新形勢(shì)下醫(yī)院信息安全所面臨的挑戰(zhàn)與對(duì)策分析

孫旭東

摘要：互聯(lián)網(wǎng)飛速發(fā)展，醫(yī)院的信息網(wǎng)絡(luò)也與時(shí)俱進(jìn)，隨著互聯(lián)網(wǎng)一同更新?lián)Q代。但是在互聯(lián)網(wǎng)的新形勢(shì)下，醫(yī)院的信息安全也面臨著一些新的挑戰(zhàn)，譬如責(zé)任制度缺失、存在安全隱患、數(shù)據(jù)庫(kù)存在防護(hù)漏洞、缺乏信息專(zhuān)業(yè)人才等，基于此，文章提出了健全信息安全機(jī)制、規(guī)范安全管理流程、強(qiáng)化安全防護(hù)技術(shù)、建立信息人才隊(duì)伍、善于利用審計(jì)軟件、建立安全數(shù)據(jù)中心和完善安全監(jiān)控系統(tǒng)等方面的新形勢(shì)下醫(yī)院信息安全建設(shè)對(duì)策。

關(guān)鍵詞：醫(yī)院信息安全;挑戰(zhàn);對(duì)策

前言：醫(yī)院信息安全是指互聯(lián)網(wǎng)背景下，醫(yī)院的網(wǎng)絡(luò)信息安全問(wèn)題。當(dāng)前國(guó)內(nèi)醫(yī)院普遍進(jìn)行了互聯(lián)網(wǎng)信息網(wǎng)絡(luò)的接入，并建立了一定的信息安全措施。但這些信息安全措施還存在著一些問(wèn)題，解決后有利于醫(yī)院信息網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)的安全，降低醫(yī)院遭受信息攻擊的風(fēng)險(xiǎn)，保證醫(yī)療服務(wù)的質(zhì)量和效率，保障醫(yī)院的社會(huì)形象和經(jīng)濟(jì)效益。

一、新形勢(shì)下醫(yī)院信息安全所面臨的挑戰(zhàn)

1責(zé)任制度缺失

醫(yī)院職能本身具有特殊性，所以其對(duì)信息安全工作的要求較高，醫(yī)院的信息安全建設(shè)工程具有系統(tǒng)性、復(fù)雜性的特點(diǎn)[1]。但是在當(dāng)前的醫(yī)院信息安全建設(shè)當(dāng)中，出于信息化建設(shè)沒(méi)有產(chǎn)生直接經(jīng)濟(jì)效益等原因，許多醫(yī)院并不注重自身安全系統(tǒng)的開(kāi)發(fā)與維護(hù)，沒(méi)有制定相應(yīng)的、符合醫(yī)院實(shí)際情況的中長(zhǎng)期網(wǎng)絡(luò)安全管理策略，甚至是不愿意投入信息安全建設(shè)經(jīng)費(fèi)，這種現(xiàn)象的出現(xiàn)，是由于醫(yī)院對(duì)于醫(yī)院網(wǎng)絡(luò)信息安全的不重視。

2存在安全隱患

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全迎來(lái)了新的挑戰(zhàn)，計(jì)算機(jī)病毒、黑客攻擊等網(wǎng)絡(luò)安全問(wèn)題成為常態(tài)，醫(yī)院網(wǎng)絡(luò)作為特殊性網(wǎng)絡(luò)場(chǎng)所，在這一環(huán)境下會(huì)受到嚴(yán)重的安全威脅，甚至影響到正常的運(yùn)營(yíng)[2]。目前來(lái)講，醫(yī)院中大多數(shù)網(wǎng)絡(luò)安全事故，都是由于防護(hù)措施的缺失或者使用行為的不規(guī)范而產(chǎn)生的。具體來(lái)說(shuō)，主要表現(xiàn)為不及時(shí)升級(jí)病毒庫(kù)、私自訪(fǎng)問(wèn)外網(wǎng)、軟件使用隨意等，這些行為會(huì)給黑客攻擊等各種網(wǎng)絡(luò)安全問(wèn)題創(chuàng)造溫床，也充分說(shuō)明了醫(yī)院的網(wǎng)絡(luò)信息安全存在巨大的隱患。因此，解決網(wǎng)絡(luò)安全隱患，保證醫(yī)院網(wǎng)絡(luò)完全運(yùn)行，成為了醫(yī)院網(wǎng)絡(luò)安全管理的重中之重。

