“互聯(lián)網(wǎng)+”背景下醫(yī)院信息安全面臨的風(fēng)險及應(yīng)對策略

摘要：我國進(jìn)入“互聯(lián)網(wǎng)+”時代，更多醫(yī)院在工作中應(yīng)用了信息技術(shù)，網(wǎng)絡(luò)平臺盡管能夠為工作人員帶來諸多便捷，但由于互聯(lián)網(wǎng)技術(shù)自身的開放性，還帶來了較多信息安全風(fēng)險。為確保各類重要信息的安全性，須關(guān)注開展信息安全管理，積極應(yīng)對安全風(fēng)險，以避免各種信息安全事故的發(fā)生。鑒于此，本文圍繞醫(yī)院信息安全管理工作的實際情況，概述了“互聯(lián)網(wǎng)+”背景下信息安全管理的內(nèi)涵和特點，分析了醫(yī)院信息安全系統(tǒng)面臨的三方面風(fēng)險，詳細(xì)提出了應(yīng)對信息安全的四種策略。

關(guān)鍵詞：“互聯(lián)網(wǎng)+”；醫(yī)院；信息安全；風(fēng)險；應(yīng)對策略

引言

醫(yī)院信息系統(tǒng)和網(wǎng)絡(luò)環(huán)境的安全，是保證醫(yī)療工作有序開展的基礎(chǔ)，是提升患者個人信息安全性的保證。伴隨“互聯(lián)網(wǎng)+”時代的到來，醫(yī)院的信息化程度不斷提升，信息化應(yīng)用項目更加豐富，外加醫(yī)院業(yè)務(wù)向外拓展，使部署策略更加復(fù)雜。因此，醫(yī)院要積極應(yīng)對信息安全風(fēng)險，用完備的信息安全管理體系解決更多風(fēng)險問題。

1. “互聯(lián)網(wǎng)+”背景下醫(yī)院信息安全管理概述

伴隨信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)技術(shù)逐步進(jìn)入各個行業(yè)，我國醫(yī)療行業(yè)迎來了“互聯(lián)網(wǎng)+”的新時代?；ヂ?lián)網(wǎng)技術(shù)的應(yīng)用，讓醫(yī)院的各項資源得到科學(xué)配置，滿足人們的就醫(yī)需要，為人們的生命健康保駕護(hù)航。由于醫(yī)療行業(yè)自身的特殊性，醫(yī)院在進(jìn)行信息化建設(shè)時，要按照自身的運營特性，建立屬于自己的信息體系。但信息技術(shù)高速發(fā)展的同時，醫(yī)院信息安全風(fēng)險迅速加大。為了適應(yīng)“互聯(lián)網(wǎng)+”時代潮流，醫(yī)院要做好信息安全管理工作，確保所有數(shù)據(jù)信息的安全。

1.1 信息安全管理的內(nèi)涵

信息安全管理是指對醫(yī)院的信息系統(tǒng)相關(guān)硬件、軟件、數(shù)據(jù)庫信息等加以安全保護(hù)管理，以免被偶然、惡意地破壞或泄漏等。主要是使信息系統(tǒng)的網(wǎng)絡(luò)連接服務(wù)不受到負(fù)面影響而發(fā)生中斷，確保信息系統(tǒng)的可靠、連續(xù)運行，為醫(yī)院正常運營提供安全上的支持?，F(xiàn)階段，醫(yī)院的信息安全管理成為系統(tǒng)參與的一環(huán)，在醫(yī)院的管理和運行中，中心工作在于保障醫(yī)療安全，以全體工作人員為根基，全面降低醫(yī)院的信息風(fēng)險，為人們提供更為優(yōu)質(zhì)的醫(yī)療服務(wù)，使醫(yī)院得以實現(xiàn)良性運營的目標(biāo)[1]。

1.2 信息安全管理的特點

（1）系統(tǒng)性：醫(yī)院信息系統(tǒng)的主要功能是將醫(yī)院內(nèi)各個子系統(tǒng)加以串聯(lián)，達(dá)到各部門信息共享的目的。從患者進(jìn)入醫(yī)院掛號開始，患者的信息便在掛號處、診療處、劃價處、財務(wù)處、藥房、住院處等地之間傳遞，說明系統(tǒng)性是醫(yī)院信息化管理進(jìn)步的表現(xiàn)和必然特征。醫(yī)院的級別越高、資源數(shù)量越大，對于信息化管理的系統(tǒng)性要求更加嚴(yán)格。尤其在“互聯(lián)網(wǎng)+”背景下，醫(yī)院的正常運行和發(fā)展需要社會、企業(yè)、政府等組織加以配合，更加證明了醫(yī)院的信息安全工作并非單獨開展，而是系統(tǒng)化聯(lián)合運行的過程，需要內(nèi)部、外部信息的統(tǒng)一協(xié)調(diào)和多方配合。

