“互聯網+”背景下醫院信息安全面臨的風險及應對策略

摘要：我國進入“互聯網+”時代，更多醫院在工作中應用了信息技術，網絡平臺盡管能夠為工作人員帶來諸多便捷，但由于互聯網技術自身的開放性，還帶來了較多信息安全風險。為確保各類重要信息的安全性，須關注開展信息安全管理，積極應對安全風險，以避免各種信息安全事故的發生。鑒于此，本文圍繞醫院信息安全管理工作的實際情況，概述了“互聯網+”背景下信息安全管理的內涵和特點，分析了醫院信息安全系統面臨的三方面風險，詳細提出了應對信息安全的四種策略。

關鍵詞：“互聯網+”；醫院；信息安全；風險；應對策略

引言

醫院信息系統和網絡環境的安全，是保證醫療工作有序開展的基礎，是提升患者個人信息安全性的保證。伴隨“互聯網+”時代的到來，醫院的信息化程度不斷提升，信息化應用項目更加豐富，外加醫院業務向外拓展，使部署策略更加復雜。因此，醫院要積極應對信息安全風險，用完備的信息安全管理體系解決更多風險問題。

1. “互聯網+”背景下醫院信息安全管理概述

伴隨信息技術的發展，互聯網技術逐步進入各個行業，我國醫療行業迎來了“互聯網+”的新時代。互聯網技術的應用，讓醫院的各項資源得到科學配置，滿足人們的就醫需要，為人們的生命健康保駕護航。由于醫療行業自身的特殊性，醫院在進行信息化建設時，要按照自身的運營特性，建立屬于自己的信息體系。但信息技術高速發展的同時，醫院信息安全風險迅速加大。為了適應“互聯網+”時代潮流，醫院要做好信息安全管理工作，確保所有數據信息的安全。

1.1 信息安全管理的內涵

信息安全管理是指對醫院的信息系統相關硬件、軟件、數據庫信息等加以安全保護管理，以免被偶然、惡意地破壞或泄漏等。主要是使信息系統的網絡連接服務不受到負面影響而發生中斷，確保信息系統的可靠、連續運行，為醫院正常運營提供安全上的支持。現階段，醫院的信息安全管理成為系統參與的一環，在醫院的管理和運行中，中心工作在于保障醫療安全，以全體工作人員為根基，全面降低醫院的信息風險，為人們提供更為優質的醫療服務，使醫院得以實現良性運營的目標[1]。

1.2 信息安全管理的特點

（1）系統性：醫院信息系統的主要功能是將醫院內各個子系統加以串聯，達到各部門信息共享的目的。從患者進入醫院掛號開始，患者的信息便在掛號處、診療處、劃價處、財務處、藥房、住院處等地之間傳遞，說明系統性是醫院信息化管理進步的表現和必然特征。醫院的級別越高、資源數量越大，對于信息化管理的系統性要求更加嚴格。尤其在“互聯網+”背景下，醫院的正常運行和發展需要社會、企業、政府等組織加以配合，更加證明了醫院的信息安全工作并非單獨開展，而是系統化聯合運行的過程，需要內部、外部信息的統一協調和多方配合。

（2）動態性：醫院信息系統的動態性與自身的開放性有關，物流、信息流、人流等各方面均處于動態變化中，且動態性的特點不只單純體現于醫院信息的對外開放，還在于醫院內部各個部門、科室之間的內部信息與資源的共享，是確保醫院健康、穩定運行的基礎。

（3）高難度性：醫院進行信息安全管理的重要條件是盡量減少信息、人員、物資的流動，以防造成安全管理的漏洞。但醫院具有特殊性，職責就是對外開放救死扶傷，這更加大了信息安全管理工作的難度。尤其在患者眾多、人員紛雜的大型醫院中，接收的患者疾病種類、嚴重程度均存在差異，人員的密集和信息的高速流動，均成為醫院信息安全管理工作開展的重要挑戰[2]。

2. “互聯網+”背景下醫院信息安全面臨的風險

2.1 信息安全風險攻擊范圍方面

醫院的信息系統在“互聯網+”背景下將面臨更多來自互聯網空間的不利影響，具有更廣泛的攻擊范圍。當前，醫院積極開展信息化建設，信息邊界劃分模糊的問題更加顯著。尤其是移動OA終端、互聯網平臺終端，邊界模糊將造成安全威脅程度的加深。外加醫院擴展了信息邊界，還容易出現安全風險供給類型的多元化，若醫院沿用以往的安全風險防控方式將難以應對。

