摘要：医院是救死扶伤的重要场所，其先进的信息化管理不仅可以提高日常工作效率，还可以为患者就医提供便利，有助于提升医院整体管理水平，尤其是在医院创建信息系统之后。在信息化时代，信息技术以及智能技术的应用领域逐步扩大，医院信息系统的应用成为医院智能化及信息化发展的重要表现。在此次论文中，首先对医院信息系统安全相关内容进行了介绍，随后展开了对其安全构成及安全隐患的分析，最后探讨了其安全策略。

关键词：医院运营；信息系统；医院管理；系统安全；安全管理

医院在运营期间会产生海量数据信息，而数据信息管理的安全与否对于医院日常工作的开展以及各项业务的推进等具有重要影响。在信息时代，为了保证医院海量数据信息的安全性，医院在构建信息系统的同时，还需要加强系统的安全管理，以防止重要数据信息丢失。 此外，信息系统的安全管理需要具备专业性和技术性较强的人员。医院需要招聘专业化的互联网和计算机人才来负责具体工作。同时为了保证信息系统的正常运行并提高其运行安全性，加强安全管理十分重要。医院可以采取一系列安全策略，例如建立严格的访问控制机制，定期备份数据并进行恢复测试，对重要数据信息加密以提高安全性，以及进行网络攻击监测和防御等措施，以确保医院信息系统的安全运行。

一、医院信息系统安全概述

（一）数据安全

医院的日常运营与信息系统的安全性息息相关。一些信息直接关系到病人的生命安全，在保证医院正常运营的同时，加强对信息系统的安全管理至关重要。为此，相关技术人员需要首先建立严格的权限控制系统。所有医院的员工必须通过用户名和口令输入才能获得信息系统的访问权。不同的用户名具有不同的具体系统访问权限等级。例如，系统管理员负责系统的维护，包括数据库和服务器的维护以及操作系统的维护模块权限。而系统操作员是指系统的使用人员，根据人员等级和身份的不同，其系统操作权限范围也会有所不同，超出权限的操作将无效。特殊的系统操作，如退费管理，只有对应部门的管理层人员具有操作权限，其他科室和部门职员无权完成特殊的系统操作。至于医院相关数据信息的查询，虽然医院管理层和职工的查询权限不同，但二者都无权输入或修改数据。这些措施可以确保医院信息系统的安全性，并有效防止安全事故的发生。

（二）备份策略

数据备份是医院信息系统的重要功能之一。數据备份策略的实施可以有效防止信息系统出现数据丢失问题，并加快部分受损数据信息的恢复速度，尽可能减少医院损失。目前，各医院普遍使用的备份策略主要有网络异地备份和双机热备份。网络异地备份需要创建后台任务，主要采用完全备份而非增量备份，该备份策略可以有效防止因一个备份数据损坏而产生的一系列连锁反应，即避免与之相关联的多方数据信息同时损坏或丢失。双机热备则是一种保证业务连续运作的系统，不仅提高数据备份可靠性、缩短数据恢复时间，还具备系统自动切换的功能，可以实现多机数据镜像。双机热备系统的运行需要两台服务器的支持，其中主服务器上的数据会被备份服务器利用镜像功能拷贝到本地硬盘中。

（三）数据库加密

数据库是医院信息系统的重要组成部分。为保证数据信息存储的安全性，数据库会设有加密保护。具体的访问密码需要通过相关应用程序进行解密，如若密码输入不正确，将无法访问数据库。此外，数据的访问和处理需要依赖于中间表所提供的服务。信息系统的前端程序没有数据修改的权限。针对数据库中的表或视图信息，不同的用户权限决定了其可查询或访问的范围和内容，而且部分系统的访问也具有权限等级之分。因此，在一定程度上可以提高数据存储的安全性，避免出现原始数据丢失、被修改或删除等问题[1]。

（四）保护管理制度

医院信息系统掌握着医院运营的重要信息，为保证医院正常运行并保护看诊就医人员的病例信息以及隐私等敏感信息，医院的技术人员需要确保信息系统的安全性、可靠性和保密性，并建立健全的安全管理机制来逐步加强安全管理。一方面，在互联网环境下，工程技术人员需要利用多种技术手段加强对中心数据库的保护，确保数据管理的安全性和保密性符合国家相关法律法规的要求。数据信息管理人员既需要注重纸质文档的保护，又需要加强对电子文档的保护。另外，医院需要始终遵循内、外网络分离的原则，避免医院内网资料外泄。另一方面，对信息系统实行全程保密管理。信息系统的访问需要明确的权限，并加强对数据输入、查询和存储等环节的管理。针对重要数据信息，需要先进行加密处理，然后再存入专用数据库内，并由专人进行管理。综上所述，医院技术人员需要采取多种措施保障医院信息系统的安全性和保密性，从而确保医院的正常运行，并保护患者的隐私信息安全。

