“互聯(lián)網(wǎng)+醫(yī)療”背景下的醫(yī)院信息安全防護(hù)建設(shè)與實(shí)踐

李瑤瑤

摘要：隨著移動互聯(lián)網(wǎng)時代的來臨，“互聯(lián)網(wǎng)+”在各行各業(yè)中得以廣泛應(yīng)用，其中醫(yī)療領(lǐng)域同樣也不例外。而在“互聯(lián)網(wǎng)+醫(yī)療”的背景下，醫(yī)院對信息化建設(shè)的大舉推進(jìn)，拓寬了醫(yī)療衛(wèi)生事業(yè)的發(fā)展空間，然后在信息安全方面卻暴露出了一定問題，導(dǎo)致醫(yī)院醫(yī)療信息存在潛在風(fēng)險。基于此，我們需要做好當(dāng)前互聯(lián)網(wǎng)+醫(yī)療背景下的醫(yī)院信息安全防護(hù)建設(shè)工作，該文便主要針對于此進(jìn)行分析，并提出具體的實(shí)踐策略。

關(guān)鍵詞：互聯(lián)網(wǎng)+醫(yī)療;醫(yī)院;信息安全;防護(hù)

中圖分類號：TP393? ? ? 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2021）33-0036-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

現(xiàn)如今，“互聯(lián)網(wǎng)+”早已滲透各行業(yè)領(lǐng)域，正在以一種革命式手段改變諸多行業(yè)形態(tài)，醫(yī)療領(lǐng)域也亦如此。近些年，醫(yī)院的信息化建設(shè)早已展開，以逐步實(shí)現(xiàn)醫(yī)療信息外向拓展與內(nèi)向聯(lián)通，而這也是互聯(lián)網(wǎng)+醫(yī)療的必然發(fā)展趨勢。要想達(dá)成這一目標(biāo)，必須消除院際之間的信息隔閡，打通診療信息共享渠道，實(shí)現(xiàn)數(shù)據(jù)互換，當(dāng)然也要保證醫(yī)院信息環(huán)境的安全穩(wěn)定，才能確保診療服務(wù)的正常開展[1]。然而，因?yàn)獒t(yī)院的信息化建設(shè)具有一定特殊性，加之信息安全防護(hù)建設(shè)略顯滯后，所以導(dǎo)致醫(yī)療信息網(wǎng)絡(luò)暴露出一定的脆弱性及易攻擊性，意味著互聯(lián)網(wǎng)+醫(yī)療背景下的信息網(wǎng)絡(luò)面臨著前所未有的安全挑戰(zhàn)。因此，為了確保醫(yī)院信息網(wǎng)絡(luò)安全，創(chuàng)造高速、開放、穩(wěn)定的醫(yī)療信息運(yùn)行環(huán)境，本文便針對這一內(nèi)容展開深入探討。

1 “互聯(lián)網(wǎng)+醫(yī)療”背景下醫(yī)院信息安全現(xiàn)狀分析

“互聯(lián)網(wǎng)+醫(yī)療”，意味著互聯(lián)網(wǎng)與醫(yī)院醫(yī)療服務(wù)的密切融合，現(xiàn)如今人們所使用的遠(yuǎn)程醫(yī)療服務(wù)、在線掛號系統(tǒng)、在線支付小程序等，均為互聯(lián)網(wǎng)+醫(yī)療產(chǎn)物，大大提高了醫(yī)療工作服務(wù)效率。然而，不可否認(rèn)的是接入互聯(lián)網(wǎng)勢必會導(dǎo)致醫(yī)院信息安全風(fēng)險加劇，目前醫(yī)院的信息安全風(fēng)險重點(diǎn)凸顯在軟硬件設(shè)備安全、管理安全等多個層面，表現(xiàn)為信息泄露、數(shù)據(jù)遺失、病毒入侵、黑客攻擊等等。

