数字化医院信息安全建设探索

[摘要]在数字化医院建设过程中，信息安全是其中一个非常关键的环节，对于医院中各项建立在信息技术基础上的业务开展情况起到决定性的作用。就目前实际情况来看，在数字化医院建设中，表现突出的问题主要有制度落实不严格、技术支持能力弱、安全体系不完善等。对于这些问题必须要予以重视并采取针对性的措施加以解决，在此基础上提升数字化医院信息安全水平。

[关键词]数字化；医院；信息安全建设；管理核心

1引言

随着信息技术的快速发展和医疗改革的不断深化，信息技术已经逐渐深入到管理、服务、医疗等各个环节和节点之中，在医院全过程管理中起到贯穿作用。在医院建设中，数字化医院是一个不可或缺的组成部分。医院信息化具有应用度广、系统集成强、创新程度高、项目建设全、系统研究深等特点，在减少医疗差错、提升医疗质量、方便患者就医、简化医疗工作流程方面发挥着重要的作用。本文在此基础上，就数字化医院信息安全建设与管理核心思路展开探讨。

2数字化医院信息安全建设与管理现状分析

2.1信息安全建设投入有限。医院信息安全建设与管理是一项复杂的、长期的、专业性的系统工程。在数字化时代下，要想保障信息的安全性，不仅仅要从规则、制度、人员等各个方面进行完善，还要从安全软件更新、安全设备升级等各个方面着手进行完善[1]。这些设备和软件的建设与更新需要投入大量的资金。然而，由于自身发展的限制，很多医院在这方面的投入十分有限，这在一定程度上导致信息安全管理和维护工作的高效进行受到严重的阻碍。2.2信息安全体系完善度不够。完善的信息安全体系是医院信息安全建设与管理的基础和前提。医院信息安全体系涉及面比较广，涵盖了数据、应用、用户、系统、网络等多个方面的安全措施[2]。一般来说，医院的网络分为外部网络和内部局域网，主要使用的安全技术有通讯安全技术、网络管理工具、防火墙等。对于用户安全来说，一般采取桌面安全管理软件、入网认证等软件实现。对于医院系统安全来说，一般都是采用数据库安全审计、入侵检测、病毒防范、冗余备份等技术进行管理。尽管当前医院信息安全支持手段比较丰富，但体系建设仍不够完善，存在“信息安全孤岛”。2.3信息安全技术支持能力弱。医院信息安全系统涉及面广，涉及内容多，包括信息系统、服务器、数据库、终端、网络等各个方面。所以维护工作量比较大，维护工作也十分复杂。随着社会的进步和科技的发展，特别是信息技术得到广泛的应用和较好的发展，信息安全技术的类型也越来越多，而且升级和更新的速度也是越来越快。对于这类技术而言，大多数的维护工作人员都难以有效掌控，导致信息安全技术的支撑力量薄弱[3]。除此之外，就目前实际情况来看，很多医院都还没有配备专业的安全工程师，也不具备配置的条件，导致信息安全技术的支持力度更是严重匮乏。2.4监督和制度落实不到位。合格的监督管理和落实到位的制度是医院信息安全建设与管理的核心内容。然而，通过对当前医院信息安全情况的分析可以看出，虽然很多医院都认识到信息安全的意义和重要性，也建立了相对而言比较完善的信息安全系统，但是却没有配备完善的安全管理制度，即使有些医院针对信息安全管理制定了一系列的制度，但是真正做到切实有效落实的医院却少之又少。医院内部的成员非常复杂，很多成员没有充分认识到信息安全的重要性，对于制度的落实情况也不够重视，没有严格按照要求执行制度，导致制度落实情况不如人意。除此之外，信息安全管理部门行政干预的权力比较弱，对于医院信息安全的管理和维护只能通过客户端等安全技术的应用得以实现，存在的安全漏洞比较大。另一方面，很多医院的安全监管力度比较弱，尤其是问责制度的缺乏或者问责制度发挥出的实效性不强，为医院的信息安全埋下了较大的安全隐患[4]。

