基于風險管理的醫院信息系統安全研究

摘要：針對醫院信息系統面臨的安全問題，引入基于風險管理的安全理念，詳細解析了醫院信息系統安全風險管理概念，梳理總結了醫院信息系統存在的安全風險，系統建立了集技術、管理和人員的三維風險控制機制。

關鍵詞：醫院信息系統；安全風險管理；安全風險識別；安全風險控制

隨著信息技術的快速發展，為優化醫院業務流程和提高醫院工作效率，醫院信息系統（Hospital Information System，HIS）的應用深度和廣度不斷深入擴展，為患者提供了便利的就醫服務體驗，也為醫院的管理決策層提供了更加準確和及時的數字支撐。與之同時，醫院的業務開展和工作管理對信息系統的依賴程度越來越高，HIS的任何一個故障都可能引發多米諾骨牌效應，造成系統癱瘓從而影響正常醫療和管理工作的正常進行。因此，如何確保醫院信息系統運行穩定、安全、可靠、不間斷成為亟待解決的問題。研究與實踐表明：在當前復雜的、分布式網絡環境下，信息系統安全風險總會存在，僅僅依靠安全技術和安全產品不能解決所有的安全問題。因此，采用風險消除的方法很難實現安全性，可行的方法是將基于風險的安全理念引入到保障信息系統安全的過程中，對整個信息系統進行風險管理。

1 HIS安全風險管理

醫院信息系統指利用計算機軟硬件技術、網絡通信技術等現代化手段，對醫院及其所屬各部門的人流、物流、資金流進行綜合管理，對在醫療活動各階段中產生的數據進行采集、存儲、處理、提取、傳輸、匯總、加工，并生成新的有利用價值的各種信息，為醫院整體運行提供全面的、自動化管理及各種服務的信息系統[1]。我國醫院管理信息系統的發展從上世紀80年代開始起步，經歷了單機單任務、局部聯網信息系統和全院數字化信息系統等三個發展階段。與之相適應，信息系統安全風險管理理論與實踐也經歷了從單體計算機到計算機網絡再到網絡化信息系統基礎設施，從只重技術發展到技術發展與管理創新并重，從只關注單一安全屬性到關注多種安全屬性的協調發展的全面綜合管理階段。

HIS安全風險管理注重對信息系統信息安全的動態管理，可以看成是一個圍繞著控制HIS安全風險的安全決策過程，主要包括風險識別和風險控制兩個重要階段，其最終目的是通過主動地、系統地、全程地對系統安全風險進行識別與監控，從而達到降低系統風險、減少風險損失，增強系統抵御風險的能力。

2 HIS安全風險識別

安全風險識別是安全風險管理的首要和重要環節，安全風險管理過程中的其它環節都必須以風險識別的結果為基礎。安全風險識別的目的是辨別系統所面臨的安全風險是什么，明確各安全風險因素之間的相互影響及層次關系。文獻[2]將影響HIS安全風險的因素歸納為物理、數據、網絡、應用和管理等安全風險；文獻[3]認為HIS面臨的風險源于自然和人為因素；文獻[4]認為HIS功能的發揮受到人員、設備、系統、服務、網絡和數據等安全風險因素制約。在現有研究的基礎上，本文將HIS安全風險總結歸納為自身、人員和管理等三方面因素。

2.1自身因素 系統自身因素是影響系統功能發揮的決定性因素。信息系統的復雜性以及網絡技術的快速發展，都使得HIS的安全問題難免百密一疏，系統和數據的安全問題十分嚴峻。自身因素主要包括軟件和硬件等兩方面，其中軟件方面的安全風險如系統可靠性，無論信息系統功能有多么先進全面，若可靠性指標達不到要求，系統安全將得不到保障，甚至完全失效，包括服務可靠性和數據可靠性；硬件方面的安全風險又分為系統終端和網絡設備安全，如醫院信息網絡環境逐步由封閉隔離走向了開放互聯，接入互聯網成為公共信息平臺的重要組成部分，并為患者提供網上醫療服務，網絡物理和邏輯范圍的拓展加大了網絡的安全隱患，使得網絡管理和維護的難度增加[5]。

2.2人員因素 安全風險的人員因素包括醫生、護士、醫技人員以及行政管理人員等。各類操作、使用、維護人員的熟練程度、技術水平都將影響到系統的安全運行。統計顯示，大多數信息系統安全風險是內部的人為因素造成的，比如操作人員的違規操作或誤操作，對信息安全策略理解掌握不夠，對安全操作規程執行不力，或者專業技能無法滿足安全操作需求，安全配置不當造成的安全漏洞以及惡意修改數據等，管理人員對醫院流程了解不全面，決策不當將造成信息系統建設與現代醫院的業務流程不相適應，從而導致信息資源大量浪費的風險。

