新形勢下醫院信息安全所面臨的挑戰與對策分析

孫旭東

摘要：互聯網飛速發展，醫院的信息網絡也與時俱進，隨著互聯網一同更新換代。但是在互聯網的新形勢下，醫院的信息安全也面臨著一些新的挑戰，譬如責任制度缺失、存在安全隱患、數據庫存在防護漏洞、缺乏信息專業人才等，基于此，文章提出了健全信息安全機制、規范安全管理流程、強化安全防護技術、建立信息人才隊伍、善于利用審計軟件、建立安全數據中心和完善安全監控系統等方面的新形勢下醫院信息安全建設對策。

關鍵詞：醫院信息安全;挑戰;對策

前言：醫院信息安全是指互聯網背景下，醫院的網絡信息安全問題。當前國內醫院普遍進行了互聯網信息網絡的接入，并建立了一定的信息安全措施。但這些信息安全措施還存在著一些問題，解決后有利于醫院信息網絡和數據庫的安全，降低醫院遭受信息攻擊的風險，保證醫療服務的質量和效率，保障醫院的社會形象和經濟效益。

一、新形勢下醫院信息安全所面臨的挑戰

1責任制度缺失

醫院職能本身具有特殊性，所以其對信息安全工作的要求較高，醫院的信息安全建設工程具有系統性、復雜性的特點[1]。但是在當前的醫院信息安全建設當中，出于信息化建設沒有產生直接經濟效益等原因，許多醫院并不注重自身安全系統的開發與維護，沒有制定相應的、符合醫院實際情況的中長期網絡安全管理策略，甚至是不愿意投入信息安全建設經費，這種現象的出現，是由于醫院對于醫院網絡信息安全的不重視。

2存在安全隱患

隨著互聯網技術的飛速發展，網絡安全迎來了新的挑戰，計算機病毒、黑客攻擊等網絡安全問題成為常態，醫院網絡作為特殊性網絡場所，在這一環境下會受到嚴重的安全威脅，甚至影響到正常的運營[2]。目前來講，醫院中大多數網絡安全事故，都是由于防護措施的缺失或者使用行為的不規范而產生的。具體來說，主要表現為不及時升級病毒庫、私自訪問外網、軟件使用隨意等，這些行為會給黑客攻擊等各種網絡安全問題創造溫床，也充分說明了醫院的網絡信息安全存在巨大的隱患。因此，解決網絡安全隱患，保證醫院網絡完全運行，成為了醫院網絡安全管理的重中之重。

3數據庫存在防護漏洞

互聯網時代數據庫的發展已經取得了長足進步，但是很多醫院在網絡數據庫管理依然停留在上世紀九十年代的落后階段，缺乏服務器數據備份、缺少應對數據庫攻擊的有效防護手段，服務器一旦出現故障，醫院的信息網絡便會全面癱瘓，數據庫遭受無法抵御的攻擊后，磁盤存儲文件便會完全損毀無法復原，這些都是落后的網絡數據庫防護所導致的結果。比如近日名為“WannaRen”的新型勒索病毒在網絡上快速傳播，該病毒以“.WannaRen”為后綴名對文件進行加密，如果醫院沒有數據備份，沒有升級安全設備，就只能被勒索，產生無法承受的經濟損失。另外一部分醫院，雖然對數據庫防護進行了一定程度的更新，建立了網絡防火墻、硬件冗余等安全壁壘，但由于安全產品部署并不均衡，不同產品的安全防護信息并未聯動，遠遠沒有起到全面防護的作用，數據庫的防護漏洞依然存在。

4缺乏信息專業人才

醫院信息系統作為一個龐大的整體，由多樣化的信息元素構成，是世界上公認最復雜的信息系統之一。醫院信息系統的復雜性是由信息種類的多樣性所決定的，醫院信息安全管理工作的流程和具體開展方式要根據工作要求的不同靈活變動。信息專業人才的短缺使得醫院信息安全管理工作面臨瓶頸。在醫院的信息安全管理工作中，對于信息專業人才的引進缺乏重視，嚴重阻礙了醫院信息安全管理工作的正常開展。目前，醫院的信息安全管理工作大多采取集成化的管理方式，以滿足多樣化的醫院信息管理需求。在這一過程中，需要有專業的信息人才，統籌規劃醫院信息安全管理內容和管理方式，使醫院信息系統的各個子系統形成良好的配合，共同服務于醫院的信息安全。信息專業人才在此過程中發揮著重要作用，信息人才的短缺會使得醫院對于信息安全管理無法拿出切實可行的方案，醫院信息安全管理得不到科學規劃和發展。

