信息系统安全建设论文

【摘要】随着企业信息化建设的迅猛发展，企业信息系统已成为现代企业运营的基础平台，企业信息系统的安全平稳运行，已关系到整个企业的运营和发展。未雨绸缪，如何应信息安全事件的发生，建设企业信息系统的安全防护体系，保障企业数据的安全性和信息系统的业务连续性，已成为企业信息化建设中需要重点思考的课题。下面是小编精心推荐的《信息系统安全建设论文(精选3篇)》，仅供参考，大家一起来看看吧。

信息系统安全建设论文 篇1：

新时期我国网络信息系统安全建设研究

摘 要：本文首先对网络信息系统的其重要性和主要的特点进行简述。然后对网络信息系统中存在的问题进行分析。最后对网络信息系统安全中存在的问题提出解决的办法，分别从内网和外网两个角度阐述了解决网络信息系统安全的基本策略。

关键词：网络；信息系统；安全

随着当今Intemet技术的不断改进和完善，信息技术与网络联系得越来越紧密。在网络技术不断发展和全面应用的同时，信息技术也走向了国际化的轨道，逐渐形成全球化信息技术的大环境。当今网络技术越来越宽带化、多样化、智能化、个人化的特点给信息系统的传递带来了非常大的便利，但是这些特点也同时给信息系统带来了许多的安全隐患和问题。网络技术的安全问题，从大的方面看关系到一个国家重要环节的安全，从小的方面看关系到每个人的日常生活的安全，所以网络信息系统的安全是我国信息化建设中需要特别关注的。

1 网络信息系统

随着信息系统的不断发展，网络信息的安全也同时存在不断增长的隐患。所以，保障网络信息系统的安全不仅是我国同时也是全球各国在网络信息系统建设中非常重要和艰巨的任务。由于世界各国在网络信息系统方面都存在或多或少的技术与管理不能高效结合和协调的问题，所以关于如何来处理网络信息系统技术与管理方面的问题也是各个国家需要考虑的。

这里所说的信息系统安全通常是在正常运行本部信息系统的同时，保证信息系统中的信息在整个网络中能够更加完整、更加安全、更加合理的被传送。随着信息系统的不断发展，网络信息的安全也同时存在不断增长的隐患，保障网络信息系统的安全不仅是我国同时也是全球各国在网络信息系统建设中非常重要和艰巨的任务。网络技术不断改进和完善的现代社会，信息技术与网络联系得越来越紧密，起初的信息系统已经由以前的小规模化逐渐向大规模的政商系统发展。于此同时，起初所面临的安全隐患和问题也从小范围演变成大范围甚至是关系到全局的关键隐患和问题，所以网络信息的安全问题不只是单方面或者某个方面的问题，而是一个大的体系。就目前而言，网络信息系统安全可以分为网络系统的安全和信息系统的安全两个方面。其主要有下面几个方面的特征，第一，信息系统中的信息只有经过授权的渠道才能获得和使用，其他非授权的渠道都不能进行访问，体现网络信息系统安全的保密性。第二，信息系统中的数据信息在进行存储、传递的过程中只有经过授权才能对它进行更改，以保证数据信息不被损坏和遗失，体现网络信息系统安全的完整性。第三，经过授权的渠道可以随时对信息系统进行访问以及对有用的信息进行提取，体现网络信息系统安全的可用性。第四，能够控制信息系统中的信息在经过授权的渠道中进行存储、传递等行为，体现网络信息系统安全的可控性。第五、能够保障信息系统中的信息免遭外来隐患的威胁和破坏，体现网络信息系统安全的可保护性。第六、可以通过一定的方式对授权渠道在使用信息系统中信息所出现的问题加以检查，体现网络信息系统安全的可审查性。

2 网络信息系统存在的问题

随着时代的发展，全球网络化已经成为大的潮流趋势。但是随着网络技术的突飞猛进，给全球信息系统带来便利的同时也免不了带了隐患的威胁和破坏。在全球信息化的环境下，许多人都通过网络的便捷性来实现自我价值，创造更多的财富，然而有一部分人却通过这一方式做着违法犯罪的事情，给社会带来了庞大的损失。