3数字化医院信息安全建设与管理核心思路探索构架

3.1基于技术层面的构架。3.1.1严防网络威胁。信息技术具有虚拟性的特点，可以突破空间上的障碍。在数字化时代下，无论是医院外部的各个机构单位，还是医院内部的各个部门、各个科室都能进行高效率的信息共享和沟通交流。医院的业务处理能力也得到很大程度上的提升。然而，由于网络具有开放性、虚拟性的特征，所以存在很多的不安全因素。比如常见的黑客、木马、病毒等，这些都对医院信息安全构成严重的威胁。对于这方面的严重问题，医院必须采取措施规范当前的访问路径，利用安全方式加强路由控制，这样可以确保客户端以及服务器之间的有效连接和对接。由于医院有着不同的医疗部门，需要结合具体信息的工作职能、重要程度和敏感度情况进行划分，对于不同的部分需要实施针对性安全管理措施。如果网段的敏感度以及重要性比较强，需要尝试IP以及MAC绑定的措施，避免出现ARP欺骗的问题[5]。同时，需要依据具体的状况，安排合适的防火墙，根据网络便捷设置入侵检测系统，对于主要的恶意操作，比如蠕虫攻击、缓冲区溢出攻击以及木马供给和端口扫描等问题，需要加强全方位的检测和控制，这样可以明确具体的供给时间、类型和相关的来源信息，并将这些信息提交给网络安全部门[6]。3.1.2加强设备安全管理。加强对设备的安全管理也是数字化时代下医院信息安全管理与建设的路径之一，在配置的时候尽量使用冗余方式，这样就可以在一定程度上实现系统稳定性的提升。与此同时，对于默认账户的访问权限，服务器应当对其进行严格限制，及时将那些过期的、多余的账户删除，防止共享账户的存在。需要注意的是，有些重要的信息资源带有敏感标记，需要安装最新的操作系统补丁和主机入侵防御系统[7]。对于服务器也要予以重视，必须要安装防病毒软件，为服务器的安全提供可靠的保障。在终端主机方面，还要针对设备的接口进行控制和管理，可以借助桌面管理软件的方式，比如USB接口管理，避免外部移动存储卡连接电脑对其造成病毒感染。除了要在终端主机上安装更新防病毒软件以及系统补丁之外，还要开启账户锁定策略并加强密码复杂度。当人员离开之后，一定时间内自动锁定或者退出。3.1.3改善环境安全。在医院信息安全系统中，机房是一个重要的组成部分，要想加强数字化医院信息安全建设和管理，必须要对环境安全建设进行强化，为信息系统的安全提供可靠的保障。一般来说，可以采取“异地双机房模式”进行机房的建设和规划，尽可能避免在地下室以及高层等特殊地点设置机房。同时，机房的隔壁和上层避免使用大型供水设施以及用水设备，机房的防水能力和防震标准需要高出一般水平，为了保障信息系统的持续性和效果，需要配置冗余电源，这是为了避免高峰使用阶段出现问题，室内则需要设置调节空气湿度和温度的重要设备，重要区域必须设置摄像头进行监视，这是为了落实防火以及防盗的任务。3.2基于管理层面的构架。3.2.1建立完善的安全管理制度。在数字化医院信息安全建设与管理过程中，医院要结合信息系统的特征制定总体的安全策略和安全方针，明确医院信息安全的目标、范围和基本原则，对于操作人员和管理人员的日常管理操作应当建立完善的、系统化的操作规范，并且在实践中不断总结经验。在信息系统操作过程中，对于遇到的各种情况要做好及时处理和总结工作，在这个基础上不断完善操作规范，借助制度化的路径实现医院信息安全建设工作的进一步推动。3.2.2提高医院整体的重视程度。思想是行动的先导。在数字化医院信息安全建设与管理过程中，医院要加强宣传，让每个工作人员都树立“数字化观念”，知道在数字化时代下，医院各个系统、各个部门的管理以及患者治疗的分析、查阅、存储等都要依靠信息系统，一旦出现安全问题就会影响整个医院系统，从而提高医院整体对于信息安全建设和管理的重视。3.2.3建立并完善信息安全应急预案。在数字化医院信息安全建设与管理过程中，为了提升处置突发事件的能力，为信息系统的稳定运行提供安全的环境，应当最大限度减少和预防由于信息系统突发事件导致医院正常工作中断的严重后果，所以要结合实际情况建立并完善信息安全应急预案。

4结论

综上所述，在数字化时代下，医院在加强信息化建设的电脑与电信∙经验交流同时，还要重视信息安全建设和管理。医院的医疗属性比较复杂，医疗数据经常以爆炸式的方式增长，具有较大的信息量，对医院信息安全会造成严重的影响。针对当前医院信息安全建设与管理中存在的问题，医院以及有关工作人员要予以重视，结合实际情况对其进行深入研究，找出问题的原因并采取针对性的解决措施，实现医院信息系统安全性的全面提升。

参考文献：

[1]张莲萍，陈琦．基于动态网络安全模型的中国数字化医院信息安全体系建设[J]．中国科技论坛，2015(03)：48-53．

[2]奈存剑，张晓祥，任宇飞，等．我国与典型发达国家数字化医疗技术体系的对比研究[J]．中国医院管理，2015，35(02)：41-43．

[3]许树强，鲁长滨，陈校云，等．美国数字化医院评价体系对我国数字化医院建设的启示[J]．中国医院，2014，18(05)：43-45．

[4]樊嫚．基于下一代互联网的数字化医院服务模型及框架研究[D]．武汉：华中科技大学，2012．

[5]魏红光．数据快速恢复让医院信息管理有备无患——北京航天中心医院数字化管理系统安全建设案例分享[J]．中国信息界(e医疗)，2011(11)：45-47．

[6]田静华，田静峰．信息时代医院数字化及其信息安全问题探讨[J]．世界中西医结合杂志，2010，5(07)：629-631．

[7]刘琳，温志宏．构建安全通畅的数字化医院信息系统——以天津医院为例[J]．医学信息学杂志，2009，30(09)：22-25．

作者:屠强 单位:安徽省肿瘤医院