郑东山

摘要：近年来随着国家大力推进医疗卫生事业高质量发展的背景下，“互联网+医疗”应用在医疗机构之间得以快速发展的同时，也给医疗机构的网络信息安全环境与管理方式带来了安全挑战，医疗业务的应用安全、数据安全、隐私保护等问题日益凸显。如何坚持发展与安全并举，进一步强化医疗机构的网络信息安全管理水平，通过分析医院在“互联网+医疗”环境下的信息化建设情况，形成具有医院自己特色的安全解决方案。

关键词：“互联网+医疗”；信息安全；网络安全；医院

中图分类号：TP393         文献标识码：A

文章编号：1009-3044（2023）13-0082-03

开放科学（资源服务）标识码（OSID）

0 引言

据统计，截至2019年11月底，国内已建成互联网医院近300家，其中52%取得互联网医院执业牌照，基于实体医院的线上和线下服务模式将成为医疗服务新业态。在抗击新冠肺炎疫情期间，互联网医院发挥了独特的作用，有效缓解了群众看病难的问题，也让广大群众开始了解和使用互联网医院提供的医疗服务，成为他们获得医疗服务的一种便利途径。[1]在互联网医疗服务的助推下，医疗机构的就医流程、健康管理方式、药品服务模式、医疗保险的结算形式等新应用模式丰富了医疗服务的生态环境。医疗服务的新模式促进了医院医疗服务的提质增效，并且进一步推动了互联网医院应用的建设的速度。在各类新技术、新模式得到普遍应用的背景下，网络攻击、计算机病毒、医疗数据的传输与存储、患者个人隐私的泄露等信息安全问题日益突出。医院信息系统的各项功能涵盖了医院各个业务层面，日常业务流转信息、费用交互、患者健康档案都会产生大量数据，在“互联网+医疗”的环境下更是如此，如果医疗业务与数据出现问题，医疗机构面临的不仅仅是经济损失，严重的情况还会造成医疗业务的中断从而引发医疗事故，因此在加快“互联网+医疗”服务建设的同时，通过先进的管理方式与技术手段保障医院医疗信息与应用环境安全是本文主要探讨的内容。

1 “互联网+医疗”应用下医院信息安全的重要性

当前医院信息系统在“互联网+医疗”应用环境下的建设速度不断提升，基于移动互联网的应用逐渐增多，例如手机预约挂号、线上问诊、远程会诊等极大的提高了医疗机构的诊疗效率，丰富了患者的就医体验。随着医院信息化建设水平也在不断提高，医疗信息管理系统的建设已经成为医院发展变革的重要抓手。而只有安全有效的信息才是真正具有价值的信息。如果医院信息系统出现故障、崩溃等情况，将会导致正常医疗业务的中断，由于医院信息系统当中包含着患者的诸多诊疗隐私信息，一旦信息造成泄露、丢失会引发患者的不满，甚至影响疾病诊疗，造成一定的社会负面影响。在医院当前所处的环境下如何构建医院信息系统安全保障防护体系，已经成为各医院领导者高度重视的问题之一。

2 “互联网+医疗”应用下医疗信息安全形式分析

在新冠肺炎疫情的影响下，以及近年来国家在大力推动“互联网+医疗健康”政策的扶持下。互联网诊疗线上与线下相结合的方式在医院信息系统建设当中得以普及，呈现出蓬勃发展之势。与此同时医疗机构内外网之间的信息交互日益频繁且情况复杂，为保证医疗机构信息系统的安全稳定以及各项工作的正常运转，针对当前医院信息安全体系构建中所遇到的问题和解决方案进行深入分析与探讨。

2.1 网络环境带来的安全挑战

医院在“互联网+医疗”服务模式建设的过程当中大量引入手机App、自助终端、微信小程序等系统应用，使得院内各系统之间的交互逻辑日益复杂，各系统应用之间做到了互联互通，医院信息系统逐渐形成了线上线下相结合的新型服务模式。新模式下医院内网接入的安全性还需要进一步提高，安全是医院信息安全管理的核心，必须要给予足够的重视，随着各类信息终端所承载的业务与信息量的增加，发挥的作用也越来越大。但是，在当前环境下医院内外网依然存在使用者擅自接入、患者信息泄露、网络漏洞攻击等问题，对医院网络信息的安全造成了严重的隐患。如何保证医院内外网之间的接入安全必然成为医院信息安全管理工作的重点之一[2]。

