關于智慧醫療中信息安全運營的探討

沈為濂

作者單位：蘇州市中醫醫院信息科，江蘇 蘇州 215009

現階段，隨著云計算、大數據、物聯網等新興技術的發展，新興技術的出現為智慧醫療體系的建設提供了技術支撐，對智慧醫療體系建設的發展起到了推動作用。但是，伴隨著科學技術的應用，對智慧醫療體系的信息安全帶來了一定的威脅，智慧醫療存在著數據質量較低、敏感數據外泄以及外部惡意竊取等信息安全風險[1]。由于智慧醫療對于數據提出了集中化以及高滲透等方面的要求和標準，因此，構建有效的信息安全策略和安全運營體系，促進智慧醫療的發展已經刻不容緩。基于此，本文結合蘇州市中醫院的醫療業務集中建設管理情況，對于信息安全運營進行探討和分析。

1 智慧醫療面臨信息安全挑戰分析

現階段，隨著智慧醫療的普及，人們通過智慧醫療管理系統實現預約、遠程讀取病例等功能，促進醫院整體工作效率的提升。在智慧醫療頂層平臺建設中，涉及到網絡、通信設備、硬件、軟件以及信息資源等方面，面臨著所有領域的信息安全問題，主要由網絡安全、系統安全、數據安全以及綜合安全等構成。

第一，網絡層安全主要是指避免出現“陷門”、病毒、非法存取以及非法控制等威脅，有效制止和防御網絡黑客的攻擊，保障網絡服務不會出現中斷的現象。目前，在智慧醫療網絡通信過程中存在著一定的信息安全隱患，主要包括木馬程序、拒絕服務攻擊以及蠕蟲病毒等方面的內容。

第二，系統層安全主要是指通過有關措施保護網絡系統中的軟硬件以及系統，保障系統穩定運行，網絡服務不會出現中斷現象。

第三，數據層安全主要是指數據在采集、傳輸、存儲、交換過程中，非偶然或者惡意原因而遭到破壞、更改等問題。

2 信息安全運營的新思路

2.1 把醫療服務做到“指尖上”——中醫院移動APP安全測試

蘇州市中醫院正式推出官方APP，提高患者就診的便利化程度。該官方APP主要包括預約掛號、簽到取號等功能。同時，醫院還聯合蘇州社保以及公積金管理中心開通了醫保移動支付功能。在支付API中存在著一定的安全隱患，為了能夠保障患者的利益，需要對官方APP進行安全測試[2]。關于官方APP的安全方案主要包括軟件安全、網絡安全和管理安全三部分的內容所構成，全方位的對APP平臺進行安全性測試，從根本上保障患者的數據安全。

2.2 將風險扼殺在搖籃之中——安全風險評估

醫院醫療系統的信息安全問題還涉及到政策法規、管理、標準等方面。因此，為了能夠為醫療系統提供全方位的信息安全，必須立足于系統工程的高度，為信息系統提供安全風險評估。信息系統的安全風險評估主要是指對于計算機系統中資源缺失或者遭到破壞對整個系統造成的預計損失數量進行確定，對于威脅和風險進行評估[3]。通過對信息系統進行安全風險評估，在構建安全策略過程中提供可靠依據，提高信息系統的競爭力水平。

2.3 智慧醫療的核心——安全運營

現階段，隨著攻防的理念和技術不斷發展，需對傳統的攻防理念進行創新。同時，充分考慮醫療信息系統的運行狀況以及系統未來的發展規劃，構建全新的安全運營體系，具有智能、敏捷以及可運營等鮮明的特點[4]。智慧醫療信息安全運營管理框架主要由安全開發/測試、業務安全上限、安全運行維護以及監督檢查構成。第一，在安全開發/測試階段，系統的設計與開發是信息系統安全性實現的前提。所以，充分考慮系統安全性問題，落實所采取的控制措施，保證所有安全措施能夠正確識別、確認、準入以及批準。第二，在業務安全上線階段，合法采購產品、合理部署以及合規配置是提升智慧醫療安全性的前提。所以，對于系統上線的可行性以及存在的風險應確定[5]。第三，安全運行維護階段，日常運維是信息系統生命周期管理中重要環節，實施規范化的管理促進運維質量的提升。

2.4 網絡中的“攝像頭”——全網安全審計

全網安全審是網絡安全的重要工作內容，為保障網絡安全提供了有力手段。全網安全審計由全網數據庫審計、審計過程的還原和完善的報警和響應機制構成。第一，全網數據庫審計指構建網絡監測平臺，實現對全網的數據庫的實時審計操作、對數據庫服務器的訪問行為實時監測、記錄系統操作和數據操作、對數據庫中的越權和違規行為進行監測和報警、對重要數據庫的操作細節進行審計等[6]。第二，審計過程還原，從數據庫中提取相關的審計數據，回放當時整個通信過程，可以分析和查找系統中所存在的安全問題。同時，以此為依據制定安全規則和安全策略[7]。第三，完善的報警和響應機制。通過對日志的實時審計，系統自動匹配響應規則，對網絡中所發生安全問題進行實時報警，通過短信和郵件等報警方式將信息發送至相關人員，可以快速定位并分析事件的來源[8]。

2.5 從“要我安全”到“我要安全”的變化——安全培訓

醫院信息系統是否能夠穩定運行，面臨的安全性問題是否能夠得以解決等與技術人員的整體素質有著密切的聯系。醫院應加大對醫院信息科技術人員的培訓力度，采取現場培訓與集中培訓相結合的形式對技術人員開展培訓，強化技術人員的安全意識，讓醫院內部人員對于安全服務形成清晰的認識，掌握醫院網絡安全的架構和服務體系，全面促進技術人員整體綜合素質水平的提升，為智慧醫療保駕護航。

3 結束語

綜上所述，在當前“互聯網+”的時代背景下，智慧醫療是實現醫療信息化的最終目標。安全運營是智慧醫療的重要保障。因此，應該將安全運營納入到醫院管理中，保障信息系統安全穩定運行，使得醫療服務真正走向智能化，推動醫療事業朝著更加繁榮的方向發展。