数字化时代下医院信息安全建设论文

1数字化时代下医院信息系统面临的主要威胁

1.1来自医院内部的信息系统安全威胁

一个是来自工作人员的威胁，例如有的工作人员胡乱操作系统，访问来源不明的网站，将感染有病毒的U盘插入接入医院信息系统的计算机，在不具有权限的情况下，采用欺骗或是技术手段访问医院信息系统数据库等等，都会给医院的信息系统带来安全问题；另一个是设备软硬件故障，医院信息系统需要7*24小时不间断运行，例如存储设备故障、网络系统故障、服务器故障等，都会对信息系统的运行效率与安全造成威胁。

1.2来自医院外部的信息系统安全威胁

来自医院外部的信息系统安全威胁主要是指黑客的攻击，病毒、木马的入侵等等，这可能会导致医院信息系统崩溃，患者的病历资料信息被窃取、篡改等等。

2数字化时代下医院信息安全建设措施

医院信息安全的建设，应当分为两个层面进行，一个是管理层面的建设措施，另一个是技术层面的建设措施。

2.1管理措施

第一，提高医院整体对信息安全的重视力度。加强宣传，让每个工作人员都知道在当前的数字化时代下，医院临床工作的开展，各部门、各系统的管理，患者信息资料的存储、查阅、分析，都必须要依靠信息系统，如果出现了信息安全问题，就会对整个医院系统造成影响，降低医院运转效率，还可能会导致患者的隐私泄露，使患者对医院的可靠性产生质疑，不利于医院的发展。同时，还要加强对所有医务人员的信息安全培训教育，让他们熟练掌握相关的信息安全技术技巧，防止由于操作方面的失误，对信息系统安全造成威胁。第二，健全完善信息系统安全管理制度。要针对医院信息系统的特点，制定总体安全方针与安全策略，将医院信息安全的基本原则、范围、目标明确下来，对管理人员或操作人员执行的日常管理操作建立操作规程，并在实践中总结经验，针对信息系统操作应用中所遇到的实际情况，不断完善规程，以制度化的途径推进医院信息安全建设。第三，推行信息安全等级保护。医院应结合自身信息系统的特点，以国家颁布的信息安全等级保护相关文件为标准，逐步开展信息安全等级保护工作。建设过程中要优先保护重要信息系统，优先满足重点信息安全的需求。在重点建设的基础上，全面推行医院信息安全等级保护的实施。对于新建、改建、扩建的信息系统，严格按照信息安全等级保护的管理规范和技术标准进行规划设计、建设施工.要通过建立管理制度，落实管理措施，完善保护设施这一系列举措，形成信息安全技术防护体系与管理体系，有效保障医院信息系统安全。医院在信息安全等级保护建设工作中应科学规划，严格以国家相关标准为依据，遵循自主保护、重点保护、同步建设、动态调整等基本原则，稳步地开展信息安全等级建设。第四，完善信息安全应急预案。为提高医院信息系统的安全稳定运行和处置突发事件的能力，最大程度地预防和减少因为信息系统突发事件使医院正常工作中断而造成的严重后果，保障信息系统对医疗系统的平稳支撑，需根据实际情况不断完善应急预案管理制度。

2.2技术措施

第一，改善环境安全。在信息安全等级保护规定中，机房属于物理部分，每个医院都有一个或数个用于存放主要信息系统硬件设备的机房，是医院信息系统的核心物理区域。信息系统的安全在很大程度上受着机房环境条件的影响，因此必须要通过加强环境安全建设，来确保信息系统的安全。机房的建设规划最好是采用“异地双机房模式”，并且要避免将机房安置在地下室或建筑高层，机房隔壁或上层最好不要有大型的供水、用水设备，且要具有良好的防水能力、防震能力。为确保信息系统的持续高效运转，应当配备不间断的冗余电源，机房室内安装可调节空气温度与湿度的设备，在进出和主要的区域安装摄像头，基本的防火、防盗保护要做到位。第二，加强设备安全管理。设备安全包括服务器、交换机、存储、终端主机等设备的安全。医院信息系统中的重要设备需尽可能的采用冗余方式配置，以提高系统的稳定性。同时服务器应严格限制默认账户的访问权限。及时删除多余的、过期的账户，避免共享账户的存在。依据安全策略严格控制用户对有敏感标记重要信息资源的操作，启用访问控制功能，依据安全策略控制用户对资源的访问。根据管理用户的角色分配权限，实现管理用户的权限分离。另外，所有服务器均需开启全部安全审核策略，所有数据库开启C2审核跟踪，同时安装主机入侵防御系统及最新操作系统补丁。服务器还应安装统一的防病毒软件。在终端主机方面，利用桌面管理软件对设备接口进行管理和控制，例如USB接口管理，禁止外来移动存储随意接入电脑，防止病毒感染。终端电脑除了及时安装系统补丁和更新防病毒软件外，还需加强密码复杂度和开启账户锁定策略。人员离开后，一定时间内自动退出和锁定。第三，严防网络威胁。在现代网络的作用下，不论是医院内部各科室、各部门，还是医院外部的任何机构单位，都可以进行高效率的沟通交流与信息共享，这在很大程度上提高了医院的业务处理能力。但由于目前的网络缺少强有力的监管，所以有大量的不安全因素活跃在网络中，例如上面所提到的病毒、木马以及黑客等，这对医院的信息安全造成了极大的威胁。所以，医院应当建立信息系统网络安全访问路径，采用路由控制的方式，来确保客户端与服务器之间的安全连接。对不同医疗部门根据工作职能、重要程度和信息敏感性等要素划分不同的网段，并对不同网段按照重要程度划分安全域，对信息敏感、重要性程度高的网段，应进行IP与MAC绑定，避免遭到ARP欺骗攻击。在信息系统的网络边界，应当安装防火墙，部署入侵检测系统，对蠕虫攻击、缓冲区溢出攻击、木马攻击、端口扫描等恶意操作进行监测，将攻击发生的时间、类型以及攻击源IP等信息详细的记录下来，提供给网络安全部门。第四，保障数据安全。在医院的信息系统当中，存储着大量的数据，这些数据既包括患者的个人隐私资料，也包括医院自身运转所需的各种基础信息，这些信息的准确性对临床工作的开展来说，具有非常大的影响。为了保障信息系统的数据安全，数据库管理账户的登录方式应当设置为KEY+口令的方式，且口令的设置要负责、随机，并且要定时更换。不同岗位对数据库的访问权限应当进行合理的划分，仅需要确保人员能够获得开展工作所需的数据即可。采用数据库审计设备对各个账户的行为进行监控、记录，如果发现有违规操作，应当及时通报并查明原因。为了确保信息系统数据的可用性与完整性，在传输医疗数据的时候，必须要进行完整性检测，如果发现数据破坏，应重新传输数据或是进行数据修复。所有的数据信息都应当进行定时备份，最好是异地备份，防止数据库服务器受到外力破坏，例如水淹、火烧，导致原始数据和备份数据一同丢失。

3结语

在数字化时代下，信息系统已经成为了医院的重要组成部分，必须要确保其安全，才能保障医院的正常、高效运转，避免患者隐私泄露。因此，各个医院都应当从管理层面、技术层面出发，搞好自身的信息安全建设，防止医院信息系统受到破坏。

作者:张蕊单位:山东省泰安市肿瘤防治院