醫(yī)院網(wǎng)絡(luò)與信息安全體系建設(shè)探討

趙芃芃

摘要：隨著信息技術(shù)在醫(yī)院建設(shè)中的應(yīng)用越來越多，醫(yī)院對(duì)信息技術(shù)的依賴也越來越大。從這種情況出發(fā)，網(wǎng)絡(luò)信息系統(tǒng)能夠復(fù)蓋醫(yī)院所有部門，大大提高部門醫(yī)療工作的效率。但是，為了充分利用信息技術(shù)的好處，醫(yī)院也必須意識(shí)到隱患，即網(wǎng)絡(luò)和信息安全問題。比如網(wǎng)絡(luò)系統(tǒng)受到非法攻擊，醫(yī)療數(shù)據(jù)信息丟失，會(huì)對(duì)醫(yī)院的工作產(chǎn)生負(fù)面影響。因此，建設(shè)醫(yī)院網(wǎng)絡(luò)和信息安全體系具有重要意義。

關(guān)鍵詞：醫(yī)院網(wǎng)絡(luò);信息安全;體系建設(shè)

1醫(yī)院網(wǎng)絡(luò)與信息安全問題

1.1病毒攻擊

在建設(shè)網(wǎng)絡(luò)信息管理系統(tǒng)時(shí)，大多數(shù)醫(yī)院雖然建立了相對(duì)獨(dú)立的本地網(wǎng)絡(luò)，但由于操作系統(tǒng)的脆弱性，計(jì)算機(jī)病毒也在相對(duì)開放的網(wǎng)絡(luò)環(huán)境中受到攻擊。近年來，隨著信息技術(shù)的飛速發(fā)展，計(jì)算機(jī)病毒的未經(jīng)授權(quán)的可執(zhí)行性和破壞性也有所提高。醫(yī)院網(wǎng)絡(luò)信息管理系統(tǒng)一旦感染病毒，容易陷入困境，會(huì)進(jìn)一步影響醫(yī)院工作的發(fā)展。

1.2入侵和訪問

出于不合理的目的，罪犯利用技術(shù)手段進(jìn)入醫(yī)院網(wǎng)絡(luò)系統(tǒng)獲取有關(guān)醫(yī)院的信息。結(jié)果，醫(yī)院重要信息容易泄露，醫(yī)院信息資源被濫用。一些外部人士異常訪問醫(yī)院信息系統(tǒng)，偽造或竊取醫(yī)院系統(tǒng)的信息，而不影響網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，在一些網(wǎng)絡(luò)安全性較低的醫(yī)院更是如此。此外，一些非法分子將利用技術(shù)手段截獲從醫(yī)院網(wǎng)絡(luò)系統(tǒng)傳輸?shù)男畔?，以達(dá)到非法獲利的目的。

1.3信息丟失

醫(yī)院的日常工作產(chǎn)生了大量的信息。在新形勢下管理網(wǎng)絡(luò)時(shí)，各種信息往往以電子文檔的形式存儲(chǔ)。但部分醫(yī)院信息管理系統(tǒng)存在漏洞，操作過程中信息異常丟失。如果丟失的信息包含有關(guān)病例的重要信息，則容易對(duì)患者的治療產(chǎn)生負(fù)面影響。

2醫(yī)院信息安全體系存在的問題

2.1安全設(shè)施有待完善

醫(yī)院現(xiàn)在適應(yīng)時(shí)代潮流，其網(wǎng)絡(luò)逐漸發(fā)展為開放狀態(tài)。要確保網(wǎng)絡(luò)安全，必須配置特定的安全設(shè)備。在衛(wèi)生部發(fā)布的一系列政策的支持下，醫(yī)院設(shè)置的安全設(shè)備整體滿足各項(xiàng)業(yè)務(wù)需求。但在實(shí)際應(yīng)用中發(fā)現(xiàn)，雖然一些醫(yī)院設(shè)備在線，但缺乏配套的管理系統(tǒng)，甚至一些醫(yī)院也不重視設(shè)備的后續(xù)控制，沒有適當(dāng)?shù)陌踩O(shè)備，只有一種類型的安全設(shè)備，醫(yī)院網(wǎng)絡(luò)實(shí)際上處于無保護(hù)狀態(tài)。一些醫(yī)院的網(wǎng)絡(luò)接入是隨機(jī)的，信息的流通和交流過于順利，造成了一些安全風(fēng)險(xiǎn)，必然會(huì)對(duì)醫(yī)院的信息安全造成重大威脅。

