“互聯網+醫療”背景下的醫院信息安全防護建設與實踐

李瑤瑤

摘要：隨著移動互聯網時代的來臨，“互聯網+”在各行各業中得以廣泛應用，其中醫療領域同樣也不例外。而在“互聯網+醫療”的背景下，醫院對信息化建設的大舉推進，拓寬了醫療衛生事業的發展空間，然后在信息安全方面卻暴露出了一定問題，導致醫院醫療信息存在潛在風險。基于此，我們需要做好當前互聯網+醫療背景下的醫院信息安全防護建設工作，該文便主要針對于此進行分析，并提出具體的實踐策略。

關鍵詞：互聯網+醫療;醫院;信息安全;防護

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）33-0036-02

開放科學（資源服務）標識碼（OSID）：

現如今，“互聯網+”早已滲透各行業領域，正在以一種革命式手段改變諸多行業形態，醫療領域也亦如此。近些年，醫院的信息化建設早已展開，以逐步實現醫療信息外向拓展與內向聯通，而這也是互聯網+醫療的必然發展趨勢。要想達成這一目標，必須消除院際之間的信息隔閡，打通診療信息共享渠道，實現數據互換，當然也要保證醫院信息環境的安全穩定，才能確保診療服務的正常開展[1]。然而，因為醫院的信息化建設具有一定特殊性，加之信息安全防護建設略顯滯后，所以導致醫療信息網絡暴露出一定的脆弱性及易攻擊性，意味著互聯網+醫療背景下的信息網絡面臨著前所未有的安全挑戰。因此，為了確保醫院信息網絡安全，創造高速、開放、穩定的醫療信息運行環境，本文便針對這一內容展開深入探討。

1 “互聯網+醫療”背景下醫院信息安全現狀分析

“互聯網+醫療”，意味著互聯網與醫院醫療服務的密切融合，現如今人們所使用的遠程醫療服務、在線掛號系統、在線支付小程序等，均為互聯網+醫療產物，大大提高了醫療工作服務效率。然而，不可否認的是接入互聯網勢必會導致醫院信息安全風險加劇，目前醫院的信息安全風險重點凸顯在軟硬件設備安全、管理安全等多個層面，表現為信息泄露、數據遺失、病毒入侵、黑客攻擊等等。

1.1 法律體系存在漏洞

隨著我國互聯網行業的高速發展，為了確保網絡信息安全，國家也相繼出臺了一系列法律法規，其中最具代表性的有《國家安全法》《網絡安全法》等[2]。然后，因為互聯網發展速度非常快且應用的行業領域不斷擴張，再加上如今黑客手段不斷升級與病毒傳播隱蔽化，很容易就造成了醫院信息安全防護方面出現漏洞。許多不法分子為了一己私利，便會利用尚未完善的法律漏洞去竊取醫院的醫療信息，從中謀取利益。

1.2 軟硬件平臺安全隱患較大

在互聯網+醫療背景下，醫院信息化建設正大力推進，但在專業軟硬件設備配置與開發方面尚處在初級階段，所以軟硬件平臺也暴露出了一定的安全隱患。再加上互聯網本就是開放性平臺，醫院的內部信息安全完全與互聯網割裂是不可能的，倘若缺少強效防御軟件以及完善的信息安全防護體系，則很難有效保障醫院醫療信息安全。

1.3 醫院信息安全管理存在不足

醫療信息涉及個人隱私，同時有著極高商業價值，盡管這一點在醫院內部有著高度認識，但是相較于醫療設備購置、提高病患滿意度等方面來講，醫療信息給醫院帶來的直觀收益并不大，所以醫院在管理工作中對其關注度向來不夠[3]。其一，大部分醫院管理層理念較為守舊，對“互聯網+醫療”時代背景下醫院信息所暴露出的安全隱患并未有準確把握，即便是出現醫療信息丟失或被竊取，同樣也沒有做進一步責任追求;其二，信息安全管理責任不明確。醫療信息作為醫院的重要機密，如果得不到重視、缺乏健全管理制度，自然難以將責任落實到個人。一方面是醫療信息的存儲，通常醫療信息會存儲在醫院信息系統的數據庫中，由安全管理部門負責管理，醫護人員則無需對醫療信息的安全負責，因為這一責任劃分不明晰的情況，所以每次出現問題相互推諉責任。另一方面，醫護人員及相關科室對醫療信息安全管理的意識和態度并不端正，會在無意之間導致醫療信息泄露，導致醫院蒙受損失，比如部分醫生或護士會接受他人請求去調閱醫院信息，這一點要堅決杜絕;其三，考核機制完善度不夠。對有調閱醫院信息權限的人員未做好登記與監督，導致其信息調閱范圍失控。此外，醫院內部部分設備存在內外網混用的情況，同樣增加了信息泄露的風險。

