導(dǎo)語(yǔ)：數(shù)字化醫(yī)院信息安全建設(shè)探索一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

[摘要]在數(shù)字化醫(yī)院建設(shè)過(guò)程中，信息安全是其中一個(gè)非常關(guān)鍵的環(huán)節(jié)，對(duì)于醫(yī)院中各項(xiàng)建立在信息技術(shù)基礎(chǔ)上的業(yè)務(wù)開(kāi)展情況起到?jīng)Q定性的作用。就目前實(shí)際情況來(lái)看，在數(shù)字化醫(yī)院建設(shè)中，表現(xiàn)突出的問(wèn)題主要有制度落實(shí)不嚴(yán)格、技術(shù)支持能力弱、安全體系不完善等。對(duì)于這些問(wèn)題必須要予以重視并采取針對(duì)性的措施加以解決，在此基礎(chǔ)上提升數(shù)字化醫(yī)院信息安全水平。

[關(guān)鍵詞]數(shù)字化；醫(yī)院；信息安全建設(shè)；管理核心

1引言

隨著信息技術(shù)的快速發(fā)展和醫(yī)療改革的不斷深化，信息技術(shù)已經(jīng)逐漸深入到管理、服務(wù)、醫(yī)療等各個(gè)環(huán)節(jié)和節(jié)點(diǎn)之中，在醫(yī)院全過(guò)程管理中起到貫穿作用。在醫(yī)院建設(shè)中，數(shù)字化醫(yī)院是一個(gè)不可或缺的組成部分。醫(yī)院信息化具有應(yīng)用度廣、系統(tǒng)集成強(qiáng)、創(chuàng)新程度高、項(xiàng)目建設(shè)全、系統(tǒng)研究深等特點(diǎn)，在減少醫(yī)療差錯(cuò)、提升醫(yī)療質(zhì)量、方便患者就醫(yī)、簡(jiǎn)化醫(yī)療工作流程方面發(fā)揮著重要的作用。本文在此基礎(chǔ)上，就數(shù)字化醫(yī)院信息安全建設(shè)與管理核心思路展開(kāi)探討。

