基于等級保護醫院信息安全防護

（中國人民解放軍第九四九醫院，新疆 阿勒泰 836500）

一、引言

21世紀，信息化技術已逐漸深入到大眾日常生活中，不論是智能化支付或是智能化醫院就診等功能都逐步滲透，醫院也從人工式操作朝著遠程醫療、移動醫療、人工智能等方向發展，力求建立互聯網+醫療創新模式。醫院信息系統是日常就診業務開展的必要性前提，臨床醫師可直接通過電腦操作將就診病人的藥物信息傳達至配藥室，既具有便捷性也具有可操行性[1]。但是，一旦醫院信息系統故障，便會直接影響到醫院正常業務，加之，醫院信息系統中存有大量病人信息，一旦泄露便會造成不堪設想的后果。因此，加強醫院信息安全等級防護是優先且必要性措施。

二、醫院信息安全防護策略

1.技術策略

1.1 網絡安全

網絡安全主要涉及醫院等級保護措施中基礎設施及基礎設備。醫院的網絡通信分散點較為復雜，覆蓋面較廣，因而需針對網絡布線、機房位置等相對固定的設施聯合網絡的可用性、高效性等重點劃分安全防護的區域，并且依據醫院等級安全防護的具體情況，增設邊境網絡安全設備，消除網絡通信單點，進而確保醫院信息網絡安全的合理性。

1.2 物理安全

物理安全則是指針對醫院中心機房物理場所的安全性。醫院中心機房是醫院信息整理的集中地，也是醫院信息系統的核心區域，因而需依據中心機房的具體位置嚴格控制周圍物理環境。與此同時，還需增設中心機房的門禁管理，限制無關緊要人員進出，同時控制高低層次管理人員進出次數，降低中心機房的人為干擾概率。

1.3 系統安全

系統安全是針對醫院全體醫務人員身份訪問、授權策略等方面的安全防護。醫院醫務人員必須采用真實信息登記，以保密性較強的密碼和IP地址綁定自己的通訊端口，進而限制外部網絡進入。醫院信息安全網絡系統分布式授權策略則針對醫院不同管理階級的責任人所設定的節點、層級、權限等管理模式。

1.4 數據安全

數據安全則是醫院重點安全防護對象。數據信息是連接醫院與病患、醫護人員。即管理人員的核心資源系統，數據安全等級保護建設需要制定詳細且分明的備份策略，即在一般情況下，醫院需采取‘近—遠—離—異’與“熱冷”結合的數據安全保障策略，進而通過醫院數據對所有備份數據進行系統化的安全防護，避免出現邏輯錯誤或其他不可抗力的干擾[2]。

1.5 應用安全

醫院在進行系統整合并建立用戶管理系統時，需注意信息安全防護系統的應用安全。應用系統可通過用戶管理系統進行授權、儲存、分布式管理等。其中論證策略和統一儲存策略是以組合形式出現，可將醫院用戶數據庫的所有數據按統一儲存方式實行有效安全防護。

2.管理策略

2.1 強化信息安全意識

信息安全意識是信息安全防護的必要性前提。醫院醫護人員必須保持“信息化工作必須安全”的觀念，杜絕外在因素影響，提升自身戒備心和警覺心，以確保信息安全防護策略的有效實行。與此同時，還可提升信息安全防護的敏感性，以防微杜漸。

2.2 人員規范化培訓

醫院信息安全防護必須要有專門的安全管理隊伍執行，加之，信息安全等級保護屬于長期系統工程，需借助于長期且變幻莫測的制度測定，提升醫院信息科人員的專業能力和防范意識。同時，醫院還需對信息科人員進行系統化培訓，以提高其專業技能和醫院整體信息安全水平。

2.3 加大安全管理投入

醫院需撥付大量資金用于信息安全防護管理，同時還需設定專項針對安全防護的經費明顯改善用于網絡系統維護的經費投入量，同時重視醫院信息安全防護制度的建立[3]。

3.運維策略

傳統的運維管理模式本身便具有潛在性的安全隱患，而且伴隨信息化技術的持續性發展，醫院信息安全防護策略也需進行適當調整，提高信息安全防護的復雜性。醫院網絡應用系統且透明化的運維動態監控，可實時反應醫院信息安全系統的整體運營情況，從而提升醫院信息系統的安全運維能力。

4.持續發展策略

醫院信息化發展最重要的保障便是持續性發展，信息安全防護系統只有在信息系統屬于較高安全水平和穩定安全狀態下才能完全發揮效用，因此，醫院需要滿足三級安全等級保護的具體要求，才能正確建立安全保障防御體系，同時強調安全信息規章制度的全面性和常態化。互聯網+醫療屬于新型醫院診療模式，而這也要求醫院信息防護系統具有持續發展性。由此可知，醫院系統安全運行與科室的評優體系、信息科人員專業能力、信息安全防護策略等皆有一定聯系。

結語

大數據時代下，由于云計算、物聯網、移動互聯網等新技術的推動，使醫療行業逐漸進入到“更新換代”的時代，與此同時，醫院便將信息安全防護擺到重點監護位置，并通過建立制度、極大扶持、培育人才等手段強化醫院信息系統安全水平，以確保在“互聯網+醫療”環境下完成等級保護工作。