醫(yī)院信息系統(tǒng)軟件的安全管理與維護(hù)

范曉寧

（河北醫(yī)科大學(xué)第二醫(yī)院 河北 石家莊 050000）

1 引言

隨著信息化管理的日趨成熟，各大醫(yī)院引入了信息系統(tǒng)軟件并將其廣泛應(yīng)用于日常工作。近年來，一些信息安全事件的發(fā)生引起了人們對信息系統(tǒng)安全性的思考，信息系統(tǒng)的安全性主要在于軟件的安全。下面將對醫(yī)院信息系統(tǒng)軟件的安全管理與維護(hù)進(jìn)行闡述。

2 醫(yī)院信息系統(tǒng)軟件管理與維護(hù)的重要性

目前，信息系統(tǒng)已成為醫(yī)院開展醫(yī)療服務(wù)的主要途徑，系統(tǒng)軟件的安全管理越來越重要。一些醫(yī)院的信息系統(tǒng)沿用以前的開放網(wǎng)絡(luò)操作系統(tǒng)，有一定的安全風(fēng)險。近年來，醫(yī)院網(wǎng)絡(luò)規(guī)模逐步擴大，信息系統(tǒng)覆蓋了醫(yī)院日常工作的方方面面，如病人看病就診、賬單結(jié)算、后勤物資、醫(yī)護(hù)管理等。如果醫(yī)院信息系統(tǒng)軟件突然出現(xiàn)問題，那么將可能導(dǎo)致整個醫(yī)院陷入混亂，甚至造成嚴(yán)重的醫(yī)療問題和巨大的經(jīng)濟損失。因為，病人的治療記錄都存在系統(tǒng)中，如果有關(guān)數(shù)據(jù)被無意破壞或惡意篡改、泄露，將會造成嚴(yán)重的后果。此外，一些侵害信息的行為（如病毒入侵、黑客攻擊、網(wǎng)絡(luò)垃圾增多、信息盜取等）使當(dāng)前的網(wǎng)絡(luò)環(huán)境變得錯綜復(fù)雜，信息系統(tǒng)的安全性降低。2016年，有不法分子竊取了275名艾滋病患者的個人資料并將其賣給詐騙人員。2018年，新加坡各醫(yī)院遭到網(wǎng)絡(luò)安全攻擊，不法分子盜取了150萬名病人的身份信息、家庭住址、工作單位等隱私資料，造成了嚴(yán)重的后果。諸如此類的案例還有很多。這些非法行為不但侵犯了患者的個人隱私權(quán)，而且嚴(yán)重威脅到醫(yī)患關(guān)系。值得肯定的是，它給人們敲響了警鐘，使越來越多的人關(guān)注醫(yī)院信息系統(tǒng)軟件的安全問題，從而促進(jìn)醫(yī)院信息系統(tǒng)軟件安全管理和維護(hù)的加強。

3 醫(yī)院信息系統(tǒng)軟件管理與維護(hù)的策略

一般來說，系統(tǒng)軟件的使用壽命是比較短的。醫(yī)院若想延長軟件的壽命，就必須加強人員管理，做好信息系統(tǒng)軟件的日常維護(hù)工作，從而保證醫(yī)院數(shù)據(jù)的安全。具體來說，醫(yī)院信息系統(tǒng)軟件的安全管理與維護(hù)可以從以下兩個方面來進(jìn)行。

3.1 加強醫(yī)院工作人員的管理

目前，醫(yī)院信息系統(tǒng)軟件還離不開人的操作，醫(yī)院要想管理好信息系統(tǒng)軟件，就要先加強對工作人員的管理，強化信息安全觀念，規(guī)范操作手法，從而提高信息安全管理水平。

3.1.1 增強保密意識

目前，醫(yī)院工作人員對信息的保密意識還有待提高。醫(yī)院信息系統(tǒng)軟件是由醫(yī)院各部門人員共同操作的，由于操作人員較多且分散，他們在使用系統(tǒng)軟件時很容易出現(xiàn)問題。為此，醫(yī)院應(yīng)該定期對工作人員進(jìn)行相關(guān)培訓(xùn)，使其了解信息安全的重要性，提高思想覺悟，盡力避免人為的信息泄露、系統(tǒng)癱瘓等安全事故的發(fā)生。另外，醫(yī)院還要完善獎懲制度，對于那些不利于信息安全管理甚至監(jiān)守自盜的行為必須予以嚴(yán)厲的懲處，對于那些積極維護(hù)系統(tǒng)軟件安全管理的行為必須給予充分的肯定和適當(dāng)?shù)莫剟?。只有這樣，才能逐漸增強醫(yī)院工作人員的保密意識，使之在潛移默化中自覺遵守信息系統(tǒng)的使用規(guī)則。