1.1 法律體系存在漏洞

隨著我國互聯(lián)網(wǎng)行業(yè)的高速發(fā)展，為了確保網(wǎng)絡(luò)信息安全，國家也相繼出臺了一系列法律法規(guī)，其中最具代表性的有《國家安全法》《網(wǎng)絡(luò)安全法》等[2]。然后，因?yàn)榛ヂ?lián)網(wǎng)發(fā)展速度非常快且應(yīng)用的行業(yè)領(lǐng)域不斷擴(kuò)張，再加上如今黑客手段不斷升級與病毒傳播隱蔽化，很容易就造成了醫(yī)院信息安全防護(hù)方面出現(xiàn)漏洞。許多不法分子為了一己私利，便會利用尚未完善的法律漏洞去竊取醫(yī)院的醫(yī)療信息，從中謀取利益。

1.2 軟硬件平臺安全隱患較大

在互聯(lián)網(wǎng)+醫(yī)療背景下，醫(yī)院信息化建設(shè)正大力推進(jìn)，但在專業(yè)軟硬件設(shè)備配置與開發(fā)方面尚處在初級階段，所以軟硬件平臺也暴露出了一定的安全隱患。再加上互聯(lián)網(wǎng)本就是開放性平臺，醫(yī)院的內(nèi)部信息安全完全與互聯(lián)網(wǎng)割裂是不可能的，倘若缺少強(qiáng)效防御軟件以及完善的信息安全防護(hù)體系，則很難有效保障醫(yī)院醫(yī)療信息安全。

1.3 醫(yī)院信息安全管理存在不足

醫(yī)療信息涉及個人隱私，同時有著極高商業(yè)價值，盡管這一點(diǎn)在醫(yī)院內(nèi)部有著高度認(rèn)識，但是相較于醫(yī)療設(shè)備購置、提高病患滿意度等方面來講，醫(yī)療信息給醫(yī)院帶來的直觀收益并不大，所以醫(yī)院在管理工作中對其關(guān)注度向來不夠[3]。其一，大部分醫(yī)院管理層理念較為守舊，對“互聯(lián)網(wǎng)+醫(yī)療”時代背景下醫(yī)院信息所暴露出的安全隱患并未有準(zhǔn)確把握，即便是出現(xiàn)醫(yī)療信息丟失或被竊取，同樣也沒有做進(jìn)一步責(zé)任追求;其二，信息安全管理責(zé)任不明確。醫(yī)療信息作為醫(yī)院的重要機(jī)密，如果得不到重視、缺乏健全管理制度，自然難以將責(zé)任落實(shí)到個人。一方面是醫(yī)療信息的存儲，通常醫(yī)療信息會存儲在醫(yī)院信息系統(tǒng)的數(shù)據(jù)庫中，由安全管理部門負(fù)責(zé)管理，醫(yī)護(hù)人員則無需對醫(yī)療信息的安全負(fù)責(zé)，因?yàn)檫@一責(zé)任劃分不明晰的情況，所以每次出現(xiàn)問題相互推諉責(zé)任。另一方面，醫(yī)護(hù)人員及相關(guān)科室對醫(yī)療信息安全管理的意識和態(tài)度并不端正，會在無意之間導(dǎo)致醫(yī)療信息泄露，導(dǎo)致醫(yī)院蒙受損失，比如部分醫(yī)生或護(hù)士會接受他人請求去調(diào)閱醫(yī)院信息，這一點(diǎn)要堅決杜絕;其三，考核機(jī)制完善度不夠。對有調(diào)閱醫(yī)院信息權(quán)限的人員未做好登記與監(jiān)督，導(dǎo)致其信息調(diào)閱范圍失控。此外，醫(yī)院內(nèi)部部分設(shè)備存在內(nèi)外網(wǎng)混用的情況，同樣增加了信息泄露的風(fēng)險。

2 “互聯(lián)網(wǎng)+醫(yī)療”背景下的醫(yī)院信息安全防護(hù)建設(shè)與實(shí)踐策略

2.1 加強(qiáng)設(shè)備與技術(shù)層面信息安全防護(hù)建設(shè)

