醫(yī)院信息網(wǎng)絡(luò)與信息系統(tǒng)的風(fēng)險管理

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了醫(yī)院信息網(wǎng)絡(luò)與信息系統(tǒng)的風(fēng)險管理范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著計算機及互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，醫(yī)院管理已離不開網(wǎng)絡(luò)和信息系統(tǒng)，醫(yī)院管理信息系統(tǒng)是支撐醫(yī)療業(yè)務(wù)、醫(yī)療質(zhì)量和醫(yī)院全面管理的重要保障，涉及醫(yī)院業(yè)務(wù)活動的方方面面，信息安全尤為重要。本文就醫(yī)院的信息網(wǎng)絡(luò)與信息系統(tǒng)的安全風(fēng)險進行初步的分析，以期與醫(yī)院同行共同探討交流一些常用的安全技術(shù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全；醫(yī)院；信息安全；風(fēng)險管理

0引言

醫(yī)療行業(yè)是一個比較特殊且管理復(fù)雜度相對較高的領(lǐng)域，信息化是現(xiàn)代醫(yī)院管理的重要基礎(chǔ)和技術(shù)手段，醫(yī)院信息化是多種網(wǎng)絡(luò)硬件與龐大的醫(yī)療業(yè)務(wù)管理應(yīng)用模塊所構(gòu)成的技術(shù)綜合體，任何一個細(xì)小的軟硬件故障或細(xì)微的安全疏忽都可能造成全院臨床業(yè)務(wù)和醫(yī)療服務(wù)的中斷。為此，在醫(yī)院管理信息化的建設(shè)過程中，我們多花費一些時間來思考信息安全、多花費一些投入去保障信息安全則是一件十分必要且富有現(xiàn)實意義的工作。

1醫(yī)院網(wǎng)絡(luò)安全及信息系統(tǒng)安全風(fēng)險的識別

信息系統(tǒng)安全的概念實際上已包含了硬件和軟件的安全。其中的硬件即常說的網(wǎng)絡(luò)安全，其中的軟件是指滿足管理要求的軟件應(yīng)用模塊、系統(tǒng)、平臺以及實現(xiàn)安全指標(biāo)的各類硬件設(shè)備中所固化的程序指令代碼。在學(xué)術(shù)界，一般只用信息安全這一概念，而在實際工作中經(jīng)常會混淆這兩個名稱，口語化常用網(wǎng)絡(luò)安全代指硬件安全，信息安全代指軟件安全，均屬于信息安全的學(xué)術(shù)范疇。

1.1信息安全是醫(yī)院可持續(xù)發(fā)展的重要保障

醫(yī)院信息化是多種網(wǎng)絡(luò)硬件與龐大的醫(yī)療業(yè)務(wù)管理應(yīng)用模塊所構(gòu)成的高技術(shù)綜合體，醫(yī)院信息化管理系統(tǒng)涉及臨床管理、藥耗品與物資管理、財務(wù)管理、行政管理、后勤管理、績效管理等眾多應(yīng)用管理。近年來，遠(yuǎn)程醫(yī)療、自助服務(wù)、醫(yī)保結(jié)算等網(wǎng)上醫(yī)療或云醫(yī)療服務(wù)的不斷延伸，網(wǎng)絡(luò)的健壯性與安全性需求已提升到一個重要的位置，任何一個細(xì)小的軟硬件故障或細(xì)微的安全疏忽都可能造成全院臨床業(yè)務(wù)和醫(yī)療服務(wù)的中斷，這就涉及財務(wù)風(fēng)險和醫(yī)療服務(wù)糾紛風(fēng)險。醫(yī)療信息涉及公民個人隱私，涉及公民隱私保護的法律風(fēng)險，因此醫(yī)療信息必須采取多重安全措施、備份措施。這三大風(fēng)險是一家醫(yī)院正常經(jīng)營和持續(xù)發(fā)展的重大隱患，務(wù)必要采取相應(yīng)的技術(shù)措施和管理措施予以防范。

1.2信息安全是推動醫(yī)療行業(yè)向現(xiàn)代化醫(yī)院發(fā)展的重要基礎(chǔ)

隨著區(qū)域醫(yī)療資源的大整合、分級診療制度的落地實施以及全國醫(yī)保跨區(qū)結(jié)算體系的建立，醫(yī)院管理的信息化已不再是一家醫(yī)院自己內(nèi)部的事情了，所有的信息必須走出醫(yī)院、走出地市、走向全國，實現(xiàn)全國范圍內(nèi)醫(yī)療信息的互聯(lián)互通，這是一個大趨勢，所以，在信息安全方面達不到相應(yīng)安全等級保護（等保）的醫(yī)院，則沒有資格接入這一全國范圍內(nèi)的互聯(lián)互通醫(yī)療信息網(wǎng)絡(luò)，不跨過這一門檻，醫(yī)院的發(fā)展以及向現(xiàn)代化醫(yī)院推進的理想就只能是一朵浮云。