3.1.2 規(guī)范操作流程

隨著社會發(fā)展，醫(yī)院信息系統(tǒng)數(shù)據(jù)庫的量越來越大，工作人員在使用軟件時也會出現(xiàn)各種各樣的問題，信息數(shù)據(jù)的安全受到了嚴(yán)重威脅。科學(xué)合理的操作流程對于提高信息數(shù)據(jù)的準(zhǔn)確性具有重要作用，所以醫(yī)院必須對即將操作信息系統(tǒng)的每一位工作人員都進(jìn)行培訓(xùn)，并且要求他們考核過關(guān)以后才可以使用系統(tǒng)，這樣可以有效地減少因操作失誤而造成的損失。在培訓(xùn)時，醫(yī)院要讓操作人員充分理解并掌握信息軟件的相關(guān)概念及具體操作流程，為他們分析和預(yù)測可能會出現(xiàn)的安全問題，并提供解決方案，以確保醫(yī)院工作的穩(wěn)定運行。例如，在培訓(xùn)過程中，醫(yī)院信息系統(tǒng)軟件的運維人員一邊給工作人員講解軟件操作的相關(guān)理論知識，一邊在電腦上操作，示范完成后，再讓工作人員進(jìn)行模擬操作，找到操作過程中不恰當(dāng)?shù)牟襟E或出現(xiàn)的問題，并耐心地指導(dǎo)他們進(jìn)行正確的操作，從而解決相關(guān)問題。當(dāng)然，在這一過程中，工作人員需要不斷思考，反復(fù)實踐，盡量找到更多問題，為后面的實際操作做好充分的準(zhǔn)備[1-2]。

3.2 加強軟件系統(tǒng)的安全維護(hù)

3.2.1 選用安全性能高的軟件

醫(yī)院是一個救死扶傷的地方，每天24h都在運營。作為醫(yī)院必備的操作系統(tǒng)，信息系統(tǒng)軟件必須一刻不停地運行，這樣才能保證醫(yī)院的正常運作。質(zhì)量是軟件工作的基本保障，所以醫(yī)院在挑選信息系統(tǒng)軟件時首先要考慮它的質(zhì)量。另外，好的安全監(jiān)控系統(tǒng)才能防止黑客的入侵，好的售后服務(wù)才能保證系統(tǒng)的有序運行。因此，醫(yī)院在選用系統(tǒng)軟件時還應(yīng)考慮系統(tǒng)軟件的安全穩(wěn)定性和軟件公司的售后服務(wù)質(zhì)量，以確保后續(xù)工作不留隱患。例如，系統(tǒng)突然出現(xiàn)故障，軟件公司的售后人員卻聯(lián)系不上或無法處理這個問題，這都將導(dǎo)致醫(yī)院信息系統(tǒng)長時間處于癱瘓狀態(tài)，從而影響醫(yī)院工作的開展。

3.2.2 重視系統(tǒng)數(shù)據(jù)的管理

隨著信息化技術(shù)的普及，醫(yī)院信息系統(tǒng)每天產(chǎn)生的數(shù)據(jù)量越來越多，這就要求醫(yī)院對這些數(shù)據(jù)進(jìn)行科學(xué)合理的管理。系統(tǒng)數(shù)據(jù)管理可以分為數(shù)據(jù)的備份和恢復(fù)，這兩者在系統(tǒng)運行過程中是不容忽視的。無論系統(tǒng)軟件的安全性能有多高，都不能百分之百保證不會出現(xiàn)任何問題。例如，電腦死機、突然停電、自然災(zāi)害、黑客攻擊等，這些都有可能導(dǎo)致系統(tǒng)出故障，造成醫(yī)療數(shù)據(jù)的丟失。為此，醫(yī)院必須做好數(shù)據(jù)備份和恢復(fù)工作。具體來說，醫(yī)院可以購置兩臺帶有自動存儲和修復(fù)功能的服務(wù)器，一臺用作信息系統(tǒng)日常運行的主服務(wù)器；另一臺作為備用機，一旦出現(xiàn)緊急情況，備用機就迅速啟動，接替主服務(wù)器的工作，以避免數(shù)據(jù)丟失。并且，這兩臺服務(wù)器在運行時還需不斷備份系統(tǒng)數(shù)據(jù)，在需要時恢復(fù)即可。比如，工作人員在異地或需要統(tǒng)計醫(yī)療數(shù)據(jù)時，可以調(diào)取已備份數(shù)據(jù)，快速查詢相關(guān)信息，從而提高工作效率?？傊t(yī)院必須重視系統(tǒng)數(shù)據(jù)的備份和恢復(fù)。

