醫(yī)院信息化建設中網絡安全防護措施

董良

摘要：近年來，大數(shù)據(jù)、“云監(jiān)控”等信息技術管理手段發(fā)展迅速，大大提高了各類事業(yè)的管理效率，提升了關鍵領域的管理效果，在該背景下，建設服務醫(yī)療體系的信息化管理系統(tǒng)，幾乎成為影響醫(yī)院工作效率和管理水平的關鍵因素。但信息化建設也代表著建設主體需采取有力措施應對網絡安全風險，防護不當則會為醫(yī)院的各項信息管理工作埋下安全隱患。該文從醫(yī)院信息化建設過程中的網絡安全現(xiàn)狀入手，結合醫(yī)院信息化建設實際，探討提升網絡安全的相關舉措。

關鍵詞：醫(yī)院信息化建設;網絡安全防護;技術措施

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）16-0032-02

開放科學（資源服務）標識碼（OSID）：

醫(yī)院是信息流動性極強、體量極大的單位，其信息化系統(tǒng)中涉及的信息內容幾乎是實時更新的，一旦這些信息受到網絡攻擊，致使重要數(shù)據(jù)信息的泄露或丟失，會給醫(yī)院管理及醫(yī)療質量帶來極大的負面影響，甚至會引起醫(yī)療糾紛，惡化醫(yī)患關系。因此，醫(yī)院信息化建設中的網絡安全就顯得尤為重要起來，通過各項技術手段，確保信息系統(tǒng)中的軟硬件運行良好，不受到外界的攻擊影響，是醫(yī)院信息化建設的關鍵。

1 醫(yī)院信息化建設中的網絡安全隱患

1.1 系統(tǒng)安全隱患

建設醫(yī)院信息化管理系統(tǒng)，往往涉及各類數(shù)據(jù)終端、網絡布控、應用軟件等各類系統(tǒng)，總結起來大致包含物理系統(tǒng)、操作系統(tǒng)和應用系統(tǒng)，三者呈配合狀態(tài)，共同支撐醫(yī)院信息化管理網絡的運行。操作系統(tǒng)是最易受到網絡攻擊影響的，因此在后續(xù)防護中需采取重點保護措施。

1.2 數(shù)據(jù)安全隱患

醫(yī)院信息化系統(tǒng)中涵蓋了醫(yī)藥管理、醫(yī)療工作、患者檔案、科研成果、財務信息等多種資料信息，這些信息幾乎成為醫(yī)務工作者日常工作的全部抓手，關系到醫(yī)院事業(yè)發(fā)展的方方面面，數(shù)據(jù)丟失或篡改、泄露會直接影響到正常的醫(yī)療秩序。

1.3 網絡安全隱患

網絡大環(huán)境下的醫(yī)院信息化系統(tǒng)必然會直接受到網絡運行環(huán)境的影響，尤其是近年來，網絡技術不斷提升，強化了各類網絡攻擊技術的爪牙，由此帶來的網絡風險有增無減，任何單位的信息化建設都需著重考量這一風險的應對舉措。

2 醫(yī)院信息化建設中的安全防護舉措

2.1 精準隔離，建立醫(yī)院網絡分級保護機制

上文我們提到，醫(yī)院信息化管理系統(tǒng)中涉及眾多信息數(shù)據(jù)，一旦受到網絡安全風險的影響，會給醫(yī)院的日常工作造成極大影響。因此，我們倡導不僅要將各項數(shù)據(jù)進行分析管理，對醫(yī)院網絡也要施行分級管理保護機制，逐步摸索建立起更加嚴格的內外網運行機制。

外網管理注重速度、開放和可控，特別是在向來院患者開放醫(yī)院網絡時，需設置一定的訪問權限，既為患者提供使用網絡的便利，也確保外來使用者不會過度搶占網絡資源。外網管理對網絡安全防護的影響較小，這里我們不做過多贅述，將探討重點放在內網分級防護及涉密應用管理上。

事實上，醫(yī)院的是涉密信息較多、安全等級要求更加嚴格的單位，我們建議對醫(yī)院內網系統(tǒng)實行更加嚴密的分級保護機制，特別是一些涉密應用需專網專用，保護醫(yī)療檔案的絕對安全。具體而言，分級保護機制需著重施力在如下幾個方面：

1）身份鑒別

應標識醫(yī)院內網信息系統(tǒng)的用戶名和用戶標識符號，且必須保證單個用戶的唯一性鑒別資格，并建立起與之匹配的用戶授權審查機制，確保任何登錄操作都是在用戶本人的授意之下完成的。在登錄和重新連接時，都需設定兩個或兩個以上的聯(lián)合鑒別機制，注意確保其中一種鑒別數(shù)據(jù)的不可替代性，如人臉驗證、指紋解鎖等。

