臨床實驗室安全管理制度范文

時間:2023-11-27 17:32:11

導語:如何才能寫好一篇臨床實驗室安全管理制度,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

臨床實驗室安全管理制度

篇1

[關鍵詞]醫(yī)學實驗室;職業(yè)暴露;回顧分析;安全管理;現(xiàn)場培訓

[中圖分類號]R818[文獻標識碼]A[文章編號]1673-7210(2018)01(b)-0043-04

臨床醫(yī)學實驗室職業(yè)暴露管理對預防實驗室人員感染病原體及確保員工和其接觸人員和社會環(huán)境的安全十分必要。目前,從《實驗室生物安全通用要求》[1]到《三級綜合醫(yī)院評審標準實施細則》[2]均針對實驗室職業(yè)暴露管理制訂了相關標準和要求。實驗室管理層通過對上述標準和要求的解讀,主要采取實施理論授課和制訂相關安全管理制度等手段,期望提高員工預防職業(yè)暴露的意識和能力,然而醫(yī)學實驗室內(nèi)每年仍有一定數(shù)量的職業(yè)暴露事件發(fā)生[3],為員工、其家屬及社會帶來不確定的生物安全隱患[4]。另據(jù)中國疾病預防控制中心的艾滋病性病疫情及主要防治工作進展報告可知,當前艾滋病性病防治形式不容樂觀[5],由此造成醫(yī)學實驗室工作人員發(fā)生艾滋病等傳染性疾病職業(yè)暴露事件的可能性將越來越高。上述事實說明,目前臨床實驗室職業(yè)暴露管理的有效性急需提高。為找到更有效的措施或方法預防職業(yè)暴露的發(fā)生,本研究對實驗室內(nèi)近5年全部職業(yè)暴露事件進行細致分析,期望找到實驗室內(nèi)職業(yè)暴露的根本原因,制訂切實有效的措施提高實驗室安全管理效能。

1資料與方法

1.1一般資料

收集并分析2011~2015年發(fā)生于昆明市第一人民醫(yī)院檢驗科實驗室內(nèi)對職業(yè)暴露事件中暴露人員的履職信息、生物安全理論培訓記錄和職業(yè)暴露事件經(jīng)過記錄。

1.2方法

1.2.1職業(yè)暴露人員履職信息分析其年齡、性別、學歷、專業(yè)、工齡、職稱在職業(yè)暴露事件中的規(guī)律性特點。

1.2.2生物安全理論培訓記錄對臨床醫(yī)學實驗室近5年內(nèi)參加職業(yè)暴露理論授課培訓的人員記錄情況進行統(tǒng)計,分析實驗室內(nèi)職業(yè)暴露人員與其接受職業(yè)暴露理論授課培訓累計次數(shù)的相關性。

1.2.3職業(yè)暴露經(jīng)過記錄對工作崗位、發(fā)生時間、發(fā)生地點、發(fā)生類型和事件發(fā)生時正在進行的實驗操作等分項進行統(tǒng)計分析,并找出其中趨勢性規(guī)律。

2結果

2.1實驗室內(nèi)職業(yè)人員履職信息暴露比較

對近5年實驗室內(nèi)職業(yè)暴露事件記錄資料進行回顧分析發(fā)現(xiàn):5年內(nèi)實驗內(nèi)共計發(fā)生職業(yè)暴露事件24例。職業(yè)暴露人員普遍呈現(xiàn)年輕、工作年限短、職稱低的共同特點。其中,<20歲3人,20~30歲17人,>30歲4人。初級職稱以下或無職稱人員17人(70.8%),初級職稱7人(29.2%)。見表1。

2.2職業(yè)暴露人員中醫(yī)學檢驗實習學生占比情況比較

24例職業(yè)暴露事件中,醫(yī)學檢驗實習學生11人(45.8%),實驗室內(nèi)工作人員13人(54.2%)。

2.3不同理論培訓次數(shù)下職業(yè)暴露人數(shù)比較

通過比較發(fā)現(xiàn)發(fā)生職業(yè)暴露人員與其接受理論培訓次數(shù)關聯(lián)不大。見表2。

2.4職業(yè)暴露地點和工作崗位統(tǒng)計

對24名職業(yè)暴露人員暴露地點和工作崗位的分布情況進行分析,臨床急診實驗室是職業(yè)暴露高發(fā)地點,職業(yè)暴露11人。臨床實驗室內(nèi)職業(yè)暴露高發(fā)崗位依次為采血崗位、血氣分析崗位、清潔崗位。見圖1~2。

2.5職業(yè)暴露事件發(fā)生時具體實驗操作環(huán)節(jié)

對24名職業(yè)暴露類型和人員暴露時正在做的實驗活動進行分析,發(fā)現(xiàn)銳器傷是臨床實驗室職業(yè)暴露主要原因,占79.0%;其中采血后丟棄針頭的動作和血氣分析檢測前樣本混勻的動作是發(fā)生職業(yè)暴露的高危動作,在所有職業(yè)暴露原因中占比分別為34.0%和25.0%。見圖3。