二、医院信息系统安全构成

（一）硬件设施

在医院信息系统中，其硬件设施主要包括三部分。其一，中心机房。针对该设备的研究需要考虑接地防雷装置和防水设施等。同时，还需要关注电源滤波器的使用，以提高UPS电源的安全性，降低中心机房运行的风险。其二，服务器。服务器具有心跳信息交换的功能，而信息交换主要依靠心跳线。通常，医院信息系统会安装多台服务器，以便在相关设备出现问题时，系统可以自动启动其他设备，确保信息系统的正常运行。在设备重启的过程中，服务器可以自动完成切换操作。此外，针对服务器的保护，技术人员需要重视其运行状态的监测，并注重网络布线的合理性。如果需要新增网点，技术人员需要合理控制网点与交换机之间的距离，避免信号传输受阻。最后，数据存储设备。其主要用于存储信息数据，具有较高的应用价值。

（二）软件设施

医院信息系统除了需要硬件设备支持之外，还需要相关软件设备的支持。例如，操作系统是其中重要的一部分。系统管理人员需要加强对用户权限及客户访问的管理，并对系统操作进行实时监控，严令禁止未授权用户访问信息系统。与此同时，对用户访问信息系统的记录进行记录。针对注册表的修改，操作人员可以优先屏蔽电脑桌面上无关的内容，并加强系统操作的安全防护，安装系统补丁，加强对重要数据信息的加密处理。实际上，系统操作需要及时关闭不重要的端口。另外，系统管理也属于软件设备之一，在对其进行维护的过程中，管理人员需要规范客户端操作，安装防毒软件，加强对病毒及黑客入侵的防护。防毒软件的安装需要定期优化与更新，并需要安装在服务器与客户机之上，以此为自动化杀毒软件引擎的安装创造良好条件，从而可以有效降低信息系统受病毒或黑客入侵的风险。

（三）应用软件

从应用软件的角度进行分析，首先是用户数据维护。其重点是限制对用户数据的访问。同时，与安全角色的连接可以保证应用系统的访问规范性和安全性。如果用户忘记密码，或者是多次输入错误密码，系统将自动锁定用户。此时，用户必须获得相关管理人员的权限批准才能继续访问信息系统。其次是标识与鉴别。在应用系统中，涉及多个角色与用户之间的关系。系统能够通过用户操作来识别用户角色，防止出现越权行为。对于特定人员，信息系统管理人员需要加强对角色权限设置的管控。只有当用户操作与其角色相匹配时，信息系统才会解除其访问权限。另外，在安全审计方面，应用系统需要将数据交换与审计相结合，并及时记录人员操作时间，以保证审计结果的精准性。最后是系统访问。如果用户身份较多，技术人员需要合理设置访问权限。

三、医院信息系统安全隐患

（一）操作系统

在医院网络系统的日常运行中，安全漏洞在所难免，且诸多安全隐患不容忽视，尤其是在系统资源访问以及授权管理方面。若想保证信息系统的正常运行，信息技术人员需要保证IP协议各节点的统一性以及集中性等，同时还需要防止IP Spoofing攻击行为的出现，进而可以有效降低医院信息系统运行的危险性。除此之外，在医院构建数字化信息系统的过程中，OA系统和HIS系统的应用较为广泛。二者不仅可以促进医院信息系统运行效率的提高，还可以有效提升信息系统操作的安全水平，减少系统运行安全隐患的出现。而在信息系统的数据库管理工作方面，操作系统的安全隐患依然存在，如果技术人员不加以处理，可能会导致医院整体网络信息系统出现运行异常的问题。

（二）网络边界

医院信息系统的构建主要分为内网和外网，二者相对独立，且信息系统之间缺少关联性。此种设计方式可以有效提高医院信息系统运行的安全性，避免外网对内网造成的不良影响。与此同时，它还有助于防止外部网络病毒的入侵，避免医院内网重要资料的外泄或丢失。然而，针对内网及外网的边界管理问题，许多医院的数字化建设水平仍然处于初级阶段，且部分医院信息系统的安全防护水平偏低，IT技术的应用水平有待进一步提高。因此，在医院内、外网络连接的过程中，常用的连接模式为C/S以及B/S。然而，这种模式可能会对医院信息系统的正常运行产生不良影响，例如容易增加黑客入侵风险[2]。此外，部分医院信息系统依然使用传统的防火墙技术进行防护，但该技术针对当前信息化以及智能化的网络环境的防御和攻击能力偏低，不利于加强网络边界安全。