2.2 信息安全威脅防御難度方面

醫院信息系統安全受到威脅的表現，在于病毒、黑客等的入侵，出現系統運行問題或癱瘓等。當前由于信息系統接入了互聯網，使得信息規模更加龐大，將使得信息安全威脅的防御難度有所增加。以往的信息安全保護方法有相對局限性，部分醫院無法做到快速應對處于動態變化狀態的安全威脅。在醫院網絡范圍內，通常存在較多終端設備，但沿用靜態化的信息管理模式容易拖慢系統更新速度，則潛伏性的網絡安全威脅將無法被技術人員所察覺。

2.3 信息安全管理人員自身方面

信息技術崛起和發展為醫院帶來了更多活力，同時引發了更多安全風險，盡管較多醫院能夠意識到信息技術的重要性，將信息化建設加以落實，但部分醫院未能關注安全管理技術人員的責任明確問題。比如，未能指定有關部門和人員，開展對醫院信息系統的日常維護工作，造成技術人員缺少信息管理的責任意識，外加部分技術人員自身素質有待提升，更容易增加安全風險問題的發生概率，或在發生安全風險后，未能及時進行追責處理，均容易降低醫院信息系統的安全性。

3. “互聯網+”背景下醫院信息安全風險的應對策略

3.1 重視信息安全管理工作

在“互聯網+”背景下，若想切實做好醫院信息安全風險的應對工作，基礎任務便是讓技術人員能夠更加重視信息安全管理工作。為了讓技術人員具有較高的信息安全保護意識，需要提升技術人員隊伍的統籌領導能力，明確信息安全管理制度和目標，規范技術人員的行為。應加強對技術人員的日常教育，使技術人員可以從內心真正認識到維護信息安全對于醫院整個信息系統運行的重要性。針對醫院內技術人員由于人為操作不當造成的安全問題，可由相關負責人組織開展信息安全培訓，不斷提升技術人員的業務能力和拓寬知識框架，在實踐中持續總結工作經驗，便于在今后及時應對各種信息安全事故，達成熟練掌握信息維護技術的目標。還可以根據信息系統的運行特點推行使用制度，組織建立監察小組，對信息系統的日常運行加以管控，對于未能按照有關制度操作的技術人員予以處罰，保證所有內部工作人員均按照既定的規范要求加以操作。在制度中增加禁止安裝非指定的、容易對信息安全造成威脅的軟件的規定，防止信息泄漏，從“人”的角度出發高效抵御安全風險。

3.2 創新信息安全優化技術

信息安全優化技術是確保醫院內部信息系統平穩運行的基礎。醫院可從三個角度出發，使安全優化技術得以創新。

（1）進行網絡訪問控制：對網絡訪問進行控制，是提高醫院信息和網絡安全等級的可行辦法。根據“零信任”網絡安全策略，醫院可考慮在網絡系統中經由策略決策引擎，實施對各種訪問行為的嚴格驗證和授權管理，對于所有訪問醫院網絡系統的用戶均要做到反復明確和認證身份，配合開展證書系統安裝工作，達到訪問全程安全認證的目的，降低從終端至服務器存在非法訪問問題的概率，阻斷配置端的非法請求。使用細粒度策略，對各類訪問請求進行持續分析，做好訪問用戶信任度的評價工作，根據用戶類型判斷用戶能夠訪問醫院內的資源種類，再對信息資源執行只讀、可存檔、可刪除等分類操作控制，最大限度減少用戶與醫院內敏感信息的接觸，從根本上降低醫院內的信息安全風險。

（2）運用數據加密技術：數據加密是一種將明文信息經過特定密碼算法轉化為密鑰信息的技術類型，最終目的在于信息保護，適用于醫院的網絡和信息系統。在開展醫院信息安全管理工作時，若能充分發揮數據加密技術的價值，便能起到提升數據安全等級的作用，該技術使用后，只有被醫院指定的用戶或網絡才能得到相應的完整數據信息，而所有非授權用戶均無法得到經過加密處理后的內容。現階段，較多醫院在信息傳播中使用TCP/IP網絡協議，盡管該方法具有較高的性價比，能夠節約信息安全優化技術應用的投入成本，但存在一定的安全隱患。因此，需要技術人員在傳輸信息時，將信息轉換為偽造代碼，在另一端接收時再使用特殊方法讀取信息，達成高效保護醫院信息網絡傳輸的目標。

