陶芬

[摘要] 随着信息技术的快速发展，新技术被不断的应用在各个行业中，医疗行业就是其中之一，但同时医院信息化建设也在面临新的挑战，信息安全备受关注，要如何应对网络信息时代带来的机遇，通过不断加强网络技术，确保医院信息安全，促使医院得到高效运行，提升自身服务质量，已经成为医院信息化建设考虑的问题。该文笔者根据自身工作经验就着新形势下医院信息安全遇到的挑战进行分析，并作出应对策略，为相关工作提供借鉴。

[关键词] 新形势；医院信息安全；挑战；措施

[中图分类号] R47 [文献标识码] A [文章编号] 1672-5654（2018）05（c）-0154-02

信息安全是每一行业里企业或公司建设的重要部分，医院信息安全管理涉及各科，如患者住院资料、病例等。而强化医院信息安全对维护医院日常经营有积极作用。近年来，随着信息技术的不断提升，医院信息安全问题层出不穷，为医院信息系统带来较大的负面影响，严重损害医务人员及患者的利益，不利于医院有序开展各项医疗服务。由此可见，医院强化信息安全管理，预防医院信息安全遭到外界攻击，提升医院工作质量和效率，成为了目前医院建设的重要内容。笔者从医院信息安全所面临的挑战及成因进行分析，根据医院实际现状提出对策。

1 医院信息安全所面临的挑战分析

随着信息技术的发展，被广泛应用在各个行业中，但同时信息安全问题也成为相关技术人员要思考的问题，加上医院工作性质的特殊性，一旦信息安全系统出现问题，对医院工作效率、工作质量等均会产生不良影响。鉴于此，为了更好地维护医院信息安全，提升医院信息网络安全管理，就要将医院信息安全遇到的挑战做深入探究，旨在提高医院信息安全，确保医院正常运行。现分析在信息技术快速发展环境下医院信息安全面临的挑战，具体包括以下3点：①信息安全策略及管理责任不明确：鉴于医院工作的特殊性，对医院信息安全管理提出来更高的要求，同时建设医院信息安全系统也是一个繁杂的项目。现阶段，大部分医院在开展安全信息管理过程中，未能及时制定与实际相符的安全管理策略及规定，又或者是未能及时修正管理策略和规定[1]。另外，加上医院领导者们对医院信息安全系统建设的重视程度不足，在发生信息安全问题、风险防范等方面工作力度较为薄弱，易导致医院信息安全出现问题，管理缺乏针对性、预防性及科学性，没有明确管理责任制，整体而言，医院信息安全管理效果并不令人满意。究其原因：医院信息安全意识淡薄。以往医院信息系统主要处理财务信息，其应用价值非常有限。医院相关人员信息安全意识并不高，甚至部分人员对信息安全管理并不了解。另外，医院将大部分资金用于建设信息化系统中，但大部分偏向于建设网络基础设施及软件这两个方面，信息安全管理投入相比少了许多，且大部分管理制度未能落实在实处。

②网络安全事件发生率高：计算机网络技术的发展的同时，计算机病毒问题层出不穷，严重影响医院正常运行。现阶段，大部分网络安全事件的发生与用户终端和不受控的网络导致的。医院网络中常见的现象有用户终端未能及时升级系统补丁、升级病毒科、私接代理服务器、滥用外来软件等，而不受控制的用户终端在连接网络后，从网络安全角度来看，就相当于为病毒入侵打开了大门，使得病毒快速扩散。由此可见，维护医院用户终端安全、预防网络危险因素的威胁及控制用户网络访问是目前医院网络安全管理急需解决的问题。就其原因：医院安全系统应用最复杂的MIS系统，医院想要设计和完善信息系统，需要多个厂商的支持和协助，才能更好促使子系统的应用。但由于医院缺乏该方面的人才，对核心技术并不了解，只能做日常维护工作，即使医院信息安全问题也很难发现，无法从根本上解决问题。

③信息系统数据存在安全隐患：服务器发生故障会导致医院信息网系统崩溃，服务器系统磁盘储存大量医院信息数据，一旦出现损坏就会出现无法弥补的后果。另外，医院工作人员操作失误或系統遭到病毒感染，也很有可能会将其中重要文件删除或被篡改，导致系统信息失真。目前大部分医院网络安全建设过程中注重网络建设过程中对应用系统增加了防火墙等措施，但由于各个产品间无法实现联动，安全防护效果并不理想，出现孤岛现象。除此之外，安全产品部署不均衡也是引起信息安全问题的因素之一，各个系统部署有多个安全产品，但系统边界有安全空白，未能获取纵深安全防护的效果。究其原因：软件厂商责任心不强，缺少顶层设计。信息技术初步发展阶段，市场规范性不足，存在恶意竞争的现象，软件价格偏低，大部分只提供短期服务，大部分软件厂商对安全体系没有提供延后服务，直至今日，大部分医院信息系统厂商为医院设计安全体系时，只为医院提供账号，没有顶层设计和审计方案，不利于后期安全系统稳定运行[2]。

