基于新形勢下醫院信息安全所面臨的挑戰及應對策略探討

陶芬

[摘要] 隨著信息技術的快速發展，新技術被不斷的應用在各個行業中，醫療行業就是其中之一，但同時醫院信息化建設也在面臨新的挑戰，信息安全備受關注，要如何應對網絡信息時代帶來的機遇，通過不斷加強網絡技術，確保醫院信息安全，促使醫院得到高效運行，提升自身服務質量，已經成為醫院信息化建設考慮的問題。該文筆者根據自身工作經驗就著新形勢下醫院信息安全遇到的挑戰進行分析，并作出應對策略，為相關工作提供借鑒。

[關鍵詞] 新形勢；醫院信息安全；挑戰；措施

[中圖分類號] R47 [文獻標識碼] A [文章編號] 1672-5654（2018）05（c）-0154-02

信息安全是每一行業里企業或公司建設的重要部分，醫院信息安全管理涉及各科，如患者住院資料、病例等。而強化醫院信息安全對維護醫院日常經營有積極作用。近年來，隨著信息技術的不斷提升，醫院信息安全問題層出不窮，為醫院信息系統帶來較大的負面影響，嚴重損害醫務人員及患者的利益，不利于醫院有序開展各項醫療服務。由此可見，醫院強化信息安全管理，預防醫院信息安全遭到外界攻擊，提升醫院工作質量和效率，成為了目前醫院建設的重要內容。筆者從醫院信息安全所面臨的挑戰及成因進行分析，根據醫院實際現狀提出對策。

1 醫院信息安全所面臨的挑戰分析

隨著信息技術的發展，被廣泛應用在各個行業中，但同時信息安全問題也成為相關技術人員要思考的問題，加上醫院工作性質的特殊性，一旦信息安全系統出現問題，對醫院工作效率、工作質量等均會產生不良影響。鑒于此，為了更好地維護醫院信息安全，提升醫院信息網絡安全管理，就要將醫院信息安全遇到的挑戰做深入探究，旨在提高醫院信息安全，確保醫院正常運行。現分析在信息技術快速發展環境下醫院信息安全面臨的挑戰，具體包括以下3點：①信息安全策略及管理責任不明確：鑒于醫院工作的特殊性，對醫院信息安全管理提出來更高的要求，同時建設醫院信息安全系統也是一個繁雜的項目。現階段，大部分醫院在開展安全信息管理過程中，未能及時制定與實際相符的安全管理策略及規定，又或者是未能及時修正管理策略和規定[1]。另外，加上醫院領導者們對醫院信息安全系統建設的重視程度不足，在發生信息安全問題、風險防范等方面工作力度較為薄弱，易導致醫院信息安全出現問題，管理缺乏針對性、預防性及科學性，沒有明確管理責任制，整體而言，醫院信息安全管理效果并不令人滿意。究其原因：醫院信息安全意識淡薄。以往醫院信息系統主要處理財務信息，其應用價值非常有限。醫院相關人員信息安全意識并不高，甚至部分人員對信息安全管理并不了解。另外，醫院將大部分資金用于建設信息化系統中，但大部分偏向于建設網絡基礎設施及軟件這兩個方面，信息安全管理投入相比少了許多，且大部分管理制度未能落實在實處。

②網絡安全事件發生率高：計算機網絡技術的發展的同時，計算機病毒問題層出不窮，嚴重影響醫院正常運行。現階段，大部分網絡安全事件的發生與用戶終端和不受控的網絡導致的。醫院網絡中常見的現象有用戶終端未能及時升級系統補丁、升級病毒科、私接代理服務器、濫用外來軟件等，而不受控制的用戶終端在連接網絡后，從網絡安全角度來看，就相當于為病毒入侵打開了大門，使得病毒快速擴散。由此可見，維護醫院用戶終端安全、預防網絡危險因素的威脅及控制用戶網絡訪問是目前醫院網絡安全管理急需解決的問題。就其原因：醫院安全系統應用最復雜的MIS系統，醫院想要設計和完善信息系統，需要多個廠商的支持和協助，才能更好促使子系統的應用。但由于醫院缺乏該方面的人才，對核心技術并不了解，只能做日常維護工作，即使醫院信息安全問題也很難發現，無法從根本上解決問題。

③信息系統數據存在安全隱患：服務器發生故障會導致醫院信息網系統崩潰，服務器系統磁盤儲存大量醫院信息數據，一旦出現損壞就會出現無法彌補的后果。另外，醫院工作人員操作失誤或系統遭到病毒感染，也很有可能會將其中重要文件刪除或被篡改，導致系統信息失真。目前大部分醫院網絡安全建設過程中注重網絡建設過程中對應用系統增加了防火墻等措施，但由于各個產品間無法實現聯動，安全防護效果并不理想，出現孤島現象。除此之外，安全產品部署不均衡也是引起信息安全問題的因素之一，各個系統部署有多個安全產品，但系統邊界有安全空白，未能獲取縱深安全防護的效果。究其原因：軟件廠商責任心不強，缺少頂層設計。信息技術初步發展階段，市場規范性不足，存在惡意競爭的現象，軟件價格偏低，大部分只提供短期服務，大部分軟件廠商對安全體系沒有提供延后服務，直至今日，大部分醫院信息系統廠商為醫院設計安全體系時，只為醫院提供賬號，沒有頂層設計和審計方案，不利于后期安全系統穩定運行[2]。