（2）動態(tài)性：醫(yī)院信息系統(tǒng)的動態(tài)性與自身的開放性有關(guān)，物流、信息流、人流等各方面均處于動態(tài)變化中，且動態(tài)性的特點不只單純體現(xiàn)于醫(yī)院信息的對外開放，還在于醫(yī)院內(nèi)部各個部門、科室之間的內(nèi)部信息與資源的共享，是確保醫(yī)院健康、穩(wěn)定運行的基礎(chǔ)。

（3）高難度性：醫(yī)院進(jìn)行信息安全管理的重要條件是盡量減少信息、人員、物資的流動，以防造成安全管理的漏洞。但醫(yī)院具有特殊性，職責(zé)就是對外開放救死扶傷，這更加大了信息安全管理工作的難度。尤其在患者眾多、人員紛雜的大型醫(yī)院中，接收的患者疾病種類、嚴(yán)重程度均存在差異，人員的密集和信息的高速流動，均成為醫(yī)院信息安全管理工作開展的重要挑戰(zhàn)[2]。

2. “互聯(lián)網(wǎng)+”背景下醫(yī)院信息安全面臨的風(fēng)險

2.1 信息安全風(fēng)險攻擊范圍方面

醫(yī)院的信息系統(tǒng)在“互聯(lián)網(wǎng)+”背景下將面臨更多來自互聯(lián)網(wǎng)空間的不利影響，具有更廣泛的攻擊范圍。當(dāng)前，醫(yī)院積極開展信息化建設(shè)，信息邊界劃分模糊的問題更加顯著。尤其是移動OA終端、互聯(lián)網(wǎng)平臺終端，邊界模糊將造成安全威脅程度的加深。外加醫(yī)院擴(kuò)展了信息邊界，還容易出現(xiàn)安全風(fēng)險供給類型的多元化，若醫(yī)院沿用以往的安全風(fēng)險防控方式將難以應(yīng)對。

2.2 信息安全威脅防御難度方面

醫(yī)院信息系統(tǒng)安全受到威脅的表現(xiàn)，在于病毒、黑客等的入侵，出現(xiàn)系統(tǒng)運行問題或癱瘓等。當(dāng)前由于信息系統(tǒng)接入了互聯(lián)網(wǎng)，使得信息規(guī)模更加龐大，將使得信息安全威脅的防御難度有所增加。以往的信息安全保護(hù)方法有相對局限性，部分醫(yī)院無法做到快速應(yīng)對處于動態(tài)變化狀態(tài)的安全威脅。在醫(yī)院網(wǎng)絡(luò)范圍內(nèi)，通常存在較多終端設(shè)備，但沿用靜態(tài)化的信息管理模式容易拖慢系統(tǒng)更新速度，則潛伏性的網(wǎng)絡(luò)安全威脅將無法被技術(shù)人員所察覺。

2.3 信息安全管理人員自身方面

信息技術(shù)崛起和發(fā)展為醫(yī)院帶來了更多活力，同時引發(fā)了更多安全風(fēng)險，盡管較多醫(yī)院能夠意識到信息技術(shù)的重要性，將信息化建設(shè)加以落實，但部分醫(yī)院未能關(guān)注安全管理技術(shù)人員的責(zé)任明確問題。比如，未能指定有關(guān)部門和人員，開展對醫(yī)院信息系統(tǒng)的日常維護(hù)工作，造成技術(shù)人員缺少信息管理的責(zé)任意識，外加部分技術(shù)人員自身素質(zhì)有待提升，更容易增加安全風(fēng)險問題的發(fā)生概率，或在發(fā)生安全風(fēng)險后，未能及時進(jìn)行追責(zé)處理，均容易降低醫(yī)院信息系統(tǒng)的安全性。