表1是网络信息系统安全事件的年度统计报告。根据这一统计说明随着网络技术的飞速发展，网络信息系统安全事件的数量也以几何的速度不断的增长。

表1 网络信息系统安全事件的年度统计报告（2001-2012）

年份 事件报道数目

2001 52658

2002 60357

2003 72843

2004 83521

2005 91576

2006 10725

2007 11921

2008 12618

2009 13917

2010 153734

2011 269859

2012 381756

总数 1215485

图1是网络信息系统用户不安全的感觉的统计。根据这一统计说明网络信息系统的安全问题在逐年的成倍增加，人们对网络信息系统越来越缺乏安全感。

图1 网络信息系统用户不安全的感觉统计

2.1 外网问题

目前由于网络病毒经常的入侵外部网络，所以现在还是以拨号的方式进行连接网络。然而，这种方式又存在着许多的缺陷，在这种方式下，OA的办公平台没有办法进行统一的建设。同时，由于外网自身的一些特点，使得病毒一旦入侵就会造成大范围的危害。表2是发现系统漏洞后到病毒出现的时间，从表中的数据可以发现随着网络技术的发达，网络病毒传染的速度越来越迅速。

表2 发现系统漏洞后到病毒出现的时间

2001-9-18 尼姆达病毒 336天

2003-1-25 速客一号病毒 185天

2003-8-11 冲击波病毒 26天

2003-5-1 震荡波病毒 18天

2.2 内网问题

由于互联网的逐渐普及，内网的各种计算机也会逐渐的跟网络相连接，这就给内网的网络信息系统安全带来了巨大的威胁。由于内网自身的一些特点，使其需要跟多个信息系统平台进行互通，同时也有许多的终端服务器，这样就大大的增大了内网接触外界威胁的渠道和面积，产生巨大的隐患。

3 网络信息系统安全解决办法

3.1 物理安全防护。对于网络信息系统安全的物理安全防护，首先不论是外网还是内网都要对其整个网络进行VLAN规划，必须经过授权的渠道才能对VLAN中的所有业务系统进行相互的访问，从而起到阻止网络病毒进行扩散的目的。然后是需要绑定MAC地址和IP，这样就避免了计算机的物理地址被网络的使用者随意改变了。最后，对信息传输渠道进行备份，保障网络故障发生时能够继续传递网络数据。

3.2 网络安全防护。起初的内网本来是一个不与互联网链接，其单独成为一个局域网。由于互联网的逐渐普及，内网的各种计算机也会逐渐的跟网络相连接，这就给内网的网络信息系统安全带来了巨大的威胁。所以这样在内网与互联网链接的中间加一道防火墙，阻止外部网络威胁的破坏。首先在内网与互联网之间要设置访问权限，只有经过授权的渠道才能对内网的信息进行访问和提取等，避免了非授权渠道对内网的入侵，保障网络的安全。其次不论是外网还是内网都要对整个网络进行病毒系统的建设，定期对病毒系统进行检查漏洞和升级，保证病毒无法在内网中进行传播。通过对网络信息系统物理安全和网络安全的防护，保证了内网和外网的相互结合。促进了整个网络信息系统对于内外网各种信息资源的合理利用和充分的传递，在提高了整个信息系统工作效率的同时，也保障了整个信息系统的安全。

4 结束语

随着互联网技术的不断进步，网络病毒的传播途径也越来越多样化，各种网络威胁的形式也层出不穷，这就需要我们对网络信息系统的安全防护进行不断的改进，所以网络信息系统安全的解决办法不是一成不变，是需要具有针对性的改变。对于网络信息系统需要不断的根据网络技术进行调整，通过合理的方式对网络技术进行使用的同时保障信息资源的合理利用。网络信息系统是一个庞大的体系，对于其的安全技术同时是需要考虑多方面的因素的，往往一个好的防护措施都是很多種技术手段的结合。通常一个单一的技术手段的防护都存在着或多或少额定自身缺陷，所以从互补的角度来思考，还是需要将多种技术手段结合起来，这样才能保证网络信息系统全面的安全性。

参考文献：

[1]丰雷.试论计算机网络泄密的分析与对策[J].电脑知识与技术，2011（17）.