2）系統(tǒng)安全審計

對登錄醫(yī)院內網及涉密應用的各項記錄均做審計記錄，重點放在安全事件的主體、客體、時間、類型和結果等，需對審計記錄做定期的篩查、分析和存儲，逐步形成常態(tài)化、日志式的安全時間預警機制，一旦發(fā)現(xiàn)篡改或強制操作的行為，能及時施行取消進程等強制措施，且對涉密賬戶進行行為排查、病毒篩查，確保解除網絡安全風險后，才準許重新進入內網使用[1]。

3）密級保護

這里主要是針對涉密應用的保護，醫(yī)院可對不同涉密等級的應用進行密級標識，如將發(fā)布的醫(yī)院科研成果設為特級，將患者的就醫(yī)檔案設為一級，并確保其與信息主體的同步，不可隨意篡改，且所有等級的涉密應用均只能在專網運行。

4）數(shù)據(jù)保護

一般而言是指采用各類密碼技術，建立起專門針對數(shù)據(jù)檔案等存儲信息的保密保護機制，醫(yī)院可嘗試引進更加先進的虹膜驗證的密碼技術，確保重要信息的絕對安全。

5）安全域邊界防護

這里一般是指內網區(qū)域邊界的完整性保護、安全審計、訪問控制、邊界包過濾等。

2.2 硬核“防火”，全面布控殺毒防護系統(tǒng)

有了嚴密的醫(yī)院網絡分析保護機制，還需針對破壞力最強的網絡病毒，建立起全面防控的殺毒系統(tǒng)，打造更加堅實的“防火”體系。

1）精準布控殺毒系統(tǒng)

當前已知的計算機病毒大多具有極強的侵入性，很多現(xiàn)行的殺毒軟件以查毒、殺毒為主，但主動防毒能力較差。醫(yī)院在選擇殺毒軟件，布控殺毒系統(tǒng)時，可請專業(yè)的網絡完全防護團隊，針對醫(yī)院的內外網使用情況、主要病毒類型及病毒危害程度等，提出整體的醫(yī)院網絡殺毒系統(tǒng)。這一系統(tǒng)需具備敏銳的病毒監(jiān)控體系，類似于給醫(yī)院的信息化管理系統(tǒng)啟動一個“核磁共振”掃描機制，能夠對各類網絡病毒實施斷層掃描。掃描結果將以日志的形式隨時記錄，不斷更新醫(yī)院網絡安全的病毒查殺數(shù)據(jù)庫，確保各類系統(tǒng)軟件的運行安全，最大限度降低病毒入侵的概率[2]。

2）深層防護惡意軟件

醫(yī)院所使用的各類系統(tǒng)應用，必然涉及更新軟件系統(tǒng)及下載系統(tǒng)補丁，這個過程幾乎可以形容為向病毒張開懷抱，即使是謹慎選擇，也很難完全避免惡意軟件的威脅。要做到深層防護惡意軟件，首先要選擇正版、綠色的應用軟件，杜絕使用盜版軟件或隨意下載信息不明的各類醫(yī)用的行為，特別是一些最為基礎的office辦公軟件、OA系統(tǒng)管理軟件等，切不可因小失大，像拒絕使用來路不明的藥品一樣拒絕使用各類非正版軟件;其次要對各項應用進行管理，很多過時、使用成效不大的軟件需及時刪除，必須使用的軟件則要慎重選擇開機啟動、自動更新等選項，避免計算機在非人為的條件下受到網絡病毒的攻擊;第三是要選擇性更新及升級軟件，須知任何升級都會潛藏著數(shù)據(jù)丟失、兼容性降低的風險，一旦所更新的系統(tǒng)與軟件無法兼容，會帶來數(shù)據(jù)丟失、系統(tǒng)崩潰的風險[3]。

3）及時備份重要數(shù)據(jù)

為避免上述因系統(tǒng)更新引起的數(shù)據(jù)丟失，我們需對信息系統(tǒng)中的各類信息進行及時備份，一般而言的數(shù)據(jù)備份，是指將計算機網絡中的數(shù)據(jù)復制，并存儲到安全區(qū)域。原始的數(shù)據(jù)備份往往采用硬盤備份的方式，相當于為計算機接一個記憶外腦，但這種方式能夠備份的資料有限[4]，且硬盤本身也存在丟失和泄露的風險。因此，現(xiàn)行的數(shù)據(jù)備份更多是采取“云備份”的方式，自動將需要備份的信息上傳至“云端”，以便系統(tǒng)在遇到數(shù)據(jù)丟失和損毀等情況時，可及時進行數(shù)據(jù)恢復。那么這里自然就涉及另外一個安全防護問題，那就是要依據(jù)醫(yī)院信息化建設的安全數(shù)據(jù)保護級別來選擇備份工作的類型，同時需要對備份文件施行二級保護，確保備份文件成為醫(yī)院信息系統(tǒng)數(shù)據(jù)恢復的保障，而不是讓網絡病毒有機可圖的安全漏洞。

