陶芬

[摘要] 隨著信息技術的快速發(fā)展，新技術被不斷的應用在各個行業(yè)中，醫(yī)療行業(yè)就是其中之一，但同時醫(yī)院信息化建設也在面臨新的挑戰(zhàn)，信息安全備受關注，要如何應對網(wǎng)絡信息時代帶來的機遇，通過不斷加強網(wǎng)絡技術，確保醫(yī)院信息安全，促使醫(yī)院得到高效運行，提升自身服務質量，已經成為醫(yī)院信息化建設考慮的問題。該文筆者根據(jù)自身工作經驗就著新形勢下醫(yī)院信息安全遇到的挑戰(zhàn)進行分析，并作出應對策略，為相關工作提供借鑒。

[關鍵詞] 新形勢；醫(yī)院信息安全；挑戰(zhàn)；措施

[中圖分類號] R47 [文獻標識碼] A [文章編號] 1672-5654（2018）05（c）-0154-02

信息安全是每一行業(yè)里企業(yè)或公司建設的重要部分，醫(yī)院信息安全管理涉及各科，如患者住院資料、病例等。而強化醫(yī)院信息安全對維護醫(yī)院日常經營有積極作用。近年來，隨著信息技術的不斷提升，醫(yī)院信息安全問題層出不窮，為醫(yī)院信息系統(tǒng)帶來較大的負面影響，嚴重損害醫(yī)務人員及患者的利益，不利于醫(yī)院有序開展各項醫(yī)療服務。由此可見，醫(yī)院強化信息安全管理，預防醫(yī)院信息安全遭到外界攻擊，提升醫(yī)院工作質量和效率，成為了目前醫(yī)院建設的重要內容。筆者從醫(yī)院信息安全所面臨的挑戰(zhàn)及成因進行分析，根據(jù)醫(yī)院實際現(xiàn)狀提出對策。

1 醫(yī)院信息安全所面臨的挑戰(zhàn)分析

隨著信息技術的發(fā)展，被廣泛應用在各個行業(yè)中，但同時信息安全問題也成為相關技術人員要思考的問題，加上醫(yī)院工作性質的特殊性，一旦信息安全系統(tǒng)出現(xiàn)問題，對醫(yī)院工作效率、工作質量等均會產生不良影響。鑒于此，為了更好地維護醫(yī)院信息安全，提升醫(yī)院信息網(wǎng)絡安全管理，就要將醫(yī)院信息安全遇到的挑戰(zhàn)做深入探究，旨在提高醫(yī)院信息安全，確保醫(yī)院正常運行。現(xiàn)分析在信息技術快速發(fā)展環(huán)境下醫(yī)院信息安全面臨的挑戰(zhàn)，具體包括以下3點：①信息安全策略及管理責任不明確：鑒于醫(yī)院工作的特殊性，對醫(yī)院信息安全管理提出來更高的要求，同時建設醫(yī)院信息安全系統(tǒng)也是一個繁雜的項目?，F(xiàn)階段，大部分醫(yī)院在開展安全信息管理過程中，未能及時制定與實際相符的安全管理策略及規(guī)定，又或者是未能及時修正管理策略和規(guī)定[1]。另外，加上醫(yī)院領導者們對醫(yī)院信息安全系統(tǒng)建設的重視程度不足，在發(fā)生信息安全問題、風險防范等方面工作力度較為薄弱，易導致醫(yī)院信息安全出現(xiàn)問題，管理缺乏針對性、預防性及科學性，沒有明確管理責任制，整體而言，醫(yī)院信息安全管理效果并不令人滿意。究其原因：醫(yī)院信息安全意識淡薄。以往醫(yī)院信息系統(tǒng)主要處理財務信息，其應用價值非常有限。醫(yī)院相關人員信息安全意識并不高，甚至部分人員對信息安全管理并不了解。另外，醫(yī)院將大部分資金用于建設信息化系統(tǒng)中，但大部分偏向于建設網(wǎng)絡基礎設施及軟件這兩個方面，信息安全管理投入相比少了許多，且大部分管理制度未能落實在實處。

②網(wǎng)絡安全事件發(fā)生率高：計算機網(wǎng)絡技術的發(fā)展的同時，計算機病毒問題層出不窮，嚴重影響醫(yī)院正常運行。現(xiàn)階段，大部分網(wǎng)絡安全事件的發(fā)生與用戶終端和不受控的網(wǎng)絡導致的。醫(yī)院網(wǎng)絡中常見的現(xiàn)象有用戶終端未能及時升級系統(tǒng)補丁、升級病毒科、私接代理服務器、濫用外來軟件等，而不受控制的用戶終端在連接網(wǎng)絡后，從網(wǎng)絡安全角度來看，就相當于為病毒入侵打開了大門，使得病毒快速擴散。由此可見，維護醫(yī)院用戶終端安全、預防網(wǎng)絡危險因素的威脅及控制用戶網(wǎng)絡訪問是目前醫(yī)院網(wǎng)絡安全管理急需解決的問題。就其原因：醫(yī)院安全系統(tǒng)應用最復雜的MIS系統(tǒng)，醫(yī)院想要設計和完善信息系統(tǒng)，需要多個廠商的支持和協(xié)助，才能更好促使子系統(tǒng)的應用。但由于醫(yī)院缺乏該方面的人才，對核心技術并不了解，只能做日常維護工作，即使醫(yī)院信息安全問題也很難發(fā)現(xiàn)，無法從根本上解決問題。

