刍议医院计算机信息安全风险管理策略

连英杰，张 欣，王 然

（河北大学附属医院，河北 保定 071000）

现阶段我国科学技术水平不断升高，尤其是计算机技术得到了大幅度且快速的创新发展，当今世界已经进入了互联网时代。医院信息管理系统对计算机技术的运用符合医改的基本要求，加强医院信息化建设不仅能够为患者的就诊、缴费、报销等提供方便，还能够辅助医院展开日常医疗工作。然而，信息技术在运用的过程中同样存在着隐患和风险，如果医院缺乏健全的信息安全管理制度就无法保证信息系统的安全，一旦出现医院信息泄露或者被恶意删除更改的情况将会造成严重的安全事故，影响患者的日常生活，同时破坏医院的声誉。因此，加强医院信息系统安全管理控制是保护病人权益，保障人们生命安全的重要手段。

1 医院计算机信息安全管理现状分析

1.1 攻击渠道增加

就目前的情况来看，大多数医院的信息系统覆盖范围都有所增加，对互联网技术的运用越来越广泛，除了必要的挂号、缴费等步骤的网络化，智能电脑、智能手机以及多媒体终端的接入也已经成为了一种发展趋势。这样一来，医院的信息系统必须具备多种集成网络结构，增加的环节越多，可被攻击的渠道就越多，每种技术以及设备的开发运用都增加安全风险，容易形成系统漏洞。

1.2 攻击范围扩大

随着互联网技术的普及，黑客所掌握的系统攻击技术也在不断发展，系统病毒的感染能力越来越强大。现如今的攻击病毒很难消灭和控制，一旦医院的信息管理系统感染了病毒，病毒就会通过高速传输的网络像血液扩散一样感染到信息系统的各个领域内，包括在此范围内的终端设备、软件硬件设备等无一幸免。

1.3 传播速度加快

很多新型的病毒感染能力大，传播速度快，一旦感染就会造成医院信息系统的全面崩溃，破坏正常的系统工作流程，造成不可预估的损失。

1.4 缺少相关管理策略

医院管理的信息比较特殊，但无论是患者的治疗信息还是医院的药品信息都需要进行保密，医院对信息系统的应用越来越广泛，对信息安全管理的需求也在逐渐增加。然而现阶段大多数建立起信息管理系统的医院都缺乏相应的信息安全管理策略和长远的信息安全管理目标，在无事发生时只做表面功夫，一旦出现信息泄露事故就会缺乏应急处理策略，无法维护医院的正常工作。

2 医院计算机信息安全风险分析

2.1 操作系统存在安全隐患

技术的发展往往是具有两面性的，（1）信息系统自身在不断地完善，为医院的信息处理提供更便捷的服务和操作，（2）也促成了新型病毒及恶意软件的发展，这就造成了操作系统的安全隐患，增加了信息系统被破坏的可能性。信息系统与网络安全风险控制是一体的，如果缺乏有力的安全风险控制，信息系统安全就缺乏保障，最终导致信息系统失去其使用价值。除此之外，计算机以及网络连接设备的安全也非常重要，在这样一个信息共享的时代，医院的信息系统为患者和工作人员都提供了便捷的服务，但由于终端设备的安全得不到有效控制，医院的信息安全依旧受到威胁[1]。

2.2 操作人员规范意识不强

医院的信息管理系统不仅面向专业人士，还面向参与医疗活动的所有人员，比如治疗医生、值班护士、患者、患者假设以及管理人员等，他们对信息系统的运用方式和水平都会影响到医院信息系统的安全。通过对多起医院信息安全事故的调查发现，人为因素在安全风险中占了较大比重。人为因素的种类较多，一般是由于操作不当、硬件设备使用不当甚至是恶意盗取信息等引起的。这些行为都会破坏医院信息系统的正常运行，对医院及患者造成伤害。

2.3 医疗数据共享的安全风险

信息系统的运行和使用为患者提供了便捷的医疗服务，促进了医院部门之间、各大医院之间的沟通交流。医疗数据的共享化成功实现了医疗信息传递的及时性和有效性，但同时也隐藏了很多的安全风险点。由于共享系统的多终端与多操作，不仅会因为操作人员的失误产生安全风险，从另一个方面来说，还给攻击者提供了尽可能多的攻击端口和入侵机会。如果不能提升安全管理技术，那医疗数据共享的手段就会变成一把双刃剑，暴露出越来越多的风险。

3 医院计算机信息安全风险管理策略

3.1 建立双核心网络架构

要想在维护网络安全的前提下保证网络传输的效率，各医院应该重视双核心网络构架的建设。双核心网络构架中，由2台高端交换机作为核心，通过配置智能弹性架构技术虚拟成1台设备，核心设备之间再通过2条万兆光纤和1条千兆光纤进行连接，实现高速数据传输的同时还能进行链路检测。其他每层网络之间均使用千兆光纤进行连接，保证网络传输的效率。最后再运用IRF技术，使2台核心交换机在工作时能够同时处于热备状态，也就是当其中1台核心交换机出现故障时，另一台依然能够不受影响保持正常工作。这样一来，一旦医院的信息系统出现问题，技术人员就能够及时进行维修，同时不影响医院信息系统的正常运用，增加了系统的稳定性[2]。