2數(shù)字化醫(yī)院信息安全建設(shè)與管理現(xiàn)狀分析

2.1信息安全建設(shè)投入有限。醫(yī)院信息安全建設(shè)與管理是一項(xiàng)復(fù)雜的、長(zhǎng)期的、專業(yè)性的系統(tǒng)工程。在數(shù)字化時(shí)代下，要想保障信息的安全性，不僅僅要從規(guī)則、制度、人員等各個(gè)方面進(jìn)行完善，還要從安全軟件更新、安全設(shè)備升級(jí)等各個(gè)方面著手進(jìn)行完善[1]。這些設(shè)備和軟件的建設(shè)與更新需要投入大量的資金。然而，由于自身發(fā)展的限制，很多醫(yī)院在這方面的投入十分有限，這在一定程度上導(dǎo)致信息安全管理和維護(hù)工作的高效進(jìn)行受到嚴(yán)重的阻礙。2.2信息安全體系完善度不夠。完善的信息安全體系是醫(yī)院信息安全建設(shè)與管理的基礎(chǔ)和前提。醫(yī)院信息安全體系涉及面比較廣，涵蓋了數(shù)據(jù)、應(yīng)用、用戶、系統(tǒng)、網(wǎng)絡(luò)等多個(gè)方面的安全措施[2]。一般來(lái)說(shuō)，醫(yī)院的網(wǎng)絡(luò)分為外部網(wǎng)絡(luò)和內(nèi)部局域網(wǎng)，主要使用的安全技術(shù)有通訊安全技術(shù)、網(wǎng)絡(luò)管理工具、防火墻等。對(duì)于用戶安全來(lái)說(shuō)，一般采取桌面安全管理軟件、入網(wǎng)認(rèn)證等軟件實(shí)現(xiàn)。對(duì)于醫(yī)院系統(tǒng)安全來(lái)說(shuō)，一般都是采用數(shù)據(jù)庫(kù)安全審計(jì)、入侵檢測(cè)、病毒防范、冗余備份等技術(shù)進(jìn)行管理。盡管當(dāng)前醫(yī)院信息安全支持手段比較豐富，但體系建設(shè)仍不夠完善，存在“信息安全孤島”。2.3信息安全技術(shù)支持能力弱。醫(yī)院信息安全系統(tǒng)涉及面廣，涉及內(nèi)容多，包括信息系統(tǒng)、服務(wù)器、數(shù)據(jù)庫(kù)、終端、網(wǎng)絡(luò)等各個(gè)方面。所以維護(hù)工作量比較大，維護(hù)工作也十分復(fù)雜。隨著社會(huì)的進(jìn)步和科技的發(fā)展，特別是信息技術(shù)得到廣泛的應(yīng)用和較好的發(fā)展，信息安全技術(shù)的類型也越來(lái)越多，而且升級(jí)和更新的速度也是越來(lái)越快。對(duì)于這類技術(shù)而言，大多數(shù)的維護(hù)工作人員都難以有效掌控，導(dǎo)致信息安全技術(shù)的支撐力量薄弱[3]。除此之外，就目前實(shí)際情況來(lái)看，很多醫(yī)院都還沒(méi)有配備專業(yè)的安全工程師，也不具備配置的條件，導(dǎo)致信息安全技術(shù)的支持力度更是嚴(yán)重匱乏。2.4監(jiān)督和制度落實(shí)不到位。合格的監(jiān)督管理和落實(shí)到位的制度是醫(yī)院信息安全建設(shè)與管理的核心內(nèi)容。然而，通過(guò)對(duì)當(dāng)前醫(yī)院信息安全情況的分析可以看出，雖然很多醫(yī)院都認(rèn)識(shí)到信息安全的意義和重要性，也建立了相對(duì)而言比較完善的信息安全系統(tǒng)，但是卻沒(méi)有配備完善的安全管理制度，即使有些醫(yī)院針對(duì)信息安全管理制定了一系列的制度，但是真正做到切實(shí)有效落實(shí)的醫(yī)院卻少之又少。醫(yī)院內(nèi)部的成員非常復(fù)雜，很多成員沒(méi)有充分認(rèn)識(shí)到信息安全的重要性，對(duì)于制度的落實(shí)情況也不夠重視，沒(méi)有嚴(yán)格按照要求執(zhí)行制度，導(dǎo)致制度落實(shí)情況不如人意。除此之外，信息安全管理部門行政干預(yù)的權(quán)力比較弱，對(duì)于醫(yī)院信息安全的管理和維護(hù)只能通過(guò)客戶端等安全技術(shù)的應(yīng)用得以實(shí)現(xiàn)，存在的安全漏洞比較大。另一方面，很多醫(yī)院的安全監(jiān)管力度比較弱，尤其是問(wèn)責(zé)制度的缺乏或者問(wèn)責(zé)制度發(fā)揮出的實(shí)效性不強(qiáng)，為醫(yī)院的信息安全埋下了較大的安全隱患[4]。

