情況良好。配合教務(wù)處準(zhǔn)備好物理、化學(xué)、生物實驗課的實驗準(zhǔn)備和訓(xùn)練工作。檢查寒假裝修(可行的話)后的各個實驗室的設(shè)備和藥品器材的購進(jìn)情況，制訂好新的訂購計劃和實驗教學(xué)計劃。

9、進(jìn)一步加強實驗室防火、防盜工作等安全工作；經(jīng)常檢查防盜探頭并保持性能良好。按學(xué)校要求，定期做好分片包干的實驗室清潔工作和安全檢查工作。

10、教育科研

在推進(jìn)教育信息化的過程中，將堅持以教育科研為先導(dǎo)，通過研究促進(jìn)信息化工作，以教育信息化推進(jìn)教育科研活動，深化教育改革。總之，我們將牢牢把握機遇，把學(xué)校信息化工程作為學(xué)校教育改革的重點突破口來抓，腳踏實地，奮起直追，開創(chuàng)學(xué)校各項工作的新局面。

鹽城市鞍湖實驗學(xué)校

2017.9

第三篇：醫(yī)院信息化建設(shè)中存在的問題

醫(yī)院信息化建設(shè)中存在的問題

我國于20世紀(jì)70年代后期開始醫(yī)院信息系統(tǒng)的開發(fā)應(yīng)用工作。截至目前，醫(yī)療信息化建設(shè)已經(jīng)走過了20多個年頭，醫(yī)療信息化取得了相當(dāng)?shù)倪M(jìn)展，但是又一路走得很艱難。與金融、稅務(wù)等行業(yè)如火如荼的信息化相比，醫(yī)療信息化顯得有點不慍不火。一方面，醫(yī)療信息化市場前景廣闊，每年有高達(dá)40億元的市場；另一方面大部分從事醫(yī)療信息系統(tǒng)開發(fā)的公司又未實現(xiàn)顯著贏利，這是一個相當(dāng)矛盾而又長期存在的現(xiàn)實。

一般說來，醫(yī)院信息化包括醫(yī)院管理信息化、臨床管理信息化和局域醫(yī)療衛(wèi)生服務(wù)信息化3個階段。目前，我國大多數(shù)醫(yī)院還停留在第1個階段，信息技術(shù)在真正的診斷、手術(shù)中的應(yīng)用還很少。大部分醫(yī)院還只能在財務(wù)、人事、劃價、收費等環(huán)節(jié)實現(xiàn)計算機管理，局限于模仿和替代入工作業(yè)流程，而極少涉及臨床信息，并缺乏對醫(yī)療臨床功能的直接支持。衛(wèi)生部統(tǒng)計信息中心主任饒克勤認(rèn)為，現(xiàn)在不少醫(yī)院的信息系統(tǒng)在很大程度上是醫(yī)院管理流程的計算機化，并不是真正的醫(yī)療信息化；醫(yī)療信息化的核心是病人信息的共享，包括醫(yī)院各個科室之間、醫(yī)院之間、醫(yī)院與社區(qū)、醫(yī)療保險、衛(wèi)生行政部門等的信息共享，以數(shù)據(jù)庫為中心實現(xiàn)病人信息的無紙化和無膠片化。今后醫(yī)療信息化建設(shè)的重點將不再是醫(yī)院管理的信息化，而是臨床管理的信息化，把信息技術(shù)真正應(yīng)用到疾病的診斷和手術(shù)中去。制約醫(yī)院信息化發(fā)展的因素

(1)造成醫(yī)療信息化步履艱難的原因很多。首先是體制的難題。據(jù)專家估計，一個三級甲等醫(yī)院要實施整個醫(yī)院的信息化建設(shè)，至少需要幾千萬元甚至上億元的投資。而這些投資的大部分需要醫(yī)院自己籌集。因為目前國家對醫(yī)院的信息化建設(shè)投入減少，只占衛(wèi)生事業(yè)支出的10%左右。另一方面，醫(yī)院本身由于受到國家政策的制約，贏利受到嚴(yán)格的限制，導(dǎo)致醫(yī)院很難一下子投入巨資用于信息化建設(shè)。據(jù)衛(wèi)生部的官員介紹，醫(yī)院的信息化基本上是自力更生，大都采取了邊積累邊建設(shè)的方式。所以，有業(yè)內(nèi)人士表示，醫(yī)院的信息化建設(shè)更多的是個過程，而不是項目。但有些醫(yī)院由于受到贏利的壓力，更愿意投資購買一些可以馬上產(chǎn)生效益的醫(yī)療設(shè)備，如CT機、麻醉機等，而不愿意在不能直接產(chǎn)生經(jīng)濟(jì)效益的信息系統(tǒng)上投巨資。

(2)醫(yī)學(xué)自身的復(fù)雜性導(dǎo)致了信息技術(shù)和醫(yī)學(xué)的結(jié)合極其困難。由于太過專業(yè)，而且業(yè)務(wù)流程十分繁瑣，醫(yī)療信息化本身的復(fù)雜程度非一般的其他行業(yè)所能比擬。不做醫(yī)療信息化的人很難理解其中的艱辛，僅驗血一項就有幾十個指標(biāo)，要實現(xiàn)化驗信息化，就必須把機器化驗出來的結(jié)果全部數(shù)字化，還要做到不同部門之間的數(shù)據(jù)共享，談何容易。可以說，目前所有最尖端、復(fù)雜的信息技術(shù)都已經(jīng)在醫(yī)療信息化中得到應(yīng)用，但全球仍然沒有哪一家醫(yī)院能算得上已經(jīng)實現(xiàn)了醫(yī)療信息化，由于對醫(yī)療行業(yè)信息化復(fù)雜度估計不足而導(dǎo)致系統(tǒng)失敗是很多見的。例如IBM在20世紀(jì) 60年代就嘗試過開發(fā)和在醫(yī)院中實施HIS系統(tǒng)，原以為把政府和其他行業(yè)用得好的財務(wù)管理系統(tǒng)照搬過來就行，結(jié)果由于忽視和輕視了醫(yī)療環(huán)境的復(fù)雜性而失敗。