3.2.3 防范各類病毒的入侵

隨著科技的進(jìn)步，計算機病毒越來越多，這些病毒對軟件系統(tǒng)的破壞性很強，可能導(dǎo)致軟件系統(tǒng)癱瘓，使醫(yī)院管理陷入困境。所以醫(yī)院必須高度重視計算機病毒的危害性，強化對各類病毒的防范措施。首先，醫(yī)院可以構(gòu)建僅供工作人員使用的局域網(wǎng)，并根據(jù)實際需求安裝正版、專業(yè)的防火墻軟件和高效的殺毒軟件，如卡巴斯基（Kaspersky Lab）、科摩多（Comodo）、諾頓（Norton）、大蜘蛛（Dr.Web）等。這些軟件具有自動防護(hù)和查殺普通電腦病毒的功能，對信息系統(tǒng)軟件具有一定的保護(hù)作用。除此之外，醫(yī)院必須定期檢查、升級或更新軟件，以增強信息系統(tǒng)的自我防護(hù)能力[3]。醫(yī)院還可以利用網(wǎng)絡(luò)處理器來提高防火墻的性能，盡量采用更先進(jìn)的科技手段，防范各類病毒的入侵，有效確保醫(yī)院信息的安全。其次，醫(yī)院要制定嚴(yán)格的病毒防范制度，盡量減少病毒來源。例如，醫(yī)院必須禁止工作人員隨意瀏覽垃圾網(wǎng)站或下載不知名的插件，禁止非工作人員進(jìn)入工作區(qū)使用醫(yī)院的電子設(shè)備，以避免出現(xiàn)主動接近病毒的情況。一旦發(fā)現(xiàn)有人違反規(guī)定，就要嚴(yán)格按照制度來實施懲罰。最后，醫(yī)院可以安裝一套用于監(jiān)管流量情況的入侵檢測系統(tǒng)設(shè)備。當(dāng)遇到非正常訪問時，該設(shè)備會發(fā)出警報，此時網(wǎng)絡(luò)運維人員就可以及時處理，而且可以利用入侵檢測系統(tǒng)追蹤到攻擊者的具體IP地址，甚至找到攻擊者，從而徹底解決信息系統(tǒng)軟件的安全危機。當(dāng)然，僅靠防御是不夠的，經(jīng)濟寬裕的醫(yī)院還可以配置具有自動反攻病毒功能的軟件。

3.2.4 加強用戶的身份認(rèn)證和權(quán)限控制

醫(yī)院人多繁雜，增加了信息泄露的可能。這就要求醫(yī)院加強對用戶的身份認(rèn)證和訪問控制。身份認(rèn)證一般采用“用戶名+口令”的方式，但這種單一的方式已經(jīng)不能滿足醫(yī)院信息系統(tǒng)軟件的安全性需求，所以醫(yī)院可以采用身份認(rèn)證和權(quán)限控制并用的方式來加強對信息系統(tǒng)軟件的安全管理。例如，在身份認(rèn)證方面，醫(yī)院工作人員在填寫授權(quán)表并獲得部門批準(zhǔn)蓋章以后才能被授權(quán)操作信息系統(tǒng)，用戶密碼必須經(jīng)常更換，以防止賬戶被盜用，離職人員的賬戶必須及時撤銷。在權(quán)限控制方面，醫(yī)院可以根據(jù)工作人員的職位等級及其需求設(shè)置不同的操作權(quán)限。數(shù)據(jù)庫是重中之重，所以數(shù)據(jù)庫的使用權(quán)限只能由信息系統(tǒng)的核心運維人員和醫(yī)院高層掌握，但不允許他們對數(shù)據(jù)庫的相關(guān)數(shù)據(jù)做任何改動，數(shù)據(jù)庫的密碼設(shè)置一定要復(fù)雜多變。另外，數(shù)據(jù)庫查詢需要獲得醫(yī)院領(lǐng)導(dǎo)層的同意后才能進(jìn)行操作。當(dāng)然，醫(yī)院也可以結(jié)合本院實際對這些系統(tǒng)訪問控制方法進(jìn)行適當(dāng)?shù)恼{(diào)整，使醫(yī)院信息系統(tǒng)軟件更加安全可靠[4-6]。

4 結(jié)語

隨著科技的進(jìn)步，醫(yī)院信息安全建設(shè)取得了一定的成效，但威脅信息安全的因素在逐漸增多，醫(yī)院信息系統(tǒng)仍存在許多安全問題。對此，醫(yī)院信息系統(tǒng)軟件的安全管理和維護(hù)必須得到強化。也就是說，醫(yī)院必須加強對安全隱患的分析，重視對工作人員的管理和監(jiān)督，及時發(fā)現(xiàn)安全問題并加以解決，采取有效的措施進(jìn)行防護(hù)和反攻，最大限度保證患者的個人信息安全，并確保醫(yī)院工作能夠正常開展。