3數(shù)字化醫(yī)院信息安全建設(shè)與管理核心思路探索構(gòu)架

3.1基于技術(shù)層面的構(gòu)架。3.1.1嚴(yán)防網(wǎng)絡(luò)威脅。信息技術(shù)具有虛擬性的特點(diǎn)，可以突破空間上的障礙。在數(shù)字化時(shí)代下，無(wú)論是醫(yī)院外部的各個(gè)機(jī)構(gòu)單位，還是醫(yī)院內(nèi)部的各個(gè)部門、各個(gè)科室都能進(jìn)行高效率的信息共享和溝通交流。醫(yī)院的業(yè)務(wù)處理能力也得到很大程度上的提升。然而，由于網(wǎng)絡(luò)具有開(kāi)放性、虛擬性的特征，所以存在很多的不安全因素。比如常見(jiàn)的黑客、木馬、病毒等，這些都對(duì)醫(yī)院信息安全構(gòu)成嚴(yán)重的威脅。對(duì)于這方面的嚴(yán)重問(wèn)題，醫(yī)院必須采取措施規(guī)范當(dāng)前的訪問(wèn)路徑，利用安全方式加強(qiáng)路由控制，這樣可以確保客戶端以及服務(wù)器之間的有效連接和對(duì)接。由于醫(yī)院有著不同的醫(yī)療部門，需要結(jié)合具體信息的工作職能、重要程度和敏感度情況進(jìn)行劃分，對(duì)于不同的部分需要實(shí)施針對(duì)性安全管理措施。如果網(wǎng)段的敏感度以及重要性比較強(qiáng)，需要嘗試IP以及MAC綁定的措施，避免出現(xiàn)ARP欺騙的問(wèn)題[5]。同時(shí)，需要依據(jù)具體的狀況，安排合適的防火墻，根據(jù)網(wǎng)絡(luò)便捷設(shè)置入侵檢測(cè)系統(tǒng)，對(duì)于主要的惡意操作，比如蠕蟲(chóng)攻擊、緩沖區(qū)溢出攻擊以及木馬供給和端口掃描等問(wèn)題，需要加強(qiáng)全方位的檢測(cè)和控制，這樣可以明確具體的供給時(shí)間、類型和相關(guān)的來(lái)源信息，并將這些信息提交給網(wǎng)絡(luò)安全部門[6]。3.1.2加強(qiáng)設(shè)備安全管理。加強(qiáng)對(duì)設(shè)備的安全管理也是數(shù)字化時(shí)代下醫(yī)院信息安全管理與建設(shè)的路徑之一，在配置的時(shí)候盡量使用冗余方式，這樣就可以在一定程度上實(shí)現(xiàn)系統(tǒng)穩(wěn)定性的提升。與此同時(shí)，對(duì)于默認(rèn)賬戶的訪問(wèn)權(quán)限，服務(wù)器應(yīng)當(dāng)對(duì)其進(jìn)行嚴(yán)格限制，及時(shí)將那些過(guò)期的、多余的賬戶刪除，防止共享賬戶的存在。需要注意的是，有些重要的信息資源帶有敏感標(biāo)記，需要安裝最新的操作系統(tǒng)補(bǔ)丁和主機(jī)入侵防御系統(tǒng)[7]。對(duì)于服務(wù)器也要予以重視，必須要安裝防病毒軟件，為服務(wù)器的安全提供可靠的保障。在終端主機(jī)方面，還要針對(duì)設(shè)備的接口進(jìn)行控制和管理，可以借助桌面管理軟件的方式，比如USB接口管理，避免外部移動(dòng)存儲(chǔ)卡連接電腦對(duì)其造成病毒感染。除了要在終端主機(jī)上安裝更新防病毒軟件以及系統(tǒng)補(bǔ)丁之外，還要開(kāi)啟賬戶鎖定策略并加強(qiáng)密碼復(fù)雜度。當(dāng)人員離開(kāi)之后，一定時(shí)間內(nèi)自動(dòng)鎖定或者退出。3.1.3改善環(huán)境安全。在醫(yī)院信息安全系統(tǒng)中，機(jī)房是一個(gè)重要的組成部分，要想加強(qiáng)數(shù)字化醫(yī)院信息安全建設(shè)和管理，必須要對(duì)環(huán)境安全建設(shè)進(jìn)行強(qiáng)化，為信息系統(tǒng)的安全提供可靠的保障。一般來(lái)說(shuō)，可以采取“異地雙機(jī)房模式”進(jìn)行機(jī)房的建設(shè)和規(guī)劃，盡可能避免在地下室以及高層等特殊地點(diǎn)設(shè)置機(jī)房。同時(shí)，機(jī)房的隔壁和上層避免使用大型供水設(shè)施以及用水設(shè)備，機(jī)房的防水能力和防震標(biāo)準(zhǔn)需要高出一般水平，為了保障信息系統(tǒng)的持續(xù)性和效果，需要配置冗余電源，這是為了避免高峰使用階段出現(xiàn)問(wèn)題，室內(nèi)則需要設(shè)置調(diào)節(jié)空氣濕度和溫度的重要設(shè)備，重要區(qū)域必須設(shè)置攝像頭進(jìn)行監(jiān)視，這是為了落實(shí)防火以及防盜的任務(wù)。3.2基于管理層面的構(gòu)架。3.2.1建立完善的安全管理制度。在數(shù)字化醫(yī)院信息安全建設(shè)與管理過(guò)程中，醫(yī)院要結(jié)合信息系統(tǒng)的特征制定總體的安全策略和安全方針，明確醫(yī)院信息安全的目標(biāo)、范圍和基本原則，對(duì)于操作人員和管理人員的日常管理操作應(yīng)當(dāng)建立完善的、系統(tǒng)化的操作規(guī)范，并且在實(shí)踐中不斷總結(jié)經(jīng)驗(yàn)。在信息系統(tǒng)操作過(guò)程中，對(duì)于遇到的各種情況要做好及時(shí)處理和總結(jié)工作，在這個(gè)基礎(chǔ)上不斷完善操作規(guī)范，借助制度化的路徑實(shí)現(xiàn)醫(yī)院信息安全建設(shè)工作的進(jìn)一步推動(dòng)。3.2.2提高醫(yī)院整體的重視程度。思想是行動(dòng)的先導(dǎo)。在數(shù)字化醫(yī)院信息安全建設(shè)與管理過(guò)程中，醫(yī)院要加強(qiáng)宣傳，讓每個(gè)工作人員都樹(shù)立“數(shù)字化觀念”，知道在數(shù)字化時(shí)代下，醫(yī)院各個(gè)系統(tǒng)、各個(gè)部門的管理以及患者治療的分析、查閱、存儲(chǔ)等都要依靠信息系統(tǒng)，一旦出現(xiàn)安全問(wèn)題就會(huì)影響整個(gè)醫(yī)院系統(tǒng)，從而提高醫(yī)院整體對(duì)于信息安全建設(shè)和管理的重視。3.2.3建立并完善信息安全應(yīng)急預(yù)案。在數(shù)字化醫(yī)院信息安全建設(shè)與管理過(guò)程中，為了提升處置突發(fā)事件的能力，為信息系統(tǒng)的穩(wěn)定運(yùn)行提供安全的環(huán)境，應(yīng)當(dāng)最大限度減少和預(yù)防由于信息系統(tǒng)突發(fā)事件導(dǎo)致醫(yī)院正常工作中斷的嚴(yán)重后果，所以要結(jié)合實(shí)際情況建立并完善信息安全應(yīng)急預(yù)案。