其一，注重硬件設(shè)備方面的管理。在醫(yī)院的信息化建設(shè)過程中，需要用到計算機(jī)、網(wǎng)絡(luò)設(shè)備、通信設(shè)備等一系列硬件設(shè)施。而要想做好信息安全防護(hù)建設(shè)工作，保證醫(yī)院信息系統(tǒng)安全穩(wěn)定，最基礎(chǔ)的便是保證信息系統(tǒng)硬件設(shè)備的良好質(zhì)量與妥善建設(shè)。立足醫(yī)院信息系統(tǒng)構(gòu)造層面來看，重點(diǎn)保護(hù)對象為服務(wù)器、中心機(jī)房、硬件結(jié)構(gòu)設(shè)備、工作站等等。其中，中心機(jī)房可視作為醫(yī)院信息網(wǎng)絡(luò)信息的“心臟”，內(nèi)部溫濕度、避雷安全性、供電穩(wěn)定性等因素均會直接影響機(jī)房的運(yùn)行;服務(wù)器則扮演著醫(yī)院信息系統(tǒng)的“大腦”角色，唯有保證服務(wù)器安全運(yùn)行，整個系統(tǒng)才能正常運(yùn)作，可想而知服務(wù)器一定要全天候24小時工作。在醫(yī)院的信息安全防護(hù)建設(shè)中，需采取多機(jī)熱備份方案，提高容錯率和以雙服務(wù)器手段去保障服務(wù)器的不間斷運(yùn)行[4]。此外，服務(wù)器供電需配備UPS電源，采用雙電路供電線路。所有醫(yī)護(hù)人員使用的PC終端均會對醫(yī)院信息系統(tǒng)形成一定影響，盡管各個終端為獨(dú)立模塊，但都要連接全盤系統(tǒng)，所以對于所有接入醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的終端設(shè)備均要明確規(guī)定，尤其是文件的接發(fā)、網(wǎng)站的登錄需出示硬性規(guī)定，杜絕病毒入侵途徑，從根本上保證醫(yī)院信息安全。

其二，充分利用加密與身份認(rèn)證技術(shù)。在計算機(jī)安全管理領(lǐng)域，加密技術(shù)與身份認(rèn)證技術(shù)屬于常規(guī)手段，在保障信息安全方面效果明顯。落實(shí)到醫(yī)院的信息安全防護(hù)建設(shè)工作中，技術(shù)人員可通過身份認(rèn)證的嵌入對收發(fā)文件進(jìn)行加密，一般采取鏈路加密、端對端加密的方式傳送信息。當(dāng)然，計算機(jī)技術(shù)的快速更新迭代，也讓許多傳統(tǒng)的加密技術(shù)可靠性逐步弱化，難以滿足現(xiàn)代醫(yī)院信息安全防護(hù)建設(shè)需求，所以還要進(jìn)一步提升加密的保險性，可通過復(fù)雜密碼設(shè)置、人臉識別、指紋識別等手段去加強(qiáng)信息安全防范，提高醫(yī)院信息系統(tǒng)的運(yùn)行安全性。

其三，構(gòu)建信息安全防護(hù)體系。一方面，要對醫(yī)院信息系統(tǒng)及時更新，構(gòu)建科學(xué)性更強(qiáng)的網(wǎng)絡(luò)安全評估體系，定期進(jìn)行系統(tǒng)掃描去查找漏洞，嚴(yán)控網(wǎng)絡(luò)訪問行為;另一方面，構(gòu)建強(qiáng)效病毒防護(hù)體系，定期清理常見木馬與病毒，提高醫(yī)院信息安全防護(hù)效率。當(dāng)然，還要重視對醫(yī)院信息系統(tǒng)的監(jiān)測管理，警覺異常入侵，如若發(fā)現(xiàn)安全問題要及時報警，保證安全防范時效[5]。