2.6職業(yè)暴露實驗室內(nèi)高發(fā)時段

對24名人員職業(yè)暴露時間的統(tǒng)計發(fā)現(xiàn),每年第二、三季度通常是臨床實驗室職業(yè)暴露高發(fā)時段,呈周期性變化。見圖4。

3討論

臨床醫(yī)學實驗室因其職業(yè)特點盡管在工作中普遍采取了標準預防措施,但因工作中必須頻繁接觸患者血液、體液、分泌物、培養(yǎng)物和在工作中使用銳器,使得實驗室人員發(fā)生職業(yè)暴露的情況似乎無法完全避免[6-11]。本研究通過對24名職業(yè)暴露事件的回顧分析發(fā)現(xiàn),醫(yī)學實驗室職業(yè)暴露發(fā)生率完全有可能控制其在極低水平[12]。

目前,臨床實驗室職業(yè)暴露安全管理工作方面的舉措主要包括安全管理制度和硬件防護設施的建設,以及定期或不定期的理論安全培訓,然而這些工作并未將實驗室職業(yè)暴露事件的發(fā)生控制在滿意的水平之內(nèi)[13-15]。這些傳統(tǒng)的安全管理措施為何不能達到預期的職業(yè)暴露安全管理效果,是提高實驗室安全管理效能迫切需要解決的問題之一。

依據(jù)本文結果,臨床實驗室發(fā)生職業(yè)暴露人群主要為低年資員工和實習學生。進一步分析發(fā)現(xiàn),高年資員工幾乎沒有在高風險實驗操作中發(fā)生職業(yè)暴露的情況,這說明職業(yè)暴露的發(fā)生與實驗室人員是否從事高風險實驗操作無直接關系[16-17]。通過觀察實驗室年輕員工和實習同學的日常實驗操作發(fā)現(xiàn),低年資員工和實習學生均能嚴格執(zhí)行實驗室標準預防制度,說明其具有安全意識。然而,上述人員存在的共同問題是,對實驗活動過程中可能存在生物安全隱患的風險環(huán)節(jié)識別能力較差和實驗操作不規(guī)范,這將導致發(fā)生職業(yè)暴露的概率顯著增加[18]。

篇2

【摘要】臨床檢驗質(zhì)量的高低是衡量醫(yī)院技術水平的一個重要標志,提高檢驗質(zhì)量是保證醫(yī)療質(zhì)量的先決條件。本文對醫(yī)院臨床檢驗的質(zhì)量控制提出了自己的看法:首先臨床檢驗工作者應該正確認識臨床檢驗的性質(zhì)和作用;在管理上應該確定管轄范圍,規(guī)范化質(zhì)量管理和安全管理;建立臨床檢驗標本質(zhì)量保證體系,完善臨床檢驗報告制度,并務必提高醫(yī)院臨床檢驗工作者業(yè)務素質(zhì)。

【關鍵詞】醫(yī)院;臨床;檢驗;質(zhì)量;控制

1 正確認識臨床檢驗的性質(zhì)和作用

(1)臨床檢驗工作是以檢驗醫(yī)學為基礎,而檢驗醫(yī)學是臨床醫(yī)學的一個分支。臨床檢驗是將病人的血液、體液、分泌物、排泄物和脫落物等標本,通過目視觀察、物理、化學、儀器或分子生物學方法檢測,并強調(diào)對檢驗全過程(分析前、分析中、分析后)采取嚴密質(zhì)量管理措施以確保檢驗質(zhì)量;從而為臨床、為病人提供有價值的實驗資料。臨床檢驗是一門多學科互相滲透、交叉融合的綜合性應用學科,涉及化學、物理學、生物學、生物化學、免疫學、微生物學、生理學、病理學、遺傳學、分子生物學、統(tǒng)計學和多門臨床醫(yī)學等學科。

(2)臨床檢驗應提供有臨床價值的并且盡可能準確的結果,以使臨床醫(yī)生能對病人的疾病作出正確的診斷和及時的治療,并為觀察療效、推測預后以及疾病的預防等提供有關信息。同時,還應為臨床提供必要的咨詢,正確解釋檢測結果并最大限度地利用各種信息。近幾十年來,有關基礎科學飛速發(fā)展,新的分析檢測的方法和儀器不斷涌現(xiàn),大大推動了臨床檢驗的發(fā)展,使臨床檢驗在疾病的預防、診斷和治療中發(fā)揮著越來越大的作用。

2 確定管轄范圍,規(guī)范化質(zhì)量管理和安全管理

(1)首次明確臨床實驗室定義,并對其作用提出咨詢和結果解釋的進一步要求,突破了醫(yī)療機構臨床實驗室工作的固有思維模式,對提高臨床檢驗質(zhì)量意義重大。