3數(shù)據(jù)庫(kù)存在防護(hù)漏洞

互聯(lián)網(wǎng)時(shí)代數(shù)據(jù)庫(kù)的發(fā)展已經(jīng)取得了長(zhǎng)足進(jìn)步，但是很多醫(yī)院在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理依然停留在上世紀(jì)九十年代的落后階段，缺乏服務(wù)器數(shù)據(jù)備份、缺少應(yīng)對(duì)數(shù)據(jù)庫(kù)攻擊的有效防護(hù)手段，服務(wù)器一旦出現(xiàn)故障，醫(yī)院的信息網(wǎng)絡(luò)便會(huì)全面癱瘓，數(shù)據(jù)庫(kù)遭受無(wú)法抵御的攻擊后，磁盤(pán)存儲(chǔ)文件便會(huì)完全損毀無(wú)法復(fù)原，這些都是落后的網(wǎng)絡(luò)數(shù)據(jù)庫(kù)防護(hù)所導(dǎo)致的結(jié)果。比如近日名為“WannaRen”的新型勒索病毒在網(wǎng)絡(luò)上快速傳播，該病毒以“.WannaRen”為后綴名對(duì)文件進(jìn)行加密，如果醫(yī)院沒(méi)有數(shù)據(jù)備份，沒(méi)有升級(jí)安全設(shè)備，就只能被勒索，產(chǎn)生無(wú)法承受的經(jīng)濟(jì)損失。另外一部分醫(yī)院，雖然對(duì)數(shù)據(jù)庫(kù)防護(hù)進(jìn)行了一定程度的更新，建立了網(wǎng)絡(luò)防火墻、硬件冗余等安全壁壘，但由于安全產(chǎn)品部署并不均衡，不同產(chǎn)品的安全防護(hù)信息并未聯(lián)動(dòng)，遠(yuǎn)遠(yuǎn)沒(méi)有起到全面防護(hù)的作用，數(shù)據(jù)庫(kù)的防護(hù)漏洞依然存在。

4缺乏信息專(zhuān)業(yè)人才

醫(yī)院信息系統(tǒng)作為一個(gè)龐大的整體，由多樣化的信息元素構(gòu)成，是世界上公認(rèn)最復(fù)雜的信息系統(tǒng)之一。醫(yī)院信息系統(tǒng)的復(fù)雜性是由信息種類(lèi)的多樣性所決定的，醫(yī)院信息安全管理工作的流程和具體開(kāi)展方式要根據(jù)工作要求的不同靈活變動(dòng)。信息專(zhuān)業(yè)人才的短缺使得醫(yī)院信息安全管理工作面臨瓶頸。在醫(yī)院的信息安全管理工作中，對(duì)于信息專(zhuān)業(yè)人才的引進(jìn)缺乏重視，嚴(yán)重阻礙了醫(yī)院信息安全管理工作的正常開(kāi)展。目前，醫(yī)院的信息安全管理工作大多采取集成化的管理方式，以滿(mǎn)足多樣化的醫(yī)院信息管理需求。在這一過(guò)程中，需要有專(zhuān)業(yè)的信息人才，統(tǒng)籌規(guī)劃醫(yī)院信息安全管理內(nèi)容和管理方式，使醫(yī)院信息系統(tǒng)的各個(gè)子系統(tǒng)形成良好的配合，共同服務(wù)于醫(yī)院的信息安全。信息專(zhuān)業(yè)人才在此過(guò)程中發(fā)揮著重要作用，信息人才的短缺會(huì)使得醫(yī)院對(duì)于信息安全管理無(wú)法拿出切實(shí)可行的方案，醫(yī)院信息安全管理得不到科學(xué)規(guī)劃和發(fā)展。

