醫院網絡安全防護策略分析

林進護，陳卓明，莊一峰

（廈門市兒童醫院，福建 廈門 361000）

伴隨著互聯網時代的到來，許多醫院紛紛采用信息系統運營各項數據信息，雖然取得了一定的成效，但在網絡安全方面也迎來了一定的風險和挑戰。在這樣的背景下，必須要注重提高醫院網絡整體的安全防護能力，結合當前安全運營和防護方面存在的問題，提出相應的防護策略和建議。通過這種方式推動醫院網絡安全工作步入良性循環之中，有效解決當前所面臨的困境。充分利用信息技術的優勢，保障醫院各項工作的效率。

1 醫院網絡概述

計算機技術在當前社會的各個領域應用十分廣泛，在醫療領域之中，主要應用在建立信息系統。對于醫院來說，借助計算機技術能夠實現各個部門之間的高效溝通和交流。建立統一的信息管理系統，各個科室之間，能夠及時共享重要的數據信息，包括患者信息、各類藥品的信息及人事財務的信息，還可以為患者提供在線掛號、咨詢等服務。相較于傳統的閉塞模式，計算機技術的到來，為醫院的諸多工作提供了極大便利，也由此提升了各個部門的工作效率。醫院在與其他單位進行交流和互動的過程中，也可以隨時接入互聯網查詢相關資料信息，能夠突破時間和空間方面的限制，與其他院的專家進行在線溝通和交流。除此之外，也可以為偏遠地區的患者提供醫療指導和建議，大大提高了醫院整體的工作效率。醫院網絡在為各項工作帶來便利的同時，也面臨著一定的威脅和挑戰[1]。如果缺乏防護措施和應急措施，那么信息系統在遭到破壞之后，容易導致重要的信息數據泄露，將會給患者及醫院帶來不可挽回的損失，造成不利的社會影響。因此，必須要深入分析當前醫院網絡安全所面臨的問題，提出針對性的解決策略。

2 醫院網絡安全當前所面臨的困境

2.1 安全問題的主要來源

近些年來，醫院計算機網絡得到了迅猛的發展，但由于管理階層存在管理觀念的誤區，將重心放在應用方面，而忽略對技術和系統的管理。因此，也會導致醫院計算機網絡存在較大的安全隱患問題。

2.1.1 硬件基礎設施存在風險因素

計算機網絡在使用過程中，所采用的物理設備可能會出現損壞的情況，影響醫院的正常工作。導致這些問題出現的原因在于一些不可控的自然因素，但是往往會對計算機網絡造成破壞性的影響。除此之外，還包括計算機設備本身性能存在缺陷，在采購的時候，并未對設備生產廠家的資質進行審核。導致后續使用過程中，容易出現問題，也會因此影響各項業務的開展狀況。

2.1.2 物理環境存在風險因素

一般來說，計算機網絡與互聯網之間是相互聯通的，這也使得醫院的網絡具有一定的開放性和互動性，為了加強對信息數據的保護，后期可能會采取網絡隔離的方式。或者針對醫院內部設置訪問控制，只有準入權限，才能夠進入系統，通過這樣的方式來提高整個系統的安全性。但根據目前情況來看，國內黑客已經形成產業化特征，醫院互聯網所處的物理環境依然存在一定的風險因素。

2.1.3 操作與使用存在風險因素

對于醫院所使用的網絡來說，雖然只有符合相關準入權限的人員才能夠操作整個系統，提取重要的信息數據，但由于人工操作失誤，或者未能按照程序進行操作，也會存在一定的風險因素，可能會給醫院計算機網絡造成不良的影響。比如一些人員可能在工作時間內通過醫院網絡訪問一些違法網站，導致重要的信息數據被泄露或者攜帶病毒，導致醫院整個設備被病毒所感染。