(2)從臨床實驗室準人、檢驗項目、檢驗人員的資格認定到分析過程校準、室內(nèi)質(zhì)控、室間質(zhì)評、標準操作規(guī)程、檢驗報告等流程均應處于嚴格控制之下。本《辦法》對設計涉及臨床檢驗質(zhì)量的主要控制要素均提出明確要求。

(3)從實驗室生物安全防護級別評估、設計和建造、安全管理制度、安全設備和個人防護用品配備、安全防護培訓等方面提出明確要求,堵塞臨床實驗室生物安全防護漏洞。

3 建立臨床檢驗標本質(zhì)量保證體系

成立醫(yī)院檢驗標本質(zhì)量控制領導小組,制定流程及考核辦法,強化科室及人員對此項工作的理解、重視,檢驗標本的質(zhì)量保證不僅是一個技術問題,更多的還是意識與管理問題。臨床檢驗的標本質(zhì)量,直接關系到檢驗結果能否真實反映患者病情。正確采集檢驗標本,需要臨床醫(yī)生、護理、實驗室人員及患者的共同配合才能完成,護理與檢驗之間的協(xié)同管理正日益引起臨床重視。我院針對標本采集、送檢過程中存在的問題,引進標本條碼系統(tǒng),經(jīng)醫(yī)務科、護理部、檢驗科等多方協(xié)作與人員培訓,加強護理與檢驗人員之間的溝通與協(xié)作,在臨床檢驗標本采集的合格率方面取得了明顯提高。

4 完善臨床檢驗報告制度

檢驗報告首先應該盡可能全面、準確地反映檢驗對象的真實情況,其次作為醫(yī)療證據(jù),還應該對其結果特性作出盡可能詳細的說明。(1)報告頁眉包括采樣時間和檢驗目的,主要作用在于有次序的粘貼在病歷上,臨床醫(yī)師容易發(fā)現(xiàn)該做的檢驗是否漏檢。(2)報告單的單位或科室有關信息包括單位和科室名稱、地址、電話、報告單編號,便于檢驗咨詢。(3)標本來源信息包括姓名、性別、出生年月、科室、床號、標識號、診斷、標本類別、申請時間、采集時間、申請醫(yī)師、采樣者、標本狀態(tài)、診斷、檢驗目的、急診/常規(guī)、檢驗費、檢驗號。(4)檢驗結果信息包括檢驗項目編碼、項目名稱、結果、單位、提示、參考范圍、檢驗方法和儀器。(5)臨床檢驗報告的形式應該做到簡潔、美觀、有層次、對報告內(nèi)容進行認真組合和排列,便于臨床醫(yī)生分析和理解,還要便于病歷檔案的粘貼和整理,便于成批打印或查詢打印等。(6)為了保障病人信息的安全,應該采用專人發(fā)放。

5 務必提高醫(yī)院臨床檢驗工作者業(yè)務素質(zhì)

要提高檢驗質(zhì)量,檢驗工作人員的素質(zhì)是關鍵。檢驗人員應具備的基本素質(zhì)包括:(1)高尚的思想品質(zhì)和科學的工作態(tài)度。檢驗工作者要熱愛本職工作,要有責任心,工作過程中要細心、認真,嚴格按照操作規(guī)程辦事。加強對檢驗人員人生觀、事業(yè)心的教育,有了正確的人生觀才能有事業(yè)心和工作責任感。(2)精湛的業(yè)務素質(zhì)和操作技能。一個檢驗工作者必須具備扎實的理論基礎和熟練的操作水平,并根據(jù)社會需要和發(fā)展不斷更新知識。所以臨床檢驗工作者要有計劃的出去進修學習,以提高專業(yè)技術水平。運用多種形式提高檢驗人員的業(yè)務技能,指定主管檢驗師或檢驗師對新上崗人員帶教經(jīng)考核合格后方能單獨上崗,簽發(fā)報告。采取請進來、送出去的辦法進行在職教育,定期組織業(yè)務技術操作考核。

參考文獻

[1] 崔也平.臨床檢驗工作者應具備的素質(zhì)[J].健康心理學雜志,1998年12月

[2] 蘇春康、蘇振文.臨床檢驗報告制度亟待完善[J].醫(yī)院管理論壇,2005年10月

[3] 施玉銘等.臨床檢驗標本采集的質(zhì)量保證[J].護理雜志,2007年10月

[4] 申子瑜、陳文祥.加強醫(yī)療機構臨床實驗室管理,提高臨床檢驗水平[J].中國醫(yī)院,2006年6月

篇3

2019年度,檢驗科在院委會的正確領導下,本著“厚德仁愛,博學創(chuàng)新”的院訓理念,秉著全心全意為人民服務的事業(yè)心和責任心,突出“以病人為中心,以質(zhì)量為核心”的主題,緊緊圍繞醫(yī)院“二甲評審”的中心工作,并以此為契機,不斷解放思想,更新觀念,求真務實,踏實苦干,找準檢驗科工作的切入點,采取一手抓檢驗質(zhì)量,一手抓經(jīng)濟收入的方針,圓滿完成了醫(yī)院交給的各項任務,現(xiàn)總結如下:

一、加強學習,促進優(yōu)質(zhì)服務和檢驗質(zhì)量。以“二甲評審”的中心工作為契機,并體現(xiàn)“以病人為中心,以質(zhì)量為核心”的工作宗旨,檢驗科通過加強政治思想建設(全年共進行政治學習12次),努力學習業(yè)務知識(全年業(yè)務學習18次,業(yè)務考核4次)。一方面充分調(diào)動全科人員的積極性,使“急病人之所急,想病人之所想”在日常工作中得到落實,為了縮短患者等候報告單的時間,同志們經(jīng)常加班加點,任勞任怨,實現(xiàn)了在提高檢驗質(zhì)量的基礎上快速發(fā)報告的目標,尤其方便了農(nóng)村偏遠地區(qū)的患者。另一方面,使全科同志的業(yè)務技術水平和工作積極性進一步提高,認識到了遵守SOP文件(標準化操作規(guī)程)的重要性,認識到了質(zhì)量是檢驗工作的生命線, 因此檢驗質(zhì)量大大提高。

二、以“二甲標準”完善了實驗室各項規(guī)章制度、明確了職責、加強了生物安全知識培訓和考核。具體制度有值班制度、交接班制度、標本驗收核對制度、急診檢驗制度、急診檢驗結果登記和即時通知制度、危急值報告制度、報告單簽發(fā)制度、試劑與儀器設備管理制度、消毒隔離制度、生物安全管理制度等;明確了各級工作人員和不同崗位人員的具體工作職責,對不同崗位人員做了針對性地專業(yè)培訓;全年4次對檢驗科全體人員進行了生物安全知識培訓和考核。使全體工作人員在工作中有章可循,責任明確,保證了檢驗科工作正常、有序進行,保障了檢驗科人員與患者的安全健康,保證了儀器設備、電器和危險品的安全使用。

三、加強了儀器設備及管理。高質(zhì)量的檢測結果離不開高科技含量的儀器設備,高科技含量的儀器設備更離不開精心的維護和管理。檢驗科設備眾多,自動化水平不斷提升,為充分發(fā)揮儀器設備效能,以取得最佳投資效益,就必須保持設備完好,延長儀器壽命。為此,我們檢驗科掌握了系統(tǒng)的管理理念,以定期有計劃地維護保養(yǎng)為主,對各種儀器責任到人,對全自動生化分析儀、全自動血球儀、全自動電化學發(fā)光免疫分析儀、尿沉渣儀等儀器設備,例行了日保養(yǎng)、周保養(yǎng)、月保養(yǎng)、年保養(yǎng),并建立了詳細的儀器日常使用與維護保養(yǎng)記錄。

四、以“二甲評審”為契機,加強了實驗室的正規(guī)化建設、管理和質(zhì)量控制。按“二甲評審”精神,成立了質(zhì)量管理小組,根據(jù)《醫(yī)療機構臨床實驗室管理辦法》、《醫(yī)學實驗室能力認可準則(ISO 15189:2003)》、《實驗室生物安全認可準則》﹑《全國臨床檢驗操作規(guī)程(第三版)》和各種儀器及試劑盒的使用說明書等,重新修訂了臨床檢驗項目標準操作規(guī)程和新購檢驗儀器的標準操作和維護規(guī)程,制定了檢驗科質(zhì)量控制管理辦法,建立和指導同志們進行臨檢、生化、免疫、細菌的檢驗前、檢驗中和檢驗后的室內(nèi)質(zhì)控,使室內(nèi)質(zhì)量控制程序化、正規(guī)化、日?;?;積極認真地參加了省市定期進行的室間質(zhì)控,全年室間質(zhì)控活動均取得優(yōu)秀的成績,使各項檢驗結果更加準確,各種檢驗準確率達98%以上,從而使我科的生化﹑血常規(guī)﹑免疫、尿液、微生物和血凝等在2019年再次全部通過了全省檢驗結果“一單通”的認可。準確的檢驗結果為臨床提供了可靠的診斷依據(jù),極大地滿足了臨床需求和人民群眾診治疾病的需要,受到了同志們和患者的一致好評。

五、努力挖潛開展新項目和增收節(jié)支。一方面,為滿足臨床醫(yī)生和廣大患者的需求,我們廣泛征求其意見,并根據(jù)我們檢驗科目前的綜合資源條件,充分挖掘潛力,開展了急診干式生化等一批新檢驗項目,進一步滿足了臨床急診需求,給廣大患者提供了一個方便、快速的就醫(yī)環(huán)境,同時也為科室?guī)砹丝捎^的的經(jīng)濟效益。另一方面,我們充分號召全科人員大力開展增收節(jié)支工作,從節(jié)約一滴水、一滴試劑做起,最大限度地減少浪費;減少跑、冒、滴、漏現(xiàn)象,控制人情單,最大限度地增加收入。經(jīng)過全科人員的共同努力,今年檢驗科收入又有較大增長,2019年檢驗科毛收入突破2000萬元大關,達2150萬元,比去年增加了240萬元,增幅12%;支出比為33%,節(jié)支15萬元; 2019年檢驗科總收入占全院總收入之比為9.3%,純收入為1430余萬元,創(chuàng)歷史最高水平。

