“互聯網+醫療”背景下醫院醫療信息的安全與保障分析

鄭東山

摘要：近年來隨著國家大力推進醫療衛生事業高質量發展的背景下，“互聯網+醫療”應用在醫療機構之間得以快速發展的同時，也給醫療機構的網絡信息安全環境與管理方式帶來了安全挑戰，醫療業務的應用安全、數據安全、隱私保護等問題日益凸顯。如何堅持發展與安全并舉，進一步強化醫療機構的網絡信息安全管理水平，通過分析醫院在“互聯網+醫療”環境下的信息化建設情況，形成具有醫院自己特色的安全解決方案。

關鍵詞：“互聯網+醫療”；信息安全；網絡安全；醫院

中圖分類號：TP393? ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2023）13-0082-03

開放科學（資源服務）標識碼（OSID）

0 引言

據統計，截至2019年11月底，國內已建成互聯網醫院近300家，其中52%取得互聯網醫院執業牌照，基于實體醫院的線上和線下服務模式將成為醫療服務新業態。在抗擊新冠肺炎疫情期間，互聯網醫院發揮了獨特的作用，有效緩解了群眾看病難的問題，也讓廣大群眾開始了解和使用互聯網醫院提供的醫療服務，成為他們獲得醫療服務的一種便利途徑。[1]在互聯網醫療服務的助推下，醫療機構的就醫流程、健康管理方式、藥品服務模式、醫療保險的結算形式等新應用模式豐富了醫療服務的生態環境。醫療服務的新模式促進了醫院醫療服務的提質增效，并且進一步推動了互聯網醫院應用的建設的速度。在各類新技術、新模式得到普遍應用的背景下，網絡攻擊、計算機病毒、醫療數據的傳輸與存儲、患者個人隱私的泄露等信息安全問題日益突出。醫院信息系統的各項功能涵蓋了醫院各個業務層面，日常業務流轉信息、費用交互、患者健康檔案都會產生大量數據，在“互聯網+醫療”的環境下更是如此，如果醫療業務與數據出現問題，醫療機構面臨的不僅僅是經濟損失，嚴重的情況還會造成醫療業務的中斷從而引發醫療事故，因此在加快“互聯網+醫療”服務建設的同時，通過先進的管理方式與技術手段保障醫院醫療信息與應用環境安全是本文主要探討的內容。

1 “互聯網+醫療”應用下醫院信息安全的重要性

當前醫院信息系統在“互聯網+醫療”應用環境下的建設速度不斷提升，基于移動互聯網的應用逐漸增多，例如手機預約掛號、線上問診、遠程會診等極大的提高了醫療機構的診療效率，豐富了患者的就醫體驗。隨著醫院信息化建設水平也在不斷提高，醫療信息管理系統的建設已經成為醫院發展變革的重要抓手。而只有安全有效的信息才是真正具有價值的信息。如果醫院信息系統出現故障、崩潰等情況，將會導致正常醫療業務的中斷，由于醫院信息系統當中包含著患者的諸多診療隱私信息，一旦信息造成泄露、丟失會引發患者的不滿，甚至影響疾病診療，造成一定的社會負面影響。在醫院當前所處的環境下如何構建醫院信息系統安全保障防護體系，已經成為各醫院領導者高度重視的問題之一。

2 “互聯網+醫療”應用下醫療信息安全形式分析

在新冠肺炎疫情的影響下，以及近年來國家在大力推動“互聯網+醫療健康”政策的扶持下。互聯網診療線上與線下相結合的方式在醫院信息系統建設當中得以普及，呈現出蓬勃發展之勢。與此同時醫療機構內外網之間的信息交互日益頻繁且情況復雜，為保證醫療機構信息系統的安全穩定以及各項工作的正常運轉，針對當前醫院信息安全體系構建中所遇到的問題和解決方案進行深入分析與探討。

2.1 網絡環境帶來的安全挑戰

醫院在“互聯網+醫療”服務模式建設的過程當中大量引入手機App、自助終端、微信小程序等系統應用，使得院內各系統之間的交互邏輯日益復雜，各系統應用之間做到了互聯互通，醫院信息系統逐漸形成了線上線下相結合的新型服務模式。新模式下醫院內網接入的安全性還需要進一步提高，安全是醫院信息安全管理的核心，必須要給予足夠的重視，隨著各類信息終端所承載的業務與信息量的增加，發揮的作用也越來越大。但是，在當前環境下醫院內外網依然存在使用者擅自接入、患者信息泄露、網絡漏洞攻擊等問題，對醫院網絡信息的安全造成了嚴重的隱患。如何保證醫院內外網之間的接入安全必然成為醫院信息安全管理工作的重點之一[2]。