[2]李红梅，李晓利.网络信息安全防护方法的研究[J].中国科技纵横，2010（18）.

[3]龙巧玲，庞志斌.网络安全系统在涉密单位的应用设计[J].网络与信息，2010（06）.

作者简介：周立新（1966.02-），男，湖北人，本科，高级工程师，研究方向：计算机、网络、信息系统。

作者单位：长江水利委员会网络与信息中心，武汉 430010

作者：周立新

信息系统安全建设论文 篇2：

构筑企业信息系统的安全防线——企业信息系统安全建设规划探析

【摘要】随着企业信息化建设的迅猛发展，企业信息系统已成为现代企业运营的基础平台，企业信息系统的安全平稳运行，已关系到整个企业的运营和发展。未雨绸缪，如何应信息安全事件的发生，建设企业信息系统的安全防护体系，保障企业数据的安全性和信息系统的业务连续性，已成为企业信息化建设中需要重点思考的课题。本文针对企业信息系统的安全建设规划，从企业信息系统安全防护价值、企业信息系统安全建设现状分析、企业信息安全建设规划的原则和企业信息安全建设规划的部署建议等几个方面，进行了探讨和分析，旨在帮助企业提高信息系统安全建设的系统性和规范性。

【关键词】信息系统；安全建设；防护体系

1.企业信息系统安全防护的价值

随着企业信息化水平的提高，企业对于IT系统的依赖性也越来越高。一方面，“业务系统流程化”正在成为IT安全建设的驱动力。企业的新业务应用正在逐渐标准化和流程化，各种应用系统如ERP、MES为企业的生产效率的提高起到了关键的作用。有效的管控IT环境，确保IT业务系统的持续稳定运行作为企业竞争力的一部分，已成为IT系统安全防护的主要目标和关键驱动力。另一方面，企业IT安全的建设也是“法规遵从”的需要。IT系统作为企业财务应用系统的重要支撑，必须提供可靠的运行保障和数据正确性保证。

2.企业信息系统安全建设的现状分析

在企业信息化建设的过程中，业务系统的建设一直是关注的重点，但是IT业务系统的安全保障方面，往往成为整个信息化最薄弱的环节，尤其是在信息化水平还较低的情况下，IT系统的安全建设缺乏统一的策略作为指导。归结起来，企业在IT系统安全建设的过程中，存在以下几方面的不足：

2.1 安全危机意识不足，制度和规范不健全

尽管知道IT安全事故后果比较严重，但是企业的高层领导心中仍然存在着侥幸心理，更多的时候把IT安全建设的预算挪用到其他的领域。企业在信息安全制度及信息安全紧急事件响应流程等方面缺乏完整的制度和规范保证，由此带来的后果是诸如对网络的任意使用，导致公司的机密文档被扩散。同时在发生网络安全问题的时候，也因为缺乏预先设置的各种应急防护措施，导致安全风险得不到有效控制。

2.2 应用系统和安全建设相分离，忽视数据安全存储建设

在企业IT应用系统的建设时期，由于所属的建设职能部门的不同，或者是因为投资预算的限制，导致在应用系统建设阶段并没有充分考虑到安全防护的需要，为后续的应用系统受到攻击瘫痪埋下了隐患。数据安全的威胁表现在核心数据的丢失；各种自然灾难、IT系统故障，也对数据安全带来了巨大冲击。遗憾的是很多企业在数据的安全存储方面，并没有意识到同城异地灾难备份或远程灾难备份的重要性。

2.3 缺乏整体的安全防护体系，“简单叠加、七国八制”

