摘 要：社会发展至今，人们对医疗信息的安全与隐私越来越注重，以往十年人们更多地在讨论医疗信息系统防病毒、系统宕机之类的问题。而现在讨论更多的是等保、容灾备份、信息数据加密等问题，但虽然讨论侧重点不同，总体来说还是医疗信息安全和隐私性问题，医院有责任对患者的医疗数据妥善保管，在医疗领域应用信息系统，在信息安全方面仍将面对很大挑战，本文将围绕网络安全问题，结合医院现有的信息系统，做出综合阐述。

关键词：医院信息系统;日常维护;网络安全问题

一、选题综述

（一）时代背景

随着时代的发展，医院信息系统的应用已经越来越深入，越来越广泛，医疗信息系统能够将挂号变得简单有序，能让医疗数据的存储与调取更加方便快捷，能节省大量时间，提高医生工作效率和医院管理效率，对患者长期健康情况进行记录，支持快速检索，让医疗更有效用，同时对海量医疗数据的存档调取，系统能帮助挖掘过往病例中隐藏的医疗信息价值，不断提高医疗水平，更好地服务社会，可以说医疗信息系统的应用价值极大。

（二）医院信息系统[1]

医院信息系统（HIS），是Hospital Information System的缩写， HIS可以大致分为三大块：管理信息系统、临床医疗信息系统、医院信息系统的高级应用。管理信息系统（MIS）包括门诊急诊挂号子系统、收费子系统、药库管理系统等等，对患者的数据收集、处理、存储的主体，同时也包括医院的人事、行政等信息的收录处理;临床医疗信息系统（CIS）包括患者医嘱处理子系统、护理信息系统、医学影像诊断报告处理系统等，是面向临床医疗管理，以医疗全过程为主体的管理单元;医疗信息系统的高级应用（PACS）是将医学图像实时传输与查询的系统，包含医学情报、远程诊断与教学、病案诊断记录等。值得一提的是，还有很关键的电子病例系统（EMRS），电子病历系统依附于整体的医院信息系统（HIS），并不是独立的新系统，但因为其重要性，通常单独来说。

（三）医疗信息安全事故实例

2019年4月，有关部门发现湘阴县妇幼保健站未部署入侵防护系统、防火墙及日志审计系统等问题，其行为已构成“不履行网络安全保护义务”罪，依令整改，但该院未按规定整改，直到2019年10月，遭到黑客勒索病毒攻击，医院核心业务信息系统2019年所有数据和备份文件被清除，并通过内网感染到办公终端，医院瘫痪三天。

2019年5月，重庆永川某私立医院服务器瘫痪，网警和技术人员勘察，该医院未按照网络安全制度进行，未采用网络安全技术措施，导致被植入勒索病毒。

这样的例子还有很多，其中很大一部分成因在于医院安全意识薄弱，未履行网络安全等级保护制度。

二、医院信息系统的等级制度和具体要求

卫生部基于医疗信息安全问题，制定有相关等级制度和规范标准[2]，明确规定三级甲等医院的信息系统原则上不低于第三级，要求简单来说是应具备对SQL注入、跨站、扫描器扫描、webshe11攻击检测、盗链行为、拒绝服务供给防护、身份认证等14项安全功能，避免来自外部有组织团体的恶意供给，能够发现安全漏洞和安全事件，在系统遭到攻击或其他原因损害后，应能够快速回复绝大部分功能。2019年5月，国家又正式发布了网络安全等级保护制度（简称等保）2.0标准，如下图1简示。

三、对医院信息系统安全性的策略

医院信息系统的安全性影响因素分为硬件和软件问题，硬件设备受损或老化导致信息系统无法有效使用，软件受损则又分为内部泄露和外部泄露，内部泄露指医院内部人员盗用患者信息，外部泄露是医院信息系统有漏洞，受到网络恶性攻击，患者信息面临泄漏的风险，导致医院瘫痪，这里，也将结合上文等保的“技术要求”和“管理要求”两方面展开阐述

（一）管理要求方面：明确医院信息系统安全性的重要[3]

结合上述信息系统的事故实例，我们可以发现，医院疏于对医院信息系统的防护，很大一部分原因在于安全意识缺乏，事到临头才后悔不及，国家对医疗医院对应的信息系统防护都严格的等级划分，但很多医院并没有做到这些，据《2019 健康医疗行业观测报告》数据统计，对15339家医疗行业相关单位的网络信息系统进行统计，具有脆弱性和各项安全隐患的有9523家，占比62.14%，可以说我国的医疗信息系统全面处于风险状态，医院方面需要明确信息系统安全性的重要，积极自查，和社会上相关互联网检测企业合作，优化信息系统，加大警觉性，加强安全意识。

（二）管理要求方面：建立完善的网络安全管理制度

建立完善的网络安全制度，首先使用优秀的、具有高度防护功能的信息系统软件，做好物理环境、防火墙建设、网络边界完整性检查、入侵防范、数据及时备份等，避免出现网络安全问题，其次，要建立完善的管理机制，将医院信息系统的使用规范化、细化，防止网络设备非法登陆，做好身份鉴别、访问权限控制等要求，要求医院内部人员严格遵守管理制度。

（三）管理要求方面：提高医院工作人员的职业素养

患者信息泄露也分为内部泄露和外部泄露，内部泄露指医院内部人员利用权限，盗用患者隐秘，利用患者信息非法获取利益，外部則是黑客入侵、勒索非法利益，这里说的就是内部泄露，党的十三届全国人大常委第七次会议明确提出，泄露患者隐私的医院相关人员要承担相关责任，但上有政策，下有对策，医院内部人员私自盗取患者信息的行为还时而发生，在技术上可以利用利用防火墙、审计设备和准入控制系统，实时准确记录内部员工行为操作，做好内部监控，但要想从根本上解决内部泄露患者信息的情况，加强培训教育，不断提升工作人员职业素养也是必须的[4]。

四、结束语

从本文的审题可知，网络安全即信息安全，日常维护是全面维护的基础，也是核心维护需求，是确保医院信息系统安全性的根本途径，结合上述分析，从根本解决网络信息系统的“安全性”问题，切实保障患者信息，具有非常大的意义。

参考文献：

[1]冯佩伟.浅谈医院信息系统的日常维护及网络安全问题[J].现代医药卫生，2008（22）：147-148.

[2]王赠，李伟.医院信息系统的网络安全管理与维护[J].通讯世界，2017（12）

[3]耿红丽.医院信息系统的网络安全管理与维护[J].《中国新通信》，2017（1）：88-88，共1页.

[4]于栋玮.医院信息系统的网络安全管理与维护[J].中国高新区，2019（3）：250.

作者简介：

刘济源，江苏，汉，19910203，本科，初级，医院信息系统维护与网络安全