數字化醫院信息安全建設與管理策略

◆賈維

數字化醫院信息安全建設與管理策略

◆賈維

（淮安市第二人民醫院信息中心 江蘇 223002）

進入21世紀后，我國醫療體制改革進入深化階段，在經濟、科技進步下醫院管理變得更加科學、規范。在信息時代背景下數字化管理建設逐漸成為醫院發展主流方向，但是令人遺憾的是我國數字化醫院建設還存著諸多問題，主要表現為數字化管理制度不嚴格，信息技術差距過大，安全體系落后等等，這些問題嚴重影響了我國數字化醫院建設。為此，筆者結合自身多次參與數字化醫院管理建設，淺議現階段我國數字化醫院信息安全建設存在的具體問，并提出優化解決方案，意在幫助其他醫院數字化建設者提供參考意見。

數字化技術；醫院管理；網絡建設；優化策略

伴隨著我國科學技術的發展，信息技術逐漸融入我們生活之中，不僅給人們生活生產活動帶來了極大便捷，還為醫療改革帶來了全新契機。若醫院管理人員能夠將數字化技術融入醫藥管理、引導服務、醫生診療等諸個重要環節和節點，可以有效提升醫院醫療效率，持續降低醫護人員工作壓力，讓醫院管理工作更加科學且規范。但是由于數字化技術應用維度較廣、系統集成性較強、創新上線高、管理項目種類多、系統開發難度大、網絡安全問題嚴峻，很多醫院在應用數字化管理方法時反而會暴露出一些體制改革上的問題。

1 數字化醫院信息管理現狀分析

1.1 網絡安全投入有限

數字化醫院信息安全建設是一項需要消耗大量時間、精力、資源的系統性工程，在信息時代背景下，每個患者的個人信息很容易在不法分子竊取，想要保障患者個人信息，需要從管理規則、數字化制度、醫護人員網絡安全意識三個方面綜合進行提升，才能夠保障患者信息安全，但是能夠做到此層次的大多數是三甲醫院，而其他醫院網絡安全投資十分有限。部分醫院仍在使用傳統醫院網絡安全辦法，將醫院與外界互聯網相隔絕，讓醫院網絡構成一個系統局域網，在沒有外界干擾下保障患者信息安全[1]。這種方法在設計理念階段雖然十分合理，而且造價成本較低，但是實際應用過程中就會出現很多問題，如數字化管理的優勢就是在于信息傳播速度快、互聯網信息儲存量大、與其他醫院醫生交流無障礙等，但是在局域網下醫生只能完成門診信息確認、醫藥開方、醫療病史調取、患者繳費詳情幾個簡單的功能。而且整個醫院依托局域網絡信息互傳軟件，很容易產生系統垃圾降低信息傳播速度與軟件運行速度。采用這種局域網管理辦法的醫院一般多為資金有限，規模較小的醫院，無法聘請專業網絡專家或設立計算機安全室，只能以相對限制辦法低成本開展網絡安全管理[2]。

1.2 信息安全體系不完善

完善網絡安全體系是建設數字化醫院信息安全管理必經之路，若只提升網絡建設資金的投入而沒有相應的安全體系，數字化醫院信息管理實際應用效果會有所下降。數字化醫院信息安全體系必須涵蓋數據構成、應用方向規定、患者信息確定、系統循環分析、入侵檢測報警等多個保障環節。具體而言，醫院網絡會分外網和內網，外網的需要加設管理工具、網絡防火墻、瀏覽網頁與下載內容檢測以及殺毒軟件，這套保障措施可以保障醫院是外網不受網絡攻擊影響[3]。而醫院內網管理會較為嚴格，除了常用的防火墻、網閘、態勢感知等設備，一般采取計算機桌面軟件安全匙登錄、入網身份認證、操作審核、信息下載監管等功能，只有醫院特定人員可以登錄內網審查信息，如醫生、醫院教授、醫院領導、護士長等重要醫護職員，他們在系統中的每一步操作都會被進行記錄，一旦接觸做出違規操作內網就會發送信息連接外網發出警報，醫院管理人員就可以第一時間審查操作人員信息，并對問題加以處理。但現階段部分醫院由于安全體系不完善，對內網瀏覽者、登錄者管理不嚴格，而且在內網被入侵時也沒有應對措施，在后期網絡維護階段也沒有合理計劃[4]。