2醫(yī)院網(wǎng)絡(luò)及信息系統(tǒng)的安全管理

醫(yī)院信息系統(tǒng)中的醫(yī)療信息數(shù)據(jù)、財務(wù)信息數(shù)據(jù)等內(nèi)容眾多，運用病毒查殺軟件、建立防火墻等網(wǎng)絡(luò)技術(shù)，加強軟硬件雙重管理，保證內(nèi)部業(yè)務(wù)交流、數(shù)據(jù)信心安全以及對入侵監(jiān)測的管理，強化用戶的層級管理，對用戶的認(rèn)證與業(yè)務(wù)處理范圍進行管控，強化內(nèi)部管控的提升，從容應(yīng)對外部黑客、病毒等問題對系統(tǒng)及網(wǎng)絡(luò)的攻擊，保障醫(yī)院信息系統(tǒng)可靠運行，促進醫(yī)院現(xiàn)代化管理水平不斷提升。

2.1建立完善的防火墻及安全檢測策略

防火墻技術(shù)和安全策略是醫(yī)院信息系統(tǒng)安全的可靠保障，通過多層安全策略的保護機制，為醫(yī)院醫(yī)療數(shù)據(jù)及資源、財務(wù)相關(guān)數(shù)據(jù)提供有效保證，并能夠提升工作效率，和諧醫(yī)患關(guān)系，保證業(yè)務(wù)流程的順利，實現(xiàn)醫(yī)療和醫(yī)院信息管理系統(tǒng)的健康運行。（1）防火墻能夠?qū)?nèi)網(wǎng)與外網(wǎng)進行有效分隔，建立可靠的網(wǎng)絡(luò)互聯(lián)關(guān)卡，提升網(wǎng)絡(luò)用戶的訪問、認(rèn)證及有效數(shù)據(jù)過濾，防范外來數(shù)據(jù)的攻擊，是安全的重要邊界，同時也是保護敏感的可靠數(shù)據(jù)服務(wù)應(yīng)用。尤其針對外來入侵及病毒的監(jiān)測，加強地址、及身份認(rèn)證進行深化管理。重視將內(nèi)外網(wǎng)絡(luò)的監(jiān)控及隔離，醫(yī)院的數(shù)據(jù)庫內(nèi)含有大量病患資料、研究資料及財務(wù)數(shù)據(jù)等眾多內(nèi)容，眾多的信息及數(shù)據(jù)資源訪問及流通，需要具有深入攔截及管控能力的防火墻，對關(guān)鍵、敏感及熱點訪問連接進行多層設(shè)置，防止因出現(xiàn)網(wǎng)絡(luò)安全出現(xiàn)攻擊等問題對全局造成停止影響。對內(nèi)外部連接區(qū)域的數(shù)據(jù)交換尤為重要，加強運行保障，提升安全區(qū)域的等級劃分，實施網(wǎng)絡(luò)訪問等級劃分，對不同業(yè)務(wù)的需求進行權(quán)限管理，對內(nèi)部人員進一步進行管理，運用過濾技術(shù)的防火墻，為醫(yī)院信息系統(tǒng)建立安全管理的第一道防線。（2）醫(yī)院信息系統(tǒng)的安全管控第二個關(guān)鍵門卡是入侵檢測，對防火墻薄弱的內(nèi)部攻擊及未知攻擊進行防范，加強網(wǎng)絡(luò)的監(jiān)測力度，建立共同的系統(tǒng)網(wǎng)絡(luò)防范有效措施，對系統(tǒng)管理員員監(jiān)控、識別等響應(yīng)能力進行關(guān)注，提升安全管理的能力。運用入侵檢測對系統(tǒng)內(nèi)網(wǎng)絡(luò)、用戶活動情況進行關(guān)注，對不同網(wǎng)段的傳感器、日志、流量及文件和軟件的非正常改變進行控制，信息與程序執(zhí)行情況及時進行對比，迅速分析，合理運用檢測引擎對各項信息及數(shù)據(jù)進行檢測，對出現(xiàn)網(wǎng)絡(luò)入侵情況及系統(tǒng)非正常變化進行匹配模式分析，關(guān)注重點及熱點區(qū)域文件數(shù)據(jù)信息是否完整，對統(tǒng)計對象的屬性闕值進行統(tǒng)計分析，加強入侵監(jiān)測設(shè)備的參數(shù)定義，及時進行內(nèi)部權(quán)限多層管理模式，可采用二到七層分級管理方式，保障信息的有效性及可控性，為不同權(quán)限人員提供不同的系統(tǒng)服務(wù)。