二、新形勢(shì)下醫(yī)院信息安全建設(shè)對(duì)策

1健全信息安全機(jī)制

網(wǎng)絡(luò)信息安全管理是一項(xiàng)繁雜瑣碎的大工程，要想在醫(yī)院中貫徹落實(shí)，需要制定一套符合實(shí)際的完善制度。第一，建立醫(yī)院的網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全設(shè)備和信息安全策略進(jìn)行優(yōu)化。這項(xiàng)制度的涵蓋范圍，包括但不僅限于物理安全、使用規(guī)范、網(wǎng)絡(luò)維護(hù)等各方面。在安全信息的責(zé)任劃分上要盡可能的明確，對(duì)于醫(yī)院信息安全要進(jìn)行專(zhuān)門(mén)且切實(shí)有效的管理[3]。在具體實(shí)施上，醫(yī)院可以專(zhuān)門(mén)成立由院領(lǐng)導(dǎo)兼任的信息安全領(lǐng)導(dǎo)小組，確定主要、分管、監(jiān)督等職務(wù)落實(shí)到人，劃分相關(guān)職務(wù)的職權(quán)、獎(jiǎng)懲制度，并且督促相關(guān)制度落在實(shí)處，聘請(qǐng)相關(guān)人員定期進(jìn)行知識(shí)技能培訓(xùn)。第二，重視對(duì)信息安全防范意識(shí)的樹(shù)立，建立有效的信息安全管理模式，保障醫(yī)院安全信息系統(tǒng)的正常運(yùn)行。在醫(yī)院的信息安全管理工作中，要摒棄過(guò)時(shí)的工作經(jīng)驗(yàn)，積極探索新的工作方式，使醫(yī)院的信息安全管理工作能夠符合現(xiàn)代化醫(yī)院的信息管理需求。

2規(guī)范安全管理流程

新形勢(shì)下必須對(duì)醫(yī)院信息安全的流程加以規(guī)范。第一，規(guī)范網(wǎng)絡(luò)權(quán)限的管理。網(wǎng)絡(luò)安全的制度制定后，對(duì)于制度的執(zhí)行和權(quán)限的規(guī)范需要嚴(yán)加把關(guān)。第二，規(guī)范安全密碼的管理。網(wǎng)絡(luò)安全的大門(mén)鑰匙，就是其密碼，在對(duì)于密碼的管理上不能馬虎。醫(yī)院對(duì)自身安全系統(tǒng)的密碼必須進(jìn)行“暗文”保存，在進(jìn)行修改操作時(shí)，要留有相關(guān)的修改日志記錄。對(duì)于忘記密碼等行為，必須嚴(yán)格稽查，并且在審批同意的情況下，才可進(jìn)行密碼初始化的操作。第三，做好網(wǎng)絡(luò)行為管理，規(guī)范日常網(wǎng)絡(luò)行為，建立嚴(yán)格的準(zhǔn)入機(jī)制。對(duì)于第三方的訪(fǎng)問(wèn)請(qǐng)求，醫(yī)院必須確保其訪(fǎng)問(wèn)不是惡意的，在允許其訪(fǎng)問(wèn)之前，必須進(jìn)行相關(guān)登記。第三方的任何訪(fǎng)問(wèn)請(qǐng)求，都需要經(jīng)過(guò)信息管理隊(duì)伍的檢查監(jiān)督和安全領(lǐng)導(dǎo)小組的審批同意才能進(jìn)行，信息安全管理隊(duì)伍要嚴(yán)密監(jiān)控第三方訪(fǎng)問(wèn)的行為，確保是在合法合規(guī)，不損害醫(yī)院利益和信息安全的條件下才能進(jìn)行訪(fǎng)問(wèn)。