2.2 安全問題的主要表現形式

2.2.1 患者信息數據泄露

根據目前情況來看，醫院網絡安全所面臨的困境，還是十分嚴重的，加強對網絡的安全防護也成為了管理部門所共同關注的重點。安全問題的主要表現形式分為2個方面，首先是指患者信息數據被盜竊。在日常工作過程中，醫院的計算機網絡中會進行大量的患者信息傳輸和儲存工作。一些黑客和非法攻擊者會利用各種手段盜取這些信息，為自己謀利。其次，如果在身份認證方面存在一些漏洞或問題的話，那么可能會影響用戶數據的安全存儲，不僅會給用戶帶來巨大的困擾，也會嚴重危害醫患關系。

2.2.2 計算機網絡遭受惡意攻擊

計算機網絡當前所面臨的最主要問題，就在于容易遭受惡意攻擊。由于醫院互聯網系統還不夠完善，容易受到一些黑客和不法分子的關注進行主觀破壞。在競爭環境中，一些存在競爭關系的醫院網絡也會對相關網絡進行攻擊，會通過毀壞有效數據或者阻礙網絡使用的方式，大大影響醫院網絡的整體運行效率，同時也會危害醫院服務系統的性能。這些問題都給醫院網絡的安全建設帶來了嚴重的影響，必須要注重對這些問題根源的分析，從常見表現形式等方面入手，采取相關應對策略。

3 醫院網絡安全組織機構劃分策略

在加強醫院網絡安全工作的過程中，必須要充分獲得高層領導部門的決策支持，同時也需要嚴格落實相關要求，才能夠進一步提高安全防護措施的執行力度。由此，必須要建設完善的組織架構，一般來說，主要分為2個部分，分別是指揮層和運行層[2]。指揮層主要由領導小組組成，運行層主要由領導小組辦公室和工作小組組成。

3.1 指揮層

根據實際情況，醫院應積極成立指導安全工作的小組，主要由單位的主管領導擔任最高領導，進行統一的調度和安排。圍繞醫院網絡安全和信息化建設工作，領導小組必須要制定明確的網絡安全目標，并根據現階段所發生的信息安全事故和問題，深入剖析背后存在的原因，采取有針對性的解決對策，并注重評估網絡安全年度工作案例。

3.2 運行層

網絡安全與信息化建設工作小組，主要負責網絡信息安全相關的各項工作，注重制定完善的網絡安全管理策略，結合醫院現階段的實際情況，積極承擔相關工作，并定期對工作成果和情況進行檢查和評估。通過這種方式能夠進一步完善醫院整體的安全防護策略，結合實際問題提出相關改進建議。

4 醫院網絡分級保護策略

對于醫院來說，不同的信息系統，對于保密性和可用性的要求，也存在一定的差異，必須要結合實際情況，對信息系統進行分類和分級，由此才能夠圍繞不同的等級，設計合理的技術框架，促進安全防護工作和措施得到有效的實行。

4.1 明確防護等級

根據國家相關文件規定，醫院核心業務系統安全保護等級，原則上不低于第三級，不僅需要具有相互獨立的信息系統，而且各個醫院之間的信息系統也需要達到互通和交流，逐級必須要明確自身的責任。在這樣的情況下，加強各個部門和科室的分工，盡可能將安全防護的責任落實到個人，才能夠促進相關防護策略得到有效的實行。

4.2 設計合理的技術框架

圍繞所制定的防護等級，需要設立合理的安全技術框架，主要包括一個安全管理中心，安全的計算環境、區域邊界及通信網絡。在普通服務器安全區域內，原則上是不允許保存超過本機要求的敏感數據信息，相關人員必須要嚴格落實這方面的要求，根據實際情況和需求對主機進行加固處理。在重要服務器安全區域內，需要采取一定的隔離措施。在邊界服務器安全區域內，必須要加強防護處理。在用戶終端安全區域內，必須要按照不同的物理位置進行劃分。

