屠 強

（安徽省腫瘤醫(yī)院，安徽 合肥 230000）

1 引言

隨著信息技術的快速發(fā)展和醫(yī)療改革的不斷深化，信息技術已經(jīng)逐漸深入到管理、服務、醫(yī)療等各個環(huán)節(jié)和節(jié)點之中，在醫(yī)院全過程管理中起到貫穿作用。在醫(yī)院建設中，數(shù)字化醫(yī)院是一個不可或缺的組成部分。醫(yī)院信息化具有應用度廣、系統(tǒng)集成強、創(chuàng)新程度高、項目建設全、系統(tǒng)研究深等特點，在減少醫(yī)療差錯、提升醫(yī)療質量、方便患者就醫(yī)、簡化醫(yī)療工作流程方面發(fā)揮著重要的作用。本文在此基礎上，就數(shù)字化醫(yī)院信息安全建設與管理核心思路展開探討。

2 數(shù)字化醫(yī)院信息安全建設與管理現(xiàn)狀分析

2.1 信息安全建設投入有限

醫(yī)院信息安全建設與管理是一項復雜的、長期的、專業(yè)性的系統(tǒng)工程。在數(shù)字化時代下，要想保障信息的安全性，不僅僅要從規(guī)則、制度、人員等各個方面進行完善，還要從安全軟件更新、安全設備升級等各個方面著手進行完善[1]。這些設備和軟件的建設與更新需要投入大量的資金。然而，由于自身發(fā)展的限制，很多醫(yī)院在這方面的投入十分有限，這在一定程度上導致信息安全管理和維護工作的高效進行受到嚴重的阻礙。

2.2 信息安全體系完善度不夠

完善的信息安全體系是醫(yī)院信息安全建設與管理的基礎和前提。醫(yī)院信息安全體系涉及面比較廣，涵蓋了數(shù)據(jù)、應用、用戶、系統(tǒng)、網(wǎng)絡等多個方面的安全措施[2]。一般來說，醫(yī)院的網(wǎng)絡分為外部網(wǎng)絡和內部局域網(wǎng)，主要使用的安全技術有通訊安全技術、網(wǎng)絡管理工具、防火墻等。對于用戶安全來說，一般采取桌面安全管理軟件、入網(wǎng)認證等軟件實現(xiàn)。對于醫(yī)院系統(tǒng)安全來說，一般都是采用數(shù)據(jù)庫安全審計、入侵檢測、病毒防范、冗余備份等技術進行管理。盡管當前醫(yī)院信息安全支持手段比較豐富，但體系建設仍不夠完善，存在“信息安全孤島”。

2.3 信息安全技術支持能力弱

醫(yī)院信息安全系統(tǒng)涉及面廣，涉及內容多，包括信息系統(tǒng)、服務器、數(shù)據(jù)庫、終端、網(wǎng)絡等各個方面。所以維護工作量比較大，維護工作也十分復雜。隨著社會的進步和科技的發(fā)展，特別是信息技術得到廣泛的應用和較好的發(fā)展，信息安全技術的類型也越來越多，而且升級和更新的速度也是越來越快。對于這類技術而言，大多數(shù)的維護工作人員都難以有效掌控，導致信息安全技術的支撐力量薄弱[3]。除此之外，就目前實際情況來看，很多醫(yī)院都還沒有配備專業(yè)的安全工程師，也不具備配置的條件，導致信息安全技術的支持力度更是嚴重匱乏。

2.4 監(jiān)督和制度落實不到位

合格的監(jiān)督管理和落實到位的制度是醫(yī)院信息安全建設與管理的核心內容。然而，通過對當前醫(yī)院信息安全情況的分析可以看出，雖然很多醫(yī)院都認識到信息安全的意義和重要性，也建立了相對而言比較完善的信息安全系統(tǒng)，但是卻沒有配備完善的安全管理制度，即使有些醫(yī)院針對信息安全管理制定了一系列的制度，但是真正做到切實有效落實的醫(yī)院卻少之又少。醫(yī)院內部的成員非常復雜，很多成員沒有充分認識到信息安全的重要性，對于制度的落實情況也不夠重視，沒有嚴格按照要求執(zhí)行制度，導致制度落實情況不如人意。除此之外，信息安全管理部門行政干預的權力比較弱，對于醫(yī)院信息安全的管理和維護只能通過客戶端等安全技術的應用得以實現(xiàn)，存在的安全漏洞比較大。另一方面，很多醫(yī)院的安全監(jiān)管力度比較弱，尤其是問責制度的缺乏或者問責制度發(fā)揮出的實效性不強，為醫(yī)院的信息安全埋下了較大的安全隱患[4]。

