醫院信息系統風險分析及對策

李顥 成都市第七人民醫院

信息技術不斷更迭，為醫院的管理提供了新興的技術條件與系統平臺。醫院信息系統本身需要管理較多的信息與資源，覆蓋了醫院的所有業務，數據的積累與收集難度較大，一旦對信息資源管理不當將面臨數據丟失的危機。故此，醫院信息系統管理部門應該全面了解信息系統可能出現的各種風險，如網絡故障、人為操作失誤、數據中心服務器存儲故障等，并針對相應的風險采取合理的制定方案，進而提升信息化建設的水平。本文針對醫院信息系統風險進行展開分析。

1 分析現階段醫院信息系統風險

1.1 計算機數據機房環境與基礎設施存在風險

第一，計算機數據機房存在的風險包括：火災隱患、空調故障、雷電等突發狀況襲擊等。眾所周知，信息系統機房中需要運用多種設施設備，不僅發熱量耗費大，同時保持設備運行需要一定的溫度、濕度控制，而一旦空調故障將對設備運行的穩定性造成威脅，甚至導致系統停止運行。從一個角度來說，計算機數據機房中運行的電子設備多，使火災發生的危險系數顯著上升。同時由于信息系統機房設備以低壓為主，極易受到直接雷或者感應雷的侵襲，進而造成嚴重破壞。第二，電源系統存在潛在風險。信息系統中需要運用存儲設備、服務器設備、交換機設備等，這些設備作為維持信息系統運行的關鍵，始終要連接電源保持啟動狀態，一旦停電不僅導致機房設備停止運行，業務無法正常開展，甚至導致信息數據庫與操作庫產生故障。例如傳輸線路、市電供應、UPS電源等都存在著危險，一旦損壞將破壞信息系統。第三，網絡設備存在安全隱患。信息系統網絡設備主要包括：交換機設備、路由器設備、網路安全設備等，主要遍布于醫院信息系統計算機機房或者樓群弱電豎井之中，由于這些設備存在的位置較為特殊，因此如果一旦安裝不當將導致設備發生故障或者意外事件，安全風險系數較高，值得高度重視。

1.2 網絡安全存在風險隱患

首先，信息系統網絡邊界存在安全隱患。對于醫院信息系統來說，難免要與外界一些網絡信息產生交集，進行數據共享、信息交流等，如醫院與保險系統、銀行系統產生業務接觸，但是外部網絡系統往往不可控、不可預知，極易產生安全風險。其次，醫院內部存在網絡安全風險。由于醫院信息系統中存在的用戶數量基數較大，網絡信息分布點冗雜分散，信息用戶的層次不夠統一，因此極易受到非法用戶的入侵，導致內部網絡終端產生安全風險。

1.3 信息應用系統平臺存在風險隱患

第一，信息操作系統存在安全風險。通常情況下，醫院信息部門應用的系統為Windows、UNIX等，不管運用哪一種應用系統，運行一段時間后都將產生風險漏洞，為非法入侵者或者一些外來病毒創造了“機遇”，影響醫院信息安全。第二，數據庫系統運行存在風險。醫院信息系統的運行效率、安全性與數據平臺存在直接聯系，而數據庫本身的漏洞風險較大，因此對醫院信息系統容易造成威脅。

2 探究醫院信息系統風險管理的安全策略

2.1 加強醫院安全保障體系的有效管理

當前，網絡信息技術高度發達，對于我國大多數醫院來說，信息系統儼然已經成為不可或缺的管理工具，保證醫院的臨床醫療業務與管理業務等。然而，據相關調查顯示，醫院內部的管理不夠完善仍然威脅著信息系統的網絡安全，故此，健全醫院信息系統管理體系勢在必行。首先，要構建醫院信息安全管理組織體系，明確信息安全的負責人；其次，完善信息系統檔案資料卡，對技術資源產生的資料等加以保存，并對信息資料進行記錄建檔管理，保證在發生問題時可以“追本溯源”；第三，完善網絡安全監控系統；第四，完善信息應急管理處理方案，及時制定處理問題的辦法舉措。

2.2 完善信息系統硬件設備安全體系

硬件設施是保證醫院信息系統穩定運行的重要前提。首先，要對計算機機房環境加強管理，保證清潔干燥。對基礎設施如計算機、空調設施、監控設施、防雷擊設施、供電設施、消防設施等強化管理。要運用冗余設計調整空調設備、供電設備等，并采用雙路供電模式保證中心機房正常運行。可以說，醫院信息系統機房作為維護信息系統的“心臟”，對于機房管理人員應該加強管理，限制出入權限，并對出入行為進行詳細記錄，一旦發生問題便于及時追蹤追責。完善計算機機房控制，對機房的溫度、濕度、服務器等加強保護與維護。引進防雷擊技術，如信號防雷、電源防雷技術等，對中心機房、供電系統直接接入防雷接地設備。

其次，完善網絡與網絡設備的有效管理。要設計雙網絡基礎架構，采用雙上行連接核心交換機、匯聚交換機等，并配置雙電源模塊。最后，對于網絡安全管理，要加強內部網絡安全的管控，如完善網絡邊界安全，建立安全審計系統，網絡準入系統、日志審計系統、安全態勢感知平臺、運維審計系統等。對于網絡邊界設施安全防護系統，如防毒墻、隔離網閘等。

2.3 加強信息系統軟件安全技術

醫院信息系統軟件安全極其重要，關系著信息系統的安全運行，其主要包括醫院信息系統的健壯性、數據庫安全管理、防病毒軟件、操作系統等。

第一，對于信息操作系統來說，使用UNIX系統穩定性較強，針對可能出現的漏洞要及時修補。第二，保證信息系統的健壯性。在信息系統運行初期階段，要提升技術人員的專業能力與信息素養，全面了解醫院的信息需求，進而建立與醫院實際情況相契合的信息系統，避免由于系統不健全產生的風險隱患。第三，保證數據庫安全管理。醫院數據庫往往涉及到龐大的數據資源，因此信息部門要建立數據權限、數據備份等，加強數據安全權限管理，提升數據庫利用效率。同時，要建立信息系統客戶端應用軟件，負責辦理臨床醫療與繳費系統等相關業務，保證用戶能夠通過軟件進行業務處理，從而提供更加便捷安全的服務。最后，要加強防病毒系統的管理，可以建立網絡版防病毒系統，及時升級病毒庫，防范病毒危害。

3 結束語

在醫院信息系統管理中，經常出現各種風險，如計算機運行故障，信息系統遭侵襲，管理制度不健全等，嚴重影響醫院信息化管理的穩定運行。故此，醫院信息管理部門應該構建完善的信息系統管理模式，強化信息安全防護與信息準入門檻，及時檢查互聯網連接情況，消除信息安全可能出現的風險隱患，進而提升信息系統的安全性，保證信息系統風險管理質量，促進醫院信息化水平的不斷提升。