5 醫院網絡安全建設策略

5.1 進行整體網絡的安全規劃

對于醫療行業來說，必須要加強對整體網絡的安全規劃，結合單位的實際需求與網絡安全框架進行有機的結合。首先要加強對當前醫療行業計算機網絡應用現狀的調研，充分了解醫院網絡建構的實際需求。在此基礎上進行總體安全設計，并規劃具體的安全建設項目，明確醫院網絡系統需要改進和完善的目標。在具體實施過程中，應充分訪談醫院內部各類崗位的人員，了解醫患關系對網絡所提出的實際訴求，同時，要廣泛收集不同崗位人員對網絡安全所提出的意見和建議。基于此能夠了解醫院IT資產實際狀況，并制定相應的安全防護措施，及時將安全訴求轉化為醫院防護措施制定的方向。除此之外，醫院也可以聘請一些外部專家積極參與討論，共同制定醫院網絡安全建設目標。

5.2 加強日常信息化項目建設

在建設醫院日常信息化項目的過程中，必須要嚴格落實相關要求，堅持同步規劃的理念，必須要在確立項目之前進行統一的方案討論。尤其是要明確安全保護的主要對象和層級，據此制定相應的保護措施，嚴格落實國家所制定的通用安全要求。同時還需要進行同步建設，圍繞醫院現階段的實際需求設置防火墻、防病毒和堡壘機等，實施具體的計劃。除此之外，還需要同步運行，將責任落實到各個科室及各個部門，由此來提高整個醫院安全防護小組的責任意識，能夠確保日常工作中積極運行常態化網絡安全監督檢查工作要求。

6 醫院網絡安全運行策略

針對現階段醫院網絡安全防護存在的隱患和問題，必須要注重制定完善的安全運行策略和防護措施，進一步提高醫院信息系統的安全性，為了確保醫院計算機網絡的安全運行，必須要注重加強對網絡硬件設備的維護和處理，以下主要從5個方面，分析醫院網絡安全運行的具體策略。

6.1 加強安全巡檢

在制定醫院網絡安全規劃的過程中，必須要將單位具體業務所對應的網絡安全需求和網絡安全框架進行有機的結合，加強對相關背景需求的調研和分析，以不同崗位人員所提出的建議和訴求為主，制定完善的安全巡檢措施。對于網絡安全員來說，安全巡檢是最基本的工作之一，能夠及時度量安全風險的變化特征。因此，必須要嚴格落實每月一次的全面終端安全檢查工作，通過抽查的方式對不同類別和不同區域的計算機終端進行詳細的檢查和評估，由此也能夠提高對服務器和網絡設備的保護力度，及時發現其中存在的安全隱患和問題，做好日常運行中常態化網絡安全監督檢查工作，使得這些問題能夠得到及時的解決，也能夠結合實際情況對安全設備進行優化，根據可以識別的風險因素和漏洞，采取安全加固等相關措施。嚴格落實安全巡檢的要求，也能夠進一步提高網絡安全防護的系統性，確保醫院網絡得到安全的運行，在未來實現更加持久的發展。

6.2 積極發現危險

醫院必須要進一步加強網絡安全意識的培訓，通過健全網絡安全制度體系，來提升整體的管理效率和水平。首先所制定的安全制度，必須要不斷拓寬覆蓋范圍，涉及醫院工作的方方面面，將責任落實到具體的人員，由此來提高不同崗位工作人員的責任意識和安全意識。在日常網絡安全使用過程中，必須要嚴格按照相關要求，進行規范性操作。這樣的話才能夠確保醫院網絡常態化和規范化運作。結合當前醫院網絡安全運行的現狀和所存在的突出問題，必須要加強對員工安全意識的培訓，不斷完善網絡安全制度，確保員工能夠積極發現網絡系統中存在的問題和危險因素。主要是指在不法分子攻擊網絡之前，能夠及時發現所存在的漏洞，通過分析安全設備的安全事件和日志，將醫院信息系統中問題，及時提交給管理員，并得到有效的處理和整改。