对于信息安全系统的建设，“头痛医头、脚痛医脚”的现象比较普遍。大多数企业仍然停留在出现一个安全事故后再去解决一个安全隐患的阶段，缺乏对信息安全的全盘考虑和统一规划，这样的后果就是网络上的设备五花八门，设备方案之间各自为战，缺乏相互关联，从而导致了多种问题。

3.企业信息系统安全建设规划的原则

企业的信息化安全建设的目标是要保证业务系统的正常运转从而为企业带来价值，在设计高水平的安全防护体系时应该遵循以下几个原则：

（1）统一规划设计。信息安全建设，需要遵循“统一规划、统一标准、统一设计、统一建设”的原则；应用系统的建设要和信息安全的防护要求统一考虑。

（2）架构先进，突出防护重点。要采用先进的架构，选择成熟的主流产品和符合技术发展趋势的产品；明确信息安全建设的重点，重点保护基础网络安全及关键应用系统的安全，对不同的安全威胁进行有针对性的方案建设。

（3）技术和管理并重，注重系统间的协同防护。“三分技术，七分管理”，合理划分技术和管理的界面，从组织与流程、制度与人员、场地与环境、网络与系统、数据与应用等多方面着手，在系统设计、建设和运维的多环节进行综合协同防范。

（4）统一安全管理，考虑合规性要求。建设集中的安全管理平台，统一处理各种安全事件，实现安全预警和及时响应；基于安全管理平台，输出各种合规性要求的报告，为企业的信息安全策略制定提供参考。

（5）高可靠、可扩展的建设原则。这是任何网络安全建设的必备要求，是业务连续性的需要，是满足企业发展扩容的需要。

4.企业信息系统安全建设的部署建议

以ISO27001等企业信息安全法规[1]遵从的原则为基础，通过分析企业信息安全面临的风险和前期的部署实践，建立企业信息安全建设模型，如图1所示。

图1 企业信息系统安全建设模型

基于上述企业信息安全建设模型，在建设终端安全、网络安全、应用安全、数据安全、统一安全管理和满足法规遵从的全面安全防护体系时，需要重点关注以下几个方面的部署建议：

4.1 实施终端安全，关注完整的用户行为关联分析

在企业关注的安全事件中，信息泄漏是属于危害比较严重的行为。现阶段由于企业对网络的管控不严，员工可以通过很多方式实现信息外泄，常见的方式有通过桌面终端的存储介质进行拷贝或是通过QQ/MSN等聊天工具将文件进行上传等。针对这些高危的行为，企业在建设信息安全防护体系的时候，单纯的进行桌面安全控制或者internet上网行为控制都不能完全杜绝这种行为。而在统一规划实施的安全防护体系中，系统从用户接入的那一时刻开始，就对用户的桌面行为进行监控，同时配合internet上网行为审计设备，对该员工的上网行为进行监控和审计，真正做到从员工接入网络开始的各种操作行为及上网行为都在严密的监控之中，提升企业的防护水平。

4.2 建设综合的VPN接入平台

无论是IPSec、L2TP，还是SSL VPN，都是企业在VPN建设过程中必然会遇到的需求。当前阶段，总部与分支节点的接入方式有广域网专线接入和通过internet接入两种。使用VPN进行加密数据传输是通用的选择。对于部分移动用户接入，也可以考虑部署SSL VPN的接入方式[2]，在这种情况下，如何做好将多种VPN类型客户的认证方式统一是需要重点考虑的问题。而统一接入认证的方式，如采用USBKEY等，甚至在设备采购时就可以预先要求设备商使用一台设备同时支持这些需求。这将给管理员的日常维护带来极大的方便，从而提升企业整体的VPN接入水平。

4.3 优化安全域的隔离和控制，实现L2～L7层的安全防护

在建设安全边界防护控制过程中，面对企业的多个业务部门和分支机构，合理的安全域划分将是关键。按照安全域的划分原则，企业网络包括内部园区网络、Internet边界、DMZ、数据中心、广域网分支、网管中心等组成部分，各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。在多样化安全域划分的基础上，深入分析各安全域内的业务单元，根据企业持续性运行的高低优先级以及面临风险的严重程度，设定合适的域内安全防护策略及安全域之间的访问控制策略，实现有针对性的安全防护。例如，选择FW+IPS等设备进行深层次的安全防护，或者提供防垃圾邮件、Web访问控制等解决方案进行应对，真正实现L2～L7层的安全防护。