2 “互聯網+醫療”背景下的醫院信息安全防護建設與實踐策略

2.1 加強設備與技術層面信息安全防護建設

其一，注重硬件設備方面的管理。在醫院的信息化建設過程中，需要用到計算機、網絡設備、通信設備等一系列硬件設施。而要想做好信息安全防護建設工作，保證醫院信息系統安全穩定，最基礎的便是保證信息系統硬件設備的良好質量與妥善建設。立足醫院信息系統構造層面來看，重點保護對象為服務器、中心機房、硬件結構設備、工作站等等。其中，中心機房可視作為醫院信息網絡信息的“心臟”，內部溫濕度、避雷安全性、供電穩定性等因素均會直接影響機房的運行;服務器則扮演著醫院信息系統的“大腦”角色，唯有保證服務器安全運行，整個系統才能正常運作，可想而知服務器一定要全天候24小時工作。在醫院的信息安全防護建設中，需采取多機熱備份方案，提高容錯率和以雙服務器手段去保障服務器的不間斷運行[4]。此外，服務器供電需配備UPS電源，采用雙電路供電線路。所有醫護人員使用的PC終端均會對醫院信息系統形成一定影響，盡管各個終端為獨立模塊，但都要連接全盤系統，所以對于所有接入醫院信息網絡系統的終端設備均要明確規定，尤其是文件的接發、網站的登錄需出示硬性規定，杜絕病毒入侵途徑，從根本上保證醫院信息安全。

其二，充分利用加密與身份認證技術。在計算機安全管理領域，加密技術與身份認證技術屬于常規手段，在保障信息安全方面效果明顯。落實到醫院的信息安全防護建設工作中，技術人員可通過身份認證的嵌入對收發文件進行加密，一般采取鏈路加密、端對端加密的方式傳送信息。當然，計算機技術的快速更新迭代，也讓許多傳統的加密技術可靠性逐步弱化，難以滿足現代醫院信息安全防護建設需求，所以還要進一步提升加密的保險性，可通過復雜密碼設置、人臉識別、指紋識別等手段去加強信息安全防范，提高醫院信息系統的運行安全性。

其三，構建信息安全防護體系。一方面，要對醫院信息系統及時更新，構建科學性更強的網絡安全評估體系，定期進行系統掃描去查找漏洞，嚴控網絡訪問行為;另一方面，構建強效病毒防護體系，定期清理常見木馬與病毒，提高醫院信息安全防護效率。當然，還要重視對醫院信息系統的監測管理，警覺異常入侵，如若發現安全問題要及時報警，保證安全防范時效[5]。

2.2 做好對醫院信息系統外來攻擊的應對工作

其一，保障醫院信息安全訪問。醫院一定要提高信息安全防護建設工作質量，采取全面分析及掃描的手段去開展對來自外網的病毒攻擊，同時安裝保密級別更高的殺毒軟件，做好對病毒的防范工作。同時，醫院也要如上述所言重視對網絡相關設備的安全管理，尤其重視避免硬件設備受損，打造安全的硬件管理環境，同樣可有效應對外部用戶對醫院信息網絡系統的損害。同時，賦予不同用戶不同權限，避免用戶出現越權操作，也即是如果用戶不具備該操作權限，會直接對用戶行為進行限制。此外，還要配備最基本的防黑客攻擊的安全設備，切斷一切有可能影響醫院信息網絡安全的異常行為。

其二，健全風險評估機制。醫院信息安全風險評估，也就是對醫院信息系統中存在不安全、不穩定因素做出預估，從而察覺系統中暴露出的缺陷與漏洞。從現階段醫院信息安全防護建設工作實際情況來看，主要的信息安全風險集中體現在技術和人員層面，所以醫院方面應當組建專門的考核團隊，制定安全監測計劃，做好人員信息安全管理工作，規范醫護人員行為，全面測試與排查硬件設備、網絡環境、信息備份、應急預案等方面的設置。當然，醫院畢竟屬于醫療機構，其信息技術水平可能相對偏弱，所以可尋求專業的第三方安全服務公司進行合作。