(3)醫(yī)院信息化建設(shè)要得以迅速發(fā)展，必須有一批從事這一工作的專業(yè)技術(shù)人才。隨著醫(yī)院信息化建設(shè)的深入發(fā)展，現(xiàn)有的專業(yè)技術(shù)人才無論在數(shù)量還是質(zhì)量上，都不能滿足需要。目前，我國醫(yī)院信息化過程中，既懂IT、又懂醫(yī)學(xué)以及醫(yī)院管理的復(fù)合型人才十分缺乏。更值得注意的是，醫(yī)院好不容易引進(jìn)了這方面的復(fù)合人才，可由于體制的原因，這樣的人才在職稱評定及職位升遷方面卻不能享受優(yōu)厚甚至只是正常的待遇，以至于人才的流失也很嚴(yán)重。

(4)現(xiàn)有的HIS產(chǎn)品性能很難使用戶滿意，醫(yī)院對信息化管理軟件選擇存在概念不清，軟件在使用中逐漸暴露出許多問題，如升級后長時間死機，中、西藥劑科盤存不準(zhǔn)確，功能單一，不能滿足醫(yī)院管理需求。特別是長時間死機造成了工作被動，病員不滿，對醫(yī)院工作影響很大。中國醫(yī)藥信息學(xué)會的王繼中教授認(rèn)為，當(dāng)前國內(nèi)HIS產(chǎn)品在開發(fā)方面存在的主要瓶頸有3個：第一是所選擇的數(shù)據(jù)庫平臺不當(dāng)；第二是所采用的軟件設(shè)計方法和工具欠佳；第三是在如何建設(shè)中大型HIS系統(tǒng)上還缺乏經(jīng)驗。解決的方法

(1)在中國衛(wèi)生信息學(xué)會成立暨全國及廣東衛(wèi)生信息技術(shù)學(xué)術(shù)交流會上，國家衛(wèi)生部副部長王隴德透露，今后3年，國家每年將對醫(yī)療衛(wèi)生系統(tǒng)投資80多億元，而在以往，這一投資不過10個億左右。其中，為了加快完成醫(yī)療衛(wèi)生網(wǎng)絡(luò)信息化，衛(wèi)生部的信息化規(guī)范中明確規(guī)定，今后醫(yī)院必須將每年收入的5%用于信息系統(tǒng)建設(shè)的支出。針對醫(yī)院信息化管理中存在的問題。國內(nèi)資深的醫(yī)院信息化建設(shè)專家，北京大學(xué)人民醫(yī)院醫(yī)學(xué)信息中心主任何雨生研究員提出了，扭轉(zhuǎn)信息化和管理之間的脫節(jié)局面。管理者要轉(zhuǎn)變傳統(tǒng)的醫(yī)院管理模式，變信息化推動管理為管理帶動信息化。充分意識到信息化對醫(yī)院的發(fā)展的重要性，參與到醫(yī)療信息化改革中來。醫(yī)院HIS的建設(shè)是一種基礎(chǔ)建設(shè)，是醫(yī)院建設(shè)的硬件設(shè)施，是醫(yī)院管理現(xiàn)代化，規(guī)范化的有力手段，是醫(yī)院內(nèi)部管理的一次變革，具有十分重要的意義，是評價一所醫(yī)院高水平管理的重要指標(biāo)。

(2)在處理信息部門專業(yè)技術(shù)人員問題上，醫(yī)院管理者要給予必要的重視，醫(yī)院信息部門與其它臨床科室一樣，是一個現(xiàn)代化醫(yī)院必備的后勤科室。一旦醫(yī)院中心交換機出現(xiàn)問題，將造成全院各系統(tǒng)的癱瘓。將造成上10萬元的損失。對于默默工作在醫(yī)生光環(huán)后的英雄，對于人才引進(jìn)，工資福利問題，要提到醫(yī)院的日常事務(wù)上來。從而推動醫(yī)院的信息化建設(shè)穩(wěn)定、快速、發(fā)展。

(3)在HIS產(chǎn)品方面，醫(yī)院和軟件開發(fā)廠商之間關(guān)系建立的基礎(chǔ)和進(jìn)一步合作的前景，對醫(yī)院信息管理系統(tǒng)的進(jìn)一步完善、升級，以及不同數(shù)據(jù)平臺軟件之間的整合具有巨大的影響，關(guān)系到醫(yī)院信息管理系統(tǒng)的生存和發(fā)展。醫(yī)院信息化管理軟件來說，應(yīng)緊密圍繞醫(yī)院管理目標(biāo)，體現(xiàn)管理思想，任何軟件都不是“萬能”的軟件，因此必須從醫(yī)院實際出發(fā)，針對具體情況，本著“優(yōu)質(zhì)、高效、低能”的管理目標(biāo)，選擇適合自己的信息化管理軟件，其中應(yīng)著重解決以下幾個問題：根據(jù)網(wǎng)絡(luò)系統(tǒng)的相應(yīng)時間、事物處理實時性要求解決存儲、通信容量等方面的問題；根據(jù)醫(yī)院對網(wǎng)絡(luò)操作的具體要求，確定操作系統(tǒng)、漢字系統(tǒng)，應(yīng)用軟件等網(wǎng)絡(luò)運行環(huán)境；充分考慮整個網(wǎng)絡(luò)的開放性、可擴充性、維護(hù)性，以及先進(jìn)性要求，為醫(yī)院未來發(fā)展做好準(zhǔn)備；在資金保證的前提下提高性能以及兼顧先進(jìn)性與實用性問題?？傊诔浞终{(diào)查醫(yī)院的基本要求后，編寫可行性報告與需求分析報告，與使用科室充分交換意見后同軟件提供者充分協(xié)商后實施。并編寫實施規(guī)劃，按規(guī)劃分步實施，爭取做到萬無一失。