（3）提升病毒防御性能：安裝防火墻、病毒檢測和殺毒軟件，是提升醫院信息系統病毒防御能力的常規方法。因醫院內網終端受到病毒入侵的風險相對較高，技術人員的首要任務便是做好內網終端安全防護加固工作。有條件的醫院可在終端部署付費版殺毒軟件，安排技術人員定期予以更新和升級，盡快修復系統漏洞；若為了降低成本投入，則要選用開源版的殺毒軟件，根據醫院的信息系統現實情況適當添加插件，讓軟件功能上盡量接近付費版軟件；或者先安裝專有版殺毒軟件，滿足病毒防御的基本功能，待到醫院能夠提供資金支持后，再將專有版軟件進行注冊，轉換為付費版以獲得軟件的全部功能，但不得安裝破解版的付費軟件，以免木馬病毒“乘虛而入”。技術人員在此期間可在醫院的數據中心適當部署入侵防御系統，開展數據備份工作，保證在數據中心服務器受到病毒侵害時能夠盡快讓醫療信息恢復正常，盡可能減少醫院的損失，使醫院信息系統的關鍵部分始終處于安全監管的狀態下[3]。

3.3 構建多元網絡安全機制

根據網絡安全等級保護有關規范，醫院需要在信息安全與應用程序上實施一級保護，通過構建具有多元化的網絡安全機制，實現對信息系統主動保護的目標。“互聯網+”背景下的主動保護技術通常要應用到海量數據，能夠在網絡攻擊對醫院信息系統產生不良影響之前，經由對信息的收集和分析，形成集安全監測與報警功能于一體的安全保護系統，用于處理與跟蹤信息系統安全問題。主動防護的中心是預警監測，技術人員可應用大數據技術，對醫院當前的內部網絡環境加以分析，盡快發現存在的安全威脅，同步進行平臺預警和安全信息更新工作。而本地保護平臺則可以及時將可疑文件傳輸到內網，在大數據技術的應用下完成威脅信息系統運行因子的分析任務，達到動態管理的目的。為了防止醫院信息系統受到破壞，服務器可經過識別認證，對目標用戶與設備的驅動程序加以隔離，加密處理有關信息，在審核記錄后恢復數據。當發生安全事故后，技術人員可對之前生成的問題報告加以分析，倒追事故發生的原因，檢測外部威脅和審計內部行為，提高醫院網絡內部的安全系數。

3.4 定期開展網絡維護工作

通過對醫院信息系統風險問題的分析可知，在信息系統運行期間，安全風險無法做到完全規避，說明要采用預防措施降低風險概率，以防出現黑客、病毒入侵等問題。為此，醫院的信息系統管理技術人員要做到定期開展網絡維護工作，對于信息系統內存在的隱患、漏洞等進行科學排查，全方位提高信息系統的防御能力，將安全風險問題扼殺在搖籃中。比如，可以定期對醫院信息系統內的數據傳輸、交換過程進行重點排查，分析是否存在木馬、高危病毒等，通過病毒檢測軟件或殺毒軟件的工作記錄報告，建立完善的數據檔案，對報告結果加以精確分析，實現維護醫院內部信息系統安全的目標。

技術人員還要關注對硬件設備方面的維護管理，因為硬件設備是保證信息系統正常運行的根基，雷電、陰雨、高溫等天氣現象的發生，都容易對設備的運行產生干擾。技術人員在部署設備時，要做好防雷擊的工作，留意醫院內部計算機房的環境條件，將溫度、濕度、無線電干擾、空氣含塵濃度等指標均控制在可靠的范圍內。在設備相對集中的區域內則要進行防火工作，由于硬件設備在運行時可產生高溫，技術人員更要加強對溫度和濕度的控制，部署好防火設施、安全監測系統、不間斷電源等，對所有設備的運行狀態進行全天候的監控，確保所有硬件設備均能正常運轉[4]。

結語

綜上所述，在“互聯網+”背景下醫院采用多元措施降低信息安全風險，對于今后的穩定運行具有現實意義。醫院要對信息安全問題高度重視，在為患者提供優質服務的同時，要注意規避信息安全風險。通過重視信息安全管理工作、創新信息安全優化技術、構建多元網絡安全機制、定期開展網絡維護等手段的應用，促進我國醫院信息安全防護事業的長遠發展。

參考文獻：

[1]張敏，沈嘉裕，劉華瑋，等.我國互聯網醫院APP的隱私政策評價研究——基于認知負荷與內容合規雙重視域[J].現代情報，2023，43（3）：110-122.

[2]林杰.互聯網醫療中的信息安全和隱私保護策略分析[J].電子元器件與信息技術，2022，6（12）：218-221.

[3]陳宇斯.基于人機協同的醫院信息安全技術及系統研發[J].無線互聯科技，2022，19（23）：36-38.

[4]李瑤瑤.“互聯網+醫療”背景下的醫院信息安全防護建設與實踐[J].電腦知識與技術，2021，17（33）：36-37，40.

作者簡介：聶媛媛，本科，中級工程師，研究方向：計算機網絡安全、信息化建設。