2.2信息安全管理體系不完善

雖然大多數(shù)醫(yī)院主管都認(rèn)識(shí)到信息安全的重要性，但信息安全管理的要求過于抽象，沒有具體的標(biāo)準(zhǔn)。整個(gè)醫(yī)院的信息安全管理沒有一套完整的方法和標(biāo)準(zhǔn)來制定統(tǒng)一的共同政策、戰(zhàn)略、管理程序和組織規(guī)劃等。

醫(yī)院雖然制定了一些信息安全管理準(zhǔn)則，但這些準(zhǔn)則往往強(qiáng)調(diào)某一部門，但只注重某一方面的管理。它們過于片面，沒有總體規(guī)劃，缺乏長期有效的監(jiān)督機(jī)制，缺乏總體協(xié)調(diào)和總體設(shè)計(jì)，忽視了部門間的關(guān)系和信息安全管理的重要性。

2.3信息安全人力資源問題

2.3.1人員存在配置問題

目前，設(shè)有信息部門的醫(yī)院只有2-5名IT員工，負(fù)責(zé)處理整個(gè)醫(yī)院數(shù)百名員工的工作，并處理全國各地分支機(jī)構(gòu)和辦事處的信息安全事件。這些人負(fù)責(zé)信息安全預(yù)防、培訓(xùn)和進(jìn)修、風(fēng)險(xiǎn)評(píng)估和醫(yī)院范圍的政策制定。醫(yī)院產(chǎn)生的信息越來越多，信息安全事件也越來越多。關(guān)于目前的人事表，整個(gè)團(tuán)隊(duì)壓力太大。

2.3.2信息安全人員專業(yè)化程度低

現(xiàn)有醫(yī)院信息安全人員缺乏相應(yīng)的專業(yè)教育和技術(shù)能力，也不能完全理解信息安全體系的構(gòu)建方案。有些信息部門甚至兼職，沒有行業(yè)認(rèn)證，更不用說國內(nèi)和國際認(rèn)證了。此時(shí)，信息安全組織統(tǒng)一，信息安全管理只注重技術(shù)基礎(chǔ)，成員職責(zé)和分工不明確，幾乎沒有管理體系，已經(jīng)不能滿足當(dāng)今醫(yī)院高信息安全的需求。

2.4組織管理安全不足

關(guān)于組織安全，大多數(shù)醫(yī)院都有專門的安全管理組織，重點(diǎn)是信息安全管理。但大多數(shù)醫(yī)院的組織管理并不完善，與自己的工作仍存在不一致之處。有的醫(yī)院沒有應(yīng)急管理系統(tǒng)，實(shí)施管理系統(tǒng)的效果不理想，安全管理系統(tǒng)只是形式上的。一些醫(yī)生在組織和管理方面投入的人力和財(cái)力資源不足，也導(dǎo)致缺乏足夠的安全保障來跟蹤該系統(tǒng)，無法顯示其最大價(jià)值。

