数字化安全管理医疗信息论文

一、引言

目前，在我国医疗信息化过程中，医院内部信息安全、病人隐私保护，以及一系列与安全相关的问题，都没有引起有关部门的足够重视。我国医疗信息化建设还存在信息安全保障建设的严重滞后，缺少必要的信息安全保障手段。对于复杂的医疗信息化而言，安全问题其实不是一个简单的问题，尽快制定信息安全相关机制，确定信息安全的边界，才有利于开展医疗信息化建设。笔者将从医疗信息系统的安全现状出发，探究如何建立适应未来发展趋势的信息安全可用性体系。

二、医疗信息的安全威胁

美国联邦调查局曾于2006年对2066家公司和组织进行了计算机安全犯罪及事故调查，统计结果表明发生概率排在前四位的分别是：①病毒；②信息的未授权访问；③内部网络资源滥用；④计算机或移动设备失窃。可见，随着互联网技术的改变，各种混合型威胁相继出现，这种混合型威胁直接导致了信息安全建设的复杂性和艰巨性。因此，医疗网络的安全威胁已不仅仅是来自于蠕虫病毒、木马等攻击带来的风险。医疗信息系统在日常运行中面临的各种风险大致可归纳为内网和外网两类攻击。来自外网的安全挑战主要是由网络病毒、黑客入侵等方式直接导致的系统效率下降甚至瘫痪。其主要原因是操作系统补丁没有及时更新、安全软件不能及时升级或垃圾邮件的肆意泛滥等造成的。目前绝大多数的医院已经部署了网络防火墙，客户端防病毒等产品，但医院网络依然会不断遭受蠕虫、特洛伊木马、间谍软件、广告软件等威胁的攻击。针对此类问题，应当研究如何保证内部终端用户的补丁和病毒库始终处于最新状态，有效隔离安全隐患机器的接入。内网威胁主要是指内部工作人员无意或有意导致的资源丢失、信息泄露等问题。医院的重要信息经常以电子邮件，文件传输甚至移动设备等形式轻而易举地流出，大部分内容涉及病人的隐私、药品采购、财务信息等。此类问题属于面向医疗信息本身的安全性问题，需要对其产生、使用、传输、存储等各个环节予以控制。因此医院应设立相应的技术措施和管理制度，避免核心机密的违规泄露和拷贝。

三、面向外网的安全治理

医疗信息系统的软硬件系统本身面临的威胁越来越多样化和频繁化，各种新型威胁层出不穷。针对当前各类相互融合的网络攻击手段，应从如下多个层次上实施外网的安全控制策略。

（1）端点防控

提升终端自身的安全防护力度，在内部各网关及重要网段配置防火墙和入侵检测软件。强制保证操作系统补丁定时更新，反病毒软件实时运行以及病毒库的及时更新。对于不符合安全标准的终端，在网络设备的接入点将对其进行隔离，限制或拒绝其对内网进行访问。

（2）权限设置

部署网络内部强制访问控制策略和权限等级设置，根据口令信息为数据流提供明确的允许或拒绝访问指令。准入控制的成功实施取决于控制粒度的大小，而控制流程的自动化决定了使用者的接受度和控制机制的适应性。

（3）行为监测

在一些信息系统安全级别相对较高的网段部署安全监控措施，对非授权设备的私自接入或网络发送行为进行检查，并予以有效阻断，发生严重泄漏事件时应提供报警。

（4）数据备份与恢复

信息系统的核心内容是数据，因为操作系统、软件等被破坏后都可以重新安装，但数据丢失是无法挽回的。软件级别的单点恢复技术对于火灾，地震等灾难性事故是无法应对的。因此除了客户端的定期软件备份以外，还有必要提供异地数据备份功能，利用通信网络将关键数据定时批量地传送至远程的容灾中心保存。