從IT企業(yè)來說要是想從事醫(yī)院的信息系統(tǒng)的開發(fā)，一定要有較大的規(guī)模和較強的實力，而且要投入，多和醫(yī)院交流、溝通，才能真正為醫(yī)院解決問題。而從醫(yī)院方面來說，一方面要全力配合軟件開發(fā)人員好技術(shù)調(diào)研和系統(tǒng)應(yīng)用工作。另一方面要培養(yǎng)建設(shè)醫(yī)院信息管理系統(tǒng)，對醫(yī)院來說既不是簡單購買一臺大型設(shè)備的概念，也不是做一個2-3年能完成的課題項目的概念。醫(yī)院的信息化建設(shè)是一個大型的、復(fù)雜的系統(tǒng)工程，其中包含和涉及了太多的學(xué)科內(nèi)容。在此，我們可以借鑒江門市人民醫(yī)院，采用“沒有接口的大集成”方法，醫(yī)院全部應(yīng)用系統(tǒng)由一家公司完成，系統(tǒng)間沒有無縫連接，實現(xiàn)了醫(yī)院信息系統(tǒng)(HIS)、臨床信息系統(tǒng)(CLS)、實驗室管理系統(tǒng)(LIS)、放射科信息系統(tǒng)(RIS)、醫(yī)療影像存儲與傳輸系統(tǒng)(PACS)、體檢系統(tǒng)及其它系統(tǒng)的有機融合，使之

一體化，實現(xiàn)了管理信息、醫(yī)療信息、影像信息、實驗室信息、病人信息、病歷信息、藥品信息、財務(wù)信息、物資信息的高度共享。

實現(xiàn)以效益為中心的(包括以質(zhì)量為中心和病人為中心)和以信息技術(shù)為技術(shù)構(gòu)架和操作手段系統(tǒng)是醫(yī)療服務(wù)體系需要也是醫(yī)院自身建設(shè)的需要。走質(zhì)量效益型的內(nèi)涵性發(fā)展模式是建設(shè)現(xiàn)代化醫(yī)院的必由之路。這便決定了醫(yī)院要在優(yōu)質(zhì)、高效、低耗的條件下，充分利用現(xiàn)代管理手段實現(xiàn)資源的最優(yōu)化配置和利用。醫(yī)院信息化不是目的，而是手段。醫(yī)院信息化建成后，將形成合理高效的管理方法，逐步完善醫(yī)院管理，提升醫(yī)院的綜合院力。因此，對于醫(yī)院信息系統(tǒng)的建設(shè)，一定要有理性的目標(biāo)定位，有充分的論證、統(tǒng)籌和組織協(xié)調(diào)，真正做到“整體規(guī)劃，分步實施，階段見效，持續(xù)發(fā)展?！?/p>

第四篇：信息科在醫(yī)院信息化建設(shè)中的作用論文

醫(yī)院信息科的管理內(nèi)容較多，建立信息科，是為了進(jìn)一步促進(jìn)醫(yī)院內(nèi)部信息的存儲和調(diào)用，促進(jìn)醫(yī)院決策和組織協(xié)調(diào)?，F(xiàn)代科技發(fā)展中，醫(yī)院信息科工作模式發(fā)生轉(zhuǎn)變，信息管理水平不斷提高。醫(yī)院信息化建設(shè)中需要充分發(fā)揮出信息科的作用，提升醫(yī)院運行管理水平。

一、醫(yī)院信息科主要工作內(nèi)容

現(xiàn)代經(jīng)濟(jì)的發(fā)展促進(jìn)了科技的發(fā)展，信息科技技術(shù)也得到廣泛的應(yīng)用。醫(yī)院在運行管理中利用信息管理技術(shù)，實現(xiàn)內(nèi)部醫(yī)療和科研、制度信息的通訊、管理，提高信息資源利用率的同時，保證醫(yī)院決策工作的組織協(xié)調(diào)。新時期下，醫(yī)院信息科在內(nèi)部信息管理工作中發(fā)揮著日益重要的作用。醫(yī)院信息科在日常事務(wù)中需要由分管院長組織和帶領(lǐng)，對醫(yī)院醫(yī)療研究、業(yè)務(wù)處理和科研情報信息統(tǒng)一搜集、整理，最后在分類處理中利用計算機技術(shù)完成存儲、傳輸和加工，方便后期的文件檢索。醫(yī)院信息科管理的信息種類多、信息量大，需要充分利用互聯(lián)網(wǎng)技術(shù)，提高工作效率、保證工作質(zhì)量。信息科管理人員要做好醫(yī)院計算機的軟件開發(fā)和應(yīng)用維護(hù)工作，病人在就診過程中使用醫(yī)?？ǖ龋t(yī)院在辦理業(yè)務(wù)時需要利用專門的處理系統(tǒng)建立病人的個人檔案，實現(xiàn)個人賬戶的配套式管理，其中包括病人的身份、病情、治療和醫(yī)保報銷等情況。醫(yī)院從事醫(yī)療研究和醫(yī)療服務(wù)過程中需要加強對內(nèi)管理和對外宣傳，例如醫(yī)院參與科研活動或某項醫(yī)學(xué)研究取得重要成果，這些均會通過醫(yī)療期刊發(fā)表出來。信息科同時需要進(jìn)行圖書整理、訂購和期刊管理等工作，對于一些重要的醫(yī)學(xué)情報包括聲像和文獻(xiàn)等要在醫(yī)院不同部分提供信息反饋。醫(yī)學(xué)圖書管理中，信息科需要按照圖書類型做好編號，并利用計算機系統(tǒng)建立起完善的期刊數(shù)據(jù)庫和電子圖書庫，便于醫(yī)院全體人員的資料查閱和調(diào)用。