2.2加強信息安全管理的綜合管控

醫(yī)院對信息通建設(shè)具有明確的管理制度，加強安全管理的系統(tǒng)性，加大信息安全等保投入，提升網(wǎng)絡(luò)安全的管理及建設(shè)標(biāo)準(zhǔn)，強化用戶的日志及權(quán)限管理，醫(yī)院信息系統(tǒng)運行是24小時無停息，重視對防火墻、入侵檢測等多重管控，提升整體管控意識，合理進行多終端系統(tǒng)管理，實現(xiàn)操作運行的規(guī)范及標(biāo)準(zhǔn)性，運用殺毒軟件、防火墻及入侵檢測等多個防范措施進行防范，還可以利用黑盾等軟件接入認(rèn)證，提升主機通信加密管理，防范地址欺騙，實現(xiàn)信息網(wǎng)絡(luò)的管理安全，保證醫(yī)院系統(tǒng)平穩(wěn)運行。注重軟硬件共同的安全管理，強化軟件管控及技術(shù)提升，注重硬件使用的審批手續(xù)及可靠管理，滿足系統(tǒng)安全管理整體管控需求。

2.3加強無線網(wǎng)絡(luò)安全管理管控

隨著近年來無線終端設(shè)備的迅速普及，醫(yī)院信息系統(tǒng)中無線應(yīng)用迅速普及，提供日常檢查、咨詢及反饋等多種信息交流，重視對網(wǎng)絡(luò)秘鑰的管控，對非法訪問或黑客入侵從源頭上進行把握，防止因SSID廣播的應(yīng)用造成不必要的信息泄露與安全管控問題，強化病患隱私與醫(yī)療數(shù)據(jù)的管理，提升用戶信息處理能力，分層級進行身份驗證，對局域網(wǎng)內(nèi)人員行為進行可靠的約束，加強巡視及比對，對出現(xiàn)非法越權(quán)及數(shù)據(jù)波動加大用戶進行管控，實現(xiàn)無線網(wǎng)絡(luò)的安全管控。

2.4提升信息系統(tǒng)網(wǎng)絡(luò)硬件的安全等級

網(wǎng)絡(luò)安全及醫(yī)院信息系統(tǒng)需要大量的硬件，且醫(yī)院科室眾多并與都醫(yī)患信息、財務(wù)信息相聯(lián)系，加強多終端硬件的管理，對外來U盤、移動硬盤等硬件應(yīng)用需要加強，防止從內(nèi)部侵害網(wǎng)絡(luò)安全，健全規(guī)章管理制度及審批手續(xù)，完善硬件設(shè)備、文件利用及機房環(huán)境、線路連接等管控，并加強相關(guān)管理制度的。尤其是醫(yī)療文件、財務(wù)文件的讀取與拷貝，必須經(jīng)過層層審批，在拷貝過程中要進行監(jiān)督及檢查，對外來硬件進行查殺、篩選后進行應(yīng)用，從源頭進行安全管理，實行可靠運行，為信息系統(tǒng)軟件與硬件管理形成可靠保障。

3結(jié)語

醫(yī)院信息系統(tǒng)及網(wǎng)絡(luò)安全管理是醫(yī)院業(yè)務(wù)運行的重要保障，加強網(wǎng)絡(luò)安全管理，為醫(yī)院營造穩(wěn)定、健康的網(wǎng)絡(luò)環(huán)境，提供更為優(yōu)質(zhì)的服務(wù)，降低重復(fù)、枯燥的工作，提升醫(yī)院服務(wù)效率，滿足患者不同需求。加強醫(yī)院內(nèi)外網(wǎng)的管控，強化防火墻、殺毒軟件、入侵檢測等環(huán)節(jié)的能力及水平，防范黑客、病毒等多方面的攻擊，強化無線網(wǎng)絡(luò)的服務(wù)與管理，提升安全性，妥善保障醫(yī)院內(nèi)部信息，為更多患者提供個性服務(wù)，促進我國網(wǎng)絡(luò)系統(tǒng)安全運行與維護能力提升，推動我國醫(yī)療行業(yè)信息化管理的整體大發(fā)展。

參考文獻：

[1]王玉珍，賀瀅，馬婧等.醫(yī)院信息系統(tǒng)安全保障體系存在的風(fēng)險分析[J].醫(yī)療衛(wèi)生裝備，2007.

[2]鄭西川，張漢雄，胡燕峰等.醫(yī)院信息系統(tǒng)安全架構(gòu)及實施策略[J].中國醫(yī)療設(shè)備，2006.

[3]李明龍.基于網(wǎng)絡(luò)安全角度分析醫(yī)院計算機信息系統(tǒng)技術(shù)的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.

作者：薛瑤 單位：南京醫(yī)科大學(xué)附屬常州第二人民醫(yī)院