3強(qiáng)化信息安全技術(shù)

數(shù)據(jù)庫(kù)是網(wǎng)絡(luò)信息安全的核心，一旦受到攻擊會(huì)導(dǎo)致整個(gè)信息網(wǎng)絡(luò)癱瘓，波及醫(yī)院的正常運(yùn)營(yíng)，所以必須強(qiáng)化信息安全技術(shù)的應(yīng)用，給予醫(yī)院信息系統(tǒng)高強(qiáng)度的防護(hù)。信息安全技術(shù)的應(yīng)用，可以保證醫(yī)院抵御絕大多數(shù)常規(guī)攻擊，并且在遇到非常規(guī)攻擊時(shí)也能有一定的抵御能力。加密技術(shù)、虛擬平臺(tái)技術(shù)、冗余技術(shù)都是較為常見(jiàn)的信息安全技術(shù)，這些信息安全技術(shù)對(duì)于保障醫(yī)院的信息安全發(fā)揮著重要作用。加密技術(shù)是醫(yī)院信息系統(tǒng)的重要安全防護(hù)技術(shù)，加密技術(shù)的有效運(yùn)用使得數(shù)據(jù)在丟失或者被非法調(diào)用時(shí)，能高效杜絕安全隱患，防止數(shù)據(jù)泄露和濫用。醫(yī)院屬于特殊場(chǎng)所，對(duì)于網(wǎng)絡(luò)信息安全的需求很高，對(duì)于信息網(wǎng)絡(luò)正常運(yùn)行有一定的要求。為了使得醫(yī)院的業(yè)務(wù)系統(tǒng)不出現(xiàn)故障，避免因信息網(wǎng)絡(luò)問(wèn)題產(chǎn)生的業(yè)務(wù)質(zhì)量惡化，在建立信息網(wǎng)絡(luò)時(shí)，必須使用到虛擬平臺(tái)技術(shù)和冗余技術(shù)，為網(wǎng)絡(luò)的可靠性提供保障。虛擬技術(shù)有利于提高服務(wù)器的硬件利用率和資源整合，更有利于信息系統(tǒng)構(gòu)架全面升級(jí)，提高系統(tǒng)的安全、靈活性能。提高工作效率。冗余技術(shù)涵蓋范圍較廣，包括模塊冗余、電源冗余等各項(xiàng)技術(shù)。強(qiáng)化冗余技術(shù)是的應(yīng)用是醫(yī)院信息網(wǎng)絡(luò)安全運(yùn)行的重要保證。醫(yī)院信息系統(tǒng)的穩(wěn)定性主要靠冗余技術(shù)提供技術(shù)支持，冗余技術(shù)在以信息網(wǎng)絡(luò)為代表的諸多醫(yī)院業(yè)務(wù)系統(tǒng)中都起到維護(hù)系統(tǒng)正常運(yùn)行的重要作用。冗余技術(shù)的有效使用，可以使醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)故障的發(fā)生概率大大降低，減少因?yàn)榫W(wǎng)絡(luò)故障導(dǎo)致醫(yī)院信息安全受到威脅的可能性。