二、信息科在醫(yī)院信息化建設(shè)中的主要作用

1.信息支持和服務(wù)作用。現(xiàn)代信息技術(shù)不斷發(fā)展。計算機網(wǎng)絡(luò)和電子技術(shù)應(yīng)用廣泛，醫(yī)院不同的部門對計算機的應(yīng)用頻繁，不同科室對信息科有嚴(yán)重的依賴現(xiàn)象，因而信息科在軟件維護(hù)、開發(fā)過程中要集中考慮醫(yī)院不同領(lǐng)域和不同科室對系統(tǒng)應(yīng)用的實際需求性。醫(yī)院信息科是保證醫(yī)院計算機系統(tǒng)運行穩(wěn)定的關(guān)鍵，尤其是醫(yī)院在為患者提供治療服務(wù)時，患者的私人信息包括病情、病發(fā)原因和治療、用藥情況均屬于保密信息，因而信息科在開發(fā)和升級病患信息輸入系統(tǒng)時要做好技術(shù)維護(hù)。醫(yī)院各部門工作中均會使用計算系統(tǒng)，使用較多的是關(guān)于病患資料的輸入，信息科作為系統(tǒng)的主要研發(fā)和維護(hù)方，對醫(yī)院醫(yī)療、醫(yī)院信息具有支持和服務(wù)作用，在為院方提供快捷的網(wǎng)絡(luò)服務(wù)的同時，保證了各科室工作效率。2.參謀決策作用。醫(yī)院信息科在醫(yī)院信息化建設(shè)中具有重要的參謀決策作用，信息科的專業(yè)技術(shù)和設(shè)備需要進(jìn)行不斷的升級，保證信息維護(hù)建設(shè)的質(zhì)量和水平。新形勢下，醫(yī)院診療和科研服務(wù)水平不斷提高。醫(yī)院數(shù)據(jù)庫信息量增大，軟件設(shè)備在處理過程中任務(wù)重、難度大，難以保證醫(yī)院信息決策和使用者能夠獲取最有效的信息。而醫(yī)院信息科的存在屬于部門信息調(diào)度的中間者，醫(yī)院數(shù)據(jù)庫信息量暴增，不同部門和不同科室由于工作性質(zhì)不同，需要使用的信息資料也不同，信息科可以在部門溝通中了解信息的使用特點和使用需求。醫(yī)院信息科與醫(yī)院其他部門之間聯(lián)系密切，在交流合作中能夠促進(jìn)軟件升級，保證信息歸類的準(zhǔn)確性和標(biāo)準(zhǔn)性，為部門管理層提供更加可靠、實用的決策參考信息。3.信息安全建設(shè)作用。醫(yī)院信息科需要在分管院長或院長的帶領(lǐng)下，規(guī)劃安排全醫(yī)院的信息建設(shè)工作，在醫(yī)院信息系統(tǒng)開發(fā)中需要依據(jù)醫(yī)院工作特點和工作性質(zhì)，建立持續(xù)性的、標(biāo)準(zhǔn)化理論體系。醫(yī)院信息化建設(shè)中要結(jié)合科技手段和法律規(guī)范，明確醫(yī)院信息管理的要求和目標(biāo)。在軟件系統(tǒng)研發(fā)中要有計劃、有目的的進(jìn)行，分批、分期、按步驟完成。醫(yī)院信息科研發(fā)的系統(tǒng)關(guān)系醫(yī)院醫(yī)療服務(wù)質(zhì)量和工作管理效率，技術(shù)人員通常在技術(shù)培訓(xùn)和業(yè)務(wù)了解中獲取醫(yī)院不同部門和科室的工作要點，以此作為系統(tǒng)維護(hù)和軟件升級的據(jù)點，保證醫(yī)務(wù)信息在搜集、整理和匯總、傳輸中根據(jù)法律保證性和安全性，促使醫(yī)院信息化建設(shè)更加合理、可靠。

三、發(fā)揮信息科在醫(yī)院信息化建設(shè)中作用的方法

1.加強政治教育和思想學(xué)習(xí)。醫(yī)院信息科在管理過程中，需要加強工作人員的技能培訓(xùn)和思想教育。醫(yī)院信息科需要整合醫(yī)院科研和診療資源，對研究材料和病患材料進(jìn)行合理分類，才能在系統(tǒng)開發(fā)中采取針對性措施提高系統(tǒng)運行的穩(wěn)定性和安全性。因而信息科的技術(shù)人員要在專業(yè)學(xué)習(xí)和工作實踐中不斷提升自我。同時信息科在促進(jìn)醫(yī)院信息化建設(shè)中，要有信息安全和保密意識，強化自己的工作責(zé)任意識，針對這種情況，工作人員需要在院方的領(lǐng)導(dǎo)下積極參加政治思想教育，做好總結(jié)和季度分析，總結(jié)和分析的主要內(nèi)容包括對自身工作能力和工作水平的評價，也包括對信息科部門效益評估。2.工作站和服務(wù)器的管理。醫(yī)院信息科在促進(jìn)醫(yī)院信息化建設(shè)中具有技術(shù)支持作用，醫(yī)院不同部門和科室使用的信息系統(tǒng)均依賴信息科技術(shù)人員的研發(fā)、管理和維護(hù)、升級。信息科需要做好網(wǎng)絡(luò)安全管理和工作站維護(hù)工作。對于網(wǎng)絡(luò)運行要有一個整體的規(guī)劃，在熟練掌握網(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，及時排除系統(tǒng)運行障礙，降低系統(tǒng)故障恢復(fù)時間。促進(jìn)網(wǎng)絡(luò)建設(shè)安全既要靠技術(shù)也要靠管理，客戶端可以建立病毒防護(hù)體系，隔離內(nèi)外網(wǎng)的同時禁止外來存儲介質(zhì)的使用，這是醫(yī)院信息科管理工作站的基本內(nèi)容。在服務(wù)器管理中，需要做到配置合理，保證信息系統(tǒng)的運行穩(wěn)定和安全，數(shù)據(jù)備份和數(shù)據(jù)存儲中可以采用雙鏈路設(shè)計，提高主機的服務(wù)性能。3.加強與科室和醫(yī)院的聯(lián)系。醫(yī)院信息科對醫(yī)院信息化建設(shè)和管理具有促進(jìn)和輔助作用，但是信息科并不是一個單獨成立的個體，其工作方向和工作目標(biāo)要以醫(yī)院不同部門、科室的工作方向和目標(biāo)為基準(zhǔn)。信息科在開發(fā)、升級軟件過程中需要考慮不同科室的使用特點和使用需要，做好系統(tǒng)的定位工作，信息科在系統(tǒng)建設(shè)中具有領(lǐng)導(dǎo)者和指揮者的效用，因為需要在實踐中增加與各科室和部門的聯(lián)系。信息科開發(fā)出軟件后，可以指導(dǎo)使用人員改變傳統(tǒng)的操作方法，幫助醫(yī)院人員更好的掌握系統(tǒng)使用方法?，F(xiàn)代科技水平不斷提高，醫(yī)院的工作流程和管理模式也在不斷發(fā)生變化，針對這些，信息科在醫(yī)院信息管理和信息化建設(shè)中也要做出工作方法和調(diào)整，保證信息科科內(nèi)的工作制度與工作模式符合醫(yī)院管理要求。