2019年度工作成績是肯定的,但不足之處也是存在的,思路還需要更加開闊。檢驗人員的知識面有待擴展,技術水平還有待提高,責任心還有待加強,避免差錯事故的防范措施有待更加嚴密,糾正問題有待更加及時。還要進一步向上級醫(yī)院學習新技術和新方法,加強與臨床、患者溝通,開展臨床所需的新項目等。要繼續(xù)促進檢驗科全體人員的業(yè)務學習,加大管理力度,進一步提高檢驗質(zhì)量。

篇4

關鍵詞:醫(yī)院;信息化;網(wǎng)絡;安全

中圖分類號:TP309.2

隨著醫(yī)改的不斷深入,借助信息化提高醫(yī)院的管理水平和服務質(zhì)量已成為大勢所趨,伴著網(wǎng)絡技術的迅猛發(fā)展,Web化應用呈現(xiàn)出爆發(fā)式增長趨勢,一方面,增強了各行業(yè)及部門間的協(xié)作能力,提高了生產(chǎn)效率,另一方面也不可避免的帶來了新的安全威脅。從國家到地方,衛(wèi)生行政主管部門非常重視醫(yī)院信息安全,與公安部門聯(lián)合發(fā)文,要求醫(yī)院完成等級保護工作。

1 我院網(wǎng)絡安全建設現(xiàn)狀

1.1 醫(yī)院信息系統(tǒng)現(xiàn)狀

我院的信息信息系統(tǒng)主要有:醫(yī)院信息管理系統(tǒng)(HIS)、醫(yī)學影像信息系統(tǒng)(PACS)、臨床實驗室檢驗信息系統(tǒng)(LIS)、電子病歷系統(tǒng)(EMR)、手術麻醉信息系統(tǒng)(AIMS)、醫(yī)院辦公自動化系統(tǒng)(HOA)等。隨著各系統(tǒng)應用的不斷深入,以及這些系統(tǒng)與醫(yī)保、合療、健康檔案、財務、銀行一卡通等系統(tǒng)的直連,安全問題已越來越突顯,網(wǎng)絡安全作為信息安全的基礎,變得尤為重要。

1.2 網(wǎng)絡安全現(xiàn)狀與不足

1.2.1 網(wǎng)絡安全現(xiàn)狀

(1)我們采用內(nèi)外網(wǎng)物理隔離,內(nèi)網(wǎng)所有U口禁用。對開放的U口通過北信源的桌面管理軟件進行管理;(2)內(nèi)外網(wǎng)都使用了賽門鐵克的網(wǎng)絡殺毒軟件,對網(wǎng)絡病毒進行了防范;(3)與外部連接。

內(nèi)網(wǎng)與省醫(yī)保是通過思科防火墻、路由器和醫(yī)保專線連接進行通信;與市醫(yī)保是通過聯(lián)想網(wǎng)御的網(wǎng)閘、醫(yī)保路由器與醫(yī)保專線連接進行通信;與合療及虛擬桌面是通過綠盟的下一代防火墻與互聯(lián)網(wǎng)進行通信;與健康檔案是通過天融信的VPN與互聯(lián)網(wǎng)進行通信的。另外,內(nèi)網(wǎng)與財務專用軟件、一卡通也是通過網(wǎng)閘及防火墻進行通信的。

另外,我們有較完善的網(wǎng)絡安全管理制度體系,這里不再贅述。

1.2.2 網(wǎng)絡安全存在的問題

(1)由于醫(yī)院信息系統(tǒng)與外部業(yè)務連接不斷增長,專線與安全設備比較繁雜,運維復雜度較高;(2)通過部署網(wǎng)絡殺毒軟件及安全設備,雖然提升了網(wǎng)絡的安全性,但卻帶來了系統(tǒng)性能下降的問題,如何在不過多影響整體網(wǎng)絡性能的前提下,又可以完善整網(wǎng)的安全策略的部署,是后續(xù)網(wǎng)絡優(yōu)化所需要重點關注的;(3)終端用戶接入網(wǎng)絡后所進行的網(wǎng)絡訪問行為無法進行審計和追溯。