2.2 做好對醫(yī)院信息系統(tǒng)外來攻擊的應(yīng)對工作

其一，保障醫(yī)院信息安全訪問。醫(yī)院一定要提高信息安全防護(hù)建設(shè)工作質(zhì)量，采取全面分析及掃描的手段去開展對來自外網(wǎng)的病毒攻擊，同時安裝保密級別更高的殺毒軟件，做好對病毒的防范工作。同時，醫(yī)院也要如上述所言重視對網(wǎng)絡(luò)相關(guān)設(shè)備的安全管理，尤其重視避免硬件設(shè)備受損，打造安全的硬件管理環(huán)境，同樣可有效應(yīng)對外部用戶對醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)的損害。同時，賦予不同用戶不同權(quán)限，避免用戶出現(xiàn)越權(quán)操作，也即是如果用戶不具備該操作權(quán)限，會直接對用戶行為進(jìn)行限制。此外，還要配備最基本的防黑客攻擊的安全設(shè)備，切斷一切有可能影響醫(yī)院信息網(wǎng)絡(luò)安全的異常行為。

其二，健全風(fēng)險評估機(jī)制。醫(yī)院信息安全風(fēng)險評估，也就是對醫(yī)院信息系統(tǒng)中存在不安全、不穩(wěn)定因素做出預(yù)估，從而察覺系統(tǒng)中暴露出的缺陷與漏洞。從現(xiàn)階段醫(yī)院信息安全防護(hù)建設(shè)工作實(shí)際情況來看，主要的信息安全風(fēng)險集中體現(xiàn)在技術(shù)和人員層面，所以醫(yī)院方面應(yīng)當(dāng)組建專門的考核團(tuán)隊，制定安全監(jiān)測計劃，做好人員信息安全管理工作，規(guī)范醫(yī)護(hù)人員行為，全面測試與排查硬件設(shè)備、網(wǎng)絡(luò)環(huán)境、信息備份、應(yīng)急預(yù)案等方面的設(shè)置。當(dāng)然，醫(yī)院畢竟屬于醫(yī)療機(jī)構(gòu)，其信息技術(shù)水平可能相對偏弱，所以可尋求專業(yè)的第三方安全服務(wù)公司進(jìn)行合作。

其三，構(gòu)建分級保障應(yīng)急預(yù)案。在醫(yī)院信息化建設(shè)過程中，同樣需要針對信息安全防護(hù)構(gòu)建分級保障應(yīng)急預(yù)案，如果發(fā)現(xiàn)數(shù)據(jù)上傳失敗、無法訪問數(shù)據(jù)庫等異常情況則要及時匯報，視情況嚴(yán)重程度做出相應(yīng)的處理。此外，還要根據(jù)醫(yī)院臨床科室的實(shí)際情況去制定應(yīng)急預(yù)案，先對科室信息進(jìn)行登記，對應(yīng)急預(yù)案的啟動時間、替換方案、故障恢復(fù)等做出明確規(guī)定，并且讓所有醫(yī)護(hù)人員熟記于心[6]。為了降低信息安全事故帶來的影響，需要在不影響醫(yī)院業(yè)務(wù)運(yùn)轉(zhuǎn)的情況下多進(jìn)行應(yīng)急演練。

2.3 落實(shí)醫(yī)院內(nèi)部信息安全防護(hù)管理措施

其一，加強(qiáng)信息安全管理制度建設(shè)。醫(yī)院內(nèi)部在落實(shí)信息安全防護(hù)管理措施方面需要強(qiáng)化制度建設(shè)，確保機(jī)構(gòu)與規(guī)劃的雙重統(tǒng)一，強(qiáng)化整合力度，完善信息安全防護(hù)管理工作的規(guī)章制度，保證該項(xiàng)工作有章可循。同時，對機(jī)房、軟硬件設(shè)備、安全防護(hù)設(shè)施等逐步完善，跳脫部門界限，通過詳細(xì)規(guī)定管理細(xì)則，實(shí)現(xiàn)醫(yī)院內(nèi)部一體化管理，優(yōu)化過去管理模式中信息與業(yè)務(wù)相互分離的情況，全面提升信息系統(tǒng)安全防護(hù)能力。