6.3 加強安全培訓

以往各個科室的人員，在使用醫院網絡的過程中，可能由于操作不當等問題而給系統帶來不良的影響。在保障醫院網絡安全運行的過程中，必須要加強對各個科室和各個部門人員的安全培訓，嚴格落實網絡安全法規和標準，注重提高全體工作人員的責任意識和安全意識。參與醫療機構信息化流程的工作人員總數較多，因此，必須要積極落實安全意識培訓和教育工作，針對相關技術人員要加強技術專業培訓，定期統一地考核評估特定人員的專業水準和能力。通過統一的組織能夠激勵特定人員參與網絡培訓和現場培訓。借助豐富的培訓形式，提高特定人員的專業能力。除此之外，也應該結合網絡安全典型的事件，圍繞所在機構信息系統的現狀，制定相應的場景，也能夠由此加強特定人員對這些事件的印象，及時將工作經驗轉化為常態化工作流程。在接受培訓之后，必須要督促特定人員參加相關考試和考核工作，將最終的結果進行反饋，有助于不斷完善醫院網絡安全防護方案，也能夠及時檢驗對特定人員專業培訓的效果，促進后期工作得到有效的實行，避免由于人工操作失誤和不當而造成的安全事故。

6.4 做好保障工作

對于醫院的計算機網絡來說，在一些重大活動期間，經常容易發生一些安全信息事故，因此，必須要做好充分的任務保障工作。主要是在一些重大活動和節假日期間，加強對員工和相關人員的培訓，提升整個組織的安全防護能力。具體來說，主要包括3個階段，首先必須要針對現階段醫院的關鍵資產和脆弱性進行優化和處理，加強對硬件和軟件各方面的篩選和分析，盡可能減少數據信息在互聯網上的暴露面，通過這種方式能夠提高整個系統的安全防護性。其次，在重大任務保障期間，必須要注重靈活運用管理和技術手段，提高對問題的處理效果。加強對暴露面所遇到風險的控制，對于非必需的網站和系統，應及時進行關停處理，以免對整個信息系統和網絡造成不良的影響。最后在總結階段，必須要對前期所發現和沒有解決的問題進行持續的優化處理，將具體的安全防護和監測經驗轉化為網絡優化和改善的具體方向，由此制定常態化工作流程，嚴格落實相關要求，也能夠進一步提高醫院組織的安全防護能力。

6.5 落實應急響應

在明確醫院安全工作目標的過程中，首先必須要注重防止安全事件的發生，結合以往事故發生的情況來看，雖然已經盡可能做出了最大的挽救措施，但依然難以防止安全事件的發生。在這樣的情況下，必須要及時對系統進行檢測和修復。落實應急響應機制的目標在于減少安全事故對整個系統的影響，因此，必須要積極制定完善的應急預案。在整個流程中，制定相應的預案措施，有助于提高處理工作的效率。對此，醫院必須要參照有關標準和規定，定期進行演練，提高自身的應急能力，并且需要保留相關文檔和日志，有助于分析并積累應急處理的經驗。除此之外，提升醫院網絡的安全性是一個長期和系統化的過程，必須要加強安全意識和責任意識的培訓，對以往所存在的問題進行有效整改，才能夠促進醫院信息系統，實現持續化發展，有效解決運行過程中所存在的問題。因此，必須要建立相應的檢查和回顧機制，以便于及時發現其中所存在的安全隱患問題，也能夠進一步提高應急處理的效果。

7 結束語

綜上所述，在當前信息技術大面積普及的背景下，醫院信息系統為諸多工作提供了極大便利，也拉近了醫者與患者之間的距離。但同時也暴露出計算機網絡安全方面存在的問題和不足，針對所分析的問題，必須盡快采取有效的行動和措施，構建完善的信息防護體系，從指揮層到運行層，實施積極的網絡安全防護策略。除此之外，也需要不斷加強信息化管理水平，切實做好醫院計算機網絡的安全管理和防護工作。通過這種方式能夠消除網絡安全運營和管理方面存在的隱患，保障各項工作得到平穩的運行，進一步提升醫院整體的工作效率，也能夠保障醫院在今后實現長遠的發展。