醫院信息系統的日常維護及網絡安全問題

摘 要：社會發展至今，人們對醫療信息的安全與隱私越來越注重，以往十年人們更多地在討論醫療信息系統防病毒、系統宕機之類的問題。而現在討論更多的是等保、容災備份、信息數據加密等問題，但雖然討論側重點不同，總體來說還是醫療信息安全和隱私性問題，醫院有責任對患者的醫療數據妥善保管，在醫療領域應用信息系統，在信息安全方面仍將面對很大挑戰，本文將圍繞網絡安全問題，結合醫院現有的信息系統，做出綜合闡述。

關鍵詞：醫院信息系統;日常維護;網絡安全問題

一、選題綜述

（一）時代背景

隨著時代的發展，醫院信息系統的應用已經越來越深入，越來越廣泛，醫療信息系統能夠將掛號變得簡單有序，能讓醫療數據的存儲與調取更加方便快捷，能節省大量時間，提高醫生工作效率和醫院管理效率，對患者長期健康情況進行記錄，支持快速檢索，讓醫療更有效用，同時對海量醫療數據的存檔調取，系統能幫助挖掘過往病例中隱藏的醫療信息價值，不斷提高醫療水平，更好地服務社會，可以說醫療信息系統的應用價值極大。

（二）醫院信息系統[1]

醫院信息系統（HIS），是Hospital Information System的縮寫， HIS可以大致分為三大塊：管理信息系統、臨床醫療信息系統、醫院信息系統的高級應用。管理信息系統（MIS）包括門診急診掛號子系統、收費子系統、藥庫管理系統等等，對患者的數據收集、處理、存儲的主體，同時也包括醫院的人事、行政等信息的收錄處理;臨床醫療信息系統（CIS）包括患者醫囑處理子系統、護理信息系統、醫學影像診斷報告處理系統等，是面向臨床醫療管理，以醫療全過程為主體的管理單元;醫療信息系統的高級應用（PACS）是將醫學圖像實時傳輸與查詢的系統，包含醫學情報、遠程診斷與教學、病案診斷記錄等。值得一提的是，還有很關鍵的電子病例系統（EMRS），電子病歷系統依附于整體的醫院信息系統（HIS），并不是獨立的新系統，但因為其重要性，通常單獨來說。

（三）醫療信息安全事故實例

2019年4月，有關部門發現湘陰縣婦幼保健站未部署入侵防護系統、防火墻及日志審計系統等問題，其行為已構成“不履行網絡安全保護義務”罪，依令整改，但該院未按規定整改，直到2019年10月，遭到黑客勒索病毒攻擊，醫院核心業務信息系統2019年所有數據和備份文件被清除，并通過內網感染到辦公終端，醫院癱瘓三天。

2019年5月，重慶永川某私立醫院服務器癱瘓，網警和技術人員勘察，該醫院未按照網絡安全制度進行，未采用網絡安全技術措施，導致被植入勒索病毒。

這樣的例子還有很多，其中很大一部分成因在于醫院安全意識薄弱，未履行網絡安全等級保護制度。

二、醫院信息系統的等級制度和具體要求

衛生部基于醫療信息安全問題，制定有相關等級制度和規范標準[2]，明確規定三級甲等醫院的信息系統原則上不低于第三級，要求簡單來說是應具備對SQL注入、跨站、掃描器掃描、webshe11攻擊檢測、盜鏈行為、拒絕服務供給防護、身份認證等14項安全功能，避免來自外部有組織團體的惡意供給，能夠發現安全漏洞和安全事件，在系統遭到攻擊或其他原因損害后，應能夠快速回復絕大部分功能。2019年5月，國家又正式發布了網絡安全等級保護制度（簡稱等保）2.0標準，如下圖1簡示。

三、對醫院信息系統安全性的策略

醫院信息系統的安全性影響因素分為硬件和軟件問題，硬件設備受損或老化導致信息系統無法有效使用，軟件受損則又分為內部泄露和外部泄露，內部泄露指醫院內部人員盜用患者信息，外部泄露是醫院信息系統有漏洞，受到網絡惡性攻擊，患者信息面臨泄漏的風險，導致醫院癱瘓，這里，也將結合上文等保的“技術要求”和“管理要求”兩方面展開闡述

（一）管理要求方面：明確醫院信息系統安全性的重要[3]

結合上述信息系統的事故實例，我們可以發現，醫院疏于對醫院信息系統的防護，很大一部分原因在于安全意識缺乏，事到臨頭才后悔不及，國家對醫療醫院對應的信息系統防護都嚴格的等級劃分，但很多醫院并沒有做到這些，據《2019 健康醫療行業觀測報告》數據統計，對15339家醫療行業相關單位的網絡信息系統進行統計，具有脆弱性和各項安全隱患的有9523家，占比62.14%，可以說我國的醫療信息系統全面處于風險狀態，醫院方面需要明確信息系統安全性的重要，積極自查，和社會上相關互聯網檢測企業合作，優化信息系統，加大警覺性，加強安全意識。

（二）管理要求方面：建立完善的網絡安全管理制度

建立完善的網絡安全制度，首先使用優秀的、具有高度防護功能的信息系統軟件，做好物理環境、防火墻建設、網絡邊界完整性檢查、入侵防范、數據及時備份等，避免出現網絡安全問題，其次，要建立完善的管理機制，將醫院信息系統的使用規范化、細化，防止網絡設備非法登陸，做好身份鑒別、訪問權限控制等要求，要求醫院內部人員嚴格遵守管理制度。

（三）管理要求方面：提高醫院工作人員的職業素養

患者信息泄露也分為內部泄露和外部泄露，內部泄露指醫院內部人員利用權限，盜用患者隱秘，利用患者信息非法獲取利益，外部則是黑客入侵、勒索非法利益，這里說的就是內部泄露，黨的十三屆全國人大常委第七次會議明確提出，泄露患者隱私的醫院相關人員要承擔相關責任，但上有政策，下有對策，醫院內部人員私自盜取患者信息的行為還時而發生，在技術上可以利用利用防火墻、審計設備和準入控制系統，實時準確記錄內部員工行為操作，做好內部監控，但要想從根本上解決內部泄露患者信息的情況，加強培訓教育，不斷提升工作人員職業素養也是必須的[4]。

四、結束語

從本文的審題可知，網絡安全即信息安全，日常維護是全面維護的基礎，也是核心維護需求，是確保醫院信息系統安全性的根本途徑，結合上述分析，從根本解決網絡信息系統的“安全性”問題，切實保障患者信息，具有非常大的意義。

參考文獻：

[1]馮佩偉.淺談醫院信息系統的日常維護及網絡安全問題[J].現代醫藥衛生，2008（22）：147-148.

[2]王贈，李偉.醫院信息系統的網絡安全管理與維護[J].通訊世界，2017（12）

[3]耿紅麗.醫院信息系統的網絡安全管理與維護[J].《中國新通信》，2017（1）：88-88，共1頁.

[4]于棟瑋.醫院信息系統的網絡安全管理與維護[J].中國高新區，2019（3）：250.

作者簡介：

劉濟源，江蘇，漢，19910203，本科，初級，醫院信息系統維護與網絡安全