其二，強(qiáng)化信息安全監(jiān)控考核機(jī)制。醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)需嚴(yán)令禁止內(nèi)部員工對相關(guān)網(wǎng)絡(luò)配置擅自篡改，不可用他人賬號進(jìn)入系統(tǒng)，更不能擅自安裝不在信任列表中的非辦公軟件。醫(yī)院信息管理部門要做好日常信息巡查工作，對黑客攻擊進(jìn)行監(jiān)測預(yù)防，對病毒進(jìn)行清除防范，對重要信息及時備份，對有害信息及時清理等。此外，還要確保各項(xiàng)保密措施的積極落實(shí)，例如所有涉密文件必須通過計算機(jī)加密后傳輸;涉密計算機(jī)故障檢修，一定要由內(nèi)部人員處理或由專人監(jiān)控;涉密信息不可存儲在移動存儲介質(zhì)中帶走，更不得私自出借文檔，防止重要資料外泄。

其三，重視信息安全培訓(xùn)工作。醫(yī)院在信息安全防護(hù)建設(shè)工作中一定要重視對員工的信息安全業(yè)務(wù)培訓(xùn)，人力資源部門要做好針對性的安全培訓(xùn)計劃，編制培訓(xùn)內(nèi)容，羅列出與醫(yī)院信息系統(tǒng)相關(guān)的安全管理知識。同時，在培訓(xùn)過程中也要結(jié)合醫(yī)護(hù)工作實(shí)際情況，講究循序漸進(jìn)，以科學(xué)化的知識考核去評測員工信息安全知識水平，與績效獎金掛鉤形成動力激勵。

3 結(jié)束語

綜上所述，隨著社會時代的發(fā)展，人們在物質(zhì)生活水平不斷提升的背景下，對自身健康問題也愈發(fā)關(guān)注，同時社會醫(yī)療行業(yè)的快速發(fā)展也為社會大眾帶來了更加便利的醫(yī)療服務(wù)，加之互聯(lián)網(wǎng)技術(shù)的加持，互聯(lián)網(wǎng)+醫(yī)療時代的來臨，大大提高了大眾的醫(yī)療服務(wù)效率。而“互聯(lián)網(wǎng)+醫(yī)療”在發(fā)展中同樣面臨著信息安全問題，要想解決該問題，則要通過加強(qiáng)設(shè)備與技術(shù)層面信息安全防護(hù)建設(shè)、做好對醫(yī)院信息系統(tǒng)外來攻擊的應(yīng)對工作、落實(shí)醫(yī)院內(nèi)部信息安全防護(hù)管理措施，從而提高醫(yī)院的信息安全防護(hù)建設(shè)工作效率，增強(qiáng)醫(yī)院信息網(wǎng)絡(luò)安全性，保護(hù)企業(yè)與個人信息，提高醫(yī)院信息系統(tǒng)穩(wěn)定性及安全性。

參考文獻(xiàn)：

[1] 高巍，潘欣.醫(yī)院微信就診服務(wù)平臺的內(nèi)部網(wǎng)絡(luò)安全防護(hù)[J].中國數(shù)字醫(yī)學(xué)，2016，11（6）：92-94.

[2] 胡新龍，李懷成.互聯(lián)網(wǎng)+醫(yī)療健康模式下的醫(yī)院網(wǎng)絡(luò)安全防護(hù)[J].中國衛(wèi)生信息管理雜志，2019，16（4）：462-466.

[3] 陳擁軍，肖新文，陳泓伶，等.醫(yī)院網(wǎng)絡(luò)安全體系構(gòu)建與實(shí)現(xiàn)[J].中國數(shù)字醫(yī)學(xué)，2016，11（7）：105-107.

[4] 李強(qiáng).芻議醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理與維護(hù)措施[J].中國信息化，2019（2）：58-59.

[5] 王華.醫(yī)院計算機(jī)網(wǎng)絡(luò)安全管理工作的維護(hù)策略分析[J].信息系統(tǒng)工程，2017（8）：77.

[6] 江潤平.對醫(yī)院信息化建設(shè)中網(wǎng)絡(luò)安全防護(hù)的對策研討[J].信息與電腦（理論版），2019（14）：206-207.

【通聯(lián)編輯：唐一東】