探討醫院信息系統數據安全威脅與防范機制

2014-02-04 23:10:33潘珩

中國藥物經濟學 2014年1期

潘珩

探討醫院信息系統數據安全威脅與防范機制

潘珩

目的探究分析醫院信息系統數據的安全威脅并有針對性的制訂防范機制。方法對我院存在的數據安全隱患以及威脅進行分析，對其提出一個衡量標準，探究醫院信息系統數據方法機制的建設。結果分析醫院數據安全的威脅因素且有針對性的制訂防范機制后，醫院信息系統出現機密數據泄露及數據篡改等問題概率有了顯著下降。結論只有將醫院自身信息系統的安全性最大程度的提升，才能保證醫院的正常運營和科學化管理。

醫院信息系統；安全威脅；防范機制

醫院信息系統（HIS）是當前現代化醫院不可或缺的基礎設施，主要包括日常醫療、經營管理、服務以及決策等多方面內容。隨著醫院信息化建設的不斷普及與開展，醫院信息系統所發揮的作用不斷增大，因此出現的安全問題也越來越多[1]。對于醫院信息系統的數據安全防范已成為關系醫院能否正常經營和管理的關鍵點。

1 數據安全威脅因素

1.1 主動安全威脅此類威脅主要是指為了達到某種特定目標所進行的一種非法數據訪問，包括惡意訪問和數據篡改兩種形式，其對于醫院信息數據的安全存在很大危害。

1.1.1 惡意訪問主要是指未經過授權以非常規的手段對關鍵數據進行訪問，以達到某種特定目的。一般情況均由于內部工作人員通過自身所掌握的權限或是植入木馬的方式，對更高級的權限進行竊取，故意避開系統訪問的控制機制對醫院的網絡設備及信息資源進行非正常使用，或通過擴大自身的權限對醫院機密或重要業務數據內容進行刺探等。最為典型的要數醫藥代表對自身所代理的藥品消費數據與醫院的藥品目錄等進行統計。

1.1.2 數據篡改是指為了達到某種非法目的，對醫院的重要業務數據內容進行非常規篡改。常見于藥房工作人員為了做平賬目對藥品的庫存進行修改；使非醫保藥物進入醫院進行使用，對醫保藥物目錄進行篡改；修改患者醫藥費，為自己“關系戶”患者“走后門”，對患者的檢查與檢驗結果進行修改；醫生為了掩蓋因自身的不當行為而導致的醫療事故，對患者的病囑和病歷進行修改。這些行為對醫院的利益和形象均會造成嚴重破壞，而修改者可從中獲益。

1.2 被動安全威脅

1.2.1 操作失誤該類錯誤主要是數據庫管理人員因疏忽而出現錯誤的操作，或終端用戶利用客戶端軟件當前所存在的程序缺陷，無意之間進行了違規操作，導致對醫院的數據信息造成暫時性甚至永久性損壞。

1.2.2 硬件故障主要是指因硬件原因使醫院信息系統的運行出現異常，主要包括網絡故障和服務器故障。導致出現服務器故障的因素有硬盤故障、主板故障等，且該故障會隨著服務器運行時間而呈現正相關聯。網絡故障主要表現為網絡不順通，大部分由于網線原因而出現此類故障。

2 醫院數據安全衡量標準

2.1 完整性醫院數據信息必須要安全、有效且精確，不會因任何不安全因素而對原來數據內容及流向有所修改或破壞。數據的完整性主要包括實體完整性、數據參照完整性及用戶定義完整性。

2.2 保密性是指醫院系統中只會對經過允許的人員提供有保密要求的信息，對此類信息的使用只能通過經過允許的方式，避免系統內部的信息出現非法泄露的情況。

2.3 可靠性醫院信息系統的數據信息，在需要時可及時使用，不會因系統故障或操作失誤等問題所影響，而出現信息丟失或信息難以使用等。對于硬件的要求應具備冗余技術和完整的備份數據以及恢復的機制；而軟件方面則需具預警和自動修復的功能。

3 醫院數據安全防范機制

3.1 權限管理對于醫院信息系統數據安全性而言，可靠的數據庫權限控制有著非常重要的存在價值。在信息系統中，不同的工作人員都應具有與自身工作匹配的權限，如果能夠隨意僭越權限進行操作，極易導致出現嚴重問題。對于此類問題主要從以下方面入手：①適當授權。對每位用戶或角色，在授權時只授予對應的最小化權限，與本身業務無關的權限則不能授予，避免因此出現越權操作，如果工作人員有離崗或崗位調動時則應將其用戶分配權限收回；②數據庫相關操作須規范。醫院的發展需不斷對自身陳舊的程序進行更換或更新，嚴格的規章制度對其進行規范就比較重要。數據信息系統因進行軟件更新時而出現問題，所以對于數據庫的操作需嚴格要求，以免出現人為錯誤操作的事件[2]。

3.2 數據加密所謂權限管理是從制度開始對于用戶的使用權限進行約束，為了避免因漏洞導致對數據庫進行非法操作的行為有所抑制，可通過對數據進行加密以達到防范的效果，即使擁有相關權限，但其加密數據依然難以破解[3]，具有顯著的防范作用。

4 結語

本文主要對醫院當前存在較為普遍的數據安全威脅現象進行分析，并根據分析的原因進行有針對性的處理，為今后保障醫院系統數據安全提供可靠依據。當前提倡現代化醫院建設，醫院信息系統數據是關乎醫院發展的重點，因此加強醫院系統數據安全防范機制的制訂有很大的必要性。

[1] 劉俊梅.醫院信息系統的現狀及其發展趨勢[J].解放軍護理雜志,2011,28(7):45-46.

[2] 杜金霞,張玲.淺談醫院信息系統的應用與發展[J].醫療裝備,2012,25(1):52-53.

[3] 張媛.無線網絡技術在醫院信息管理系統中的應用[J].醫療衛生裝備,2012,33(1):58-60.

R197.3

1673-5846(2014)01-0176-02

河南省鄭州大學第一附屬醫院，河南鄭州 450052