2 新形勢下醫院信息安全應對策略分析

2.1 完善信息安全管理制度

①強化安全機構建設。醫院信息安全系統相關管理者要負責明確醫院信息安全管理責任，可通過設立小組，專門負責醫院信息安全，將各級負責人責任進行落實，并定期開展信息安全檢查，有助于及時發現信息安全問題。要求信息安全管理小組成員定期檢查醫院信息安全系統，并上交安全檢查報告。②信息安全技術人員可以對科室負責人進行信息系統培訓，使其更為規范的應用信息系統，提高廣大醫務人員的信息安全系統風險防范意識，為促進醫院穩定發展貢獻一己之力。③強化安全隊伍建設，不斷提升醫院工作人員信息安全防范意識。培養一支綜合水平過硬的信息安全管理團隊，確保醫院信息系統的正常運行，且在問題發生的第一時間解決問題，盡量減少信息安全系統故障對醫院的影響[3]。因此，醫院可以通過引進、培訓等渠道確定人才，增強醫院工作人員的信息安全培訓教育力度，提高醫務人員信息安全防范意識及信息系統操作水平。④完善安全制度建設，進一步優化信息安全管理措施。根據醫院實際發展階段制定的行之有效的安全制度，如網絡安全、使用安全及信息安全等制度，確保醫院有序運行。因此，醫院可以設立與該院相符的安全管理等級，明確安全管理范圍，并制定網絡相關操作及使用規則，例如出入機房管理制度，并完善網絡系統維護制度，尤其是應急措施；并建立與自身發展相符的信息安全管理策略，比如，監控網絡安全情況，或主動測試網絡安全隱患，全面提高網絡信息系統安全性。

2.2 將信息安全管理程序化，控制醫院醫學信息訪問

①信息安全管理程序化。設置符合單位的解鎖密碼“內部暗文”以保護信息，一定要記錄有關的“內部暗文”密碼的更正信息。信息更新、賬戶密碼等均由專人負責，若需要更換密碼信息科相關負責人則需向上級遞交申請表才可以做密碼修改[4]。可強化數據庫工作人員安全防范意識，例如，設置密碼，可以使用長度較長且復雜的密碼，并養成定期修改密碼的習慣。②規范權限管理。設置訪問權限，數據庫管理人員對各類數據庫做好分類，設定用戶在規定的范圍內使用權限，查閱表格、目錄或資料等信息；設置網絡防火墻及病毒防殺機制。醫院信息科管理人員要及時更新新用戶和撤銷無用賬號；另外，需要注意的是，員工在職權變化時要申請權限操作，并將申請表同意書交予信息科，信息科接到通知后才能放行權限。③促使第三方訪問控制管理科學化。要順利訪問醫院內部網絡需要將計算機IP地址和MAC地址進行捆綁后方可操作。而當第三方人員進出醫院信息科部門機房時，第一步要填寫好進出申請表格，第二步若要訪問內部網絡時，首先考慮使用信息部門計算機；若第三方人員使用自帶電腦連接醫院內部網絡是，同樣需要填寫一系列申請表格，并獲得信息部門主要負責人的簽字同意，才能訪問內部網絡。這樣的操作流程有助于確保醫院內部網絡安全，避免受到外界病毒的侵害。

2.3 提升信息系統安全技術，有效管理醫院信息安全隱患

①增強冗余技術，醫院信息系統帶動醫院各科業務系統，因此要確保網絡正常處于正常運行狀態，盡量減少因網絡故障對醫院的負面影響，導致醫院業務質量降低等現象的出現。網絡是各項數據處理和轉運的重要載體。因此，網絡的穩定對醫院醫療服務質量至關重要。而穩定的網絡則可以通過增強冗余技術來穩定，可從處理器冗余技術、模塊冗余技術等方面進行改進。②維護數據中心安全，強化數據信息加密處理技術。醫療系統中包括有數據交換、安全防護及儲存等內容。可見醫療系統數據繁雜，進行數據錄入和存儲時，也有可能導致數據失真或被非法利用，數據遭到篡改等安全隱患。為保證數據的安全性，要不斷增強數據安全保護力度，確保醫療業務系統的正常運營，為廣大患者提供高效的醫療服務[4]。另外，注重數據信息加密技術的提升，采用虛擬化技術保護各個系統及子系統的賬戶密碼，尤其是醫院核心文件，除了做常規密碼保護之外，還需文件做雙重加密，保證醫院網絡安全健康運行。③安裝安全監控系統，優化入侵檢測技術。加強信息技術部門及廠商相關工作者的溝通，對醫院信息安全運行和維護進行交流。安全監控可以應用醫院網絡進行建設，設立實時監控，并記錄各個可是終端和網絡設備運行情況，快速識別和阻止被攻擊的文件。

3 結語

綜上所述，醫院信息安全管理是一項復雜的工程，醫院應根據自身實際發展階段制定一套行之有效信息安全管理體系，通過完善信息安全管理制度，促進信息安全管理程序化及提升信息系統安全技術的方式來提高醫院信息安全管理水平，確保醫院可以為廣大患者提供高效、優質的醫療服務。

[參考文獻]

[1] 黃洋.新形勢下區縣醫院醫療信息安全管理措施[J].科技經濟導刊，2017（34）：200.

[2] 范啟勇，秦新南，陳蔚，等.探討新形勢下醫院信息系統軟件功能規范[J].中國數字醫學，2016，11（4）：37-39.

[3] 陳虹.新形勢下醫院檔案管理現代化問題及相應對策[J].黑龍江科學，2016，7（11）：124-125.

[4] 葉正強，李嘉.醫院互聯網信息安全體系的構建[J].信息與電腦：理論版，2016（23）：221-224.

（收稿日期：2018-02-28）