2.3 運維護航，確保信息網絡的有效維護

有了精準隔離及殺毒防控，基本能夠為醫(yī)院信息化建設構筑一張靈敏的防護安全網，還需在此基礎上做好網絡防護的日常運維，確保這張網絡有效、及時、牢固[5]。

1）安全更新，維護系統(tǒng)穩(wěn)定

系統(tǒng)更新是信息網絡運維的一個重要關卡，任何系統(tǒng)平臺的使用，都離不開系統(tǒng)的定期完善和更新，以修補原有的系統(tǒng)漏洞，減少網絡病毒的侵害。但系統(tǒng)更新本身也存在一定的運維風險，如更新后的系統(tǒng)與原系統(tǒng)不兼容，導致更新前進程中的各項工作任務及成果消失，或者更新的強制執(zhí)行導致工作日程被打斷，造成數(shù)據(jù)丟失等問題。因此，醫(yī)院網絡建設管理人員需對系統(tǒng)更新這一環(huán)節(jié)多加試驗，逐漸找到更安全可靠的更新方式，特別關注新舊系統(tǒng)的兼容性，逐次篩查[6]。

2）硬件維護，降低企業(yè)成本

“工欲善其事必先利其器”，信息網絡建設中使用到的多種硬件設備，直接關系到職工的工作效率。很多醫(yī)院對辦公設備的維護不足，導致各項網絡設施很快陳舊老化，只能在未達到使用壽命之前就大批量更換，直接影響到醫(yī)院日常工作的開展，還容易造成重要信息的泄露。醫(yī)院有關管理部門需為員工提供定期清理、定期檢修等服務，請各科室的使用者對自己常用的各項網絡設備多加關注，下發(fā)各項硬件的適應管理標準，避免外力對硬件帶來的損傷和不必要的損耗?？蓪⒐苍O施的管理職責分散至各個樓層及各個科室，每個科室認領一部分網絡設備，需對該設備的保存、維護和保修負起責任，讓它成為部門的共有財產[7]，提醒使用者對硬件設施進行有效保護，最大程度上降低醫(yī)院信息化建設的運維成本。

3）借力科技，篩選優(yōu)質管理軟件

軟件管理是提高網絡管理的重要手段，醫(yī)院技術管理人員可引入最先進的管理軟件，對網絡環(huán)境、外部病毒、入侵風險和系統(tǒng)隱患等問題進行監(jiān)控。優(yōu)質的管理軟件是管理信息網絡的有效途徑，且當前很多管理軟件中都設置了人性化、人工智能的運行手段，能主動監(jiān)控、主動管理，很大程度上減少了管理人員的工作量。需特別提到的是，當前大數(shù)據(jù)技術手段已經越來越普及，很多管理軟件本身就內嵌了大數(shù)據(jù)分析、建模、輸出、管理等功能，這些功能讓管理變成了真正的“事前諸葛”，能為管理者提供有參考價值的管理建議，在很大程度上提高了信息化建設及管理的效率[8]。另外，各使用科室的重要軟件需嚴格篩選，規(guī)定醫(yī)院職工使用正版軟件，避免釣魚軟件、惡意軟件單來的安全風險和隱患。

3 結束語

閱盡全文我們可以得出，醫(yī)院信息化建設的進程愈快，就愈需同步提高網絡安全防護能力，能夠有效應對各類新型病毒的入侵與攻擊，能夠逐步摸索出主動防御，反守為攻的網絡安全防御系統(tǒng)。我們建議在隔離醫(yī)院網絡與布控殺毒軟件等兩個方面著重施力，以更加優(yōu)良的安全系統(tǒng)部署確保網絡運行安全，為醫(yī)院數(shù)字化發(fā)展奠定堅實的基礎。

參考文獻：

[1] 李鑫.試析醫(yī)院信息化建設中的網絡安全與防護措施[J].科學與信息化，2020（16）：129.

[2] 王玉花.醫(yī)院信息化建設中的網絡安全防護措施研究[J].信息記錄材料，2020，21（4）：148-149.

[3] 李翰，李繼有，劉遠征，等.醫(yī)院信息化建設中的網絡安全與防護措施探析[J].IT經理世界，2020，23（5）：137.

[4] 王剛，王歡，朱江.試論醫(yī)院信息化建設中的網絡安全與防護措施[J].數(shù)字化用戶，2019，25（7）：165.

[5] 吳海濱.醫(yī)院信息化建設中的網絡安全分析與防護措施[J].科教導刊（電子版），2019（3）：280.

[6] 段左彌.醫(yī)院信息化建設中的網絡安全與防護措施[J].數(shù)字化用戶，2019，25（26）：54.

[7] 陳耿杰.醫(yī)院信息化建設過程中的網絡安全防護[J].科技風，2020（20）：84，90.

[8] 周翔.醫(yī)院信息化建設中的網絡安全防護思考[J].管理學家，2020（21）：145-146.

【通聯(lián)編輯：謝媛媛】