2 醫(yī)院網(wǎng)絡層安全策略部署規(guī)劃

在等級保護安全策略指導下,我們將整個醫(yī)院的安全保障體系設計分為安全管理體系建設和安全技術體系建設兩個方面,其中安全技術體系建設的內(nèi)容包括安全基礎設施(主要包括安全網(wǎng)關、入侵防護系統(tǒng)、安全審計系統(tǒng)等),安全管理體系建設的內(nèi)容包括組織、制度、管理手段等。通過建立醫(yī)院安全技術體系、安全服務體系和安全管理體系,提供身份認證、訪問控制、抗抵賴和數(shù)據(jù)機密性、完整性、可用性、可控性等安全服務,形成集防護、檢測、響應于一體的安全防護體系,實現(xiàn)實體安全、應用安全、系統(tǒng)安全、網(wǎng)絡安全、管理安全,以滿足醫(yī)院安全的需求[1]。

在這里,我主要從安全技術體系建設方面闡述醫(yī)院網(wǎng)絡層安全策略。

網(wǎng)絡層安全主要涉及的方面包括結構安全、訪問控制、安全審計、入侵防范、惡意代碼防范、網(wǎng)絡設備防護幾大類安全控制。

2.1 安全域劃分[2]

2.1.1 安全域劃分原則

(1)業(yè)務保障原則。安全域方法的根本目標是能夠更好的保障網(wǎng)絡上承載的業(yè)務。在保證安全的同時,還要保障業(yè)務的正常運行和運行效率;(2)適度安全原則。在安全域劃分時會面臨有些業(yè)務緊密相連,但是根據(jù)安全要求(信息密級要求,訪問應用要求等)又要將其劃分到不同安全域的矛盾。是將業(yè)務按安全域的要求強性劃分,還是合并安全域以滿足業(yè)務要求?必須綜合考慮業(yè)務隔離的難度和合并安全域的風險(會出現(xiàn)有些資產(chǎn)保護級別不夠),從而給出合適的安全域劃分;(3)結構簡化原則。安全域方法的直接目的和效果是要將整個網(wǎng)絡變得更加簡單,簡單的網(wǎng)絡結構便于設計防護體系。比如,安全域劃分并不是粒度越細越好,安全域數(shù)量過多過雜可能導致安全域的管理過于復雜和困難;(4)等級保護原則。安全域的劃分要做到每個安全域的信息資產(chǎn)價值相近,具有相同或相近的安全等級安全環(huán)境安全策略等;(5)立體協(xié)防原則。安全域的主要對象是網(wǎng)絡,但是圍繞安全域的防護需要考慮在各個層次上立體防守,包括在物理鏈路網(wǎng)絡主機系統(tǒng)應用等層次;同時,在部署安全域防護體系的時候,要綜合運用身份鑒別訪問控制檢測審計鏈路冗余內(nèi)容檢測等各種安全功能實現(xiàn)協(xié)防;(6)生命周期原則。對于安全域的劃分和布防不僅僅要考慮靜態(tài)設計,還要考慮不斷的變化;另外,在安全域的建設和調(diào)整過程中要考慮工程化的管理。

2.2.2 區(qū)域劃分

業(yè)務網(wǎng)內(nèi)部根據(jù)業(yè)務類型及安全需求劃分為如圖1所示的幾個個安全區(qū)域,也可以根據(jù)醫(yī)院自己的業(yè)務實際情況,添加刪減相關的安全域,網(wǎng)絡規(guī)劃拓撲圖[3]如下:

圖1

(1)外聯(lián)區(qū):主要與醫(yī)保網(wǎng)、外聯(lián)單位進行互聯(lián),此區(qū)域與數(shù)據(jù)中心核心交換機互聯(lián);在外聯(lián)區(qū)接入處部署防火墻、IPS、硬件殺毒墻,也可以部署下一代防火墻產(chǎn)品,添加IPS功能模塊、殺毒功能模塊,通過防火墻、IPS、殺毒進行訪問控制,實現(xiàn)安全隔離;與數(shù)據(jù)中心核心交換機處部署網(wǎng)閘設備,實現(xiàn)物理隔離;(2)運維管理區(qū):主要負責運維管理醫(yī)院信息化系統(tǒng),此區(qū)域與數(shù)據(jù)中心核心交換機互聯(lián);在運維管理區(qū)與核心交換機之間部署堡壘機(SAS-H),對運維操作進行身份識別與行為管控;部署遠程安全評估系統(tǒng)(RSAS),對系統(tǒng)的漏洞進行安全評估;部署安全配置核查系統(tǒng),對系統(tǒng)的安全配置做定期檢查;部署日志管理軟件,對網(wǎng)絡設備、安全設備、重要服務器的日志做收集整理和報表呈現(xiàn);部署網(wǎng)絡版殺毒系統(tǒng),與硬件殺毒墻非同一品牌;部署網(wǎng)絡審計系統(tǒng),對全網(wǎng)所有用戶行為進行網(wǎng)絡審計;部署主機加固系統(tǒng),對重要服務器定期進行安全加固,以符合等保的安全配置要求;(3)辦公接入?yún)^(qū):主要負責在住院部大樓、門急診樓、公寓后勤樓等辦公用戶的網(wǎng)絡接入;接入?yún)R聚交換機旁路部署IDS;與核心交換機接入采用防火墻進行訪問控制;重要辦公用戶安裝桌面終端系統(tǒng)控制非法接入問題;(4)核心交換區(qū):主要負責各個安全域的接入與VLAN之間的訪問控制;在兩臺核心交換機上采用防火墻板卡,來實現(xiàn)各個區(qū)域的訪問控制。在核心交換機旁路部署安全審計系統(tǒng),對全網(wǎng)數(shù)據(jù)進行內(nèi)容審計,可以與運維管理區(qū)的網(wǎng)絡審計使用同一臺;(5)互聯(lián)網(wǎng)接入?yún)^(qū):主要負責為辦公區(qū)用戶訪問互聯(lián)網(wǎng)提供服務,以及互聯(lián)網(wǎng)用戶訪問門戶網(wǎng)站及網(wǎng)上預約等業(yè)務提供服務;在互聯(lián)網(wǎng)出口處,部署負載均衡設備對鏈路做負載處理;部署下一代防火墻設備(IPS+AV+行為管理),對進出互聯(lián)網(wǎng)的數(shù)據(jù)進行安全審計和管控;在門戶服務器與匯聚交換機之間部署硬件WEB應用防火墻,對WEB服務器進行安全防護;在門戶服務器上安裝防篡改軟件,來實現(xiàn)對服務器的防篡改的要求;部署網(wǎng)閘系統(tǒng),實現(xiàn)互聯(lián)網(wǎng)與業(yè)務內(nèi)網(wǎng)的物理隔離要求;(6)數(shù)據(jù)中心區(qū):此區(qū)域主要為醫(yī)院信息系統(tǒng)防護的核心,可分為關鍵業(yè)務服務器群和非關鍵業(yè)務服務器群,為整個醫(yī)院內(nèi)網(wǎng)業(yè)務提供運算平臺;在非關鍵業(yè)務服務器群與核心交換區(qū)之間部署防火墻和入侵保護系統(tǒng),對服務器做基礎的安全防護;在關鍵業(yè)務服務器群與核心交換機之間部署防火墻、入侵保護系統(tǒng)、WEB應用防護系統(tǒng),對服務器做安全防護;(7)開發(fā)測試區(qū):為軟件開發(fā)機第三方運維人員提供接入醫(yī)院內(nèi)網(wǎng)服務,與核心交換機互聯(lián);部署防火墻進行訪問控制,所有的開發(fā)測試區(qū)的用戶必須通過堡壘機訪問醫(yī)院內(nèi)網(wǎng);(8)存儲備份區(qū):此區(qū)域主要為醫(yī)院信息化系統(tǒng)數(shù)據(jù)做存儲備份,與核心交換機互聯(lián)。

2.2 邊界訪問控制[1]

在網(wǎng)絡結構中,需要對各區(qū)域的邊界進行訪問控制,對于醫(yī)院外網(wǎng)邊界、數(shù)據(jù)交換區(qū)邊界、應用服務區(qū)域邊界及核心數(shù)據(jù)區(qū)邊界,需采取部署防火墻的方式實現(xiàn)高級別的訪問控制,各區(qū)域訪問控制方式說明如下:

(1)外聯(lián)區(qū):通過部署高性能防火墻,實現(xiàn)數(shù)據(jù)中心網(wǎng)絡與醫(yī)院外網(wǎng)之間的訪問控制;(2)核心交換區(qū):通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對數(shù)據(jù)交換區(qū)的訪問控制;(3)數(shù)據(jù)中心區(qū):通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對應用服務區(qū)的訪問控制;(4)運維區(qū):通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對核心數(shù)據(jù)區(qū)的訪問控制;(5)互聯(lián)網(wǎng)區(qū):與內(nèi)網(wǎng)核心交換區(qū)采用網(wǎng)閘系統(tǒng)進行物理隔離;與互聯(lián)網(wǎng)出口采用防火墻實現(xiàn)訪問控制;(6)開發(fā)測試區(qū):通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對應用服務區(qū)的訪問控制;(7)辦公網(wǎng)接入?yún)^(qū):通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對應用服務區(qū)的訪問控制;(8)備份存儲區(qū):通過核心交換機的VLAN劃分、訪問控制列表以及在出口處部署防火墻實現(xiàn)對應用服務區(qū)的訪問控制。

2.3 網(wǎng)絡審計[1]

網(wǎng)絡安全審計系統(tǒng)主要用于監(jiān)視并記錄網(wǎng)絡中的各類操作,偵查系統(tǒng)中存在的現(xiàn)有和潛在的威脅,實時地綜合分析出網(wǎng)絡中發(fā)生的安全事件,包括各種外部事件和內(nèi)部事件。在數(shù)據(jù)中心核心交換機處旁路部署網(wǎng)絡行為監(jiān)控與審計系統(tǒng),形成對全網(wǎng)網(wǎng)絡數(shù)據(jù)的流量檢測并進行相應安全審計,同時和其他網(wǎng)絡安全設備共同為集中安全管理提供監(jiān)控數(shù)據(jù)用于分析及檢測。