二、新形勢下醫院信息安全建設對策

1健全信息安全機制

網絡信息安全管理是一項繁雜瑣碎的大工程，要想在醫院中貫徹落實，需要制定一套符合實際的完善制度。第一，建立醫院的網絡安全管理制度，對網絡安全設備和信息安全策略進行優化。這項制度的涵蓋范圍，包括但不僅限于物理安全、使用規范、網絡維護等各方面。在安全信息的責任劃分上要盡可能的明確，對于醫院信息安全要進行專門且切實有效的管理[3]。在具體實施上，醫院可以專門成立由院領導兼任的信息安全領導小組，確定主要、分管、監督等職務落實到人，劃分相關職務的職權、獎懲制度，并且督促相關制度落在實處，聘請相關人員定期進行知識技能培訓。第二，重視對信息安全防范意識的樹立，建立有效的信息安全管理模式，保障醫院安全信息系統的正常運行。在醫院的信息安全管理工作中，要摒棄過時的工作經驗，積極探索新的工作方式，使醫院的信息安全管理工作能夠符合現代化醫院的信息管理需求。

2規范安全管理流程

新形勢下必須對醫院信息安全的流程加以規范。第一，規范網絡權限的管理。網絡安全的制度制定后，對于制度的執行和權限的規范需要嚴加把關。第二，規范安全密碼的管理。網絡安全的大門鑰匙，就是其密碼，在對于密碼的管理上不能馬虎。醫院對自身安全系統的密碼必須進行“暗文”保存，在進行修改操作時，要留有相關的修改日志記錄。對于忘記密碼等行為，必須嚴格稽查，并且在審批同意的情況下，才可進行密碼初始化的操作。第三，做好網絡行為管理，規范日常網絡行為，建立嚴格的準入機制。對于第三方的訪問請求，醫院必須確保其訪問不是惡意的，在允許其訪問之前，必須進行相關登記。第三方的任何訪問請求，都需要經過信息管理隊伍的檢查監督和安全領導小組的審批同意才能進行，信息安全管理隊伍要嚴密監控第三方訪問的行為，確保是在合法合規，不損害醫院利益和信息安全的條件下才能進行訪問。

3強化信息安全技術

數據庫是網絡信息安全的核心，一旦受到攻擊會導致整個信息網絡癱瘓，波及醫院的正常運營，所以必須強化信息安全技術的應用，給予醫院信息系統高強度的防護。信息安全技術的應用，可以保證醫院抵御絕大多數常規攻擊，并且在遇到非常規攻擊時也能有一定的抵御能力。加密技術、虛擬平臺技術、冗余技術都是較為常見的信息安全技術，這些信息安全技術對于保障醫院的信息安全發揮著重要作用。加密技術是醫院信息系統的重要安全防護技術，加密技術的有效運用使得數據在丟失或者被非法調用時，能高效杜絕安全隱患，防止數據泄露和濫用。醫院屬于特殊場所，對于網絡信息安全的需求很高，對于信息網絡正常運行有一定的要求。為了使得醫院的業務系統不出現故障，避免因信息網絡問題產生的業務質量惡化，在建立信息網絡時，必須使用到虛擬平臺技術和冗余技術，為網絡的可靠性提供保障。虛擬技術有利于提高服務器的硬件利用率和資源整合，更有利于信息系統構架全面升級，提高系統的安全、靈活性能。提高工作效率。冗余技術涵蓋范圍較廣，包括模塊冗余、電源冗余等各項技術。強化冗余技術是的應用是醫院信息網絡安全運行的重要保證。醫院信息系統的穩定性主要靠冗余技術提供技術支持，冗余技術在以信息網絡為代表的諸多醫院業務系統中都起到維護系統正常運行的重要作用。冗余技術的有效使用，可以使醫院信息系統網絡故障的發生概率大大降低，減少因為網絡故障導致醫院信息安全受到威脅的可能性。