4.4 强调网络和安全方案之间的耦合联动，实现网络安全由被动防御到主动防御的转变

统一规划的技术方案，可以做到方案之间的有效关联，实现设备之间的安全联动。在实际部署过程中，在接入用户侧部署端点准入解决方案，实现客户端点安全接入网络。同时启动安全联动的特性，一旦安全设备检测到内部网用户正在对网络的服务器进行攻击，可以实现对攻击者接入位置的有效定位，并采取类似关闭接入交换机端口的动作响应，真正实现从被动防御向主动防御的转变。

4.5 实现统一的安全管理，体现对整个网安全事件的“可视、可控和可管”

统一建设的安全防护系统，还有一个最为重要的优势，就是能实现对全网安全设备及安全事件的统一管理。面对各种安全设备发出来的大量的安全日志，单纯靠管理员的人工操作是无能为力的，而不同厂商之间的安全日志可能还存在较大的差异，难以实现对全网安全事件的统一分析和报警管理。因此在规划之初，就需要考虑到各种安全设备之间的日志格式的统一化，需要考虑设定相关安全策略以实现对日志的归并分析并最终输出各种合规性的报表，只有这样才能做到对全网安全事件的统一可视、安全设备的统一批量配置下发，以及整网安全设备的防控策略的统一管理，最终实现安全运行中心管控平台的建设。[3]

4.6 关注数据存储安全，强调本地数据保护和远程灾难备份相结合

在整体数据安全防护策略中，可以采用本地数据保护和远程灾备相结合的方式。基于CDP的数据连续保护技术可以很好地解决数据本地安全防护的问题，与磁带库相比，它具有很多的技术优势。在数据库代理的配合下，通过连续数据快照功能实现了对重要数据的连续数据保护，用户可以选择在出现灾难后恢复到前面保存过的任何时间点的状态，同时支持对“渐变式灾难”的保护和恢复。在建设异地的灾备中心时，可以考虑从数据级灾备和应用级灾备两个层面进行。生产中心和异地灾备中心的网络连接方式可以灵活选择，即可采用光纤直连，也可采用足够带宽的IP网络连接。在数据同步方式选择上，生产中心和灾备中心采用基于磁盘阵列的异步复制技术，实现数据的异地灾备。异地灾备中心还可以有选择地部署部分关键应用服务器，以提供对关键业务的应用级接管能力，从而实现对数据安全的有效防护。

5.结束语

企业信息安全防护体系的建设是一个长期的持续的工作，不是一蹴而就的，就像现阶段的信息安全威胁也在不断的发展和更新，针对这些信息安全威胁的防护手段也需要逐步的更新并应用到企业的信息安全建设之中，这种动态的过程将使得企业的信息安全防护更有生命力和主动性，真正为企业的业务永续运行提供保障。

参考文献

[1]李纳.计算机系统安全与计算机网络安全浅析[J].科技与企业，2013.

[2]李群，周相广，陈刚.中国石油上游信息系统灾难备份技术与实践[J].信息技术与信息化，2010，06.

[3]刘仁山，孟祥宏.基于层次分析法的信息系统安全评价研究[J].河北工业科技，2013，01.

作者简介：顾宇（1977—），男，吉林吉林人，高级工程师，吉化信息网络公司软信分公司副经理，主要从事企业信息系统的建设和运行维护工作。

作者：顾宇 张辉

信息系统安全建设论文 篇3：

医疗保险管理信息系统安全建设探讨

[摘要] 运用现代信息技术建立科学的医疗保险信息管理系统在我国医疗保险制度实施过程中具有重要意义，但在实际工作中系统运行的安全性也存在一些突出问题影响其功能的发挥，应探寻有效的安全措施对医疗保险管理信息化建设安全性加以完善。

