試析醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理與維護(hù)措施

◆侯均 王野平

（1.安徽省六安市人民醫(yī)院安徽 237000；2.北京賽西科技發(fā)展有限責(zé)任公司北京市 100000）

作為醫(yī)院現(xiàn)代化建設(shè)中不可或缺的組成部分之一，醫(yī)院的信息系統(tǒng)在現(xiàn)代醫(yī)院的日常管理中發(fā)揮著非常重要的作用。正因如此，醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理也顯得尤為重要。

對(duì)醫(yī)院來說，信息系統(tǒng)可以利用網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)等現(xiàn)代信息互聯(lián)網(wǎng)技術(shù)確保財(cái)務(wù)、人員和資金、物資等要素的正常合理流動(dòng)，并對(duì)其進(jìn)行記錄、管理，將醫(yī)院在管理運(yùn)行過程中所有的醫(yī)療行為信息化并納入其中，以方便集中管理。這種途徑模式下的管理是促進(jìn)醫(yī)院的和諧整體運(yùn)作，從而在醫(yī)院實(shí)現(xiàn)現(xiàn)代化信息管理的一種互聯(lián)網(wǎng)時(shí)代背景下的新的經(jīng)營管理模式，對(duì)提高醫(yī)院的業(yè)務(wù)水平和醫(yī)療服務(wù)質(zhì)量有非常重要的作用。

1 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理存在主要問題

隨著醫(yī)院信息系統(tǒng)的深入推廣，其自身存在的網(wǎng)絡(luò)安全隱患問題也引來了人們?cè)絹碓蕉嗟年P(guān)注。為更好地促進(jìn)醫(yī)院信息系統(tǒng)在醫(yī)院日常管理中發(fā)揮作用，有必要對(duì)其所帶來的安全問題以及理應(yīng)采取的必要管理維護(hù)措施進(jìn)行探討。

（1）殺毒、系統(tǒng)補(bǔ)丁等措施更新慢

眾所周知，確保信息網(wǎng)絡(luò)安全，安裝殺毒軟件和系統(tǒng)補(bǔ)丁是最常用也相對(duì)可靠的重要措施。但在醫(yī)院的日常管理中，由于醫(yī)院業(yè)務(wù)主機(jī)數(shù)量比較多，日常維護(hù)存在諸多困難，這導(dǎo)致信息管理和維護(hù)人員因工作量大往往難以保障主機(jī)能夠全部及時(shí)安裝最新的殺毒軟件和系統(tǒng)補(bǔ)丁，這就給醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全帶來了很大隱患[1]。

（2）地址綁定沒有現(xiàn)實(shí)意義

現(xiàn)實(shí)當(dāng)中，很多醫(yī)院為提升信息系統(tǒng)的網(wǎng)絡(luò)安全管理質(zhì)量，防范有人惡意攻擊醫(yī)院數(shù)據(jù)系統(tǒng)，經(jīng)常會(huì)在接入層交換機(jī)端口綁定MAC、IP地址。但實(shí)際上這樣的做法存在著一定的先天缺陷：首先，這樣的綁定需要網(wǎng)絡(luò)安全管理人員對(duì)醫(yī)院擁有的所有電腦逐臺(tái)進(jìn)行設(shè)置。由于醫(yī)院的業(yè)務(wù)主機(jī)本身數(shù)量就多，這無形中增加了安全管理人員的日常工作量、工作難度，在現(xiàn)實(shí)中很難行得通。其次，隨著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的應(yīng)用和普及，一些擁有一定計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)的專業(yè)人員能夠很輕松地對(duì)醫(yī)院信息系統(tǒng)的MAC和IP地址進(jìn)行修改。從這點(diǎn)上看，醫(yī)院通過綁定MAC和IP地址來實(shí)現(xiàn)網(wǎng)絡(luò)信息安全保護(hù)的效果并不會(huì)達(dá)到預(yù)期效果，缺少現(xiàn)實(shí)意義。

（3）入侵檢測(cè)系統(tǒng)無法發(fā)揮正常作用

當(dāng)前，許多醫(yī)院為了確保信息系統(tǒng)的網(wǎng)絡(luò)安全，大多采取安裝IDS入侵檢測(cè)系統(tǒng)進(jìn)行防范。但現(xiàn)實(shí)的效果是，由于該入侵檢測(cè)系統(tǒng)自身功能不夠完善，在實(shí)際應(yīng)用中遇到外部攻擊時(shí)，僅僅能做出簡單的預(yù)警提示，而不能采取相應(yīng)的防御保護(hù)措施[2]。這種入侵檢測(cè)與防御保護(hù)機(jī)制脫鉤的現(xiàn)狀往往會(huì)給醫(yī)院信息管理系統(tǒng)的安全管理制造隱患，因此并不具有實(shí)用性。