網(wǎng)絡行為監(jiān)控和審計系統(tǒng)將獨立的網(wǎng)絡傳感器硬件組件連接到網(wǎng)絡中的數(shù)據(jù)匯聚點設備上,對網(wǎng)絡中的數(shù)據(jù)包進行分析、匹配、統(tǒng)計,通過特定的協(xié)議算法,從而實現(xiàn)入侵檢測、信息還原等網(wǎng)絡審計功能,根據(jù)記錄生成詳細的審計報表。網(wǎng)絡行為監(jiān)控和審計系統(tǒng)采取旁路技術,不用在目標主機中安裝任何組件。同時玩了個審計系統(tǒng)可以與其他網(wǎng)絡安全設備進行聯(lián)動,將各自的監(jiān)控記錄送往安全管理安全域中的安全管理服務器,集中對網(wǎng)絡異常、攻擊和病毒進行分析和檢測。

2.4 網(wǎng)絡入侵防范[1]

根據(jù)數(shù)據(jù)中心的業(yè)務安全需求和等級保護三級對入侵防范的要求,需要在網(wǎng)絡中部署入侵防護產(chǎn)品。

入侵防護和產(chǎn)品通過對計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測產(chǎn)品應支持深度內(nèi)容檢測、技術。配合實時更新的入侵攻擊特征庫,可檢測網(wǎng)絡攻擊行為,包括病毒、蠕蟲、木馬、間諜軟件、可疑代碼、探測與掃描等各種網(wǎng)絡威脅。當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間,在發(fā)生嚴重入侵事件時應提供報警。

入侵防護產(chǎn)品部署在數(shù)據(jù)中心與核心交換機之間,繼防火墻邊界訪問控制后的第二道防線。

2.5 邊界惡意代碼防范[1]

根據(jù)數(shù)據(jù)中心業(yè)務風險分析和等級保護三級對邊界惡意代碼防范的要求,需要在互聯(lián)網(wǎng)邊界部署防病毒產(chǎn)品,也可以在下一代防火墻添加防病毒模塊來實現(xiàn)此功能;防病毒產(chǎn)品應具備針對HTTP、FTP、SMTP、POP3、IMAP以及MSN協(xié)議的內(nèi)容檢查、清除病毒的能力。支持查殺引導區(qū)病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、后門程序、惡意腳本等各種惡意代碼,并定期提供對病毒庫版本的升級。

2.6 網(wǎng)絡設備保護[1]

對于網(wǎng)絡中關鍵的交換機、路由器設備,也需要采用一定的安全設置及安全保障手段來實現(xiàn)網(wǎng)絡層的控制。主要是根據(jù)等級保護基本要求配置網(wǎng)絡設備自身的身份鑒別與權限控制,包括:登錄地址、標識符、口令復雜度、失敗處理、傳輸加密、特權用戶權限分配等方面對網(wǎng)絡設備進行安全加固。

由于不同網(wǎng)絡設備安全配置的不同、配置維護工作繁雜,且信息安全是動態(tài)變化的,因此這里推薦通過自動化的配置核查設備,對網(wǎng)絡層面和主機層的安全配置進行定期掃描核查,及時發(fā)現(xiàn)不滿足基線要求的相關配置,并根據(jù)等級保護的安全配置要求提供相對應的安全配置加固指導。

3 結束語

通過以上六個方面的安全加固,重點解決了醫(yī)院當前網(wǎng)絡安全環(huán)境中面臨的主要問題。隨著醫(yī)院數(shù)字化進程的不斷深入,我們還將重點跟蹤網(wǎng)絡安全方面出現(xiàn)的新問題、新的技術思路和新的技術解決方案,做好醫(yī)院的網(wǎng)絡安全工作,為醫(yī)院信息化建設保駕護航。

目前,網(wǎng)絡已經(jīng)深刻影響與改變現(xiàn)有的醫(yī)療模式[4],網(wǎng)絡安全已成為醫(yī)院信息化建設中的重中之重,它是一項復雜而艱巨的系統(tǒng)工程,需全方位入手,切實保障醫(yī)院各信息系統(tǒng)安全穩(wěn)定的運行、醫(yī)院各項工作順利的開展,真正為廣大患者提供優(yōu)質(zhì)便捷的服務。

參考文獻:

[1]GB/T 22239-2008,信息系統(tǒng)安全等級保護基本要求[S].

[2]GB/T 9387.2-1995,開放系統(tǒng)互連基本參考模型第2部分:安全體系結構《醫(yī)療機構》,P14-P18:安全服務與安全機制的配置[S].

[3]ISO 10181:1996 信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架[S].

[4]陳理兵,陳起燕.論醫(yī)院網(wǎng)絡應用系統(tǒng)的安全設計[J].福建電腦,2013(11).