四、結(jié)語

經(jīng)濟(jì)的發(fā)展促進(jìn)了信息技術(shù)的應(yīng)用，信息管理技術(shù)在各領(lǐng)域應(yīng)用較廣，醫(yī)院信息科建立不僅是為了促進(jìn)內(nèi)部信息管理、存儲和調(diào)用，同時還要信息軟件開發(fā)和維護(hù)上促進(jìn)醫(yī)院工作水平提高。要充分發(fā)揮信息科在醫(yī)院信息化建設(shè)中的作用，就要在人才培養(yǎng)基礎(chǔ)上，增加信息科與醫(yī)院各部門聯(lián)系，促進(jìn)信息開發(fā)、管理技術(shù)在實踐中應(yīng)用提升。

參考文獻(xiàn)：

[1]趙航,于淼.新形勢下如何發(fā)揮信息科在醫(yī)院信息化建設(shè)中的作用[J].黑龍江科技信息,2016,(35):188.[2]張昊.論新形勢下如何發(fā)揮信息科在醫(yī)院信息化建設(shè)中的作用[J].信息化建設(shè),2016,(04):20.[3]宋英帥.試論信息科在醫(yī)院信息化管理中的作用[J].管理觀察,2014,(29):76-78.[4]王麗.醫(yī)院管理信息系統(tǒng)在信息化建設(shè)中的作用[J].華北煤炭醫(yī)學(xué)院學(xué)報,2011,(05):702-703.

第五篇：信息化建設(shè)中信息安全的定位和構(gòu)筑策略

信息化建設(shè)中信息安全的定位和構(gòu)筑策略

摘要：信息安全事件的不斷增多使得在信息化建設(shè)中信息安全受到越來越多的重視。如何在信息化建設(shè)中更好的規(guī)劃和應(yīng)用信息安全，確保信息化建設(shè)的成功是本文關(guān)注的重點。本文從技術(shù)和管理兩個方面對信息安全涉及到的內(nèi)容進(jìn)行了闡述，并結(jié)合信息系統(tǒng)等級保護(hù)，探討了在信息化建設(shè)中如何從宏觀和微觀兩個角度進(jìn)行信息安全建設(shè)。

關(guān)鍵詞：信息化建設(shè)；信息安全；信息系統(tǒng)等級保護(hù)

中圖分類號：P23

文獻(xiàn)標(biāo)識碼：A

文章編號：1674-3695-（2009)05-19-05

1引言

隨著信息化建設(shè)的不斷深人，信息安全問題日益突顯。目前，世界各國都將信息安全、網(wǎng)絡(luò)安全作為事關(guān)國家安全的大事來抓。2009年5月29日，美國總統(tǒng)奧巴馬公布了一份由安全部門官員完成的網(wǎng)絡(luò)安全評估報告，表示來自網(wǎng)絡(luò)空間的威脅已經(jīng)成為美國面臨的最嚴(yán)重的經(jīng)濟(jì)和軍事威脅之一，宣布在白宮成立網(wǎng)絡(luò)安全辦公室。在中共十六屆四中全會上，中央將信息安全與政治安全、經(jīng)濟(jì)安全、文化安全并列為四大“國家安全”，明確提出了完善信息安全的戰(zhàn)略目標(biāo)。由此可見，信息安全對保障一個國家的政治、經(jīng)濟(jì)、軍事安全發(fā)揮著越來越重要的作用。因此，信息化建設(shè)中信息安全問題的深入探討很有意義。

2信息安全的定位

我國的信息化建設(shè)始于20世紀(jì)80年代，最初的建設(shè)主要集中于紙質(zhì)信息的數(shù)字化以及單機應(yīng)用系統(tǒng)的開發(fā)。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，應(yīng)用系統(tǒng)的開發(fā)也逐漸轉(zhuǎn)向以網(wǎng)絡(luò)為依托，實現(xiàn)電子政務(wù)、電子商務(wù)、網(wǎng)上辦公等。不僅節(jié)約了資源，提高了辦事效率，而且擴大了資源共享范圍。

由于在微型計算機發(fā)展之初，對安全的考慮不夠，導(dǎo)致微型計算機軟、硬件設(shè)計上的簡化，致使信息資源及其依托的軟硬件極易遭到破壞，產(chǎn)生了安全隱患。計算機網(wǎng)絡(luò)的主要目標(biāo)是實現(xiàn)資源共享，因此在設(shè)計之初也未過多考慮安全問題，從而造成網(wǎng)絡(luò)協(xié)議的安全缺陷。而且隨著應(yīng)用軟件功能的不斷完善，代碼量越來越大，存在的軟件漏洞也越來越多。正是由于這些原因，導(dǎo)致計算機病毒、木馬、后門泛濫，嚴(yán)重威脅信息的安全。