（4）數(shù)據(jù)庫安全審計(jì)定位不明

要提升醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理質(zhì)量，加強(qiáng)數(shù)據(jù)加密和訪問權(quán)限的規(guī)范設(shè)置是必不可少的措施。如果這一點(diǎn)能夠落到實(shí)處，對(duì)提升醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全性大有裨益。但現(xiàn)實(shí)中的很多醫(yī)院人員并非人人都具有專業(yè)的網(wǎng)絡(luò)安全防范意識(shí)和專業(yè)知識(shí)，在設(shè)置加密密碼時(shí)大多會(huì)采用便于自己熟記而且相對(duì)簡單的方式。不僅如此，很多醫(yī)院的計(jì)算機(jī)網(wǎng)絡(luò)訪問權(quán)限還存在著設(shè)置不規(guī)范等問題。如此一來，數(shù)據(jù)庫的安全審計(jì)軟件就無法保證能夠?qū)P地址所在的人員進(jìn)行對(duì)應(yīng)匹配和查找以及綁定，從而在很大程度上降低了醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理的質(zhì)量，并且加大了現(xiàn)實(shí)中追究相關(guān)人員責(zé)任的難度。

2 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理的現(xiàn)實(shí)意義

（1）加強(qiáng)網(wǎng)絡(luò)安全有助于保障醫(yī)院信息系統(tǒng)的正常安全運(yùn)行

由于醫(yī)院的計(jì)算機(jī)終端相對(duì)較多，用戶類型復(fù)雜多樣，這就需要加強(qiáng)醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理，確保醫(yī)院信息系統(tǒng)的正常安全運(yùn)行。一般來說，從用戶端口來保障網(wǎng)絡(luò)安全采取的措施主要是加強(qiáng)對(duì)用戶的訪問控制和身份驗(yàn)證[3]。對(duì)醫(yī)院來說，可以將用戶類型以及用戶對(duì)醫(yī)院信息操作的重要性作為依據(jù)，來判斷是否需要對(duì)訪問用戶進(jìn)行身份驗(yàn)證。與此同時(shí)，最好也能針對(duì)不同的用戶采取不同的身份驗(yàn)證方式。醫(yī)院借助以上方式可以對(duì)訪問者的行為進(jìn)行管理和約束，在保障醫(yī)院信息系統(tǒng)安全的前提下方便用戶對(duì)信息系統(tǒng)的訪問和使用。

（2）加強(qiáng)網(wǎng)絡(luò)安全管理有助于醫(yī)院信息資產(chǎn)的安全保障

加強(qiáng)網(wǎng)絡(luò)安全管理有助于醫(yī)院信息系統(tǒng)自主檢測(cè)和處理相關(guān)安全問題，可以在很大程度上提升醫(yī)院信息系統(tǒng)屏蔽網(wǎng)絡(luò)危險(xiǎn)行為的能力，減少網(wǎng)絡(luò)安全事故的發(fā)生，確保網(wǎng)絡(luò)通信操作行為的合法合規(guī)合理性，這也是對(duì)醫(yī)院信息資產(chǎn)的一種有力保障。

3 醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理的幾點(diǎn)維護(hù)措施

（1）打造安全可靠的硬件設(shè)備環(huán)境

從構(gòu)造上來看，醫(yī)院信息系統(tǒng)的硬件保護(hù)對(duì)象主要包括服務(wù)器、硬件接口設(shè)備、中心機(jī)房和工作站等。作為醫(yī)院信息系統(tǒng)的核心部位，中心機(jī)房的優(yōu)劣對(duì)網(wǎng)絡(luò)安全維護(hù)工作起著決定性的作用。中心機(jī)房環(huán)境有了保障，服務(wù)器等的安全才能有保障的前提[4]。一般情況下，中心機(jī)房的安全維護(hù)需要從設(shè)備的實(shí)際需求出發(fā)，從室內(nèi)溫、濕度，供電設(shè)施、避雷設(shè)施和門禁制度等幾個(gè)方面采取安全措施。比如，機(jī)房溫度最好常年維持在25度左右，相對(duì)濕度保持在40%～70%；盡可能地避免人員走動(dòng)干擾，確保機(jī)房處于無塵半封閉狀態(tài)。再如，采取兩路供電系統(tǒng)，配置不間斷電源、防電磁干擾、避雷等設(shè)施，降低機(jī)房斷電、遭雷擊等安全問題出現(xiàn)的可能。

醫(yī)院信息系統(tǒng)要二十四小時(shí)正常運(yùn)行，離不開一個(gè)強(qiáng)大、安全又可靠的服務(wù)器。醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理部門應(yīng)當(dāng)確保服務(wù)器全天候穩(wěn)定運(yùn)行，可以通過多機(jī)熱備份、雙服務(wù)器或者多級(jí)容錯(cuò)等來進(jìn)一步提升服務(wù)器自身的穩(wěn)定性。此外，為服務(wù)器配置高質(zhì)量的電源也是必不可少的措施。

