新形势下医院信息安全管理

2019-12-01赵洁

电子技术与软件工程 2019年24期

文/赵洁

随着社会的进步和科学技术的发展，医院信息化建设也不断完善，形成了覆盖全院、全医疗服务的医院信息系统。同时，随着医疗行业和网络结合后，更多的互联网技术也进入医院信息系统：微信服务、APP、社保、银行、区域医疗信息共享等，医院的信息化建设不再是单一的模式，而是与外部网络互接互连，医院信息安全管理面临着网络、计算机病毒、信息保密等各方面的挑战。新形势下，医院的信息安全管理，已成为当前医院信息化建设的重要任务。

1 当前医院信息安全管理的现状

1.1 医院信息安全管理涉及的范围更加广泛

近几年，随着医院对网络技术的应用和融合，提供了基于网站、微信、APP等医疗服务，预约挂号、预约检查、电子化验单、医后付、一站式住院、在线咨询等功能的推出，极大的方便了患者，节省了医疗资源，这些功能的实现，是基于医院信息系统与互联网、银行等外部平台建立接口，一旦发生网络瘫痪或者数据丢失、泄露，将会给医院和患者带来难以弥补的损失。因此，为保证医院信息系统的安全正常工作，必须采用必要的安全管理措施来保障医院信息系统持久、稳定、安全地运行。

1.2 国家对医院信息安全管理更加重视

为了保障网络技术的安全开展，针对医疗卫生行业，国务院于2016年6月出台《关于促进和规范健康医疗大数据应用发展的指导意见》，将医疗大数据正式纳入国家发展，在医疗、医药、公共卫生、医保、以及安全保障等方面进行全面规范；2017年3月，李克强总理在政府工作报告中首次提出，要制定“互联网+”行动计划，推动移动云计算、大数据、物联网等与传统行业相结合；2019年7月，国家层面出台《健康中国行动（2019-2030年）》，解读了医院如何利用互联网技术把“预防为主”的理念落到实处，提升居民健康水平。政策文件的出台和完善，显示了国家对医院网络信息的重视，信息安全问题也将进一步提升。

2 新形势下医院信息安全管理存在的问题

2.1 互联网对医院信息安全管理的挑战

随着计算机网络技术的发展，医院的业务不再仅仅局限于“院内”，互联网的APP、微信业务、移动办公、远程会诊等新业务的进入，医院网络面临着外部网络的冲击。计算机病毒、系统漏洞、黑客攻击等为代表的诸多安全问题也日益暴露出来，一旦存在安全隐患的终端用户接入互联网，就会给潜在的安全威胁敞开了大门。同时，更多的移动、医疗新设备以有线或无线的方式接入，虽然这些设备有明显的医疗优势，但是也可能会遭遇一系列的安全问题。

2.2 患者对就诊信息的保密要求

患者在医院就诊，所有的身份信息、病历信息、就诊记录、检查报告单、住院信息等，都在医院信息系统中保存，这些病历信息都是患者的隐私信息；同时，随着互联网业务的接入，银行系统、医疗APP或微信服务等公司会与医院信息系统存在合作，一旦病人的隐私信息被其他公司获取，将会对病人隐私造成巨大影响。因此，医院在实施APP或微信方案时，一旦要和合作方明确医疗数据的保护，保护患者的隐私信息，保护医院的信息资产。

2.3 信息系统本身的不稳定因素

信息系统是根据医院、用户的需要而开发的系统，因此其开发、升级、完善的过程中，不可避免的会存在一定的不稳定因素，带来一定的安全隐患。同时，现在开发的信息系统，除了需要与医院内网的信息相结合，还需要与外网的众多接口直接有数据连同，系统对安全问题的判断就会存在纰漏，从而导致安全方面出现问题，甚至会对信息系统造成威胁。

2.4 传统安全制度的安全漏洞

医院信息系统自投入使用医疗，其定义就是为医疗过程服务，因此，传统的信息系统管理将注意力主要放在了医疗救治工作中，对信息的安全重视程度较低。现阶段，很多医院虽制定了安全管理制度，但没有很好的得到落实与遵守；很多情况下，医院方面往往默认为信息的安全是医院信息管理部门的职责，对医生、护士以及其他的信息系统使用者的信息安全教育缺乏、防范理念不够，安全职责的划分也不明确，加之互联网上黑客越来越专业，因此日常信息安全的保障压力越来越大。

3 形势下医院信息安全管理的探讨

3.1 提升信息安全管理技术

提升自身的信息安全管理技术，关键是提升机房的硬件和服务器的管理技术。因为机房是几乎所有服务器的放置地，是医院信息系统的核心，机房服务器每天24小时运行，一旦出现中断，数据就会丢失，影响医院业务的开展。机房安全管理，首先应保障其物理环境，严格控制机房内的温度、湿度，做好防尘、防静电、防磁场干扰，安装UPS电源，保障机房电源供电持续性。其次，对机房的服务器应有专业技术人员管理，定时查看运行情况、备份服务器数据、及时安装系统补丁，发现问题及时处理，同时，严格做好主服务器、备用服务器的安全软件升级，确保在突发事件中，能迅速启动备用服务器，保障医疗业务的正常开展，等解决故障后，能将数据完整的传送到主服务器上，保证数据的完整性。

3.2 重视网络安全体系建设

网络是医院信息系统的传输通道，医院的每一台主机每一个终端都依靠网络进行数据交换与通讯，所以高速、安全的网络体系是保障信息系统正常运行的重要载体。医院网络一般分为医院内网和医院外网，内网的信息系统是是医院的核心业务系统，外网是能连入互联网的局域网，内网和外网的隔离是保障网络安全的一个趋势。物理上的隔离技术，保障了内网数据的安全传输、共享，应严格控制内网客户端的U盘、医疗设备的准入机制。同时，由于医院业务发展需要，微信预约、APP等系统的外网数据与内网数据交换越来越频繁，建立内外网数据交换区，严格监控数据交换的安全性。

3.3 做好信息数据保护工作

数据信息是医院的核心信息，其真实性、隐私性导致了数据的珍贵性，具有非常大的商业价值。如果医院的数据信息泄露，首先将无法保证医疗业务的正常开展，其次也将失去患者对医院的信任，让医院遭受经济损失。

做好数据保护工作：

（1）要做好数据的备份，可以采用定时完整备份数据库，以防发生数据丢失时可以迅速恢复。

（2）做好异地数据备份，为数据安全做双重保护。

（3）定期检查备份数据的完整性、可用性，因为一旦备份数据出现故障，一切数据保护工作都无法保证。

3.4 加强信息安全人员管理工作

医院信息系统，人是使用者，是信息安全的保护者，也可能是信息安全问题的制造者。在人员管理中，首先需要加强对信息专业技术人员的技术考核和深度培训，提升其安全防范意识和专业技术能力；其次，加强普通职工的信息安全宣传教育和培训。很多时候，普通职工防范理念不够，无意识的访问不安全的网络、连接U盘等外部设备，将会给网络带来病毒等影响，通过信息安全宣传，养成良好的客户端电脑使用习惯，培养全院职工的信息安全意识。

3.5 完善信息安全管理制度

新形势下，信息安全工作包括了硬件、软件、网络、设备等各个技术活动，涉及全院各个科室，因此，首先需针对自身情况，形成一套全院的、相对完善的规范制度，并能真正落实到实际工作中；其次，信息科需制定具体的网络维护制度、信息安全管理制度、机房管理制度等，使信息安全管理有据可依；第三，结合临床科室和医院信息管理实际情况建立信息安全应急预案，并在科室内进行详细的登记，科室成员要对应急预案熟练掌握。