醫院網絡安全管理策略探討

卞保軍

（連云港市第四人民醫院 江蘇 222001）

0 引言

隨著現代信息技術的發展，醫院信息管理不斷吸收新的信息理論、理念、技術，從無到有，發展至今，成為集門診、住院、檢查檢驗、電子病歷、遠程會診等綜合化的信息平臺，實現集成式、覆蓋式、數據共享醫院信息網絡系統。醫院信息直接影響診療活動，信息網絡安全直接影響信息的正常流通，若出現故障，可能給診療活動造成巨大的危害，甚至釀成醫療事故。本次研究從醫院網絡的特點、隱患、常見的問題出發，論述構建安全網絡的策略。

1 存在的風險

1.1 網絡安全防護能力薄弱

網絡自身存在脆弱性，作為虛擬信息傳輸系統，其本身易受干擾，對安全防護要求較高。光纜電纜質量、走向、布局，服務器質量、穩定性，交換機熱備，防水、防斷電漏電、防雷擊、防觸動要求較高，據統計絕大多數二級醫院信息管理系統缺乏專業維護，硬件設施不完備，抗故障能力不足。信息基礎技術、數據庫管理、數據容災備份、網絡安全管理等核心技術掌握不足，存在被攻擊的潛在風險；醫院信息系統可靠性有待提高，系統研發技術儲備不足，嚴重依賴于軟、硬件產品堆砌，合理性、科學性、系統性有待加強，不僅增加了系統負荷，還存在未知的軟件沖突風險。

1.2 內部管理風險

網絡安全意識有待加強，從上至下醫院人員均忽視網絡信息安全，筆者調查本院約有80%工作人員網絡信息安全意識、行為不合格。主要表現，①涉及自身登錄，安全防護意識嚴重不足，缺乏可靠、安全的防護手段，均采用簡單數字密碼登錄模式，在自己使用的登錄設備上軟件防護嚴重不足；②對登錄設備管理不足，存在安全隱患，登錄時不觀察周圍環境，同事之間互相登錄，在醫院外人員面前登錄，登錄離開后不退出登錄界面，等等；③安全防護觀念落后，意識不足，工作人員從上至下均忽視醫院網絡信息安全管理，部分工作人員認為網絡安全是信息科人員工作；醫院領導對醫院網絡信息安全缺乏足夠的了解與重視，缺乏管理投入，上行下效，管理制度混亂；④缺乏完備、科學的網絡信息安全內部管理，對不安全行為缺乏監督、約束，違規操作缺乏懲戒，違法操作難以被發現、監管。

1.3 外部風險

目前，多數大型醫院已認識到醫院內部網絡與外部網絡相互串聯存在的信息安全風險，進行了一定的改進，但出于成本、時間過于緊迫等因素，絕大數醫院內部網絡與外部網絡仍為串聯，缺乏有效的物理隔絕手段，有來自于外部侵入的風險。外部連接缺乏有效的控制手段，主要表現在以下幾個方面：①醫院信息設備普遍內、外網絡通用，工作人員既可登錄連接外部互聯網也可登錄內部信息網絡，改造成本巨大，改造也需要耗費較長的時間，可能致信息網絡在一段時間內癱瘓，影響診療活動，因此許多醫療機構即使意識到內、外通用的風險，仍不愿進行改造；②對外圍設備管理不足，對醫院工作人員、外部人員移動、連接設備如光驅、U盤、USB無線接入設備、WIFI管理存在漏洞；③對來自于外部侵入監控能力嚴重不足，一方面醫院信息安全人員技術儲備畢竟無法與專業人員相比，網絡黑客、駭客能力強大，威脅醫院網絡信息安全，另一方面醫院自身信息系統防范外部侵入技術儲備不足，目前，我國絕多數醫院管理系統均重視電子病歷、臨床路徑、醫生工作站、檢查檢驗等信息系統建設，重視診療信息交換，資源控制、管理決策，輕視風險防護，對防病毒系統、入侵檢測系統、防火墻系統重視不足，多采用市場上通用安全產品作為防護手段，不僅存在不兼容的風險，還缺乏可控性。

