——惠華強 鄭 萍 許文娟 劉雯菂 邵 新 魏敦宏

當前，互聯網技術在醫(yī)院的應用，已從以往傳統的單機用戶醫(yī)療發(fā)展到數字化系統醫(yī)療，它為醫(yī)院的信息化建設提供了重要支撐。但各醫(yī)院普遍對如何解決信息化安全認知、信息安全的重要性、安全系統建設、信息技術人員等問題沒有形成完整的解決方案，這在一定程度上對醫(yī)院信息化發(fā)展產生了影響。因此，各醫(yī)院必須高度重視如何保證患者的醫(yī)療信息安全。新疆軍區(qū)總醫(yī)院針對醫(yī)療信息安全存在的相關問題，提出了自身安全防護措施。

1 醫(yī)療信息安全問題分析

1.1 互聯網醫(yī)療信息安全

隨著互聯網技術在醫(yī)院的不斷普及,各種醫(yī)療信息軟件大量開發(fā)和應用, 但軟件上線的審核和監(jiān)管不嚴格，以及網絡系統本身存在的不穩(wěn)定等問題，導致醫(yī)療數據在移動網絡傳輸過程中極可能出現信息泄密或被篡改的風險，加上有的醫(yī)院安全技術手段落后、安全防護力度不夠等，會影響數據的完整性、機密性等。同時，醫(yī)療信息安全缺乏具體法律保護，無法對不法分子形成震懾作用。這些問題都會導致醫(yī)院信息系統安全問題頻發(fā)，造成患者個人診療信息泄露或丟失，嚴重時甚至會影響到醫(yī)院網絡的正常運行，造成醫(yī)院網絡癱瘓。因此，亟須建立網絡信息安全保障體系。

1.2 醫(yī)療信息系統安全

有的醫(yī)療信息系統存在接入設備不規(guī)范，內外網之間缺乏相關隔離，網絡信息系統管理權限混亂，網絡系統設計與協議不全面，應用程序存在漏洞以及管理不規(guī)范等問題[1]，加上患者注冊時的安全信息隱患，如患者信息錄入、信息采集、身份鑒別不嚴格，造成信息不完整、內容不準確，以及更新不及時等，均會造成醫(yī)療系統后臺暴露，存在被木馬病毒攻擊、黑客攻擊、信息篡改、信息泄露、拒絕服務等風險。

1.3 醫(yī)療數據信息安全

醫(yī)院醫(yī)療數據庫具有信息覆蓋面廣、信息數據量大、信息種類繁多等特點。但不少醫(yī)療機構存在對醫(yī)療數據安全監(jiān)管不嚴、管理責任分工不明、防護措施不力、數據信息安全技術標準不健全、安全防護與規(guī)范管理不規(guī)范、敏感數據和非敏感數據未分開等問題，容易出現數據信息接收錯誤、電子信息未加密，或紙質記錄文檔處理不正確、泄露患者信息等情況。特別是可穿戴設備，如腕式電子血壓計、心臟監(jiān)測儀、血糖儀、脈搏監(jiān)測器、環(huán)境污染監(jiān)測口罩等醫(yī)療產品，存在安全隱患，成為不法分子竊取患者敏感信息和隱私的高危平臺。因此，健全數據信息安全技術標準，加強醫(yī)療信息數據維護和備份十分重要。

1.4 應用系統醫(yī)療信息安全

我國信息安全采用的是等級保護制度,按照應用系統的安全等級進行劃分。如果主機、數據庫、網絡傳輸和處理等均處在同一IT 環(huán)境下,客觀上會增加應用系統的安全風險，而系統自身架構中的數據采集、數據處理與匯總分析、人機界面以及各層之間的 API 接口, 也會加劇應用系統本身的安全風險。因此，每個應用層面都需要在系統設計時進行全盤安全考慮，如果存在漏洞會給黑客留下可乘之機，造成信息泄露。