③信息系統(tǒng)數(shù)據(jù)存在安全隱患：服務器發(fā)生故障會導致醫(yī)院信息網(wǎng)系統(tǒng)崩潰，服務器系統(tǒng)磁盤儲存大量醫(yī)院信息數(shù)據(jù)，一旦出現(xiàn)損壞就會出現(xiàn)無法彌補的后果。另外，醫(yī)院工作人員操作失誤或系統(tǒng)遭到病毒感染，也很有可能會將其中重要文件刪除或被篡改，導致系統(tǒng)信息失真。目前大部分醫(yī)院網(wǎng)絡安全建設過程中注重網(wǎng)絡建設過程中對應用系統(tǒng)增加了防火墻等措施，但由于各個產品間無法實現(xiàn)聯(lián)動，安全防護效果并不理想，出現(xiàn)孤島現(xiàn)象。除此之外，安全產品部署不均衡也是引起信息安全問題的因素之一，各個系統(tǒng)部署有多個安全產品，但系統(tǒng)邊界有安全空白，未能獲取縱深安全防護的效果。究其原因：軟件廠商責任心不強，缺少頂層設計。信息技術初步發(fā)展階段，市場規(guī)范性不足，存在惡意競爭的現(xiàn)象，軟件價格偏低，大部分只提供短期服務，大部分軟件廠商對安全體系沒有提供延后服務，直至今日，大部分醫(yī)院信息系統(tǒng)廠商為醫(yī)院設計安全體系時，只為醫(yī)院提供賬號，沒有頂層設計和審計方案，不利于后期安全系統(tǒng)穩(wěn)定運行[2]。

2 新形勢下醫(yī)院信息安全應對策略分析

2.1 完善信息安全管理制度

①強化安全機構建設。醫(yī)院信息安全系統(tǒng)相關管理者要負責明確醫(yī)院信息安全管理責任，可通過設立小組，專門負責醫(yī)院信息安全，將各級負責人責任進行落實，并定期開展信息安全檢查，有助于及時發(fā)現(xiàn)信息安全問題。要求信息安全管理小組成員定期檢查醫(yī)院信息安全系統(tǒng)，并上交安全檢查報告。②信息安全技術人員可以對科室負責人進行信息系統(tǒng)培訓，使其更為規(guī)范的應用信息系統(tǒng)，提高廣大醫(yī)務人員的信息安全系統(tǒng)風險防范意識，為促進醫(yī)院穩(wěn)定發(fā)展貢獻一己之力。③強化安全隊伍建設，不斷提升醫(yī)院工作人員信息安全防范意識。培養(yǎng)一支綜合水平過硬的信息安全管理團隊，確保醫(yī)院信息系統(tǒng)的正常運行，且在問題發(fā)生的第一時間解決問題，盡量減少信息安全系統(tǒng)故障對醫(yī)院的影響[3]。因此，醫(yī)院可以通過引進、培訓等渠道確定人才，增強醫(yī)院工作人員的信息安全培訓教育力度，提高醫(yī)務人員信息安全防范意識及信息系統(tǒng)操作水平。④完善安全制度建設，進一步優(yōu)化信息安全管理措施。根據(jù)醫(yī)院實際發(fā)展階段制定的行之有效的安全制度，如網(wǎng)絡安全、使用安全及信息安全等制度，確保醫(yī)院有序運行。因此，醫(yī)院可以設立與該院相符的安全管理等級，明確安全管理范圍，并制定網(wǎng)絡相關操作及使用規(guī)則，例如出入機房管理制度，并完善網(wǎng)絡系統(tǒng)維護制度，尤其是應急措施；并建立與自身發(fā)展相符的信息安全管理策略，比如，監(jiān)控網(wǎng)絡安全情況，或主動測試網(wǎng)絡安全隱患，全面提高網(wǎng)絡信息系統(tǒng)安全性。