2.2 机房基础设施的影响

“互联网+医疗”应用环境下医院机房的核心存储与网络设备面临着高并发、多点交互的特点，另外医院机房硬件设备老化、性能不足，以及安全防护設备如防火墙、入侵检测等设备的配备缺失也进一步造成机房安全系数的降低，医院机房的管理工作是保障医院信息系统安全稳定运行的重要基础性工作，不仅涉及服务器、存储、系统软件还包括UPS、空调系统、消防、防雷等基础设施的完善。这些系统与设备是否正常稳定运行，在一定程度上影响着医院各类信息系统安全和稳定运行。

2.3 医疗信息安全管理问题

随着“互联网+医疗”应用的广泛普及，医院对患者电子档案数据虽然做到了一定的重视，但相对于诊疗服务本身还是有所欠缺的，包括即使在互联网诊疗工作当中由于医患等个人原因所发生的隐私数据泄露，医护人员操作不规范等行为也未能按相关管理制度追责到个人，另一方面由于信息安全责任制度没有进一步细化，当造成医疗数据缺失，后期数据处理不当等问题时，存在权责划分上模糊不清相互推诿的情况。此外，临床医护人员对患者医疗信息的规范录入不够重视，造成患者诊疗基础信息采集不准确存在后期修改信息得不到有效验证等问题。在患者诊疗的全周期管理过程中，所发现制约信息安全的点既有外部因素，也有内部因素，医院管理层必须要理清相应问题，做到足够重视。

2.4 “互联网+医疗”环境下安全风险特点

“互联网+医疗”为医院诊疗服务模式带来了便利与创新的同时，以其所具备的开放性、交互性、便捷性等诸多特点提升了医院信息系统的生产力。同时医院所面对的信息安全问题也变得越发复杂多样。由于当前医院信息化建设当中的技术平台、安全机制建设还有未完善的地方。“互联网+医疗”下的医院信息系统环境不但要应对传统信息安全领域的问题，如计算机病毒、黑客攻击、信息泄密与篡改等问题，而且还将面对新形势、新技术等更加全面的安全管理挑战，因此在“互联网+医疗”应用环境的影响下，医院内部必须依据自身所处环境积极制定网络信息安全的技术方案与管理举措。

3 “互联网+医疗”应用下医疗信息安全的应对举措

3.1 基础设施的建设与防护

在医院以“互联网+医疗”为导向的信息化建设过程中，医院医疗信息系统的安全工作一直是困扰医院管理的重要问题之一，随着新技术新应用的发展，医院应围绕信息安全策略做好医疗信息安全体系的建设工作，广泛采用新型服务器及存储、网络安全设备、做好数据的备份与恢复，结合自身特点深入分析影响网络安全的薄弱项，随着医院信息系统构成越发庞杂，医院必须及时做到医疗信息系统基础设施的提升改造工作。主要从以下几方面入手：第一，提升医院核心机房运营管理工作，机房是医院信息系统安全稳定运行的基础，做好机房设备的老旧更换与安全检查工作，利用动环监测系统实时检测机房温湿度、核心硬件运行状态、机房UPS供电安全等问题，机房管理员要对核心机房进行每日巡检，做好日志记录。发现问题及时做好信息上报、联系维修等工作。第二，利用信息加密技术、防火墙、入侵检测技术做好内外网之间医疗信息的安全认证工作。信息加密的目的是保护内网的数据、口令和控制等信息，保护网上传输数据的安全有效。利用防火墙技术做到内外网之间的物理隔离，在内外网之间的数据交互中，能有效做到医院内外网之间风险区域的安全连接。随着网络安全风险系数的不断提高，作为防火墙技术的补充，入侵检测系统能帮助网络系统快速发现来自互联网的攻击行为，对系统管理人员的安全管理能力做到有力的补充，同时提高了系统安全结构的完整性。第三，做好核心应用系统数据的备份与恢复工作，在“互联网+医疗”环境下要做到网络体系整体的安全性，只有“预防”与“检测”等手段是远远不够的，还必须增强机房核心系统的灾难恢复能力，因为任何防护手段都不能做到疏而不漏，一旦因不可抗力发生系统安全事件，后果是不堪设想的。这就要求机房核心系统即使发生灾难性事故，也能及时做到系统与数据的恢复工作，才能完整的保护网络与系统数据的安全。

