醫院信息化建設中網絡安全及防護探析

賀勇

北京大學第六醫院 北京 100191

引言

結合我國當前的醫院發展情況來看，隨著人們就醫需求的不斷提升，對于醫院自身服務體系的要求也越來越大，在這種環境下，醫院自身針對業務模式以及經營方法也需要進行改革，而信息技術的出現能夠為醫院進行現代化建設提供根本保障，這其中電子信息服務系統的應用極為廣泛，同時也會面臨著較多的風險。

1 醫院信息化建設過程中存在的主要風險

1.1 危險因素分析

結合我國當前的信息化發展情況來看，互聯網以及電子信息技術是主要的技術體系，具備著傳輸速率快、體量大、共享性強的特點。但是在實際應用的過程中也面臨著諸多的威脅，例如病毒便是當前信息化建設過程中的核心威脅要素。網絡病毒會直接通過數據或者光纖傳輸體系進行傳播，最直接的危害便是能夠直接破壞硬件系統功能以及軟件系統，導致整體的信息化系統出現漏洞，從而出現數據損壞以及被竊取的情況。

1.2 黑客威脅

黑客主要指的是利用高精尖技術體系，通過破壞網絡系統的防火墻或者硬件設施，直接侵入醫院的信息化系統，從而竊取資料。而常見的病毒也是黑客植入的主要工具之一，黑客的操作手段與病毒體系相互配合，能夠直接導致網絡系統癱瘓，影響醫院本身的正常運行。最主要的是對于保密信息的竊取會造成十分不良的影響。

1.3 信息遺漏

在當前的醫院信息化系統建設過程中，以財務管理或者常規的發展管理為基礎構建的信息系統較為常見，這些系統往往有著較強的影響力。決定了醫院本身的發展運營狀態，同時也決定了醫療科研以及患者服務等相關內容。其中產生的大量信息也需要通過大數據技術進行分類和儲存，這其中便需要進行精準管理，但是受限于管理人員自身技術體系以及整體系統的穩定性等多種因素，在管控的過程中可能會出現信息遺漏以及信息丟失等情況。一旦缺乏有效的備份系統，便有可能導致重要信息無法尋回，這對于醫院的發展會產生極為嚴重的影響[1]。

除此之外，技術體系的發展是需要進行不斷進階和改良的，但是當前部分醫院的信息化管理系統存在脆弱性問題，例如主機的安全管控力度不足，系統代碼存在缺陷，操作系統本身的脆弱性較高，制度體系不夠完善，權責分化不清，這都有可能導致信息系統的使用以及更新升級出現問題。

2 醫院信息安全管控的核心內容

綜合信息化建設的具體情況來看，涉及了大量的軟件系統，主要負責信息技術的具體執行和應用，其次涵蓋了大量的硬件設備，促使整體系統能夠得以運行，同時也涉及了部分終端設備以及網站，是信息共享以及信息化系統運轉的重要節點。這些都將是安全管控的主體，而從具體的內容角度來講，涉及了以下幾個方面。

2.1 軟件安全控制

計算機軟件以及相關程序的高質量運行，能夠為醫院的信息化建設提供根本保障，因此相關工作人員必須要具備軟件操作能力，并且能夠及時地學習理論知識，這樣才可以確保后續所有的信息化工作都能夠順利開展。而綜合軟件安全防控過程中產生的一系列內容來看，涉及了電子病歷、藥物規范體系、護理流程等多種業務以及服務內容。它們依托于網站、云數據庫、計算機處理體系得以運行，必須要具備安全防控保障，這樣才可以為整體醫療工作的創新奠定基礎。

2.2 系統硬件防護

在當前的信息化建設過程中，系統的運轉以及技術的執行，依賴于性能較高的硬件設備，尤其是為了進一步滿足當前的醫療發展需求，大量的終端電腦、中心處理器、網站服務器都具有極強的精密性，因此設備的存放、使用、維護、防控都需要放在首位，這樣才可以確保整體系統具備良好運行狀態。另外硬件設施雖然能夠從一定程度上防止病毒的侵染，但是不良的操作狀態以及人員思想認知也可能會導致額外的技術風險[2]。