隨著信息化建設(shè)的不斷推進(jìn)，信息化建設(shè)的重點由只關(guān)注應(yīng)用系統(tǒng)開發(fā)，逐漸轉(zhuǎn)變?yōu)橄到y(tǒng)開發(fā)與信息安全建設(shè)并重，信息安全被提高到了一個前所未有的高度。按照目前的觀念，信息化建設(shè)涉及的內(nèi)容可劃分為三個方面：網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)、應(yīng)用系統(tǒng)開發(fā)和信息安全保障，這些稱為信息化建設(shè)的“三大支柱”，缺一不可。如果把網(wǎng)絡(luò)基礎(chǔ)設(shè)施比喻成高速公路，把應(yīng)用系統(tǒng)看作是高速公路上行駛的車輛，那么信息安全就是保障道路和車輛安全所必須遵循的交通法規(guī)。我們都知道在沒有交通法規(guī)的高速公路上行駛車輛會造成什么樣的后果，因而我們不難想象，在沒有信息安全保障的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上運行應(yīng)用系統(tǒng)將會造成什么樣的后果！信息安全是網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的安全保障，其重要性將隨著信息化建設(shè)的不斷推進(jìn)而更加凸顯。3信息安全的范圍

信息安全的主要目標(biāo)是實現(xiàn)機密性、完整性和可用性。信息技術(shù)安全評估準(zhǔn)則（ISO/IEC 15408）將信息安全定義為：被評估的信息系統(tǒng)或產(chǎn)品的安全策略、安全功能、安全管理、安全開發(fā)、安全維護(hù)、安全檢測、安全恢復(fù)和安全評測等概念的總稱。

信息系統(tǒng)安全保障評估框架（GB/T 20274）中將信息系統(tǒng)安全保障定義為:在信息系統(tǒng)的整個生命周期中，通過對信息系統(tǒng)的風(fēng)險分析，制定并執(zhí)行相應(yīng)的安全保障策略，從技術(shù)、管理、工程和人員等方面提出安全保障要求，確保信息系統(tǒng)的保密性、完整性和可用性，降低安全風(fēng)險到可接受的程度，從而保障系統(tǒng)實現(xiàn)機構(gòu)組織的使命。綜合已有的標(biāo)準(zhǔn)和實際工作，我們認(rèn)為信息安全涉及到整個信息化建設(shè)的方方面面，必須融入到信息化建設(shè)的全過程。只有在整個信息化建設(shè)過程中，通過技術(shù)和管理兩個方面的考慮，把信息安全作為信息化建設(shè)的一個重要目標(biāo)，才能保障信息化建設(shè)的成功。

只重視技術(shù)不重視管理，信息安全是無本之木；只注重管理不注重技術(shù)，信息安全是“空口政治”；只有技術(shù)和管理并重，才能最大程度的提供安全保障。以系統(tǒng)口令為例，口令安全策略要求口令需要定期修改。如果只是把其作為一項安全策略讓各部門員工熟知，而不從技術(shù)上進(jìn)行控制，則很難達(dá)到效果。因為無論口令改與不改，我們都無從知曉，而且對于大多數(shù)人來說，一般觀念都是怎么方便怎么來，這樣，這項安全策略根本無法貫徹。如果我們通過技術(shù)手段，確保若不定期更改密碼則無法登陸系統(tǒng)，用戶只能定期更改密碼。只注重技術(shù)不注重管理同樣很難保證安全。依然以系統(tǒng)口令為例，如果我們只是通過技術(shù)手段要求員工必須按照要求定期修改口令，而不從管理上進(jìn)行要求，則很多員工會為了方便，將復(fù)雜的口令寫下來，貼在電腦旁或記在本子上，這同樣不安全。權(quán)威機構(gòu)統(tǒng)計表明：在所有的信息安全事故中，70％以上的信息安全問題是由于內(nèi)部員工的疏忽或有意泄密這些管理方面的原因造成的，而這些安全問題中的絕大多數(shù)是可以通過科學(xué)的信息安全管理能夠避免或解決。只有員工都樹立安全意識，按照優(yōu)化的技術(shù)流程辦事，發(fā)揮技術(shù)和管理的雙重作用，信息安全事故才能杜絕。下面，我們就詳細(xì)探討一下信息安全所涉及到的這兩方面。3.1技術(shù)

在技術(shù)上，信息安全主要通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn)，我們稱其為“安全技術(shù)手段”。目前常用的安全技術(shù)手段有以下幾種：

1）身份鑒別：用于對用戶的身份進(jìn)行確認(rèn)。常采用的身份鑒別方式有口令、指紋、證書等。其中使用最為廣泛的為口令，隨著對信息安全的要求不斷提高，指紋識別、虹膜識別等一系列生物認(rèn)證方式得到大范圍應(yīng)用。使用 USBKEY來存儲用戶數(shù)字證書來達(dá)到身份識別的方式也在許多企事業(yè)單位得到廣泛應(yīng)用。2）訪問控制：通過限制只有授權(quán)用戶才可以訪問指定資源，防止非授權(quán)的訪問和授權(quán)人員的違規(guī)訪問。包括自主訪問控制和強制訪問控制。自主訪問控制可以由用戶制定安全策略。強制訪問控制由系統(tǒng)管理員指定安全策略，用戶本身無權(quán)更改自身的安全屬性。3）標(biāo)記：對計算機系統(tǒng)資源（如用戶，進(jìn)程，文件，設(shè)備）進(jìn)行標(biāo)記，通過標(biāo)記來實現(xiàn)對系統(tǒng)資源的訪問控制。標(biāo)記是實施強制訪問控制的基礎(chǔ)。

4）可信路徑：提供系統(tǒng)和用戶之間的可信通信路徑。目前，Windows為部分應(yīng)用提供可信路徑，比如口令的輸人。

5）安全審計：對受保護(hù)客體的訪問進(jìn)行審計，阻止非授權(quán)用戶對審計記錄的訪問和破壞。安全審計作為信息安全的一種事后補救或追蹤手段，對發(fā)現(xiàn)和追蹤違規(guī)操作非常重要。

6）剩余信息保護(hù)：在客體重新被分配給一個主體前，對客體所含內(nèi)容進(jìn)行徹底清除，防止新主體獲得原主體活動的任何信息。尤其是對于一些曾經(jīng)存儲過涉密信息的介質(zhì)，在使用前必須采取一定措施，確保不會造成涉密信息泄露。