1.3 醫院監督力度較差

部分醫院將網絡安全問題交由其他網絡科技公司，讓他們完全負責醫院網絡安全建設，經過專業人員設計與參與，醫院數字化信息安全管理建設有了極大提升。但是筆者發現，這部分醫院管理者將網絡信息安全建設交由他人后，逐漸放棄對內部醫護人員網絡安全教育，在出現問題后將所有責任歸結于網絡科技公司。網絡科技公司的確是依靠自己專業技術為醫院搭建起網絡安全系統，但是由于網絡發揮速度與各個操作軟件更新節奏較快，沒有任何一家網絡科技公司能夠保障經過一次建設就能夠保障醫院網絡永不受侵擾。而作為醫院網絡系統的操作醫護人員，他們的操作方法也與網絡信息安全也有著直接的聯系[5]。簡單來說，在網絡上有一些釣魚網站和內設后臺安裝包，計算機操作人員只要點擊瀏覽或下載，不法分子就可以通過網絡后臺盜取計算機信息或者是攻擊醫院內網系統，而這一套操作完全可以發生在計算機操作者不知情的情況下。釣魚網站不只是單指具有黃、賭之類性質的網站，一些醫療信息網站或新聞網站也會存在相應問題，這類網站都是一些令人醒目的噱頭吸引瀏覽人員，例如“美國已經成功研制出HIV育苗”“國外科學家從遠古動物遺骸中成功提取永生細胞”，這些網站信息看似不存在問題，但它的確是專門為了醫療人員準備的陷阱，專門盜取醫院患者信息。醫護人員若沒有良好的網絡安全意識，再簡單的網絡攻擊手段都可能到得手[6]。

2 數字化醫院信息安全建設與管理策略

2.1 嚴控網絡安全性

在信息時代背景下，人們可以通過互聯網突破時間與空間限制，完成信息之間的交流同步，醫院也是信息技術的受益者，無論是醫院單位還是醫護個人都可以通過該技術傳播信息、交換信息、共享信息，信息技術不僅加強醫院各個單位之間的聯系性，還幫助醫護人員極大地緩解了工作壓力，讓醫院在診療事務處理效率上有了很大提升[7]。但是由于網絡信息開放、共享性特征較強，也導致了醫院始終存在不安全因素，一些不法分子為了私人目的攻擊、破壞網絡信息，這讓醫院信息安全一直處于危險邊緣。對于不法分子的挑戰醫院網絡安全管理人員需要加強網絡訪問路徑的審查工作，加持審查力度與檢測方法，這樣就可以保證客戶端與醫院主機服務器不受外界因素攻擊。針對不同科室的信息交交換與分享安全問題，醫院網絡管理人員需要加強IP信息與MAC之間的綁定，嚴防出現ARP詐騙問題的發生。同時，醫院網絡安全管理人員要依照不同科室信息交換需求設置不同的防火墻，在不同端口設置木馬、蠕蟲、病毒檢測方法。例如，門診計算機主要是承擔患者信息錄入工作，經過患者選擇才能完成掛號流程，而患者在選擇過程中會填寫大量私人信息，例如姓名、年齡、手機號、身份證號、過敏原、醫療史等等，這些信息若落入不法分子手中完全可以完成一次精準詐騙。為此醫院網絡管理人員要在此端口對網絡下載、瀏覽、外網分享文件進行嚴格審查，將網絡攻擊扼殺在搖籃之中。

