醫院信息系統數據安全問題及其應對策略

沈 潔

（江蘇省金湖縣人民醫院 信息科，江蘇 淮安 211600）

1 保障醫院信息系統數據安全的意義

1.1 建立有效數據模型

醫院信息系統里有許多病例和使用藥物的數據，大量數據有助于醫院建立數據模型，有利于醫生有效診斷病人，并且對用藥進行掌控。例如針對某慢性疾病，通過大量病例來建立疾病模型，病例數據越多越詳細，那么建立的疾病模型就越精準[1]。這些數據模型有利于醫生對病人進行診斷，并依據診斷結果科學用藥。

1.2 使個人隱私得到保障

為了保障醫院信息系統數據的安全，所有進入信息系統人員，都必須利用本人身份賬戶才能順利進入，同時對于不同人群會設置不同權限。例如當登錄系統后被識別成醫生，就會賦予用戶關于醫囑方面的權力；當登錄系統后被識別為藥房，則會賦予用戶關于增減藥品庫存的權力。對不同人群設置不同權限，不僅可以有效保障醫院信息系統的安全，防止用戶越權進行操作，還可以避免數據庫全部展示在用戶面前，防止病人隱私被泄露，同時保障各類敏感數據的有效性與安全性。

2 維護醫院信息系統數據安全過程中遇到的問題

2.1 醫院信息系統內部隱患

醫院信息系統內部隱患是指無任何預謀地由于偶然因素導致的破壞信息系統安全的問題[2]。主要包含三方面內容：第一，由于系統研發存在不足，或者使用不恰當導致了系統漏洞，使信息完整與保密性遭到破壞。第二，醫院信息非常繁多并且龐雜，但是數據存儲必須保持精確性，而當前醫院的數據庫無法滿足此要求，醫院數據庫很脆弱，一旦破壞就很難恢復。第三，計算機技術發展非常迅速，病毒也隨之不斷發展，而醫院的殺毒軟件有其局限性，無法及時殺毒，使信息系統安全得到維護。

2.2 醫院信息系統外部隱患

醫院信息系統外部隱患則是指由于人為因素（個人或組織）或意外導致的破壞信息系統數據的安全性。主要包含三點內容：第一，一些不法分子出于某些不可告人原因，比如工業、商業目的或軍事情報等，入侵與破壞醫院信息系統，以獲取這些信息。這種入侵與破壞導致了系統癱瘓，或是泄露信息的情況發生，這種人為的破壞已經觸犯了法律。第二，由于醫院信息系統沒有對使用人員進行限制，醫務人員大多都可以進入醫院信息系統，他們的電腦的安全與否也影響了信息系統是否安全。同時，醫務人員并沒有經過系統訓練，并不熟悉醫院的信息系統，他們的某些失誤也會導致破壞信息系統安全的后果。第三，自然災害與電路障礙等外部因素，也會導致醫院信息系統的外部隱患情況發生。例如，雷擊、地震等可能會破壞計算機信息系統，導致信息丟失和被破壞；使用計算機過程中電路出現障礙也可能導致數據丟失。

3 維護醫院信息系統數據安全的應對策略

3.1 對系統安全進行保護

對系統安全進行保護，可以提供備份電源，來應對臨時斷電。機房安裝兩條甚至更多供電線路，且將各線路電源設置在不同區域。這樣，即使線路的電源出現問題，還有備用電源可以選擇，使服務器和系統可以正常運行，防止斷電導致的危害系統的狀況發生。除此之外，對數據進行異地備份，利用光纖定期傳送數據到異地存儲[3]。異地備份數據最好是放置在不同樓棟，可以長期存放，并定期查驗，保障數據的準確及安全，從而使系統穩定運行得到保障。

3.2 提高管理技術

提高管理技術可以從以下兩點來實施：一方面，運用不同權限進行管理。用戶需要先利用公用網絡，登錄權限管理的數據庫，待通過驗證，才能獲取登錄數據庫的用戶名和密碼，輸入之后才能進入用戶數據庫里。另一方面，對所有權限信息，都應該加密數據，所有使用數據庫的用戶，登陸密碼應該采用8位數以上，且是含有特殊字符的復雜密碼，并且定期更改登錄密碼。采用動態分配權限方式，嚴格認證登錄到數據庫的用戶身份，對其權限進行限制，僅授權其相關業務權限，禁止其他一切不必要業務權限。保持對所有用戶時刻進行登錄權限認證，對已辭職或已退休的人員，應立刻收回其訪問與操作數據庫的權限。在分配動態權限時，將授權設置為一次性，僅當次登錄時有效，一旦退出即可失效，權限就被收回。每次登錄時用戶都應該認證身份信息，通過后，再授予其權限。

3.3 確保信息系統數據能夠完整有效

每天醫院信息系統都會收到大量病人和藥品相關數據，在網絡傳輸過程中，這些數據都是小數據包，且是采用明碼進行的網絡傳輸，最后輸入數據庫。這種方式便利了黑客在傳輸時截取數據，得到數據內容并進行修改、刪除，導致破壞了數據的完整性，也只會獲取錯誤數據[4]。目前存在許多對數據庫進行加密的相關軟件，加密技術可以自動化管理數據，基本無需人工操作，全部都是采用數據庫的自動加密，在加密時也無需嵌套已有數據庫或程序，降低了加密成本。加密時只需要輸入簡單口令即可實現數據加密。但也有缺陷，過于頻繁的加密與解密，可能造成加密列失效，不能正常開展工作。因此在加密前應對數據庫進行測試，防止出現問題。這樣才能確保醫院信息系統數據完整有效，進一步提升數據的安全性。

3.4 加強融合技術的理論和實踐活動

實踐是檢驗技術能否保障醫院信息數據安全的標準，而加強融合技術的理論和實踐活動，就需要建立高素質人才團隊，這就需要大量技術理論的掌握和相關經驗的積累。在前期培養中應該深度融合技術理論和實踐，這樣既檢驗了理論的可行性，也使技術人員進行了經驗的積累，提升了人員技術實力[5]。培養人才隊伍，既要求有技術純熟的操作工，也要求有優秀領導進行帶領和指導。只有堅持做到這些，才能全方位保障醫院的信息系統安全。

綜上所述，有序開展醫院的日常工作，就需要依賴于醫院信息系統的正常運轉。為使醫院服務能力得到提高，使患者醫療信息安全得到保障，醫院就必須對醫院信息系統數據安全重視起來。在管理醫院信息系統安全過程中，應該以人為本，運用高新技術，采用各種手段對信息系統安全和高效運轉進行保障。