4建立信息人才隊(duì)伍

在醫(yī)院信息安全管理工作中，建立信息人才隊(duì)伍是重中之重。首先，醫(yī)院需要加大信息人才的引進(jìn)力度，建立專(zhuān)業(yè)的信息人才隊(duì)伍，實(shí)現(xiàn)醫(yī)院信息安全管理工作的專(zhuān)業(yè)化。其次，醫(yī)院需要加強(qiáng)對(duì)在職信息安全管理人員的專(zhuān)業(yè)化培訓(xùn)，信息安全領(lǐng)導(dǎo)小組可以增加信息安全管理工作培訓(xùn)活動(dòng)的組織頻次，充分利用信息人才隊(duì)伍的人才資源，組織信息安全管理隊(duì)伍里的專(zhuān)業(yè)人才對(duì)其他人員進(jìn)行網(wǎng)絡(luò)信息安全培訓(xùn)，鼓勵(lì)醫(yī)院全體醫(yī)護(hù)人員參與，增強(qiáng)全體人員的防范意識(shí)。在此基礎(chǔ)上，醫(yī)院需要根據(jù)信息安全管理的實(shí)際需求，制定信息安全應(yīng)急管理機(jī)制。醫(yī)院信息安全應(yīng)急管理機(jī)制的內(nèi)容包括出入機(jī)房管理機(jī)制、信息系統(tǒng)漏洞處理機(jī)制等。最后，醫(yī)院應(yīng)該對(duì)信息安全管理人員定期考核，檢驗(yàn)信息安全管理人員的工作水準(zhǔn)。對(duì)于考核未達(dá)標(biāo)的醫(yī)院信息安全管理人員，應(yīng)該對(duì)其進(jìn)行再次培訓(xùn)，讓其掌握最新的信息安全管理技術(shù)之后再上崗。

5善于利用審計(jì)軟件

在醫(yī)院的信息安全管理工作中，審計(jì)軟件的應(yīng)用發(fā)揮著重要的安全防護(hù)作用。當(dāng)前市面上的審計(jì)軟件種類(lèi)豐富，以審計(jì)軟件為代表的第三方軟件在醫(yī)院、銀行等行業(yè)的信息系統(tǒng)中發(fā)揮著重要的安全防護(hù)作用。審計(jì)軟件獨(dú)立于醫(yī)院的信息系統(tǒng)而存在，在醫(yī)院信息系統(tǒng)的運(yùn)行中，可以對(duì)信息系統(tǒng)的運(yùn)行數(shù)據(jù)進(jìn)行忠實(shí)記錄，按照內(nèi)在的審計(jì)邏輯形成審計(jì)日志。在此基礎(chǔ)上，審計(jì)軟件對(duì)醫(yī)院信息系統(tǒng)的所有運(yùn)行數(shù)據(jù)進(jìn)行有效監(jiān)督和全面審計(jì)，對(duì)于醫(yī)院信息系統(tǒng)中存在的漏洞和威脅可以及時(shí)發(fā)現(xiàn)，對(duì)于醫(yī)院信息系統(tǒng)受到的外部攻擊行為也能及時(shí)阻止。審計(jì)軟件可以直接對(duì)醫(yī)院信息安全管理的監(jiān)督部門(mén)負(fù)責(zé)，審計(jì)過(guò)程中發(fā)現(xiàn)醫(yī)院信息安全存在可疑問(wèn)題時(shí)，直接上報(bào)給醫(yī)院信息安全管理的監(jiān)督部門(mén)，由醫(yī)院信息安全管理的監(jiān)督部門(mén)及時(shí)采取措施排查醫(yī)院信息安全中存在的問(wèn)題。