醫(yī)院醫(yī)護(hù)人員的終端設(shè)備共同組成了醫(yī)院信息系統(tǒng)的工作站，對(duì)工作站的網(wǎng)絡(luò)安全管理的一大舉措是將其作為信息系統(tǒng)中的獨(dú)立模塊來進(jìn)行日常管理與維護(hù)。為確保工作站的網(wǎng)絡(luò)安全和穩(wěn)定性，網(wǎng)絡(luò)安全管理部門應(yīng)當(dāng)明確對(duì)光盤、移動(dòng)硬盤等的使用和操作指南，加強(qiáng)對(duì)用戶行為的監(jiān)測(cè)力度，以此確保醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全[5]。

除了上述幾項(xiàng)措施，醫(yī)院信息網(wǎng)絡(luò)安全管理部門還應(yīng)當(dāng)注意對(duì)網(wǎng)絡(luò)設(shè)備的日常檢測(cè)與維護(hù)。比如對(duì)路由器、集線器、光纖收發(fā)器等及時(shí)做定期檢測(cè)，對(duì)硬件設(shè)施定期采取防水除污等維護(hù)措施。

（2）建設(shè)完善的網(wǎng)絡(luò)安全防護(hù)體系

在當(dāng)前的計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)前提下，如果網(wǎng)絡(luò)安全防護(hù)體系無法跟上信息技術(shù)的發(fā)展，很容易使信息系統(tǒng)暴露在惡劣的網(wǎng)絡(luò)環(huán)境中，從而引發(fā)一系列數(shù)據(jù)安全問題。鑒于此，建設(shè)完善的網(wǎng)絡(luò)安全防護(hù)體系就成為醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理部門亟待解決的問題。

建設(shè)網(wǎng)絡(luò)安全防護(hù)體系，首先要對(duì)信息系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)進(jìn)行評(píng)估。網(wǎng)絡(luò)安全管理部門通過詳細(xì)掃描來排查安全漏洞，并針對(duì)不同問題制定對(duì)應(yīng)的修補(bǔ)解決方案。與此同時(shí)，還需要對(duì)網(wǎng)絡(luò)訪問權(quán)限建立一套科學(xué)合理的分級(jí)管理機(jī)制，以此加強(qiáng)對(duì)核心數(shù)據(jù)的保護(hù)。其次，建設(shè)完善入侵檢測(cè)系統(tǒng)以及病毒防護(hù)體系。這兩大防護(hù)體系可以有效抵御各種的病毒攻擊和非法入侵，為保護(hù)醫(yī)院信息系統(tǒng)提供強(qiáng)有力的安全保障。最后，醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全管理部門應(yīng)當(dāng)通過全院范圍內(nèi)的網(wǎng)絡(luò)安全管理和防護(hù)制度，通過宣傳普及加強(qiáng)醫(yī)院工作人員的信息網(wǎng)絡(luò)安全意識(shí)，敦促他們定期按時(shí)殺毒和對(duì)殺毒、防護(hù)軟件升級(jí)更新，進(jìn)一步減少安全問題的產(chǎn)生。

（3）強(qiáng)化賬戶管理，設(shè)置防火墻保障信息安全

通常情況下，只要有用戶登錄醫(yī)院信息系統(tǒng)進(jìn)行實(shí)時(shí)的數(shù)據(jù)瀏覽、修改乃至保存等行為，就不可避免地使醫(yī)院的信息數(shù)據(jù)發(fā)生變更，數(shù)據(jù)丟失、損壞、發(fā)生問題等風(fēng)險(xiǎn)往往集中出現(xiàn)在這個(gè)過程中。從這一點(diǎn)上看，設(shè)置防火墻、強(qiáng)化賬戶管理就有很強(qiáng)的現(xiàn)實(shí)意義[6]。設(shè)置防火墻可以防止外部的惡意入侵，但是應(yīng)當(dāng)注意的是，在設(shè)置防火墻的同時(shí)還應(yīng)當(dāng)增加一道密碼措施來進(jìn)一步加強(qiáng)安全保障。有條件的話，最好盡可能增加破譯密碼的難度。

（4）安全隔離醫(yī)院網(wǎng)絡(luò)，確保信息系統(tǒng)安全

在醫(yī)院的實(shí)際管理運(yùn)行中，通過網(wǎng)絡(luò)進(jìn)行信息共享已經(jīng)成為一項(xiàng)常規(guī)操作，但這項(xiàng)操作在方便了醫(yī)院運(yùn)營管理外，也不可避免地帶來一些網(wǎng)絡(luò)安全問題。要解決這個(gè)問題，網(wǎng)絡(luò)安全管理部門可以采取建立子網(wǎng)層級(jí)，對(duì)重要部門和用戶進(jìn)行針對(duì)性的網(wǎng)絡(luò)隔離措施，清理非正常訪問用戶等方式來規(guī)避。

4 結(jié)束語

在現(xiàn)代信息社會(huì)，網(wǎng)絡(luò)安全問題事關(guān)醫(yī)院信息系統(tǒng)的安全穩(wěn)定運(yùn)行。只有不斷加強(qiáng)網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全管理措施，才能保證醫(yī)院的正常管理運(yùn)營，也為醫(yī)院未來的長遠(yuǎn)發(fā)展提供可靠有力的安全保障。