[关键词] 医疗保险管理；信息系统；安全性

随着信息技术在医疗领域的不断发展，医院保险信息化建设越来越引起人们的广泛关注和重视。医疗保险管理信息化是医疗保险管理通过建立内部及外部的信息管理平台，实现管理和运作自动化、智能化，从而达到共享信息、降低成本、提高效率、改善服务的目的[1]。医疗保险信息系统建设所发挥的日益突出的作用，不仅使人们对它的须臾不可或缺的认识越来越深刻，而且对医疗保险管理信息化建设中存在的安全问题和使其完善的措施有了越来越深入的研究。

1. 医疗保险管理信息系统

医疗保险计算机信息管理系统是一个以现代计算机技术为手段，综合通信技术、信息处理技术，以电子化、分布式社会保险信息资源为基础，以全面实现基本医疗保险的相关业务处理，信息交换的系统化、规范化、自动化及管理决策的信息化与科学化为主要目标，实现对医疗保险信息的协同处理和资源共享的大型系统工程。医疗保险信息系统是医疗保险系统中不可缺少的支持系统，以提高医疗保险管理效率及决策科学性为目的，支持高层决策、中层控制、基层运作的集成化的人机系统。医疗保险管理信息系统能利用过去及现在的数据预测未来，实测医疗保险运行过程中的各种功能情况，利用信息控制医疗保险的运行、以帮助医疗保险机构实现其规划的目标[2]。

具体来讲，医疗保险计算机信息管理系统是一个涉及医保中心、参保单位、参保职工、定点医疗机构、地税部门、财政部门、银行、上下级劳动保障部门的多部门、多层次、多种业务类型(基本医疗保险、工伤保险、生育保险、企业补充医疗保险、公务员补助保险、离休干部医疗保险、二等乙级医疗保险等)的综合业务系统。系统的安全建设对于深化社会保险制度改革，保障参保职工的权益保持社会稳定乃至树立政府形象都有着广泛的意义和影响。

2. 医疗保险管理信息系统运行中的不安全因素

医疗保险管理系统一旦投入运行，系统安全问题就成为系统能否持续正常运行的关键。作为一个联机事务系统，要求能够及时、高效、准确的处理数据和信息，防止系统网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的泄露、更改或破坏、从而有效保障信息的可用性、机密性和完整性。引起医疗保险管理信息系统不安全，即引起系统网络本身和系统的数据信息不安全的因素主要有以下两方面。

2.1系统信息网络自身的脆弱性

系统信息网络自身的脆弱性主要包括：①在信息输入、处理、传输、存储、输出过程中存在的信息易被篡改、伪造、破坏、窃取、泄漏等不安全因素；②信息网络自身在操作系统、数据库以及通信协议等方面存在安全漏洞和隐蔽信道等不安全因素；③Web服务器软件自身存在安全问题，Web应用程序安全性差；④在其他方面，如磁盘高密度存储受到损坏造成大量信息的丢失，存储介质中的残留信息泄密，计算机设备工作时产生的辐射电磁波造成的信息泄密等。

2.2系统信息网络安全面临的外部威协

系统信息网络安全面临的外部威胁主要来自：①电磁泄露、雷击等环境安全构成的威胁；②软硬件故障和工作人员误操作等人为或偶然事故构成的威胁；③利用计算机实行盗窃、诈骗、非法访问或篡改、伪造、破坏数据等目的的违法犯罪活动的威胁；④网络黑客攻击和计算机病毒构成的威胁，以及信息战的威胁等。

3. 医疗保险管理信息系统安全运行措施

要保证医疗管理信息系统的运行安全，需要采取一系列的安全管理和保护措施，建立一个完备的安全管理保护体系。该体系主要包括安全组织机构、安全管理制度和安全技术体系三个方面。