3 數(shù)字化醫(yī)院信息安全建設與管理核心思路探索構架

3.1 基于技術層面的構架

3.1.1 嚴防網(wǎng)絡威脅

信息技術具有虛擬性的特點，可以突破空間上的障礙。在數(shù)字化時代下，無論是醫(yī)院外部的各個機構單位，還是醫(yī)院內部的各個部門、各個科室都能進行高效率的信息共享和溝通交流。醫(yī)院的業(yè)務處理能力也得到很大程度上的提升。然而，由于網(wǎng)絡具有開放性、虛擬性的特征，所以存在很多的不安全因素。比如常見的黑客、木馬、病毒等，這些都對醫(yī)院信息安全構成嚴重的威脅。對于這方面的嚴重問題，醫(yī)院必須采取措施規(guī)范當前的訪問路徑，利用安全方式加強路由控制，這樣可以確保客戶端以及服務器之間的有效連接和對接。由于醫(yī)院有著不同的醫(yī)療部門，需要結合具體信息的工作職能、重要程度和敏感度情況進行劃分，對于不同的部分需要實施針對性安全管理措施。如果網(wǎng)段的敏感度以及重要性比較強，需要嘗試IP以及MAC綁定的措施，避免出現(xiàn)ARP欺騙的問題[5]。同時，需要依據(jù)具體的狀況，安排合適的防火墻，根據(jù)網(wǎng)絡便捷設置入侵檢測系統(tǒng)，對于主要的惡意操作，比如蠕蟲攻擊、緩沖區(qū)溢出攻擊以及木馬供給和端口掃描等問題，需要加強全方位的檢測和控制，這樣可以明確具體的供給時間、類型和相關的來源信息，并將這些信息提交給網(wǎng)絡安全部門[6]。

3.1.2 加強設備安全管理

加強對設備的安全管理也是數(shù)字化時代下醫(yī)院信息安全管理與建設的路徑之一，在配置的時候盡量使用冗余方式，這樣就可以在一定程度上實現(xiàn)系統(tǒng)穩(wěn)定性的提升。與此同時，對于默認賬戶的訪問權限，服務器應當對其進行嚴格限制，及時將那些過期的、多余的賬戶刪除，防止共享賬戶的存在。需要注意的是，有些重要的信息資源帶有敏感標記，需要安裝最新的操作系統(tǒng)補丁和主機入侵防御系統(tǒng)[7]。對于服務器也要予以重視，必須要安裝防病毒軟件，為服務器的安全提供可靠的保障。在終端主機方面，還要針對設備的接口進行控制和管理，可以借助桌面管理軟件的方式，比如USB接口管理，避免外部移動存儲卡連接電腦對其造成病毒感染。除了要在終端主機上安裝更新防病毒軟件以及系統(tǒng)補丁之外，還要開啟賬戶鎖定策略并加強密碼復雜度。當人員離開之后，一定時間內自動鎖定或者退出。

3.1.3 改善環(huán)境安全

在醫(yī)院信息安全系統(tǒng)中，機房是一個重要的組成部分，要想加強數(shù)字化醫(yī)院信息安全建設和管理，必須要對環(huán)境安全建設進行強化，為信息系統(tǒng)的安全提供可靠的保障。一般來說，可以采取“異地雙機房模式”進行機房的建設和規(guī)劃，盡可能避免在地下室以及高層等特殊地點設置機房。同時，機房的隔壁和上層避免使用大型供水設施以及用水設備，機房的防水能力和防震標準需要高出一般水平，為了保障信息系統(tǒng)的持續(xù)性和效果，需要配置冗余電源，這是為了避免高峰使用階段出現(xiàn)問題，室內則需要設置調節(jié)空氣濕度和溫度的重要設備，重要區(qū)域必須設置攝像頭進行監(jiān)視，這是為了落實防火以及防盜的任務。

3.2 基于管理層面的構架

3.2.1 建立完善的安全管理制度

在數(shù)字化醫(yī)院信息安全建設與管理過程中，醫(yī)院要結合信息系統(tǒng)的特征制定總體的安全策略和安全方針，明確醫(yī)院信息安全的目標、范圍和基本原則，對于操作人員和管理人員的日常管理操作應當建立完善的、系統(tǒng)化的操作規(guī)范，并且在實踐中不斷總結經(jīng)驗。在信息系統(tǒng)操作過程中，對于遇到的各種情況要做好及時處理和總結工作，在這個基礎上不斷完善操作規(guī)范，借助制度化的路徑實現(xiàn)醫(yī)院信息安全建設工作的進一步推動。

3.2.2 提高醫(yī)院整體的重視程度

思想是行動的先導。在數(shù)字化醫(yī)院信息安全建設與管理過程中，醫(yī)院要加強宣傳，讓每個工作人員都樹立“數(shù)字化觀念”，知道在數(shù)字化時代下，醫(yī)院各個系統(tǒng)、各個部門的管理以及患者治療的分析、查閱、存儲等都要依靠信息系統(tǒng)，一旦出現(xiàn)安全問題就會影響整個醫(yī)院系統(tǒng)，從而提高醫(yī)院整體對于信息安全建設和管理的重視。

3.2.3 建立并完善信息安全應急預案

在數(shù)字化醫(yī)院信息安全建設與管理過程中，為了提升處置突發(fā)事件的能力，為信息系統(tǒng)的穩(wěn)定運行提供安全的環(huán)境，應當最大限度減少和預防由于信息系統(tǒng)突發(fā)事件導致醫(yī)院正常工作中斷的嚴重后果，所以要結合實際情況建立并完善信息安全應急預案。

4 結論

綜上所述，在數(shù)字化時代下，醫(yī)院在加強信息化建設的同時，還要重視信息安全建設和管理。醫(yī)院的醫(yī)療屬性比較復雜，醫(yī)療數(shù)據(jù)經(jīng)常以爆炸式的方式增長，具有較大的信息量，對醫(yī)院信息安全會造成嚴重的影響。針對當前醫(yī)院信息安全建設與管理中存在的問題，醫(yī)院以及有關工作人員要予以重視，結合實際情況對其進行深入研究，找出問題的原因并采取針對性的解決措施，實現(xiàn)醫(yī)院信息系統(tǒng)安全性的全面提升。