2.3管理因素 系統建成后，對系統的組織管理就成為影響系統安全運行的主要因素。例如：沒有明確查找故障流程，沒有明確分工，沒有技術牽頭人，沒有總結應對各種故障的技術恢復方案，沒有決定是否啟動應急預案等諸多管理問題對系統安全穩定運行和故障及時處理都是現實存在的安全風險。HIS的管理可以區分為宏觀和微觀管理等兩個層次。宏觀管理重在統籌管理全局，重在建立健全各種\"管理體系\"，發揮\"體系\"的作用實現對系統使用的一體化管理，主要包括建立健全組織管理體系，系統設備的整體運籌、調度和分配等組織領導活動，系統安全的整體性運籌和管理；技術管理是指在技術層面實施的管理活動，包括異地連接、面向服務架構帶來的安全認證問題，系統設備的技術管理與維護，數據的完備性、準確性、時效性和安全性，軟件的兼容性及拓展性等等。

3 HIS安全風險控制

安全風險控制是HIS安全風險管理過程中的最后一個環節，也是安全風險管理研究的最終目的，是安全風險管理活動的核心。HIS安全風險控制是在風險識別與評估的基礎上，利用相關的技術和管理措施消減或化解安全風險，減少風險事件發生的概率和降低風險損失程度，使風險控制在可承受的適度的風險程度之內，以保證HIS的相對安全。風險識別不是漏洞掃描，相應的風險控制也不僅僅是技術改進。因此，筆者認為HIS安全風險控制應從技術、管理和人員等方面著手，建立全面的控制機制，從而確保安全目標的達成。

3.1技術控制是信息系統安全風險控制的執行力 技術是信息安全的基礎，技術控制是信息安全風險控制的執行力。在人員行為很難控制的地方，強制的技術控制可以保證安全策略的實現[6]。針對HIS安全風險控制而言，①對核心的數據庫服務器運用高性能防火墻保護；②對整個系統部署統一的防病毒軟件，安裝網絡入侵檢測系統加強對入侵行為的監控；③對異地連接的系統要運用數據加密技術；④對應用系統要強化口令和賬號設置，提高對使用人員的身份鑒別與認證的可靠性；⑤強化對重要業務系統的操作審計；⑥重要數據進行異地備份存儲。

3.2管理控制是信息系統安全風險控制的推動力 管理控制是實施風險控制而采用的正式的、基于信息的例行程序和步驟，是實現信息系統安全風險控制的推動力。對HIS安全風險進行持續性控制，①必須有嚴格的管理制度作保證。將有效的風險控制活動，用條文的形式固定下來，作為HIS安全管理規章制度，并依據現實情況和發展需要，制（修）訂各種規章、大綱、教范、標準、細則、規定和具體實施辦法，明確各類部門和操作人員的任務分工、崗位職責、操作程序、訓練方法、管理要求和檢驗標準，使對安全風險形成經常化、制度化的控制機制；②建立完善的應急預案。醫院相關部門應研究制定完備的風險事件應急預案并組織所屬單位和個人進行演習演練，對可預測的風險事件做到有備無患。

3.3人員控制是信息系統安全風險控制的保證力 人員控制是信息系統安全風險控制的保證，實現對指揮信息系統安全風險的持續性控制，離不開相關人員的參與。①需要教育和培訓HIS相關使用人員，增強他們保護系統資源和不斷進行風險控制的意識，提高他們的相關知識和技能，使他們具備安全操作、感知風險和處理風險的基本能力和素質，使他們能勝任角色并承擔相應的責任；②必須加強對所有操作人員的信息安全制度和操作規程的普及。從安全識別出發，落腳于風險控制，充分利用和發揮管理人員、技術人員及決策者的知識、經驗和綜合能力，科學分析HIS所面臨的風險，在風險因素不確定的狀態下做出合理的判斷和選擇，將信息系統的安全風險降低到可以控制和接受的水平，將安全事故及時扼殺在萌芽中。

參考文獻：

[1]陳險峰.醫療機構醫務人員三基訓練指南.醫院管理分冊[M].南京：東南大學出版社，2005：229.

[2]黃慧勇，黃冠朋，胡名堅.醫院信息系統安全風險與應對[J].醫學信息，2009，22（6）：821-823.

[3]馮彥如.醫院網絡中的安全風險與防范措施[J].山西科技，2010，25（5）：49-50.

[4]孫悅生，黃彪.醫院信息系統風險分析與控制[J].社區醫學雜志，2008，6（20）：6-7.

[5]黃昊，曾凡，王琳華.開放環境下的醫院信息系統安全[J].重慶醫學，2009，38（21）：2654-2655.

[6]劉建廣，張磊，劉朝暉，等.醫院信息系統（HIS）網絡安全保障分析[J].中國醫藥導報，2009，6（25）：103-106.編輯/申磊