3.1安全组织机构

就是通过组建完整的信息网络安全管理组织机构，设置专职或兼职的安全管理人员，坚持“谁主管谁负责，谁运行谁负责”的原则，从而确保系统的安全性。信息安全管理组织机构的主要职责是：制定工作人员守则、安全操作规范和管理制度，经主管领导批准后监督执行；组织进行信息网络建设和运行安全检测检查，掌握详细的安全资料，研究制定安全对策和措施；负责信息网络的日常安全管理工作；定期总结安全工作，并接受公安机关公共信息网络安全监察部门的指导。

3.2安全管理制度

就是通过建立并执行一系列安全管理保护制度，以确保系统的安全。安全管理保护制度主要包括以下几个方面：①计算机机房安全管理制度；②安全管理责任人、信息审查员的任免和安全责任制度；③网络安全漏洞和系统升级管理制度；④操作权限管理制度；⑤用户登记制度；⑥信息发布的审查、登记、保存、清除和备份制度等。

3.3安全技术体系

就是通过一系统安全保护技术措施，以确保医疗保险管理信息系统的物理安全性、信息安全性和网络安全性。具体的安全保护技术措施主要包括以下几个方面：①口令保护措施。保护口令的一种方法就是口令加密；②身份认证措施，身份认证措施主要包括数字签名、身份验证和数字证明；③系统重要部分的冗余或备份措施，通常用磁盘阵列，双设备或辅助设备来实现；④计算机病毒防治措施，充分利用和正确使用杀毒软件，定期查杀计算机病毒，并及时升级杀毒软件；⑤网络攻击防范及追踪措施，可以用各类防火墙、漏洞扫描器、物理隔离器和逻辑隔离器、网页恢复产品等来完成；⑥安全审计和预警措施，主要用安全审计产品来实现；⑦系统运行和用户使用日志记录保存措施，日志记录一般需保存60天或更多时间为宜；⑧记录用户主叫电话号码和网络地址的措施。

4. 医疗保险管理信息系统安全建设中应注意的问题

4.1正确处理信息共享和信息安全的关系

医疗保险管理信息系统的运行安全性必须予以足够的重视，当然注重信息安全并不意味着不要数据共享，没有数据共享也就不存在信息系统。应该根据各部门的工作性质不同进行权限管理，对需要让本部门知道或共享的数据授予查询、修改权限，但不能查阅其他部门的资料，数据库由分管领导和信息科共同管理，有必要给其他单位提供时，需要经领导审批，这就保障了数据安全，同时也解决了资源共享的冲突。信息化建设不能只强调信息共享而忽视信息安全，而是要采用科学有效的安全机制，在保证信息安全的前提下实现最大限度的信息共享。

4.2应急预案是规避灾难事件的有效措施

医疗保险管理信息化工程一旦付诸实施，将会在很短的时间内替代手工作业，人们在熟悉计算机操作的同时，也将会逐渐忘却传统操作模式。以往需要大脑记忆的东西，现在全部由计算机代劳。在此情况下一旦遇到系统发生故障而又在短时间内难以恢复，将会严重影响正常的工作秩序。为此应该制定严格的应急预案，根据故障发生的原因和性质不同分为三类，即：一类故障属于全部网络瘫痪，短时间内难以恢复，这就需要组织协调，各部门启动手工操作，联系工程技术人员尽快进行抢修；二类故障属于单个工作站不能联网、计算机故障等，此类故障只需信息部门派技术员维护就可避免；三类故障属于上机操作人员人为因素造成，只需对个人进行培训即可解决。应急预案制定后在全部范围内进行相关预演，有了周全的准备，系统出现故障时就可从容应对，不至于造成工作秩序的混乱。

5. 结语

医疗管理信息系统的安全建设任重而道远，只有对医疗保险管理信息化安全建设进行有效组织及管理，严格抓好信息化建设质量，才能保证医疗保险业务活动正常进行，从而提高医疗保险管理工作效率及决策的科学性，对提高整体医疗保险管理水平必将产生深远的影响。

[参考文献]

[1] 田田，宋睿妍．医疗保险的信息化管理[J]．经济技术协作信息，2010，（33）：8．

[2] 周绿林，李绍华．医疗保险学[M]．北京：科学出版社，2006．153．

作者：杨爱荣 赵红梅 方芳