7）數(shù)據(jù)機密性保護(hù)：防止敏感信息泄露給非授權(quán)用戶。通常采用加密技術(shù)來確保信息的機密性。

8）數(shù)據(jù)完整性保護(hù)：防止非授權(quán)用戶對信息進(jìn)行修改或破壞。隨著計算機技術(shù)的不斷發(fā)展，完整性被破壞所造成的危害已遠(yuǎn)大于機密性所造成的危害。目前常用的完整性保護(hù)是通過對被保護(hù)信息計算哈希值，通過將被保護(hù)信息的哈希值和預(yù)先存儲的哈希值進(jìn)行比較來確定信息是否被篡改。

上述技術(shù)手段主要通過一些安全產(chǎn)品來實現(xiàn)。常用的安全產(chǎn)品有：VPN設(shè)備，安全路由器，安全防火墻，入侵檢測系統(tǒng)，入侵防御系統(tǒng)，CA系統(tǒng)，防病毒網(wǎng)關(guān)，漏洞掃描系統(tǒng)，抗拒絕服務(wù)系統(tǒng)，流量控制系統(tǒng)等。只有按照制定的安全策略，正確的配置安全產(chǎn)品，才能最大程度提供信息安全保障。3.2管理

在管理上，與信息系統(tǒng)中各種角色參與的活動有關(guān)，主要通過控制各種角色的活動，從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。一個完善的信息安全管理體系，主要涉及以下幾方面的內(nèi)容：

1）策略和制度

安全策略是對允許做什么，禁止做什么的規(guī)定。安全策略可以定義成一種文檔，用于陳述如何保護(hù)有形和無形的信息資產(chǎn)。建立信息安全管理體系既要制定說明信息系統(tǒng)安全的總體目標(biāo)、范圍和安全框架的總體安全策略，也要制定包含風(fēng)險管理策略、業(yè)務(wù)連續(xù)性策略、安全培訓(xùn)與教育策略、審計策略、規(guī)劃策略、機構(gòu)策略、人員策略等具體的安全策略。

安全策略屬于安全戰(zhàn)略范疇，它不需指定所使用的技術(shù)。因此，還需要在安全策略指導(dǎo)下，根據(jù)機構(gòu)的總體安全策略和業(yè)務(wù)應(yīng)用需求，制定信息系統(tǒng)安全管理的規(guī)程和制度。如網(wǎng)絡(luò)安全管理規(guī)定，系統(tǒng)安全管理規(guī)定，數(shù)據(jù)安全管理規(guī)定等。2）機構(gòu)和人員

建立信息安全管理體系，需要建全安全管理機構(gòu)，配置不同層次和類型的安全管理人員，明確各層各類安全管理機構(gòu)和人員的職責(zé)與分工，建立人員錄用、離崗、考核和審查制度，定期對信息系統(tǒng)相關(guān)工作人員進(jìn)行教育和培訓(xùn)，制定第三方人員管理要求。3）風(fēng)險管理

信息安全的實質(zhì)是通過對信息系統(tǒng)分析，了解所存在的安全風(fēng)險，通過相應(yīng)的安全技術(shù)和措施，將安全風(fēng)險降低到可接受的程度。風(fēng)險管理包括威脅管理和脆弱性管理。進(jìn)行風(fēng)險評估，分析資產(chǎn)價值/重要性，分析信息系統(tǒng)面臨的威脅及信息系統(tǒng)的脆弱性，進(jìn)而了解系統(tǒng)存在的風(fēng)險，采取相應(yīng)的安全措施避免風(fēng)險的發(fā)生。要定期進(jìn)行風(fēng)險評估，并確定安全對策。4）環(huán)境和資源管理

需要對機房、辦公環(huán)境、資產(chǎn)、介質(zhì)和設(shè)備進(jìn)行管理，保障其安全可靠、穩(wěn)定運行。如機房要防水、防火、防潮、防靜電、防雷擊、防磁等；設(shè)備、介質(zhì)、資產(chǎn)要防盜、防毀，確保其安全可用。對資產(chǎn)的增加、減少和轉(zhuǎn)移要進(jìn)行記錄。5）運行和維護(hù)管理

運行和維護(hù)涉及的內(nèi)容較多，包括系統(tǒng)用戶管理，終端系統(tǒng)、服務(wù)器、設(shè)備管理，運行狀況監(jiān)控，軟硬件維護(hù)，外包服務(wù)管理等。還包括對采用的各種技術(shù)手段進(jìn)行管理，對安全機制和安全信息進(jìn)行集中管理和整合。6）業(yè)務(wù)連續(xù)性管理

對數(shù)據(jù)備份的內(nèi)容和周期進(jìn)行管理，對介質(zhì)、系統(tǒng)和設(shè)備進(jìn)行冗余備份，制定應(yīng)急響應(yīng)機制和預(yù)案，在災(zāi)難發(fā)生時能夠進(jìn)行應(yīng)急處理和災(zāi)難恢復(fù)，保障業(yè)務(wù)的連續(xù)性。7）監(jiān)督和檢查管理

對系統(tǒng)進(jìn)行審計、監(jiān)管、檢查。對建立的規(guī)章制度，定期進(jìn)行監(jiān)督和檢查，確保制度落到實處。同時，需要結(jié)合審計，對安全事件進(jìn)行記錄，對違規(guī)操作進(jìn)行報告，按照審計結(jié)果進(jìn)行責(zé)任認(rèn)定，并據(jù)此對機構(gòu)和員工進(jìn)行獎懲。8）生命周期管理 建立信息系統(tǒng)安全管理體系，還要對應(yīng)用系統(tǒng)的整個生命周期進(jìn)行全過程管理。確保開發(fā)的應(yīng)用系統(tǒng)符合安全要求。應(yīng)用系統(tǒng)的生命周期可以劃分為規(guī)劃組織階段、開發(fā)采購階段、實施交付階段、運行維護(hù)階段、變更和反饋階段和廢棄階段。在每一個階段中，信息安全管理貫穿始終。我們認(rèn)為，如果能夠在每個階段進(jìn)行類似于等級保護(hù)制度的備案，可以為系統(tǒng)的成功開發(fā)提供一定的監(jiān)督和指導(dǎo)作用。