3. “互聯(lián)網(wǎng)+”背景下醫(yī)院信息安全風(fēng)險的應(yīng)對策略

3.1 重視信息安全管理工作

在“互聯(lián)網(wǎng)+”背景下，若想切實做好醫(yī)院信息安全風(fēng)險的應(yīng)對工作，基礎(chǔ)任務(wù)便是讓技術(shù)人員能夠更加重視信息安全管理工作。為了讓技術(shù)人員具有較高的信息安全保護(hù)意識，需要提升技術(shù)人員隊伍的統(tǒng)籌領(lǐng)導(dǎo)能力，明確信息安全管理制度和目標(biāo)，規(guī)范技術(shù)人員的行為。應(yīng)加強(qiáng)對技術(shù)人員的日常教育，使技術(shù)人員可以從內(nèi)心真正認(rèn)識到維護(hù)信息安全對于醫(yī)院整個信息系統(tǒng)運行的重要性。針對醫(yī)院內(nèi)技術(shù)人員由于人為操作不當(dāng)造成的安全問題，可由相關(guān)負(fù)責(zé)人組織開展信息安全培訓(xùn)，不斷提升技術(shù)人員的業(yè)務(wù)能力和拓寬知識框架，在實踐中持續(xù)總結(jié)工作經(jīng)驗，便于在今后及時應(yīng)對各種信息安全事故，達(dá)成熟練掌握信息維護(hù)技術(shù)的目標(biāo)。還可以根據(jù)信息系統(tǒng)的運行特點推行使用制度，組織建立監(jiān)察小組，對信息系統(tǒng)的日常運行加以管控，對于未能按照有關(guān)制度操作的技術(shù)人員予以處罰，保證所有內(nèi)部工作人員均按照既定的規(guī)范要求加以操作。在制度中增加禁止安裝非指定的、容易對信息安全造成威脅的軟件的規(guī)定，防止信息泄漏，從“人”的角度出發(fā)高效抵御安全風(fēng)險。

3.2 創(chuàng)新信息安全優(yōu)化技術(shù)

信息安全優(yōu)化技術(shù)是確保醫(yī)院內(nèi)部信息系統(tǒng)平穩(wěn)運行的基礎(chǔ)。醫(yī)院可從三個角度出發(fā)，使安全優(yōu)化技術(shù)得以創(chuàng)新。

（1）進(jìn)行網(wǎng)絡(luò)訪問控制：對網(wǎng)絡(luò)訪問進(jìn)行控制，是提高醫(yī)院信息和網(wǎng)絡(luò)安全等級的可行辦法。根據(jù)“零信任”網(wǎng)絡(luò)安全策略，醫(yī)院可考慮在網(wǎng)絡(luò)系統(tǒng)中經(jīng)由策略決策引擎，實施對各種訪問行為的嚴(yán)格驗證和授權(quán)管理，對于所有訪問醫(yī)院網(wǎng)絡(luò)系統(tǒng)的用戶均要做到反復(fù)明確和認(rèn)證身份，配合開展證書系統(tǒng)安裝工作，達(dá)到訪問全程安全認(rèn)證的目的，降低從終端至服務(wù)器存在非法訪問問題的概率，阻斷配置端的非法請求。使用細(xì)粒度策略，對各類訪問請求進(jìn)行持續(xù)分析，做好訪問用戶信任度的評價工作，根據(jù)用戶類型判斷用戶能夠訪問醫(yī)院內(nèi)的資源種類，再對信息資源執(zhí)行只讀、可存檔、可刪除等分類操作控制，最大限度減少用戶與醫(yī)院內(nèi)敏感信息的接觸，從根本上降低醫(yī)院內(nèi)的信息安全風(fēng)險。

（2）運用數(shù)據(jù)加密技術(shù)：數(shù)據(jù)加密是一種將明文信息經(jīng)過特定密碼算法轉(zhuǎn)化為密鑰信息的技術(shù)類型，最終目的在于信息保護(hù)，適用于醫(yī)院的網(wǎng)絡(luò)和信息系統(tǒng)。在開展醫(yī)院信息安全管理工作時，若能充分發(fā)揮數(shù)據(jù)加密技術(shù)的價值，便能起到提升數(shù)據(jù)安全等級的作用，該技術(shù)使用后，只有被醫(yī)院指定的用戶或網(wǎng)絡(luò)才能得到相應(yīng)的完整數(shù)據(jù)信息，而所有非授權(quán)用戶均無法得到經(jīng)過加密處理后的內(nèi)容?，F(xiàn)階段，較多醫(yī)院在信息傳播中使用TCP/IP網(wǎng)絡(luò)協(xié)議，盡管該方法具有較高的性價比，能夠節(jié)約信息安全優(yōu)化技術(shù)應(yīng)用的投入成本，但存在一定的安全隱患。因此，需要技術(shù)人員在傳輸信息時，將信息轉(zhuǎn)換為偽造代碼，在另一端接收時再使用特殊方法讀取信息，達(dá)成高效保護(hù)醫(yī)院信息網(wǎng)絡(luò)傳輸?shù)哪繕?biāo)。

