除了通过采取各种各样的安全技术措施来提高信息系统的稳定运行的能力，也需要制订业务持续性计划和灾难恢复计划，制定相应的安全策略、加强人员安全管理等。只有将信息安全的管理体系化、建立统一的信息安全管理体系、落实各项管理制度、制定合理的安全策略、采取有效的防范措施，才能切实保障卫生信息系统的安全、稳定、正常地运行。

信息系统安全等级保护体系主要由四大类组成。

(1)信息系统安全等级保护的法律、法规和政策依据。

(2)信息系统安全等级保护标准体系。

(3)信息系统安全等级保护管理体系。

(4)信息系统安全等级保护技术体系。

(1)物理安全：包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

(2)网络安全包括结构安全、访间控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。

(3)主机安全包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。

(4)应用安全包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。

(5)数据安全、数据备份和恢复包括数据完整性、数据保密性、数据备份和恢复。

病历数据为医院敏感数据，电子病历信息数据不应随意对外拷贝或导出，医院内部合理查询或科研要求应备案，在安全、合理的情况下进行协助。如随意拷贝导出，会形成电子病历信息安全隐患。

(1)CA数字证书的管理问题。

(2)电子病历修改后的留痕。

(3)CA数字认证后的应急机制。

(4)电子签名应用的管理。

(5)无纸化的电子病历信息安全。

(1)通过防火墙、信息加密、访问控制等保护患者隐私。

(2)公共场所的患者隐私保护。

(3)敏感病历的处理。

对医院网站的攻击已经由网络层转向应用层。常见的八种攻击包括：

(1)网页木马：直接控制网站主机或者借此攻击访问者客户端；

(2)SQL注入漏洞：数据库信息窃取、篡改、删除；

(3)Cookie注入：数据库信息窃取、篡改、删除，控制服务器；

(4)跨站脚本漏洞：用户证书、网站信息、用户信息被盗；

(5)缓冲区溢出：攻陷和控制服务器；

(6)表单绕过漏洞：攻击者访问禁止访问的目录；

(7)文件上传漏洞：主页篡改、数据损坏和传播木马；

建议部署Web应用防御设备，实现对Web应用系统面临的安全威胁进行7×24h实时监控，主动防御来自各个层面的恶意攻击，提升医院Web应用系统的可持续服务能力。通过Web应用防火墙的部署，可以解决医院面临的常见应用安全问题，如SQL注入攻击、跨站攻击(XSS攻击，俗称钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、应用层DDoS攻击等，防止Web应用系统被攻击、被挂木马等严重影响形象的安全事件发生。

为了解决内网与外网之间信息共享的需求，目前较成熟的网络隔离及数据传输产品是网闸。网闸的数据交换原理是摆渡机制，所以，只是在内网与外网之间把要传输的数据进行摆渡交换。这样可以保证在任意单位时间，内网与外网的终端之间没有任何能够通信的物理连接或逻辑连接，无法传输命令。内网与外网的终端之间不满足信息传输协议，也就不存在依据协议的数据包转发，只有数据文件的无协议摆渡。