4、实施机房安全管理制度。加强计算机机房的安全管理工作,规范人员出入的批准授权,建立完善出入人员及设备进出、维护工作登记制度。
二、完善安全措施
1、加强终端安全防范。规范终端用户访问数据库的密码管理,定期修改密码,严禁使用明文方式保存在业务终端中。部署终端管理系统,实现对终端接入内网的认证准入管理、可运行应用软件的严格限制、IP地址与物理地址及操作人员密码绑定、USB接口及SD卡等存储卡接口的封闭等功能。及时更新补丁,防止操作系统漏洞,安装杀毒软件,有条件的安装服务器版杀毒软件。
2、强化应用系统认证。应用软件必须实现对用户登录、查询统计敏感数据、修改用户权限等操作行为的审计功能;必须具备后台管理维护功能,既能最大限度减少信息技术人员直接访问数据库的操作,又满足日常工作需要。鼓励对数据库敏感信息字段进行加密处理,逐步实现应用软件的三层架构模式,鼓励采用数字证书、动态口令及指纹等技术强化应用系统认证。
3、配置部署堡垒主机。禁止所有信息科人员终端直接访问网络设备、服务器及数据库,通过堡垒主机等具有集中维护及审计功能的网络安全产品实现对所有信息管理人员日常系统维护操作的监控记录。
4、强化信息查询管理。严格管理应用软件中的敏感信息统计查询功能,卸除所有不必要的敏感信息统计模块,严格限制剩余统计功能的权限分配,或将统计查询功能集中至独立的软件系统中,落实专人负责。对药品、高值耗材用量信息进行统计,必须征得医疗机构有关负责人同意,并有监督人员在场监督,系统必须保留查询痕迹。
5、加强信息安全投入和管理。各医疗机构要加大信息安全工作经费投入,每年信息安全工作经费投入不低于信息化建设经费投入的15%。各单位要加强人才队伍建设,配强配齐信息科管理人员和专业技术人员,合理设置机房管理、系统管理、数据库管理、审计分析等岗位,明确岗位职责,落实岗位责任。有条件的机构配备专职审计分析员。
三、强化审计监督
1、加强数据库审计。部署必要的数据库审计系统,对数据库访问的行为进行实时监控,具备基于异常行为分析知识库的审计分析能力及阻断能力。建立专人负责的核心主机及数据库访问行为审计分析机制。
2、加强审计岗位管理。明确审计分析岗位职责,其承担出入机房的审批,软件、操作系统、数据库任何操作的审批和出入机房事件、系统日志、数据库异常操作等进行日常审计;但不能进入机房,不得掌握核心数据库及其服务器操作系统密码。