（3）提升病毒防御性能：安裝防火墻、病毒檢測和殺毒軟件，是提升醫(yī)院信息系統(tǒng)病毒防御能力的常規(guī)方法。因醫(yī)院內(nèi)網(wǎng)終端受到病毒入侵的風(fēng)險相對較高，技術(shù)人員的首要任務(wù)便是做好內(nèi)網(wǎng)終端安全防護(hù)加固工作。有條件的醫(yī)院可在終端部署付費版殺毒軟件，安排技術(shù)人員定期予以更新和升級，盡快修復(fù)系統(tǒng)漏洞；若為了降低成本投入，則要選用開源版的殺毒軟件，根據(jù)醫(yī)院的信息系統(tǒng)現(xiàn)實情況適當(dāng)添加插件，讓軟件功能上盡量接近付費版軟件；或者先安裝專有版殺毒軟件，滿足病毒防御的基本功能，待到醫(yī)院能夠提供資金支持后，再將專有版軟件進(jìn)行注冊，轉(zhuǎn)換為付費版以獲得軟件的全部功能，但不得安裝破解版的付費軟件，以免木馬病毒“乘虛而入”。技術(shù)人員在此期間可在醫(yī)院的數(shù)據(jù)中心適當(dāng)部署入侵防御系統(tǒng)，開展數(shù)據(jù)備份工作，保證在數(shù)據(jù)中心服務(wù)器受到病毒侵害時能夠盡快讓醫(yī)療信息恢復(fù)正常，盡可能減少醫(yī)院的損失，使醫(yī)院信息系統(tǒng)的關(guān)鍵部分始終處于安全監(jiān)管的狀態(tài)下[3]。

3.3 構(gòu)建多元網(wǎng)絡(luò)安全機(jī)制

根據(jù)網(wǎng)絡(luò)安全等級保護(hù)有關(guān)規(guī)范，醫(yī)院需要在信息安全與應(yīng)用程序上實施一級保護(hù)，通過構(gòu)建具有多元化的網(wǎng)絡(luò)安全機(jī)制，實現(xiàn)對信息系統(tǒng)主動保護(hù)的目標(biāo)?！盎ヂ?lián)網(wǎng)+”背景下的主動保護(hù)技術(shù)通常要應(yīng)用到海量數(shù)據(jù)，能夠在網(wǎng)絡(luò)攻擊對醫(yī)院信息系統(tǒng)產(chǎn)生不良影響之前，經(jīng)由對信息的收集和分析，形成集安全監(jiān)測與報警功能于一體的安全保護(hù)系統(tǒng)，用于處理與跟蹤信息系統(tǒng)安全問題。主動防護(hù)的中心是預(yù)警監(jiān)測，技術(shù)人員可應(yīng)用大數(shù)據(jù)技術(shù)，對醫(yī)院當(dāng)前的內(nèi)部網(wǎng)絡(luò)環(huán)境加以分析，盡快發(fā)現(xiàn)存在的安全威脅，同步進(jìn)行平臺預(yù)警和安全信息更新工作。而本地保護(hù)平臺則可以及時將可疑文件傳輸?shù)絻?nèi)網(wǎng)，在大數(shù)據(jù)技術(shù)的應(yīng)用下完成威脅信息系統(tǒng)運行因子的分析任務(wù)，達(dá)到動態(tài)管理的目的。為了防止醫(yī)院信息系統(tǒng)受到破壞，服務(wù)器可經(jīng)過識別認(rèn)證，對目標(biāo)用戶與設(shè)備的驅(qū)動程序加以隔離，加密處理有關(guān)信息，在審核記錄后恢復(fù)數(shù)據(jù)。當(dāng)發(fā)生安全事故后，技術(shù)人員可對之前生成的問題報告加以分析，倒追事故發(fā)生的原因，檢測外部威脅和審計內(nèi)部行為，提高醫(yī)院網(wǎng)絡(luò)內(nèi)部的安全系數(shù)。