3.2 加强计算机软件维护

在医院信息系统的运用过程中保证其完全不受破坏和影响是不现实的，计算机在使用过程中无法完全避免病毒侵入，所以医院应该加强对计算机软件的维护，提高其系统的防御能力，才能降低被感染的风险。同时对于那些破坏力极大、传播速度极快的高危病毒，系统应该在数据交换的过程中对其进行记录分析，建立数据档案。这样在系统进行日常维护处理时，能够自动生成此类病毒的分析结果，从而对病毒进行有效防御。医院信息管理系统中的病人私人信息也应该得到严密的保护，医院应该建立相关的保护机制，维护个人用户信息的安全，设立授权访问的机制，实现信息的严格保护。除此之外还要考虑到用户的关联性，即对每个用户设置多个角色，信息系统可以根据识别的角色进行不同的权限操作，实现灵活性操作，保障信息的安全。

3.3 构建信息安全管理制度

（1）医院应该明确信息安全责任，即实施责任制度。具体来说，医院可以建立专门的信息安全监察组，由医院各项目的相关负责人组成，主要职责是监察信息系统操作的规范性，并定期举行安全会议进行交流，及时发现问题并进行处理总结，提高信息系统的安全性。在建立制度的过程中，医院可以参考其他医院或者医疗体系的信息安全管理制度，定期进行设备维护和记录，做好应急策略方案，深化安全管理。

（2）还要加强对操作规范的管理。对于不同的数据应该进行分级管理，对于高级管理下的系统软件、数据必须严格按照操作规范进行操作，且只能在授权的情况下进行数据共享与文件传输，个人用户不得擅自修改数据信息。医院应该组织专门的检查小组定期维护服务器，查看服务器分析日志与观测数据，判断是否出现问题，及时将服务器的异常点进行记录，保证系统的稳定性。医院还应该制定人员培训计划，提出清晰有效的培训目标及流程，增加操作人员的实践经验，做好应急处理方案，培养出能够解决实际问题的专业人才。

（3）网络安全等级保护制度2.0标准已经于今年5月13日正式发布，并将于12月1日起正式实施。与2007年出台的1.0标准相比，2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准，将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象。各医院在组织建立网络安全管理制度时也应该注意符合政策的相关规定，最大程度地保障网络医疗数据的安全。

3.4 进行系统安全管控升级

3.4.1 细节设计升级

医院系统信息化是一个长期的过程，现阶段我们只发展到了初级，基本实现了信息系统网络化的目标。安全信息化是其中一个重要内容，主要包括流程检测、预防报警以及修改恢复三个过程。这三个过程循环就能够组成信息安全管理系统，其中每一个环节都至关重要，如果有环节出现错误或者没有按照预定情况运行，安全管理系统就会失效。所以医院应该注重细节的控制，处理好每一个环节，保障医院的信息安全。随着网络技术的快速发展，系统出现了更多的漏洞和风险，医院在推广新技术的同时还应该加强人员培训，保证安全管理系统的运行。

3.4.2 风险控制升级

有的医院过于重视对信息系统的升级而忽略了计算机网络防御系统的等级，这样就会增加信息系统的风险。医院首先必须保持信息原系统的正常稳定运行，同时注意意外情况的发生。其次还要注意对设备的定期维护与检查，提前发现问题，处理问题，提前进行预防，从而保障信息的安全性。除此之外，医院还应加强信息系统管理人员的专业素养，通过明确责任制度使管理人员提高警惕，增强其工作的使命感和责任心，从而维护医院的信息安全。对于终端用户应该进行严格分类和限制管理，对于不用的对象（医务人员、患者、管理人员）实行不同的授权管理，避免恶意攻击事件与人为失误的发生。

3.5 充分运用安全管理技术

要想实现信息安全管理，各医院应该充分运用计算机网络信息安全管理技术。现阶段投入应用的计算机网络安全管理技术主要有以下几种：（1）防火墙技术，这是运用最为广泛的一种安全技术。（2）数据加密技术，数据加密技术能够从不同的方式保证信息数据的安全性，有效预防信息资源的盗取，加密技术的优势在于即使数据信息在未授权的情况下被传输和窃取，加密技术能够有效保护数据信息。（3）信息防护系统，在计算机系统中，安装杀毒软件能够保障信息系统的安全，可以最大程度上抵挡不同病毒的侵入[3]。

4 结束语

综上所述，信息管理系统是医院系统中非常重要的一个部分，它能够为医务人员和患者提供便捷的服务，但同时医院更要重视计算机信息安全风险管理，通过建立双核心网络架构、加强计算机软件维护、构建信息安全管理制度、充分运用安全管理技术等方式增强信息系统的安全性，保障医院信息管理系统的正常运行，从而提高医院信息管理的效率，促进其现代化建设[4]。