2.2 將信息安全管理程序化，控制醫(yī)院醫(yī)學信息訪問

①信息安全管理程序化。設置符合單位的解鎖密碼“內部暗文”以保護信息，一定要記錄有關的“內部暗文”密碼的更正信息。信息更新、賬戶密碼等均由專人負責，若需要更換密碼信息科相關負責人則需向上級遞交申請表才可以做密碼修改[4]?？蓮娀瘮?shù)據(jù)庫工作人員安全防范意識，例如，設置密碼，可以使用長度較長且復雜的密碼，并養(yǎng)成定期修改密碼的習慣。②規(guī)范權限管理。設置訪問權限，數(shù)據(jù)庫管理人員對各類數(shù)據(jù)庫做好分類，設定用戶在規(guī)定的范圍內使用權限，查閱表格、目錄或資料等信息；設置網(wǎng)絡防火墻及病毒防殺機制。醫(yī)院信息科管理人員要及時更新新用戶和撤銷無用賬號；另外，需要注意的是，員工在職權變化時要申請權限操作，并將申請表同意書交予信息科，信息科接到通知后才能放行權限。③促使第三方訪問控制管理科學化。要順利訪問醫(yī)院內部網(wǎng)絡需要將計算機IP地址和MAC地址進行捆綁后方可操作。而當?shù)谌饺藛T進出醫(yī)院信息科部門機房時，第一步要填寫好進出申請表格，第二步若要訪問內部網(wǎng)絡時，首先考慮使用信息部門計算機；若第三方人員使用自帶電腦連接醫(yī)院內部網(wǎng)絡是，同樣需要填寫一系列申請表格，并獲得信息部門主要負責人的簽字同意，才能訪問內部網(wǎng)絡。這樣的操作流程有助于確保醫(yī)院內部網(wǎng)絡安全，避免受到外界病毒的侵害。

2.3 提升信息系統(tǒng)安全技術，有效管理醫(yī)院信息安全隱患

①增強冗余技術，醫(yī)院信息系統(tǒng)帶動醫(yī)院各科業(yè)務系統(tǒng)，因此要確保網(wǎng)絡正常處于正常運行狀態(tài)，盡量減少因網(wǎng)絡故障對醫(yī)院的負面影響，導致醫(yī)院業(yè)務質量降低等現(xiàn)象的出現(xiàn)。網(wǎng)絡是各項數(shù)據(jù)處理和轉運的重要載體。因此，網(wǎng)絡的穩(wěn)定對醫(yī)院醫(yī)療服務質量至關重要。而穩(wěn)定的網(wǎng)絡則可以通過增強冗余技術來穩(wěn)定，可從處理器冗余技術、模塊冗余技術等方面進行改進。②維護數(shù)據(jù)中心安全，強化數(shù)據(jù)信息加密處理技術。醫(yī)療系統(tǒng)中包括有數(shù)據(jù)交換、安全防護及儲存等內容?？梢娽t(yī)療系統(tǒng)數(shù)據(jù)繁雜，進行數(shù)據(jù)錄入和存儲時，也有可能導致數(shù)據(jù)失真或被非法利用，數(shù)據(jù)遭到篡改等安全隱患。為保證數(shù)據(jù)的安全性，要不斷增強數(shù)據(jù)安全保護力度，確保醫(yī)療業(yè)務系統(tǒng)的正常運營，為廣大患者提供高效的醫(yī)療服務[4]。另外，注重數(shù)據(jù)信息加密技術的提升，采用虛擬化技術保護各個系統(tǒng)及子系統(tǒng)的賬戶密碼，尤其是醫(yī)院核心文件，除了做常規(guī)密碼保護之外，還需文件做雙重加密，保證醫(yī)院網(wǎng)絡安全健康運行。③安裝安全監(jiān)控系統(tǒng)，優(yōu)化入侵檢測技術。加強信息技術部門及廠商相關工作者的溝通，對醫(yī)院信息安全運行和維護進行交流。安全監(jiān)控可以應用醫(yī)院網(wǎng)絡進行建設，設立實時監(jiān)控，并記錄各個可是終端和網(wǎng)絡設備運行情況，快速識別和阻止被攻擊的文件。

3 結語

綜上所述，醫(yī)院信息安全管理是一項復雜的工程，醫(yī)院應根據(jù)自身實際發(fā)展階段制定一套行之有效信息安全管理體系，通過完善信息安全管理制度，促進信息安全管理程序化及提升信息系統(tǒng)安全技術的方式來提高醫(yī)院信息安全管理水平，確保醫(yī)院可以為廣大患者提供高效、優(yōu)質的醫(yī)療服務。

[參考文獻]

[1] 黃洋.新形勢下區(qū)縣醫(yī)院醫(yī)療信息安全管理措施[J].科技經濟導刊，2017（34）：200.

[2] 范啟勇，秦新南，陳蔚，等.探討新形勢下醫(yī)院信息系統(tǒng)軟件功能規(guī)范[J].中國數(shù)字醫(yī)學，2016，11（4）：37-39.

[3] 陳虹.新形勢下醫(yī)院檔案管理現(xiàn)代化問題及相應對策[J].黑龍江科學，2016，7（11）：124-125.

[4] 葉正強，李嘉.醫(yī)院互聯(lián)網(wǎng)信息安全體系的構建[J].信息與電腦：理論版，2016（23）：221-224.

（收稿日期：2018-02-28）