2 醫院網絡安全管理策略探討

基于以上的網絡安全風險，加強人員管理、設備管理、風險處理，構建覆蓋式的網絡信息安全管理體系。

2.1 人員管理

人是風險管理的關鍵，所有的管理都是由人來完成的，人具有巨大的能動性，加強人員管理是醫院網絡信息安全管理的關鍵。①首先，應加強工作人員信息安全防范意識，工作人員作為信息交互終端操作的起點，應具有安全防護意識，通過定期不定期的宣傳教育，加強德治、法制教育，增強工作人員的職業道德、法制素養，養成規范操作的習慣。②加強安全風險管理人員技術儲備，積極引進網絡安全管理專業人才，加強內部培養，在實際網絡安全管理中不斷查漏補缺，積極改造設施、設備、信息系統，減少潛在的信息安全風險；提高對發生的網絡安全事故的處理能力，及時排查、解決，提高工作效用，盡力減少事故對醫院工作的影響。③建立、健全醫院網絡信息安全監督體系，加強對人員的監督，包括內部人員、外部人員，對內部人員違規操作、風險操作、違法操作進行監督，及時懲處；對外部人員加強監管，教育宣傳，抑制有意或無意的威脅網絡信息安全的行為，如損毀設備、盜取信息等。

2.2 軟件及硬件管理

網管系統首要任務保證服務器安全，科學規劃服務器與局域網的安裝與配置，如嚴格管理磁盤分區、操作系統，及時進行補丁修復；設置用戶及其權限，加強用戶登錄、鎖定、密碼管理；建立信息審核制度，加強對重要信息的防護；運用先進的軟件、設備加強服務器抗風險能力，對可疑的用戶、信息、設備、IP地址進行監控、處理。防病毒系統，需覆蓋至每一個節點，引進高效、安全、可靠的防病毒軟件，提高系統防病毒能力，及時查殺已存在的病毒。防火墻系統、入侵監測覆蓋整個系統以監控整個系統活動，抵抗入侵，提高抗風險能力。備份系統，備份系統包括軟件備份、硬件備份，對重要信息進行多重備份，采用硬件備份、物理隔絕、保密措施以提高備份的安全性。其它硬件投入包括合理布局設施、纜線、信號源等，選用質量可靠、穩定性與防護能力強的設備；增加相應設施投入，如中央機房的監控系統，門禁系統，備用電源、防雷擊、防靜電設備等，定期、不定期進行維護、維修、更新。

2.3 建立風險應急預案

以上防護措施雖能有效提高醫院網絡安全防護能力，但風險故障具有不可預見性、突然性，風險可大、可小，可能為潛在風險也可能為已發生的故障，建立風險應急備案的目的在于及時、高效的處理風險，抑制潛在風險、將已發生的故障損失降至最低。建立風險應急備案的主要方法：①建立風險應急處理小組，小組人員需要加強專業能力，應急能力，溝通協調能力，能及時、高效排查故障，調配資源，協調各方關系，及時處置，降低損失；②建立應急預案，通過分析、總結，制定常出現故障處置方案，如設備損毀、軟件故障等，及時修復更換，將損失降至最低，制定重大故障應急預案，及時取得有關領導協助，將損失將至最低。

3 小結

綜上所述：醫院網絡安全管理需要整個單位工作人員重視、配合，建立健全制度保障，遵循整體安全性原則，制定出合理的網絡安全體系結構，總體規劃，分步實施，加強軟、硬件投入，全面提高安全防護能力。

[1]洪懿.論醫院網絡安全與維護措施[J].無線互聯科技，2013，12（07）：187-187.

[2]鄭蕾，翁盛鑫，黃影.醫院信息系統客戶端的安全管理和實踐[J].醫療衛生裝備，2010，31（3）：62-63.

[3]郭凌菱，榮文英，常建國，等.醫院網絡安全解決方案“三重安全管理系統”[J].醫療衛生裝備，2012，33（9）：45-49.