3 醫院信息化建設過程中網絡安全防控的具體優化策略

3.1 落實分區分級管控

醫院內部的信息化系統往往具備一定的復雜性，涉及了各項的業務體系以及管理重點，因此想要打造高質量的安全管控策略，就必須要綜合實際的管控主體以及系統分類進行分區分級管控。結合不同的功能情況以及實際的保護對象進行區別對待，這樣能夠打造不同等級以及不同功能的安全區域，不僅適用于當前業務模式較多的醫療服務體系，也可以為后續的技術以及系統開發預留空間，最主要的是可以將重點防控的內容隔離出去，避免系統癱瘓，造成不可挽回的影響。例如某院建立在信息分區分級管控的基礎上，打造了三級等保網絡安全架構[3]。結合業務的不同情況以及實際特征，分為多個分支區域，每一個分支區域設置不

同的保護級別，能夠從整體框架上進一步加固各個分支區域的保護力度。

需要注意的是，在落實這種分級分區安全管控的過程中，需要注意以下幾方面的關鍵內容。

首先針對有相同管理部門的區域，其中產生的大量信息以及相關分支系統往往被同一個部門所管理，那么采用的安全策略往往是一樣的，這樣的安全策略可以本著該部門的實際管控原則出發，結合自身的業務執行規律，以及未來發展方向進行針對性分析，例如財務部門針對有關財務相關的業務建立起權限管理體系，財務管理網絡以及平臺不允許其他部門人員登錄，這樣能夠有效防止信息被竊取。

其次，結合物理位置相同或者實際運行環境相同的分支，需要考慮實際的網絡安全威脅以及可能面臨的安全風險。例如當前的電子預約系統以及醫療服務系統都是直接為用戶提供醫療保障的重要系統，其中涉及了大量的個人信息錄入以及交互。面臨的主要風險便是病毒的入侵，信息竊取以及黑客攻擊，那么主要的防控技術往往已設立防火墻、做好密鑰系統創新、強化信息回溯追蹤為主[4]。

3.2 做好終端設備的病毒防控

信息化辦公體系已經成為當前各個科室組織醫生辦公的核心體系，但是受限于組織醫生以及相關人員綜合技能的影響，在網絡終端防控方面還存在著部分缺陷，那么再進一步提升使用人員自身安全防控認知的同時，還需要利用具有高性能和高強度的軟件來實現安全防控。

例如可以及時的引入當前市場上性能較好的桌面殺毒軟件，及時地做好電腦終端的漏洞掃描以及漏洞修復，這是避免病毒入侵的最關鍵環節。在該方面可以與相關專業機構進行合作，選擇企業級以及國家級的軟件作為主要的防控工具，在具備防病毒性能的同時也可以具備反間諜技術，這樣能夠有效增強整體網絡終端的保障力度，提升強度，增強標準可以實現最基礎的全方位防控。

3.3 縮小漏洞暴露面

要實現既有信息資產的有效梳理。要結合資產所處的具體維度空間、屬地、性能、忽視點進行梳理。比如要全面關注既有資產的安全屬性分析相關文件，以及具體軟件的性能了解版本以及技術框架。合理的落實管理后臺的監控，避免管理后臺在開放的公網中進行運行，針對高危的功能必須要進行絕密的監管，例如文件的上傳點、下載點、驗證碼、密碼重置窗口等[5]。同時針對所有管理員的特權賬戶以及系統員的操控賬戶，都需要進行備份和嚴密監管。常規運行過程中的郵件系統以及OA系統，也需要及時地進行敏感信息的定位以及訪問權限的限制。

再次，需要打造科學的網絡信息管控組織架構，各人員以及各崗位都需要明確網絡安全管理的相關任務以及具體的職責，建立在專業信息顧問的基礎上，配合院方的實施團隊來加強多主體管理力度，這樣能夠為網絡安全體系的正常運行以及高效發展提供根本保障。

圖1 信息化安全管控組織架構

4 結束語

總的來說，網絡入侵行為無孔不入，因此為了進一步強化信息體系的安全防控質量，可以進一步縮小漏洞的暴露程度。要打造有效地控制訪問系統，合理的劃分訪問范圍，這樣能夠有效實現隱性風險的控制。所有的醫院內部設備體系以及電腦終端，避免連接來路不明的無線網以及局域網，進一步加強對設備體系的管理力度做好人員培訓，在保障安全的前提下，合理地進行技術創新。除此之外，還要落實好人員組織架構的管理，這樣才可以為醫院內部信息系統的高效運行以及網絡安全的防控提供根本保障，更能夠促進醫院的運營發展體系得到持續性創新。