3.4 定期開展網(wǎng)絡(luò)維護(hù)工作

通過對醫(yī)院信息系統(tǒng)風(fēng)險問題的分析可知，在信息系統(tǒng)運行期間，安全風(fēng)險無法做到完全規(guī)避，說明要采用預(yù)防措施降低風(fēng)險概率，以防出現(xiàn)黑客、病毒入侵等問題。為此，醫(yī)院的信息系統(tǒng)管理技術(shù)人員要做到定期開展網(wǎng)絡(luò)維護(hù)工作，對于信息系統(tǒng)內(nèi)存在的隱患、漏洞等進(jìn)行科學(xué)排查，全方位提高信息系統(tǒng)的防御能力，將安全風(fēng)險問題扼殺在搖籃中。比如，可以定期對醫(yī)院信息系統(tǒng)內(nèi)的數(shù)據(jù)傳輸、交換過程進(jìn)行重點排查，分析是否存在木馬、高危病毒等，通過病毒檢測軟件或殺毒軟件的工作記錄報告，建立完善的數(shù)據(jù)檔案，對報告結(jié)果加以精確分析，實現(xiàn)維護(hù)醫(yī)院內(nèi)部信息系統(tǒng)安全的目標(biāo)。

技術(shù)人員還要關(guān)注對硬件設(shè)備方面的維護(hù)管理，因為硬件設(shè)備是保證信息系統(tǒng)正常運行的根基，雷電、陰雨、高溫等天氣現(xiàn)象的發(fā)生，都容易對設(shè)備的運行產(chǎn)生干擾。技術(shù)人員在部署設(shè)備時，要做好防雷擊的工作，留意醫(yī)院內(nèi)部計算機(jī)房的環(huán)境條件，將溫度、濕度、無線電干擾、空氣含塵濃度等指標(biāo)均控制在可靠的范圍內(nèi)。在設(shè)備相對集中的區(qū)域內(nèi)則要進(jìn)行防火工作，由于硬件設(shè)備在運行時可產(chǎn)生高溫，技術(shù)人員更要加強(qiáng)對溫度和濕度的控制，部署好防火設(shè)施、安全監(jiān)測系統(tǒng)、不間斷電源等，對所有設(shè)備的運行狀態(tài)進(jìn)行全天候的監(jiān)控，確保所有硬件設(shè)備均能正常運轉(zhuǎn)[4]。

結(jié)語

綜上所述，在“互聯(lián)網(wǎng)+”背景下醫(yī)院采用多元措施降低信息安全風(fēng)險，對于今后的穩(wěn)定運行具有現(xiàn)實意義。醫(yī)院要對信息安全問題高度重視，在為患者提供優(yōu)質(zhì)服務(wù)的同時，要注意規(guī)避信息安全風(fēng)險。通過重視信息安全管理工作、創(chuàng)新信息安全優(yōu)化技術(shù)、構(gòu)建多元網(wǎng)絡(luò)安全機(jī)制、定期開展網(wǎng)絡(luò)維護(hù)等手段的應(yīng)用，促進(jìn)我國醫(yī)院信息安全防護(hù)事業(yè)的長遠(yuǎn)發(fā)展。

參考文獻(xiàn)：

[1]張敏，沈嘉裕，劉華瑋，等.我國互聯(lián)網(wǎng)醫(yī)院APP的隱私政策評價研究——基于認(rèn)知負(fù)荷與內(nèi)容合規(guī)雙重視域[J].現(xiàn)代情報，2023，43（3）：110-122.

[2]林杰.互聯(lián)網(wǎng)醫(yī)療中的信息安全和隱私保護(hù)策略分析[J].電子元器件與信息技術(shù)，2022，6（12）：218-221.

[3]陳宇斯.基于人機(jī)協(xié)同的醫(yī)院信息安全技術(shù)及系統(tǒng)研發(fā)[J].無線互聯(lián)科技，2022，19（23）：36-38.

[4]李瑤瑤.“互聯(lián)網(wǎng)+醫(yī)療”背景下的醫(yī)院信息安全防護(hù)建設(shè)與實踐[J].電腦知識與技術(shù)，2021，17（33）：36-37，40.

作者簡介：聶媛媛，本科，中級工程師，研究方向：計算機(jī)網(wǎng)絡(luò)安全、信息化建設(shè)。