其三，構建分級保障應急預案。在醫院信息化建設過程中，同樣需要針對信息安全防護構建分級保障應急預案，如果發現數據上傳失敗、無法訪問數據庫等異常情況則要及時匯報，視情況嚴重程度做出相應的處理。此外，還要根據醫院臨床科室的實際情況去制定應急預案，先對科室信息進行登記，對應急預案的啟動時間、替換方案、故障恢復等做出明確規定，并且讓所有醫護人員熟記于心[6]。為了降低信息安全事故帶來的影響，需要在不影響醫院業務運轉的情況下多進行應急演練。

2.3 落實醫院內部信息安全防護管理措施

其一，加強信息安全管理制度建設。醫院內部在落實信息安全防護管理措施方面需要強化制度建設，確保機構與規劃的雙重統一，強化整合力度，完善信息安全防護管理工作的規章制度，保證該項工作有章可循。同時，對機房、軟硬件設備、安全防護設施等逐步完善，跳脫部門界限，通過詳細規定管理細則，實現醫院內部一體化管理，優化過去管理模式中信息與業務相互分離的情況，全面提升信息系統安全防護能力。

其二，強化信息安全監控考核機制。醫院信息網絡系統需嚴令禁止內部員工對相關網絡配置擅自篡改，不可用他人賬號進入系統，更不能擅自安裝不在信任列表中的非辦公軟件。醫院信息管理部門要做好日常信息巡查工作，對黑客攻擊進行監測預防，對病毒進行清除防范，對重要信息及時備份，對有害信息及時清理等。此外，還要確保各項保密措施的積極落實，例如所有涉密文件必須通過計算機加密后傳輸;涉密計算機故障檢修，一定要由內部人員處理或由專人監控;涉密信息不可存儲在移動存儲介質中帶走，更不得私自出借文檔，防止重要資料外泄。

其三，重視信息安全培訓工作。醫院在信息安全防護建設工作中一定要重視對員工的信息安全業務培訓，人力資源部門要做好針對性的安全培訓計劃，編制培訓內容，羅列出與醫院信息系統相關的安全管理知識。同時，在培訓過程中也要結合醫護工作實際情況，講究循序漸進，以科學化的知識考核去評測員工信息安全知識水平，與績效獎金掛鉤形成動力激勵。

3 結束語

綜上所述，隨著社會時代的發展，人們在物質生活水平不斷提升的背景下，對自身健康問題也愈發關注，同時社會醫療行業的快速發展也為社會大眾帶來了更加便利的醫療服務，加之互聯網技術的加持，互聯網+醫療時代的來臨，大大提高了大眾的醫療服務效率。而“互聯網+醫療”在發展中同樣面臨著信息安全問題，要想解決該問題，則要通過加強設備與技術層面信息安全防護建設、做好對醫院信息系統外來攻擊的應對工作、落實醫院內部信息安全防護管理措施，從而提高醫院的信息安全防護建設工作效率，增強醫院信息網絡安全性，保護企業與個人信息，提高醫院信息系統穩定性及安全性。

參考文獻：

[1] 高巍，潘欣.醫院微信就診服務平臺的內部網絡安全防護[J].中國數字醫學，2016，11（6）：92-94.

[2] 胡新龍，李懷成.互聯網+醫療健康模式下的醫院網絡安全防護[J].中國衛生信息管理雜志，2019，16（4）：462-466.

[3] 陳擁軍，肖新文，陳泓伶，等.醫院網絡安全體系構建與實現[J].中國數字醫學，2016，11（7）：105-107.

[4] 李強.芻議醫院信息系統的網絡安全管理與維護措施[J].中國信息化，2019（2）：58-59.

[5] 王華.醫院計算機網絡安全管理工作的維護策略分析[J].信息系統工程，2017（8）：77.

[6] 江潤平.對醫院信息化建設中網絡安全防護的對策研討[J].信息與電腦（理論版），2019（14）：206-207.

【通聯編輯：唐一東】