医院信息系统网络安全分析

0引言

医院信息系统（HospitalInformationSystem，HIS）是目前现代化医院运营所必备的技术支撑环境和基础设施。就任何一家医院而言，良好的信息管理和信息处理系统才是医院运营良好的一种保障，随着计算机网络技术的不断发展和进步，在医院信息系统中的网络安全问题中计算机网络技术的运用体现了其优势，也大大推进了医院信息管理现代化的进程。然而，在各大医院应用信息管理系统享受其便利的同时，也面临着由于内部网络与其他网络连接而带来的风险问题。这种网络风险问题不仅体现在网络故障上，影响就医速度，也体现在患者数据的丢失，这将会给医院带来巨大的损失，也会给患者及其家人带来伤害，因此，只有进行良好的医院信息系统的网络管理才可以尽量避免这样的情况的发生，保证医院各项工作的顺利进行。接下来就医院信息系统的网络安全中的风险问题进行分析。

1医院信息系统网络安全中的风险问题

通过对信息科人员以及子系统使用人员的调查问卷得出的分析数据显示，在医院信息系统安全的风险主要成分分析结果如下表所示：

1.1自然环境因素

考虑到医院里的温度以及湿度等原因，静电、雷击、供电电源等的不稳定可能会影响系统的正常运作。因为电子元件是有其固定的工作正常温度，计算机也是如此，当医院信息系统的环境温度过低或太高时就会对其产生影响，甚至引起电路绝缘或者下降等现象。这就会导致一些用于存储信息的电子元件收到损伤，可能会导致数据的丢失，再者，湿度太小也会引起静电，对电子器件的伤害也是极大的。夏季的雷雨天气的雷电也可能会通过网络系统对主交换机造成主机被强电击穿，彻底损坏。这对医院的正常运作而言是一个打击，信息数据的丢失以及机器元件的损伤，都会给医院以及病人家属带来伤害。

1.2人为因素

就人为因素而言主要分为两类，一类是无意失误，一类是认为的恶意攻击。计算机的网络系统安全需要加强对人为因素的影响的重视，有时会带来数据错误、信息丢失或者泄露等情况，如若更严重，则有可能使医院的整个网络系统瘫痪，影响整个医院的运作程序，使信息系统崩塌。导致无意失误情况的出现往往是医院内部工作人员的失误，例如操作失误、程序设计问题等等，亦或者是在安全配置上的漏洞导致口令泄露，给整个网络安全带来风险。就人为的恶意攻击而言，电脑黑客的出现有时出于好玩挑战的目的，恶意攻破医院的网络安全系统以彰显自己的黑客能力，往往是通过利用计算机病毒或者计算机犯罪等形式。这种攻击方式给整个医院的信息网络安全带来很大的风险，机密数据的泄露或者篡改都有着一定的风险。

1.3网络软件的漏洞

在计算机的硬件以及软件的系统安全策略上也有可能存在一定的缺陷和漏洞，这些缺陷和漏洞一定程度上导致了黑客在未授权的情况对系统进行攻击和破坏。尽管没有任何一款软件是百分之百没有缺陷和漏洞的，这些漏洞就是黑客进行攻击的首选目标，进入安全系统的网络内部，这就表明了目前网络系统的安全措施的不完善。还有一种情况即编程人员为方便起见，为软件开设了“后门”以便日后做系统维护工作之用，然而就是这样的“后门”使得黑客有机可趁，进入信息系统更为方便，给整个医院信息系统带来了信息安全风险问题。

2医院信息系统网络安全的对策

2.1物理安全策略

应对由于自然环境原因而导致的风险问题，可以通过物理安全策略来进行一定程度上的避免。通过技术手段，对计算机系统、扫描仪、网络服务器等硬件设施以及通信链路面授自然灾害的攻击和破坏，使医院的计算机系统有一个良好的工作环境。针对夏季的雷电情况，可以在医院的机房屋顶增设避雷设备；针对温度以及湿度的特殊条件，可以安装与机房面积适宜的空调,并增设加湿或者去湿的设备。抑制和防止电磁泄露也是通过物理安全策略来实现的,方法有对传导发射进行保护,以保护机房设备的安全。

2.2数据加密技术

对数据进行加密是一种主动安全防御策略，尤其针对在网络上传输的数据而言，为了保证其机密性以及安全性，往往通过链路加密、节点加密和端-端加密这三种技术。运用数据加密技术，保护网络节点之间的链路信息安全，以及用户与用户之间的数据安全，这样一来对与数据、口令、文件的安全性和机密性都得到了一定的保障。在实际情况中可以根据不同的实际情况来进行数据加密技术的选择，信息加密过程中的加密算法也可以按照具体情况来进行选择，可以为计算机系统提供很大的安全保护。

2.3防火墙技术

防火墙技术是访问控制技术的一种，可以保护内部网络，保护网络不受外部侵犯而采取的一种措施。“防火墙”，即在内部网络和外部网络之间设置了一道隔离墙，如此一来可以更好地监测网络内部以及外部信息的流入和流出，保护内部网络中数据的安全性。防火墙一方面阻止了信息，一方面也允许信息流通，在一定程度上保证数据不被篡改和偷窃，是一种可以为计算机网络系统提供安全保障的系统。

2.4访问控制技术

访问控制技术即指对想访问系统和数据的人进行识别以及检验身份，通过这种方式来防止用户越权操作，防止网络资源被非法使用和访问，从而保证了医院信息的安全性以及私密性，降低了医院信息系统的安全风险。医院的医护人员、操作人员、管理人员以及医院网络的用户都会进入到医院的网络系统之中，这其中隐藏着巨大的安全隐患，因此对各个医院工作人员进行良好的网络安全培训以及网络安全管理教育，都是很有必要的。在增加用户的安全意识的基础之上，利用访问控制技术可以限定一般用户的访问权限，从而保证医院网络的安全运行。

2.5认证技术

利用认证技术可以对用户的身份、信息的真实性以及信息发送者的真实性进行一定的验证，并且对于信息在传送过程中的伪造、修改、延迟信息可以做出一定的判断，例如在进行信息认证的过程中，检查发送信息的完整性和抗否认性，从而保证医院信息系统中的信息数据的真实性和安全性。

3结束语

医院信息系统的网络安全问题需要医院的各级领导以及全体工作人员有一个思想上的重视，在行动方面医院应当积极为基层工作者进行网络安全管理方面的知识培训，并且定期组织科普宣讲会，将维护医院的网络安全的责任落实到每一个人的心中，从而增强医院内部的集体责任心和安全感。面对自然环境因素以及人为因素所造成的网络安全风险，需要医院综合培养员工的网络风险安全意识。就网络漏洞以及技术上的缺乏而言，需要医院不断更新网络安全的信息技术，培养信息技术网络人才，并且及时对系统的硬件和软件加以更新，从而使医院的信息系统的安全风险降到最低，促进医院的网络安全管理工作更加顺利。

作者:王萍 单位:安徽省安庆市立医院信息管理科

引用：

[1]傅征，任连仲.医院管理信息系统建设与应用[M].北京：人民军医出版社，2002.

[2]朱弋，张卫东.医院信息化过程中的网络安全措施[J].医疗装备，2007.

[3]龚庆悦，施诚.医院信息系统安全政策的制定方法[J].中国医疗器械杂志，2008.

[4]武志红.医院信息系统的安全维护措施[J].中国医学装备，2009.

[5]王强.医院信息系统安全探讨之网络安全[J].医学信息，2010.