3醫(yī)院網(wǎng)絡(luò)與信息安全體系建設(shè)策略

3.1總體設(shè)計(jì)安全體系

為確保醫(yī)院信息安全的穩(wěn)定性、效率、可靠性和可控性，首先應(yīng)制定醫(yī)院信息安全系統(tǒng)設(shè)計(jì)的綜合方案，全面考慮信息安全信息安全設(shè)計(jì)思想。從系統(tǒng)工程的角度來看，設(shè)計(jì)和構(gòu)建一個(gè)強(qiáng)健的信息安全系統(tǒng)，以滿足不斷增長的醫(yī)療、財(cái)務(wù)、管理等業(yè)務(wù)需求。全面的信息安全戰(zhàn)略應(yīng)結(jié)合外部安全和內(nèi)部網(wǎng)絡(luò)安全。關(guān)于信息化建設(shè)的發(fā)展，需要地方網(wǎng)絡(luò)與醫(yī)院廣大網(wǎng)絡(luò)之間的信息互動(dòng)，重點(diǎn)是網(wǎng)絡(luò)邊界的安全保障。在醫(yī)院信息網(wǎng)絡(luò)中，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)必須采取物理隔離策略。防火墻和安全隔離網(wǎng)關(guān)可用于內(nèi)部和外部網(wǎng)絡(luò)接口，實(shí)現(xiàn)物理隔離之間邏輯連接的效果，實(shí)現(xiàn)內(nèi)部和外部網(wǎng)絡(luò)之間的數(shù)據(jù)通信。

3.2建立認(rèn)證技術(shù)防護(hù)層

在醫(yī)院建立計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)時(shí)，可以設(shè)置一個(gè)認(rèn)證技術(shù)防護(hù)層，有效防止病毒入侵或外部攻擊。一般而言，這些安全技術(shù)的應(yīng)用包括三個(gè)內(nèi)容：第一，數(shù)字摘要，即通過特殊編程方法進(jìn)行編碼，然后是將摘要代碼附加到信息中。第二，數(shù)字信封，即醫(yī)院生成的信息，存儲(chǔ)在特定的數(shù)字信封中。只有通過拆封方法才能知道內(nèi)容，拆封方法是醫(yī)院的內(nèi)部秘密，而罪犯往往對(duì)此一無所知。第三，數(shù)字簽名，即使用信息時(shí)的一種特殊認(rèn)證方法，只有特殊用戶才能訪問相關(guān)信息內(nèi)容。創(chuàng)建認(rèn)證技術(shù)的安全級(jí)別意味著在醫(yī)院信息管理系統(tǒng)中添加保護(hù)層，以提高醫(yī)院網(wǎng)絡(luò)和信息的安全性。

3.3應(yīng)用層安全解決方案

防病毒技術(shù)：病毒是系統(tǒng)中最常見和最具威脅性的安全風(fēng)險(xiǎn)，一項(xiàng)重要任務(wù)是為信息網(wǎng)絡(luò)系統(tǒng)構(gòu)建全面的防病毒系統(tǒng)。防病毒客戶端安裝在系統(tǒng)的關(guān)鍵節(jié)點(diǎn)上，例如在關(guān)鍵服務(wù)器、工作站和網(wǎng)絡(luò)管理終端上，防病毒客戶端可以交互運(yùn)行，以掃描和銷毀病毒并設(shè)置防病毒策略，可以多層次防止病毒。

結(jié)束語

總之，在利用信息技術(shù)提高醫(yī)院效率方面，建立網(wǎng)絡(luò)和信息安全體系具有深遠(yuǎn)的影響。因此，醫(yī)院必須明確了解網(wǎng)絡(luò)和信息安全，合理利用各種保護(hù)技術(shù)構(gòu)建網(wǎng)絡(luò)和信息安全系統(tǒng)，通過系統(tǒng)管理和人力資源管理實(shí)施適當(dāng)保護(hù)，不斷降低醫(yī)院網(wǎng)絡(luò)和信息安全問題的可能性，更好地發(fā)揮網(wǎng)絡(luò)信息技術(shù)的優(yōu)勢。

參考文獻(xiàn)：

[1]袁駿毅，潘常青，宓林暉.基于等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系的醫(yī)院信息化安全建設(shè)與研究[J].中國醫(yī)院，2021，25（1）：72-73.