2.2 加強硬件設備投入與監管

一個醫院若想提升自身數字化網絡信息安全性，需要有一定較為強大的硬件設備支持，而醫用網絡安全硬件一般價格較高，需要醫院加大網絡安全投資力度。對于部分城鎮醫院醫療資金總量小，無法采購網絡尖端設備的問題，筆者有兩種解決方案：其一，醫院領導與地方政府職能部門進行協商，通過政府部門的支持提升本地醫療水平。其二，醫院可以采購一些國內外一些大型醫院已經淘汰的網絡設備，網絡設備不同于醫療設備，網絡設備需要對面的是醫護人員，而醫療設備需要面對的是患者，采購二手網絡設備雖然在名義上無法令人接受，但是一些二手的醫用網絡設備的確實用價值較高，商品價格較低，能夠在保障中、小醫院是5~8年內無須更換相應設備。此外，在添加設備的同時，醫院網絡管理人員需要提升默認用戶訪問權限，采用一人一賬戶原則，并依照醫護人員職務開放操作限制[8]。例如，普通醫護人員可以查看患者姓名、年齡、病患史信息，而醫生則可以在此基礎上查看患者籍貫、是否有陪同家屬、是否擁有術后過激反應等等其他信息，更高級的醫護主任則擁有信息下載權限。只有這樣不法分子在使用醫護人員信息登錄后，所造成的破壞范圍也是極為有限的。

醫院網絡管理者在進行數字化醫院信息安全建設過程中，還需要加強對醫務人員的網絡監管，實行醫務人員的網絡違規違法行為與醫院獎金績效掛鉤，讓違規違法付出代價，同時加強醫護人員網絡安全意識教育工作，定期為醫護人員提供網絡操作培訓講課，將網絡上一些常見信息盜取手段與預防方法講述給醫護人員，進而提升整體醫院整體網絡安全性。為此加強硬件設備投入與加強網絡監管兩手都要硬，如沒有硬件投入，巧婦也難為無米之炊；如疏于管理，再強的硬件設備也解決不了信息化安全問題。

3 結語

綜合上文內容，我們可以得知在信息時代下，醫院要加強數字化信息安全建設，保障患者私人信息不被泄露，杜絕發生信息詐騙問題的發生。進入21世紀后人類信息呈爆炸式增長，各種信息技術形式和相關人才數量快速增長，部分不法分子為了滿足自己的私欲，通過自己學習到的網絡技術，破壞、盜取醫院醫療信息這不僅是一種違法行為，也是缺乏道德品德的行為。為了能夠應對外界因素的挑戰，醫院網絡管理人員需要嚴控網絡安全性，向醫院申請更多建設資金，采購更為先進的醫療網絡硬件設備，并完善醫院網絡管理結構，加強醫院人員網絡安全管理意識，最終保障醫院醫療信息安全性。

[1]張榮和. 現代數字化時代下醫院網絡信息化管理的策略與方法探析[J]. 醫學研究，2020，002（002）：101-101.

[2]張勇豪. 信息安全管理的建設在醫院信息化建設中的作用分析[J]. 數字化用戶，2019，025（010）：155，157.

[3]孫震，王夢瑩，賈末，等. 5G技術在醫療領域中的應用探討[J]. 中華醫院管理雜志，2020，36（07）：589-591.

[4]莊洪杰. 數字化醫院計算機信息網絡系統安全及應對策略分析[J]. 數字通信世界，2019，178（10）：168-168.

[5]孫劍，魯一鳴. 淺析數字化醫院計算機信息網絡系統安全及對策[J]. 科技經濟導刊，2019，692（30）：35-35.

[6]蓋淑花. 數字化醫院計算機信息網絡系統安全與應對措施[J]. 科技創新導報，2019，504（36）：125+127.

[7]王康華. 基于計算機網絡技術的計算機網絡信息安全及其防護策略[J]. 數字化用戶，2019，025（020）：72.

[8]劉程皓，李筱倩. 醫院信息化建設中計算機網絡安全管理與維護淺析[J]. 數字化用戶，2019，025（017）：62.