2.2 機房基礎設施的影響

“互聯網+醫療”應用環境下醫院機房的核心存儲與網絡設備面臨著高并發、多點交互的特點，另外醫院機房硬件設備老化、性能不足，以及安全防護設備如防火墻、入侵檢測等設備的配備缺失也進一步造成機房安全系數的降低，醫院機房的管理工作是保障醫院信息系統安全穩定運行的重要基礎性工作，不僅涉及服務器、存儲、系統軟件還包括UPS、空調系統、消防、防雷等基礎設施的完善。這些系統與設備是否正常穩定運行，在一定程度上影響著醫院各類信息系統安全和穩定運行。

2.3 醫療信息安全管理問題

隨著“互聯網+醫療”應用的廣泛普及，醫院對患者電子檔案數據雖然做到了一定的重視，但相對于診療服務本身還是有所欠缺的，包括即使在互聯網診療工作當中由于醫患等個人原因所發生的隱私數據泄露，醫護人員操作不規范等行為也未能按相關管理制度追責到個人，另一方面由于信息安全責任制度沒有進一步細化，當造成醫療數據缺失，后期數據處理不當等問題時，存在權責劃分上模糊不清相互推諉的情況。此外，臨床醫護人員對患者醫療信息的規范錄入不夠重視，造成患者診療基礎信息采集不準確存在后期修改信息得不到有效驗證等問題。在患者診療的全周期管理過程中，所發現制約信息安全的點既有外部因素，也有內部因素，醫院管理層必須要理清相應問題，做到足夠重視。

2.4 “互聯網+醫療”環境下安全風險特點

“互聯網+醫療”為醫院診療服務模式帶來了便利與創新的同時，以其所具備的開放性、交互性、便捷性等諸多特點提升了醫院信息系統的生產力。同時醫院所面對的信息安全問題也變得越發復雜多樣。由于當前醫院信息化建設當中的技術平臺、安全機制建設還有未完善的地方。“互聯網+醫療”下的醫院信息系統環境不但要應對傳統信息安全領域的問題，如計算機病毒、黑客攻擊、信息泄密與篡改等問題，而且還將面對新形勢、新技術等更加全面的安全管理挑戰，因此在“互聯網+醫療”應用環境的影響下，醫院內部必須依據自身所處環境積極制定網絡信息安全的技術方案與管理舉措。

3 “互聯網+醫療”應用下醫療信息安全的應對舉措

3.1 基礎設施的建設與防護

在醫院以“互聯網+醫療”為導向的信息化建設過程中，醫院醫療信息系統的安全工作一直是困擾醫院管理的重要問題之一，隨著新技術新應用的發展，醫院應圍繞信息安全策略做好醫療信息安全體系的建設工作，廣泛采用新型服務器及存儲、網絡安全設備、做好數據的備份與恢復，結合自身特點深入分析影響網絡安全的薄弱項，隨著醫院信息系統構成越發龐雜，醫院必須及時做到醫療信息系統基礎設施的提升改造工作。主要從以下幾方面入手：第一，提升醫院核心機房運營管理工作，機房是醫院信息系統安全穩定運行的基礎，做好機房設備的老舊更換與安全檢查工作，利用動環監測系統實時檢測機房溫濕度、核心硬件運行狀態、機房UPS供電安全等問題，機房管理員要對核心機房進行每日巡檢，做好日志記錄。發現問題及時做好信息上報、聯系維修等工作。第二，利用信息加密技術、防火墻、入侵檢測技術做好內外網之間醫療信息的安全認證工作。信息加密的目的是保護內網的數據、口令和控制等信息，保護網上傳輸數據的安全有效。利用防火墻技術做到內外網之間的物理隔離，在內外網之間的數據交互中，能有效做到醫院內外網之間風險區域的安全連接。隨著網絡安全風險系數的不斷提高，作為防火墻技術的補充，入侵檢測系統能幫助網絡系統快速發現來自互聯網的攻擊行為，對系統管理人員的安全管理能力做到有力的補充，同時提高了系統安全結構的完整性。第三，做好核心應用系統數據的備份與恢復工作，在“互聯網+醫療”環境下要做到網絡體系整體的安全性，只有“預防”與“檢測”等手段是遠遠不夠的，還必須增強機房核心系統的災難恢復能力，因為任何防護手段都不能做到疏而不漏，一旦因不可抗力發生系統安全事件，后果是不堪設想的。這就要求機房核心系統即使發生災難性事故，也能及時做到系統與數據的恢復工作，才能完整的保護網絡與系統數據的安全。