2 醫(yī)療信息安全防范措施

2.1 注重人員安全培訓

人是信息安全環(huán)節(jié)中最重要的因素[2]。因此，醫(yī)院應要求信息專業(yè)人員樹立安全風險意識，增強其遵紀守法觀念，全面提高其保密防范意識，保證其具備主動判斷并提高自身防范意識[3]。新疆軍區(qū)總醫(yī)院在醫(yī)療信息安全防護過程中使員工形成主動查對信息系統及基礎設施安全隱患的行為規(guī)范，嚴格規(guī)范安全操作流程，確保工作人員不違規(guī)操作，保證涉密信息安全。強化技術人員計算機網絡通信安全管理的培養(yǎng)，定期對繁雜的信息大數據進行傳輸和有效加密處理，在實現網絡信息系統遠程操縱的同時，保證該院服務器虛擬加密過程不會受到外界攻擊。

2.2 強化網絡信息安全

根據醫(yī)院工作需要，該院建立起一條安全系數高、處理能力強的安全網絡，該安全網絡可以對客戶端及中心服務器進行路由器控制，并能實現不同網段重要等級的安全區(qū)域劃分，以及對網絡系統的設備狀態(tài)、流量以及用戶進行定期訪問，做好數據整理分析。對于醫(yī)療信息相關網絡設備的操作管理，該院應對操作人員進行實名登記和實時視頻記錄，安排信息安全人員定期檢查操作日志和記錄，杜絕違規(guī)操作，及時發(fā)現安全隱患，提高醫(yī)療信息系統的安全程度。特別是對未授權的醫(yī)療設備，聯網時一定進行全面檢測，如果對醫(yī)院內網產生攻擊，應立即進行有效阻斷，實行權限限制，加強賬號訪問權限管理，及時刪除多余過期賬戶，避免共享賬戶的存在。

2.3 加強醫(yī)療信息系統安全防護

在進行醫(yī)院信息系統登錄以及數據庫操作時，必須有效預防信息安全隱患,強化數據信息加密處理技術管理,注意對用戶進行身份標識和鑒別[4]，提高抵御黑客入侵和病毒感染的能力,防止偽裝和假冒行為。例如，對登錄系統失敗用戶設置驗證碼，對非法登錄的用戶以及多次重復登錄的用戶進行限制，對所錄入患者基本病歷信息進行分類處置和加密，統一信息傳輸，設置不同用戶權限和強制性關閉等功能[5]。針對信息系統的賬號安全問題，該院還制訂了定期修改密碼的制度，系統會定期自動更換密碼，新密碼會發(fā)送給已認證的手機號。系統定期更換密碼，降低了弱口令暴力破解的風險，以及賬號密碼撞庫被破解的風險。同時，特別加強對主機惡意代碼的防護，加強對應用系統文件、數據庫等資源的訪問控制，避免越權非法使用。

2.4 健全醫(yī)療信息保障制度

該院建立了一套完善的多層級醫(yī)療信息安全防護管理制度，明確相關人員責任，完善考核機制，形成了管理制度與管理人員、專業(yè)技術與信息防護相結合，實現了多部門、多機構相互配合，做到了以防范為主，全面監(jiān)督與監(jiān)管，以及患者個人信息隱私權的全面保護。同時，實現數據庫接入的準確授權，嚴格規(guī)定對醫(yī)療數據進行挖掘分析，設立訪問控制技術、加密技術、安全監(jiān)控技術，對訪問權限進行規(guī)定。同時設立安全問題追責機制，定期對系統進行維護和檢測，保證設備安全運行。該院制定了信息安全相關操作規(guī)范以及相關檢查制度，定期安排信息安全管理人員隨機抽查工作人員安全操作規(guī)范，發(fā)現問題及時整改，并要求其重新參加信息安全培訓。

3 討論

近年來，各種醫(yī)療數據泄露事件時有發(fā)生，有的醫(yī)院信息系統管理員使用弱密碼口令經常被盜用，造成患者個人信息被泄露。加上有些醫(yī)院醫(yī)療信息數據庫建設水平不高，導致安全防護性能差，增加了醫(yī)療信息安全隱患，給一些不法分子竊取數據庫資源以可乘之機。可見，提升“互聯網+醫(yī)療”信息平臺數據安全能力成為互聯網醫(yī)療行業(yè)發(fā)展的關鍵所在[6]。新疆軍區(qū)總醫(yī)院采取提高信息系統安全性能、建章立制、加強監(jiān)控等舉措，確保了患者的醫(yī)療數據安全。