在規(guī)劃組織階段，需要在應(yīng)用系統(tǒng)建設(shè)和使用的決策中考慮應(yīng)用系統(tǒng)的風(fēng)險及策略；在開發(fā)采購階段，需要基于系統(tǒng)需求和風(fēng)險、策略將信息安全作為一個整體進(jìn)行系統(tǒng)體系的設(shè)計和建設(shè)，并對建設(shè)的系統(tǒng)進(jìn)行評估，以確保符合國家相關(guān)要求，如等級保護(hù)的要求；在實施交付階段，需要對承建方進(jìn)行安全服務(wù)資格要求和信息安全專業(yè)人員資格要求，以確保施工組織的服務(wù)能力，確保交付系統(tǒng)的安全性；在運行維護(hù)階段，需要對信息系統(tǒng)的管理、運行維護(hù)、使用人員等進(jìn)行管理，保障系統(tǒng)安全正常運行；在變更和反饋階段需要對外界提出的新的安全需求進(jìn)行反饋，變更要求或增強原有的要求，重新進(jìn)入信息系統(tǒng)的規(guī)劃階段；若信息系統(tǒng)無法滿足已有的業(yè)務(wù)需求或安全需求，系統(tǒng)進(jìn)人廢棄階段。

4信息安全的建設(shè)過程

信息安全建設(shè)可以從宏觀和微觀兩方面來考慮。如圖1：

從宏觀上，包括風(fēng)險評估與等級保護(hù)、災(zāi)難備份和應(yīng)急響應(yīng)機制的建設(shè)。我國著名信息安全專家方濱興院士指出“風(fēng)險評估和等級保護(hù)，兩者相輔相成，需要一體化考慮。因為風(fēng)險評估是出發(fā)點，等級劃分是判斷點，安全控制是落腳點，所以風(fēng)險評估和等級保護(hù)這兩件事兒是相輔相成的，只有知道了系統(tǒng)的脆弱性有多大，等級保護(hù)才能跟上去”。災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有的關(guān)鍵數(shù)據(jù)和關(guān)鍵業(yè)務(wù)在災(zāi)難發(fā)生后在確定的時間內(nèi)可以恢復(fù)和繼續(xù)運營的過程。應(yīng)急響應(yīng)機制用于確保在緊急事件發(fā)生時，能夠盡快響應(yīng)，將系統(tǒng)損失降低到最小。在平時，還需要進(jìn)行安全演練或演習(xí)，模擬可能發(fā)生的安全事故，開展應(yīng)急響應(yīng)。

從微觀上，進(jìn)行信息安全建設(shè)主要包括以下幾個步驟：

（1）制定安全策略。根據(jù)單位具體情況，依據(jù)風(fēng)險評估的結(jié)果和等級保護(hù)要求，確定具體安全需求，制定安全策略。如：環(huán)境安全策略、數(shù)據(jù)訪問控制安全策略、數(shù)據(jù)加密與數(shù)據(jù)備份策略、身份認(rèn)證及授權(quán)策略、災(zāi)難恢復(fù)及事故處理策略、緊急響應(yīng)策略、安全教育策略、審計策略等。安全策略對于整個系統(tǒng)安全方面的設(shè)計，安全制度的制定，安全相關(guān)功能的開發(fā)等都有著重要的指導(dǎo)意義。

（2）根據(jù)安全策略，確定安全機制。安全策略通過安全機制來保障和實施。安全機制是實施安全策略的技術(shù)、制度和標(biāo)準(zhǔn)。比如，我們制定了一項安全策略：“所有的通訊都必須經(jīng)過加密”。為了保障這個策略的實施，我們需要確定采取何種技術(shù)來實現(xiàn)，比如我們可以依據(jù)此條策略確定所需要使用的技術(shù)：“所有的通訊都必須采用3DES（一種加密方案）進(jìn)行加密”。

（3）制定業(yè)務(wù)流程。在安全機制的實施過程中，具體操作必須按照規(guī)定的流程進(jìn)行才能夠確保不發(fā)生違反安全策略的事件。制定業(yè)務(wù)流程可以使操作過程更加清晰。

（4）設(shè)計表單。將所有的操作細(xì)節(jié)落實到表單上，對操作的結(jié)果進(jìn)行記錄。

下面以機房巡檢為例，對信息安全建設(shè)過程進(jìn)行說明。

在機房管理方面，首先根據(jù)單位具體要求，確定必須定期進(jìn)行安全巡檢（安全策略）；然后需要制定安全巡檢規(guī)則、巡檢內(nèi)容等（安全機制）；接著確定巡檢步驟，巡檢具體內(nèi)容（業(yè)務(wù)流程）；最后確定每次巡檢時需要記錄的巡檢結(jié)果（表單）。如圖2所示。

5結(jié)束語

信息安全是信息化建設(shè)中的重要一環(huán)，對于保證信息化建設(shè)的成功起著非常重要的作用。本文結(jié)合筆者的實際工作經(jīng)驗，對信息安全在信息化建設(shè)中的地位，信息安全所涉及到的范圍以及信息安全的建設(shè)過程進(jìn)行了闡述，希望可以為信息化建設(shè)過程中信息安全工作提供一定的指導(dǎo)。

(作者： 安迎建 范艷芳 謝俊奇)參考文獻(xiàn)：

[1]Matt Bishop.計算機安全學(xué)—安全的藝術(shù)與科學(xué)[M].北京，電子工業(yè)出版社，2005 [2]Sari Stern Greene.安全策略與規(guī)程[M].北京，清華大學(xué)出版社，2008 [3]穆瑛.方濱興院士對國家信息安全保障體系再解讀[J].信息安全與通信保密.2009,11-12