3.2 落實信息安全等級保護制度

信息安全等級保護制度是國家信息安全保障工作的基本策略、基本制度和基本方法，是促進信息化發展維護國家安全、社會秩序和公共利益的根本保障[3]。2018年7月國家衛健委發布《國家健康醫療大數據標準、安全和服務管理辦法（試行）》，規定承載醫療大數據的平臺必須落實等級保護制度，健康醫療大數據中心、相關信息系統要開展定級、備案、測評等工作。醫院貫徹落實網絡安全等級保護制度是維護“互聯網+醫療”環境下醫療信息安全工作的重要基石。必須增強醫院的信息安全管理意識，提升網絡安全設備檢測能力，增強醫院內部信息系統抵御外界有害攻擊的能力。

3.3 醫院信息系統安全規劃

1） “互聯網+醫療”環境下醫院信息系統安全規劃的重點主要圍繞技術安全與管理安全開展，技術安全主要包括機房的建設與管理、網絡安全訪問控制、安全審計、網絡邊界與入侵防護等內容。此外要做好核心存儲與服務器的管理與防護工作，包括身份識別、安全審計、入侵防范及資源控制，目前，醫院對于應用安全的防護比較薄弱，主要表現如通信完整性，審計控制、軟件容錯等方面需要及時做到系統程序的補充修正，另外重點做好數據的安全備份、恢復工作，保障數據的完整性與有效性。管理安全包括信息安全制度的建立、崗位管理、系統建設與運維管理等具體內容，包括信息安全制度的制定與發布，崗位管理包括涉及信息安全的崗位人員的配備、離崗管理、醫院信息安全管理制度考核與培訓，外來人員管理等方面。系統建設管理要做到信息系統建設方案設計，產品的采購使用、自主與外包軟件的開發、驗收等內容。做好醫院內外網的訪問安全管理，密碼管理、變更管理做好網絡信息安全事件的應急預案工作。

2） “互聯網+醫療”環境下醫院信息系統安全規劃主要圍繞醫院現有信息系統的建設內容與互聯網醫療數據資源的開發和利用上。第一，要做到與醫院信息化建設發展戰略目標相一致，制定符合醫院長遠發展的信息系統安全目標。第二，結合當前互聯網應用生態環境要對醫院整體信息化的發展現狀進行全面的、細致的分析，找到當前工作中所存在的優勢與不足；第三要根據一段時期醫院信息化的發展任務，提出未來一段時期的系統安全發展任務、任務需求可以分成不同階段要實現的目標，便于后期任務的實施與跟進。醫院信息系統的安全規劃工作服務于整體醫院信息化建設的目標，信息系統安全規劃工作質量的好壞是關系到醫院信息化建設的安全基礎，醫院信息化部門要以醫療信息系統安全規劃基本設計原則、內容及思路結合當前“互聯網+醫療”環境大背景下深入到實際工作當中進行具體的調研工作。

4 結束語

綜上所述，在“互聯網+醫療”應用快速發展的推動下，當前環境為醫院的信息化發展帶來了大數據、云計算、虛擬化等諸多信息技術的同時，解決了現有醫院內部的“信息孤島”問題，實現了醫院內部各系統之間的互聯互通、數據共享，進一步推動了數字醫院的建設工作，極大的提升了醫療機構的診療效率，滿足了患者的多樣化診療需求，同時我們也要意識到醫院信息網絡安全工作的擔子也越來越重了，在新形勢下我們必須要進一步拓展信息系統安全運維的深度與廣度，明確系統安全工作的目標，加大信息安全人才的培養。不斷提升網絡信息化的安全技術手段和管理手段，建立具有醫療機構自身特點的信息系統安全防護體系，落實醫院所制定的各項信息安全管理制度，進一步提升醫院信息系統的安全與穩定。

參考文獻：

[1] 趙霞，李小華.“十四五”期間醫院信息化建設發展的若干思考[J].中國醫院，2021，25（1）：64-66.

[2] 趙曉輝. 關于構建醫院網絡信息安全體系的思考與建議[J]. 科學與信息化，2020（4）：62.

[3] 陳安民，徐永健，廖家智，等. 現代醫院核心管理實踐與體會[C]//2014中南六省（區）和港澳臺三地醫院院長高峰論壇論文集，2014：1008-1011.

[4] 魏知. 基于雙滿意度的公立中醫醫院管理路徑優化研究[D].長沙：湖南中醫藥大學，2021.

[5] 王繼辰. 以S眼科醫院為依托的醫聯體信息化建設方案研究[D].濟南：山東財經大學，2018.

[6] 王德正. 網絡入侵檢測系統的研究與設計[D].合肥：合肥工業大學，2007.

[7] 褚秋雯. 從哲學的角度看人工智能[D].武漢：武漢理工大學，2014.

【通聯編輯：聞翔軍】