6建立安全數(shù)據(jù)中心

醫(yī)院的信息安全管理工作是一項(xiàng)復(fù)雜的系統(tǒng)性工作，醫(yī)院的數(shù)據(jù)體量龐大、種類(lèi)繁多，在數(shù)據(jù)的傳輸和讀取過(guò)程中，難免會(huì)發(fā)生數(shù)據(jù)丟失的現(xiàn)象。因此，建立醫(yī)院安全數(shù)據(jù)中心有著極為迫切的現(xiàn)實(shí)需要。首先，安全數(shù)據(jù)中心的建立需要對(duì)加密技術(shù)有效運(yùn)用。通過(guò)建立數(shù)據(jù)安全中心，減少醫(yī)院信息系統(tǒng)的數(shù)據(jù)安全隱患，確保醫(yī)院數(shù)據(jù)信息的高效、安全交互，以此促進(jìn)醫(yī)療系統(tǒng)的良性運(yùn)轉(zhuǎn)。其次，對(duì)于已建成的醫(yī)院安全數(shù)據(jù)中心，應(yīng)該不斷更新升級(jí)，在數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)備份、數(shù)據(jù)恢復(fù)、數(shù)據(jù)防護(hù)、數(shù)據(jù)調(diào)取等方面的工作中能夠緊跟時(shí)代的發(fā)展步伐，采取先進(jìn)技術(shù)保障醫(yī)院的信息安全。最后，對(duì)于醫(yī)院的核心重要資料，如最新醫(yī)療科研成果等，應(yīng)該采取驅(qū)動(dòng)級(jí)加密、虛擬化等技術(shù)進(jìn)行妥善保存，避免醫(yī)院核心資料的外泄和遺失。

7完善安全監(jiān)控系統(tǒng)

在醫(yī)院信息系統(tǒng)內(nèi)部，應(yīng)該對(duì)其安全監(jiān)控系統(tǒng)進(jìn)行完善。首先，醫(yī)院信息安全監(jiān)控系統(tǒng)需要加強(qiáng)入侵檢測(cè)技術(shù)的應(yīng)用，對(duì)醫(yī)院信息系統(tǒng)的各個(gè)終端都實(shí)現(xiàn)強(qiáng)有力的入侵檢測(cè)，增加各個(gè)終端的信息威脅抵御能力。在此基礎(chǔ)上，與審計(jì)軟件形成內(nèi)外配合，識(shí)別、阻止醫(yī)院信息系統(tǒng)受到的攻擊，全面提升醫(yī)院信息系統(tǒng)的數(shù)據(jù)安全指數(shù)。其次，醫(yī)院信息安全監(jiān)控系統(tǒng)要提升對(duì)潛在信息風(fēng)險(xiǎn)的識(shí)別能力，可以對(duì)醫(yī)院信息系統(tǒng)進(jìn)行定時(shí)的安全掃描，及時(shí)發(fā)現(xiàn)醫(yī)院信息系統(tǒng)中存在的不良因素。最后，醫(yī)院信息安全管理人員可以根據(jù)安全監(jiān)控系統(tǒng)的檢測(cè)反饋，總結(jié)出醫(yī)院信息安全面臨的常見(jiàn)問(wèn)題，制定相應(yīng)的處理預(yù)案。

結(jié)語(yǔ)

新形勢(shì)下，醫(yī)院為了更好的醫(yī)療效果必須主動(dòng)接入互聯(lián)網(wǎng)網(wǎng)絡(luò)，但同樣也會(huì)面臨信息安全問(wèn)題。醫(yī)院應(yīng)當(dāng)認(rèn)識(shí)并正視這些問(wèn)題，并且積極采取建立健全防御機(jī)制、提高防范意識(shí)、規(guī)范權(quán)限等安全措施，正面應(yīng)對(duì)各項(xiàng)挑戰(zhàn)，這樣才能保證醫(yī)院的信息安全不受威脅，從而更好地提升醫(yī)院醫(yī)療效率，為患者提供更好的服務(wù)。

參考文獻(xiàn)

[1]陶芬.基于新形勢(shì)下醫(yī)院信息安全所面臨的挑戰(zhàn)及應(yīng)對(duì)策略探討[J].中國(guó)衛(wèi)生產(chǎn)業(yè)，2018（15）：154-155.

[2]王文成，王青紅.新形勢(shì)下三甲醫(yī)院如何做好信息安全建設(shè)[J].中國(guó)冶金工業(yè)醫(yī)學(xué)雜志，2020（06）：675-677.

[3]楊明.基于新形勢(shì)下醫(yī)院醫(yī)療安全管理的分析[J].世界最新醫(yī)學(xué)信息文摘，2019（A1）：249+255.