（三）网络安全

当前，医院信息系统管理存在一些问题。首先，相关人员对于信息系统的安全管理意识偏低，缺乏重视。其次，部分医院的信息化建设水平较低，尚未引入先进的信息化和智能化技术来进行信息管理。这导致医院网络安全管理存在許多问题，可能影响医院信息系统的安全性。另外，部分医院的管理层过分关注医疗服务水平提升，忽视了信息化建设的重要性。他们认为信息化建设与医疗服务水平提升无关，这导致医院在先进信息系统的构建上遇到了一些阻碍。管理层人员的信息安全意识不强，导致网络信息系统存在许多漏洞，并且安全管理水平没有提升。此外，医院的信息系统安全管理理念和方法较为落后，日常管理也缺乏优化和升级，导致安全防护水平低下，存在安全隐患。

四、医院信息系统安全策略

（一）安全访问策略

首先，系统管理操作用户较为分散，加之在职人员职责各不相同，使得系统的人员构成较为复杂。 在此种状态下，用户名及密码的分配需要参考用户工作性质以及职责等因素，同时还需要科学设置系统操作权限，以防止越权行为的产生。当用户登录信息系统之后，只能在被授予的权限范围内访问相关数据信息，同时还可以根据需求进行数据调用或传输等操作，以此可以提高医院各类数据信息的存储安全性，避免非法入侵风险的发生。在此期间，信息系统管理人员不受系统访问权限的限制，即管理人员可以访问系统中的所有数据信息。为了保证医院信息系统的安全性，系统管理人员账号数量有限，且登录密码的设计需要具有较高的安全等级[3]。此外，系统管理人员需要定期更换用户登录密码，以防止账户密码泄露，降低信息系统运行的安全性。

（二）备份恢复策略

首先是系统的备份与恢复策略，医院信息系统的正常运行需要系统的绝对安全性。然而，由于人为操作失误、软硬件质量问题等诸多因素的干扰，系统可能存在一定的安全隐患，导致数据信息泄露或丢失。因此，备份与恢复功能在系统中非常重要。在安装计算机系统时，硬盘需要分区，操作系统需要集中在一个区域。如果系统发生故障，操作人员可以通过一键GHOST来恢复数据信息。其次是后台数据的备份与恢复。医院信息系统中的后台数据库具有计划及启动任务的功能。通过定时功能，可以定期进行数据备份操作，简化了备份与恢复的工作，避免了重要信息的丢失。此外，数据库还具有还原功能，可以在数据受损的情况下自动恢复相关数据。数据库不仅具有存储数据信息的功能，还具有提高信息存储安全性的作用。

（三）防治病毒策略

在信息化时代，随着先进信息技术的不断发展，医院信息系统获得有效升级的同时，计算机网络病毒也会随之发展。信息系统遭受病毒入侵现象在所难免，为提高信息系统的安全等级，技术人员需要注重防治病毒策略的落实，并及时构建与完善相关机制。首先，应实时备份数据服务器，针对重要数据信息应进行备份。同时还需要设计具备系统自动恢复功能的方案，即在系统故障后仍然能够完成相关数据的备份操作。与此同时，针对防病毒软件的安装，应选择正规且标准的防毒软件。即从官方网站下载软件，同时注意软件的定期更新与优化，确保软件安全防护作用的充分发挥。其次，医院信息系统需要安装GHOST软件，并加强用户的防病毒意识。增加用户对于各类计算机病毒的了解，有助于有效落实防病毒策略。最后，技术人员需要设置防火墙，并逐步优化以及提高防火墙的安全防护等级。

（四）培养技术人员

医院信息系统属于高科技产物，对技术人员的专业素养及技能要求较高，且技术人员的自身实力对信息系统的安全运行具有重要影响。因此，医院需要重视技术人员工作能力的提升，重点培养专业化、高素质的系统安全维护技术人才。一方面，医院需要适当提高技术人员的招聘门槛，要求技术人员持有相关证书，并具备一定的系统管理及维护经验。他们应能够实时掌握先进信息技术和智能技术等，从而为医院信息系统的安全运行提供人才保障。另一方面，医院还需重视在职技术人员的职业培训。信息化时代的发展要求技术人员不断与时俱进，逐步提高自身素养和专业技能，同时还需掌握先进技术的操作要领。

五、结束语

医院信息系统的构建不仅需要专业知识，而且非常复杂，具体内容包括数据安全、备份策略和数据库加密等。同时，医院信息系统还需要制定专门的保护管理制度。一旦安全管理出现纰漏，导致医院数据丢失，就会对医院的正常运行造成影响，可能导致经济损失。可见，在这个信息技术高度发达的时代，加强信息系统的安全管理十分重要。

作者单位：黄文犀 百色市人民医院

参  考  文  献

[1] 黄彪.探究医院信息化建设中的网络安全与防护策略[J].网络安全技术与应用，2022（12）：104-106.

[2] 刘虎则，李二梅，牛玮.互联网新形势下医院信息安全策略研究[J].网络安全技术与应用，2022（7）：115-117.

[3] 李刚.数字化医院计算机信息网络系统安全及应对策略分析[J].网络安全技术与应用，2022（1）：119-120.