4結(jié)論

綜上所述，在數(shù)字化時(shí)代下，醫(yī)院在加強(qiáng)信息化建設(shè)的電腦與電信∙經(jīng)驗(yàn)交流同時(shí)，還要重視信息安全建設(shè)和管理。醫(yī)院的醫(yī)療屬性比較復(fù)雜，醫(yī)療數(shù)據(jù)經(jīng)常以爆炸式的方式增長(zhǎng)，具有較大的信息量，對(duì)醫(yī)院信息安全會(huì)造成嚴(yán)重的影響。針對(duì)當(dāng)前醫(yī)院信息安全建設(shè)與管理中存在的問(wèn)題，醫(yī)院以及有關(guān)工作人員要予以重視，結(jié)合實(shí)際情況對(duì)其進(jìn)行深入研究，找出問(wèn)題的原因并采取針對(duì)性的解決措施，實(shí)現(xiàn)醫(yī)院信息系統(tǒng)安全性的全面提升。

參考文獻(xiàn)：

[1]張蓮萍，陳琦．基于動(dòng)態(tài)網(wǎng)絡(luò)安全模型的中國(guó)數(shù)字化醫(yī)院信息安全體系建設(shè)[J]．中國(guó)科技論壇，2015(03)：48-53．

[2]奈存劍，張曉祥，任宇飛，等．我國(guó)與典型發(fā)達(dá)國(guó)家數(shù)字化醫(yī)療技術(shù)體系的對(duì)比研究[J]．中國(guó)醫(yī)院管理，2015，35(02)：41-43．

[3]許樹(shù)強(qiáng)，魯長(zhǎng)濱，陳校云，等．美國(guó)數(shù)字化醫(yī)院評(píng)價(jià)體系對(duì)我國(guó)數(shù)字化醫(yī)院建設(shè)的啟示[J]．中國(guó)醫(yī)院，2014，18(05)：43-45．

[4]樊?huà)牐谙乱淮ヂ?lián)網(wǎng)的數(shù)字化醫(yī)院服務(wù)模型及框架研究[D]．武漢：華中科技大學(xué)，2012．

[5]魏紅光．?dāng)?shù)據(jù)快速恢復(fù)讓醫(yī)院信息管理有備無(wú)患——北京航天中心醫(yī)院數(shù)字化管理系統(tǒng)安全建設(shè)案例分享[J]．中國(guó)信息界(e醫(yī)療)，2011(11)：45-47．

[6]田靜華，田靜峰．信息時(shí)代醫(yī)院數(shù)字化及其信息安全問(wèn)題探討[J]．世界中西醫(yī)結(jié)合雜志，2010，5(07)：629-631．

[7]劉琳，溫志宏．構(gòu)建安全通暢的數(shù)字化醫(yī)院信息系統(tǒng)——以天津醫(yī)院為例[J]．醫(yī)學(xué)信息學(xué)雜志，2009，30(09)：22-25．

作者:屠強(qiáng) 單位:安徽省腫瘤醫(yī)院