四、面向内网的安全治理

在复杂的医疗信息运行环境中，针对外网不安全因素的监视和拦截可视为第一道防线，但仅仅依靠这类单一手段必然无法达到理想的安全治理水平。只有面向信息本身的安全，实现从被动防御到主动防御的转变，才能进一步加强安全体系的防御深度，排除不可预测的潜在风险。面向信息本身的安全性即面向数据的安全性，主要涉及数据的私密性、真实性、完整性和不可否认性。这些性质应用于不同的医疗活动中。

（1）私密性

私密性要求敏感信息不能泄露给未经授权的人，授予了病人控制医疗信息泄露的权利。这对于完善居民电子健康档案、电子病历等涉及居民隐私的网络信任体系是十分重要的。通过加密、数字信封和匿名化等技术能有效解决这一问题，保证信息安全无误的送达已授权的第三方或安全存储于服务器的数据库中。在利用非对称密钥机制解决这类问题时，只需对解密密钥保密，因此从加密密钥破解出解密密钥的过程必须设计得足够复杂，以致难以实施。

（2）真实性、完整性

医疗诊断信息在医院使用和流动过程中可能遭受恶意篡改或删除，从而影响最终的治疗效果。尤其是在经过复杂网络传输的远程医疗中，信息的来源真实性和可用性更为重要。采用公开密钥加密体制PKI和数字签名相结合的技术，把病人的隐私信息加密后作为水印载荷的一部分嵌入文件中来传递，用于验证文档完整性和来源可靠性，能有效杜绝外来入侵导致的敏感信息的恶意篡改，同时确认信息来源的真实性。

（3）不可否认性

不可否认性是现有医疗体系中很容易被忽略的一个问题，也是最容易引起医患纠纷的一个问题。利用数字签名技术，不论医生或是患者都可以基于自身的私钥对认定的文件进行签名，从而确认文件已签署这一事实，事后对有关事件或行为均具有不可抵赖性。此外，基于双重加密原理的数字签名还可以保证信息自签发后未曾作过修改，结合数字时间戳可进一步对签发文件的时间提供佐证。这些关键性内容对于医疗事故的责任认定都是很有价值的。

五、安全管理体系建设

医疗信息系统的安全运行除了系统本身的安全之外，相关的医疗信息管理体系的构建也起着至关重要的作用。管理体系的建设目标是实现法律层面和道德层面的双重约束。一个完善的医疗信息系统通常需要足够的人力来进行安全维护，因此真正起到管理执行命令的主体还是医疗信息管理人员。面对医疗机构对于复合型人才的缺乏现状，需要加大对于医疗复合型人才的投入，提高技术管理人员对职业道德、安全意识、法律法规的认识。同时，设立专门的信息安全管理机构，通过安全管理制度明确相关人员的责任。在政策调控方面，宏观上，应制定一系列与医疗信息安全有关的法律法规和标准，以保证健康保险流通性，降低医疗欺诈行为，并强制医疗信息标准，以保护电子健康信息安全及隐私。微观上，应制定符合医疗行业规范的信息安全管理制度和执行流程，主要包括医疗信息系统应急预案、网络系统管理员岗位职责、网络服务器故障的应急处理流程等制度，确保信息系统的安全、稳定、高效运行，以及与医疗有关的个人身份信息、医疗记录等信息在传输、交换、存贮、使用过程中的安全管理。

六、结论

虽然目前很多医疗机构已经逐步实施了一些信息安全策略，但其中绝大部分只是把这些手段单独加以运用，而很少考虑将它们联合起来建立纵深防御的安全管理机制以及人在医疗信息系统中的影响。综上所述，一套较为完整的医疗信息安全管理机制应该在技术方面保证先进的信息安全手段能得以充分适当的应用，在管理方面使机构组织、制度及人员得到充分保障或约束，在法律法规方面保证安全技术和管理措施得到相关支持。

作者：张莲萍1谭利娜2工作单位：1.中南大学湘雅二医院2.湖南商学院计算机与信息工程学院