4建立信息人才隊伍

在醫院信息安全管理工作中，建立信息人才隊伍是重中之重。首先，醫院需要加大信息人才的引進力度，建立專業的信息人才隊伍，實現醫院信息安全管理工作的專業化。其次，醫院需要加強對在職信息安全管理人員的專業化培訓，信息安全領導小組可以增加信息安全管理工作培訓活動的組織頻次，充分利用信息人才隊伍的人才資源，組織信息安全管理隊伍里的專業人才對其他人員進行網絡信息安全培訓，鼓勵醫院全體醫護人員參與，增強全體人員的防范意識。在此基礎上，醫院需要根據信息安全管理的實際需求，制定信息安全應急管理機制。醫院信息安全應急管理機制的內容包括出入機房管理機制、信息系統漏洞處理機制等。最后，醫院應該對信息安全管理人員定期考核，檢驗信息安全管理人員的工作水準。對于考核未達標的醫院信息安全管理人員，應該對其進行再次培訓，讓其掌握最新的信息安全管理技術之后再上崗。

5善于利用審計軟件

在醫院的信息安全管理工作中，審計軟件的應用發揮著重要的安全防護作用。當前市面上的審計軟件種類豐富，以審計軟件為代表的第三方軟件在醫院、銀行等行業的信息系統中發揮著重要的安全防護作用。審計軟件獨立于醫院的信息系統而存在，在醫院信息系統的運行中，可以對信息系統的運行數據進行忠實記錄，按照內在的審計邏輯形成審計日志。在此基礎上，審計軟件對醫院信息系統的所有運行數據進行有效監督和全面審計，對于醫院信息系統中存在的漏洞和威脅可以及時發現，對于醫院信息系統受到的外部攻擊行為也能及時阻止。審計軟件可以直接對醫院信息安全管理的監督部門負責，審計過程中發現醫院信息安全存在可疑問題時，直接上報給醫院信息安全管理的監督部門，由醫院信息安全管理的監督部門及時采取措施排查醫院信息安全中存在的問題。

6建立安全數據中心

醫院的信息安全管理工作是一項復雜的系統性工作，醫院的數據體量龐大、種類繁多，在數據的傳輸和讀取過程中，難免會發生數據丟失的現象。因此，建立醫院安全數據中心有著極為迫切的現實需要。首先，安全數據中心的建立需要對加密技術有效運用。通過建立數據安全中心，減少醫院信息系統的數據安全隱患，確保醫院數據信息的高效、安全交互，以此促進醫療系統的良性運轉。其次，對于已建成的醫院安全數據中心，應該不斷更新升級，在數據采集、數據存儲、數據備份、數據恢復、數據防護、數據調取等方面的工作中能夠緊跟時代的發展步伐，采取先進技術保障醫院的信息安全。最后，對于醫院的核心重要資料，如最新醫療科研成果等，應該采取驅動級加密、虛擬化等技術進行妥善保存，避免醫院核心資料的外泄和遺失。

7完善安全監控系統

在醫院信息系統內部，應該對其安全監控系統進行完善。首先，醫院信息安全監控系統需要加強入侵檢測技術的應用，對醫院信息系統的各個終端都實現強有力的入侵檢測，增加各個終端的信息威脅抵御能力。在此基礎上，與審計軟件形成內外配合，識別、阻止醫院信息系統受到的攻擊，全面提升醫院信息系統的數據安全指數。其次，醫院信息安全監控系統要提升對潛在信息風險的識別能力，可以對醫院信息系統進行定時的安全掃描，及時發現醫院信息系統中存在的不良因素。最后，醫院信息安全管理人員可以根據安全監控系統的檢測反饋，總結出醫院信息安全面臨的常見問題，制定相應的處理預案。

結語

新形勢下，醫院為了更好的醫療效果必須主動接入互聯網網絡，但同樣也會面臨信息安全問題。醫院應當認識并正視這些問題，并且積極采取建立健全防御機制、提高防范意識、規范權限等安全措施，正面應對各項挑戰，這樣才能保證醫院的信息安全不受威脅，從而更好地提升醫院醫療效率，為患者提供更好的服務。

參考文獻

[1]陶芬.基于新形勢下醫院信息安全所面臨的挑戰及應對策略探討[J].中國衛生產業，2018（15）：154-155.

[2]王文成，王青紅.新形勢下三甲醫院如何做好信息安全建設[J].中國冶金工業醫學雜志，2020（06）：675-677.

[3]楊明.基于新形勢下醫院醫療安全管理的分析[J].世界最新醫學信息文摘，2019（A1）：249+255.