3.2 落实信息安全等级保护制度

信息安全等级保护制度是国家信息安全保障工作的基本策略、基本制度和基本方法，是促进信息化发展维护国家安全、社会秩序和公共利益的根本保障[3]。2018年7月国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》，规定承载医疗大数据的平台必须落实等级保护制度，健康医疗大数据中心、相关信息系统要开展定级、备案、测评等工作。医院贯彻落实网络安全等级保护制度是维护“互联网+医疗”环境下医疗信息安全工作的重要基石。必须增强医院的信息安全管理意识，提升网络安全设备检测能力，增强医院内部信息系统抵御外界有害攻击的能力。

3.3 医院信息系统安全规划

1） “互联网+医疗”环境下医院信息系统安全规划的重点主要围绕技术安全与管理安全开展，技术安全主要包括机房的建设与管理、网络安全访问控制、安全审计、网络边界与入侵防护等内容。此外要做好核心存储与服务器的管理与防护工作，包括身份识别、安全审计、入侵防范及资源控制，目前，医院对于应用安全的防护比较薄弱，主要表现如通信完整性，审计控制、软件容错等方面需要及时做到系统程序的补充修正，另外重点做好数据的安全备份、恢复工作，保障数据的完整性与有效性。管理安全包括信息安全制度的建立、岗位管理、系统建设与运维管理等具体内容，包括信息安全制度的制定与发布，岗位管理包括涉及信息安全的岗位人员的配备、离岗管理、医院信息安全管理制度考核与培训，外来人员管理等方面。系统建设管理要做到信息系统建设方案设计，产品的采购使用、自主与外包软件的开发、验收等内容。做好医院内外网的访问安全管理，密码管理、变更管理做好网络信息安全事件的应急预案工作。

2） “互联网+医疗”环境下医院信息系统安全规划主要围绕医院现有信息系统的建设内容与互联网医疗数据资源的开发和利用上。第一，要做到与医院信息化建设发展战略目标相一致，制定符合医院长远发展的信息系统安全目标。第二，结合当前互联网应用生态环境要对医院整体信息化的发展现状进行全面的、细致的分析，找到当前工作中所存在的优势与不足；第三要根据一段时期医院信息化的发展任务，提出未来一段时期的系统安全发展任务、任务需求可以分成不同阶段要实现的目标，便于后期任务的实施与跟进。医院信息系统的安全规划工作服务于整体医院信息化建设的目标，信息系统安全规划工作质量的好坏是关系到医院信息化建设的安全基础，医院信息化部门要以医疗信息系统安全规划基本设计原则、内容及思路结合当前“互联网+医疗”环境大背景下深入到实际工作当中进行具体的调研工作。

4 結束语

综上所述，在“互联网+医疗”应用快速发展的推动下，当前环境为医院的信息化发展带来了大数据、云计算、虚拟化等诸多信息技术的同时，解决了现有医院内部的“信息孤岛”问题，实现了医院内部各系统之间的互联互通、数据共享，进一步推动了数字医院的建设工作，极大的提升了医疗机构的诊疗效率，满足了患者的多样化诊疗需求，同时我们也要意识到医院信息网络安全工作的担子也越来越重了，在新形势下我们必须要进一步拓展信息系统安全运维的深度与广度，明确系统安全工作的目标，加大信息安全人才的培养。不断提升网络信息化的安全技术手段和管理手段，建立具有医疗机构自身特点的信息系统安全防护体系，落实医院所制定的各项信息安全管理制度，进一步提升医院信息系统的安全与稳定。

参考文献：

[1] 赵霞，李小华.“十四五”期间医院信息化建设发展的若干思考[J].中国医院，2021，25（1）：64-66.

[2] 赵晓辉. 关于构建医院网络信息安全体系的思考与建议[J]. 科学与信息化，2020（4）：62.

[3] 陈安民，徐永健，廖家智，等. 现代医院核心管理实践与体会[C]//2014中南六省（区）和港澳台三地医院院长高峰论坛论文集，2014：1008-1011.

[4] 魏知. 基于双满意度的公立中医医院管理路径优化研究[D].长沙：湖南中医药大学，2021.

[5] 王继辰. 以S眼科医院为依托的医联体信息化建设方案研究[D].济南：山东财经大学，2018.

[6] 王德正. 网络入侵检测系统的研究与设计[D].合肥：合肥工业大学，2007.

[7] 褚秋雯. 从哲学的角度看人工智能[D].武汉：武汉理工大学，2014.

【通联编辑：闻翔军】