2 新形势下医院信息安全应对策略分析

2.1 完善信息安全管理制度

①强化安全机构建设。医院信息安全系统相关管理者要负责明确医院信息安全管理责任，可通过设立小组，专门负责医院信息安全，将各级负责人责任进行落实，并定期开展信息安全检查，有助于及时发现信息安全问题。要求信息安全管理小组成员定期检查医院信息安全系统，并上交安全检查报告。②信息安全技术人员可以对科室负责人进行信息系统培训，使其更为规范的应用信息系统，提高广大医务人员的信息安全系统风险防范意识，为促进医院稳定发展贡献一己之力。③强化安全队伍建设，不断提升医院工作人员信息安全防范意识。培养一支综合水平过硬的信息安全管理团队，确保医院信息系统的正常运行，且在问题发生的第一时间解决问题，尽量减少信息安全系统故障对医院的影响[3]。因此，医院可以通过引进、培训等渠道确定人才，增强医院工作人员的信息安全培训教育力度，提高医务人员信息安全防范意识及信息系统操作水平。④完善安全制度建设，进一步优化信息安全管理措施。根据医院实际发展阶段制定的行之有效的安全制度，如网络安全、使用安全及信息安全等制度，确保医院有序运行。因此，医院可以设立与该院相符的安全管理等级，明确安全管理范围，并制定网络相关操作及使用规则，例如出入机房管理制度，并完善网络系统维护制度，尤其是应急措施；并建立与自身发展相符的信息安全管理策略，比如，监控网络安全情况，或主动测试网络安全隐患，全面提高网络信息系统安全性。

2.2 将信息安全管理程序化，控制医院医学信息访问

①信息安全管理程序化。设置符合单位的解锁密码“内部暗文”以保护信息，一定要记录有关的“内部暗文”密码的更正信息。信息更新、账户密码等均由专人负责，若需要更换密码信息科相关负责人则需向上级递交申请表才可以做密码修改[4]。可强化数据库工作人员安全防范意识，例如，设置密码，可以使用长度较长且复杂的密码，并养成定期修改密码的习惯。②规范权限管理。设置访问权限，数据库管理人员对各类数据库做好分类，设定用户在规定的范围内使用权限，查阅表格、目录或资料等信息；设置网络防火墙及病毒防杀机制。医院信息科管理人员要及时更新新用户和撤销无用账号；另外，需要注意的是，员工在职权变化时要申请权限操作，并将申请表同意书交予信息科，信息科接到通知后才能放行权限。③促使第三方访问控制管理科学化。要顺利访问医院内部网络需要将计算机IP地址和MAC地址进行捆绑后方可操作。而当第三方人员进出医院信息科部門机房时，第一步要填写好进出申请表格，第二步若要访问内部网络时，首先考虑使用信息部门计算机；若第三方人员使用自带电脑连接医院内部网络是，同样需要填写一系列申请表格，并获得信息部门主要负责人的签字同意，才能访问内部网络。这样的操作流程有助于确保医院内部网络安全，避免受到外界病毒的侵害。

2.3 提升信息系统安全技术，有效管理医院信息安全隐患

①增强冗余技术，医院信息系统带动医院各科业务系统，因此要确保网络正常处于正常运行状态，尽量减少因网络故障对医院的负面影响，导致医院业务质量降低等现象的出现。网络是各项数据处理和转运的重要载体。因此，网络的稳定对医院医疗服务质量至关重要。而稳定的网络则可以通过增强冗余技术来稳定，可从处理器冗余技术、模块冗余技术等方面进行改进。②维护数据中心安全，强化数据信息加密处理技术。医疗系统中包括有数据交换、安全防护及储存等内容。可见医疗系统数据繁杂，进行数据录入和存储时，也有可能导致数据失真或被非法利用，数据遭到篡改等安全隐患。为保证数据的安全性，要不断增强数据安全保护力度，确保医疗业务系统的正常运营，为广大患者提供高效的医疗服务[4]。另外，注重数据信息加密技术的提升，采用虚拟化技术保护各个系统及子系统的账户密码，尤其是医院核心文件，除了做常规密码保护之外，还需文件做双重加密，保证医院网络安全健康运行。③安装安全监控系统，优化入侵检测技术。加强信息技术部门及厂商相关工作者的沟通，对医院信息安全运行和维护进行交流。安全监控可以应用医院网络进行建设，设立实时监控，并记录各个可是终端和网络设备运行情况，快速识别和阻止被攻击的文件。

3 结语

综上所述，医院信息安全管理是一项复杂的工程，医院应根据自身实际发展阶段制定一套行之有效信息安全管理体系，通过完善信息安全管理制度，促进信息安全管理程序化及提升信息系统安全技术的方式来提高医院信息安全管理水平，确保医院可以为广大患者提供高效、优质的医疗服务。

[参考文献]

[1] 黄洋.新形势下区县医院医疗信息安全管理措施[J].科技经济导刊，2017（34）：200.

[2] 范启勇，秦新南，陈蔚，等.探讨新形势下医院信息系统软件功能规范[J].中国数字医学，2016，11（4）：37-39.

[3] 陈虹.新形势下医院档案管理现代化问题及相应对策[J].黑龙江科学，2016，7（11）：124-125.

[4] 叶正强，李嘉.医院互联网信息安全体系的构建[J].信息与电脑：理论版，2016（23）：221-224.

（收稿日期：2018-02-28）