3.1 提高系統安全性能是信息安全的關鍵

構建良好的“互聯網+醫(yī)療”安全服務體系，保護應用系統和數據安全，應為“互聯網+醫(yī)療”平臺提供高水平高標準的技術支撐。該院與數據庫研發(fā)企業(yè)和網絡安全公司密切合作，在醫(yī)院部署數據庫審計設備，通過采集分析實時網絡數據、監(jiān)控數據庫訪問活動，及時發(fā)現安全威脅和違規(guī)行為。在院內部署日志審計設備，對各設備、系統、應用產生的運行日志進行分析，可及時發(fā)現系統安全隱患。同時部署漏洞掃描設備，對服務器進行定期漏洞掃描，主動對系統進行細致深入的漏洞檢測與分析，有效評估各系統的安全狀況，依據掃描報告，實施相應的安全檢查與安全加固工作。另外，該院還定期對醫(yī)療數據庫進行安全隱患和木馬病毒掃描，及時更新系統補丁，更改賬號名稱，對數據庫進行層級加密，重要數據進行備份，確保醫(yī)療保障信息傳輸過程中的安全，防止黑客和非法入侵者竊取數據，實現信息系統連續(xù)、可靠、安全、高效運行。

3.2 健全管理制度是保障信息安全的基礎

健全制度是保障信息安全的基礎。經過多年實踐，該院摸索出“一控制、二追責、三強化”的信息系統管理模式。一是控制相關人員查看相關數據信息的權限。嚴禁系統計算機使用者擅自安裝非辦公軟件，采取數據分割的方法，降低查看數據過程中數據信息泄露的風險；二是健全責任追究制度。對于泄露信息的個人根據情況嚴重程度進行追責，提高醫(yī)療數據庫的使用頻率和規(guī)范化水平；三是為提高醫(yī)療數據庫的安全，對所有技術人員進行安全理論和應急技能培訓，增強技術人員的安全防范意識，制定應急防范措施，一旦出現安全隱患及時處理。該院規(guī)定各類信息系統的技術參數不得擅自更改，確需調整的須經信息部門負責人同意后進行，并保存相應的記錄。信息部門工作人員必須每天檢查各服務器的工作狀況，檢查數據備份情況，并做好記錄，如發(fā)現異常及時報告并作相應處理。非信息部門工作人員因工作需要而進入服務器機房，必須在該院信息工作人員陪同下方可進入。

3.3 制度監(jiān)管是信息安全的保障

該院特別重視工作人員學習互聯網醫(yī)療信息安全的法律法規(guī)，以提高醫(yī)療信息的監(jiān)管力度。如通過簽訂互聯網服務協議，有針對性的對網絡管理單位及各級網絡從業(yè)人員進行監(jiān)管。定期分析查找系統安全風險，督導檢查管理工作中存在的不足和薄弱環(huán)節(jié)，及時下發(fā)整改通知書，嚴肅責令按期對照協議要求，及時將隱患消滅在萌芽狀態(tài)，切實保障醫(yī)療信息安全。同時還規(guī)定，不得在服務器專用電路上加載其他用電設備，對服務器配件進行調整或更換，應經過醫(yī)院信息部門負責人批準，管理人員應嚴格填寫工作日志，定期對醫(yī)療信息系統開展安全隱患大排查，對各級網絡從業(yè)人員進行技術技能培訓及考核。

4 小結

在醫(yī)療信息化快速發(fā)展的大背景下，互聯網技術為醫(yī)院信息管理帶來了便捷，但也帶來了安全隱患。如何提高“互聯網+醫(yī)療”平臺的信息安全水平，保障患者個人醫(yī)療信息安全是當前醫(yī)療行業(yè)需要正視并解決的難題，只有重視醫(yī)療信息安全問題，明確各信息系統人員職能與責任，加強醫(yī)療信息安全系統的防護工作，不斷優(yōu)化醫(yī)療信息管理程序，提高數據通信網絡維護水平，建立嚴格的網絡安全檢查制度，才能使醫(yī)院信息系統更加高效、安全運行。

當前，社會各界對醫(yī)療信息安全的關注度越來越高[7]，如何在互聯網診療環(huán)境下保證患者醫(yī)療信息安全，為患者的生命安全以及個人隱私保駕護航是醫(yī)療機構需要正視的難題，也將成為制約互聯網醫(yī)療發(fā)展方向的主要因素，因此，必須建立完善的互聯網醫(yī)療安全防護體系。