摘要:
随着信息时代的到来,网络成为我们生活中不可或缺的一部分,网络安全也受到社会各界的广泛关注。网络信息系统中包含着我们的个人信息,其中不乏一些比较敏感或机密的信息。随着医院信息管理不断现代化,医院网络信息系统中拥有了大量的患者个人信息,如何保证这些信息安全是医院网络面临的难题。笔者将在文中主要对医院网络的安全风险进行介绍,并提出相应的防范策略。
关键词:
医院网络;安全风险;防范策略
0引言
互联网不断融入人民生活的各个方面,给大家生活带来便利的同时,网络信息安全也受到各种各样的威胁。医院信息网络的使用给患者带来了很大程度的便捷,患者使用一张医疗卡就可以进行挂号、看病、住院等,医院的管理质量和工作效率也因此得到提升。医院网络带来了众多好处,但是网络系统的正常运行受到多方面的威胁,例如系统漏洞、人为失误、恶意攻击等,医院网络的安全问题应引起注意。
1医院网络信息安全重要性
现在医院会将患者信息全部输入网络系统中,患者只有少部分信息会以纸质形式存在。一旦医院网络信息系统出现问题,患者的信息缺失或出现差错,将会产生严重的影响后果。患者信息丢失可以再次进行确诊检查,但信息数据错误可能导致出现误诊问题,给患者生命安全带来巨大威胁。除此之外,网络犯罪案例近年来不断增加,医院网络信息系统有大量患者信息,信息安全工作显得尤为重要。医院网络一旦遭到不法分子进行恶意攻击,网络系统瘫痪不仅会影响医院正常工作进行,还会延误患者治疗时间,给人民群众带来危机感,影响社会稳定发展。患者的信息大多比较私密,一旦大量信息泄露,不仅会给患者带来生活上的麻烦,还会给大量患者造成不安,带来更严重的社会问题。医院网络信息管理给患者和医务工作者带来众多方便的同时,也给医院网络管理者带来了重大挑战。如何完善医院网络信息管理系统,保证患者信息安全,是医院网络工作人员必须解决的问题。
2安全风险分析
2.1系统风险
首先,医院网络需要连接在互联网上才可以进行工作,所以难免会遇到各式各样的病毒入侵。然而大部分病毒的攻击力并没有想象中那么大,其中一些病毒只是垃圾广告、垃圾邮件,对医院网络不会形成实质性的破坏。但也有少部分病毒的攻击性极强,可以导致网络系统崩溃。医院网络一旦遭受这些病毒攻击,系统将面临瘫痪,严重阻碍医院工作正常进行。病毒的种类各式各样,有的病毒会霸占宽带网络,导致医院计算机不能上网;有的病毒传染性强,一台计算机感染就会迅速传染到整个医院计算机中。严格意义上说,拒绝病毒入侵是不可能实现的,但我们要及时对医院网络安全防护系统进行升级更新,最大程度避免互联网上的病毒入侵。其次,没有系统软件是不存在缺陷的,医院网络信息系统也同样存在软件漏洞。这些漏洞则是外来入侵者的最佳通道,非法分子往往利用软件漏洞窃取医院患者信息或对网络系统进行非法破坏。传统针对软件漏洞的攻击形式主要分为三种,分别为协议漏洞、缓冲区溢出和口令攻击。协议漏洞可以使入侵者获取管理员身份,从而对网络系统进行修改、删除拷贝等非法操作。缓冲区溢出是指入侵者将远远超过系统可接受长度的信息数据输入,然而很多系统软件没有识别缓冲区变化的能力,系统依旧会执行这条超长指令,将会严重影响系统稳定性,系统时时面临崩溃的可能。非法分子通过口令攻击可以获取医院网络系统的管理权限,特别是不经常更新安全防护系统的医院网络更容易受到攻击。无论哪种攻击方式都会对医院网络造成不同程度的危害,这就要求医院网络有关工作人员在软件系统日常安全维护更新中需要投入更多的时间和精力。
2.2人为因素
第一,医院网络系统的操作人员大多是医务人员,网络安全意识淡薄,缺乏相关的网络处理技术,在日常工作中非常有可能给医院网络带来危害程序。例如一些垃圾广告、垃圾邮件在操作界面上弹出,不知情的医务人员一旦打开,相应的病毒程序就可能被下载,网络信息系统将会面临威胁。还有一些医务人员在工作之余利用网络看电影、浏览新闻,网络上充斥着各种各样的病毒程序,很大程度地加大了病毒入侵的可能性,使医院系统安全维护工作难度加大。医务人员的失误操作往往是医院网络信息系统出现故障的主要原因,加强医务人员的网络安全意识培训教育也是非常必要的。第二,医院网络信息系统所面临的最大安全威胁是来自不法分子、黑客等的恶意攻击。恶意攻击的方式主要分为两种,一种是潜移默化地进行入侵,窃取医院网络中患者信息,甚至修改患者的检查数据。这种被动式攻击一般不会引起医院网络管理人员注意,等到察觉时已经造成较大的损失。另一种是主动攻击,不法分子通过软件漏洞、恶意程序等对网络系统进行入侵,导致网络系统崩溃,造成较大的网络瘫痪事故。医院有关方面可以及时进行修复,医院工作得以正常运行。无论哪种攻击方式都会对医院产生较大不良影响,阻碍患者及时就医。医院方面需要投入更多的人力、财力对网络信息系统进行安全维护,如何更好地防止恶意攻击也是医院网络安全工作的主要难题。
3防范策略建议
3.1医院网络安全体系
医院网络安全体系的建立需要遵循四个基本原则,分别为安全性、高效性、可行性和可承担性。体系的建立就是为了保证医院网络和患者信息的安全,因此安全性是最首要的基本原则,保证安全性的前提前,其他原则才有实际意义。高效性是保证软件系统在使用过程中可以顺利运行,计算机不能出现大面积卡顿甚至崩溃现象。安全体系需要相关软件进行技术支持,软件运行会影响计算机正常运行速度,相关工作人员需要在安全性能和使用性能之间寻找到平衡点。体系建立需要考虑到实际财力、人力情况,也就是可行性原则。医院能够投入的研究经费有限,安全体系就要根据实际情况,最大化地提高安全性能。可承担性是要求安全体系后期维护工作可以顺利进行,后期维护需要技术人员和经费支持,在建立安全体系时要将这些因素考虑其中。安全体系需要技术方面和管理方面的共同建立。技术方面要防止非法分子远距离入侵医院网络系统、远程破坏、窃取、修改内部数据。确保医院计算机设备全部配备安全软件系统,非医务人员无法访问任何一台计算机。管理方面需要禁止医院内部人员窃取患者信息,可以安装相应的监控摄像头。计算机设备的日常使用、后期维护也要配备相关技术人员进行管理。
3.2医院网络安全技术
第一,医院网络信息系统应设置防火墙,通过防火墙对网络进出数据进行实时监控。发现恶意攻击或病毒入侵要及时报警,阻断访问行为。第二,使用信息备份与恢复技术,及时对患者信息进行上传备份,一旦信息丢失或遭到修改,可以通过还原技术得到正确信息。第三,利用加密认证技术保证信息传输时的安全性、完整性,虽然是传统技术,但在医院网络安全体系中非常高效。第四,安全防护软件要及时进行更新,可以选择性关闭防护系统进行安全补丁安装工作。安全软件要确保能够实际使用,定期对医院网络进行安全性扫描,及时发现漏洞或病毒从而进行处理。最后,网络技术发展变化日新月异,没有永远安全的防护软件或技术系统,医院网络安全技术一定要及时更新换代。
4总结
医院网络的安全风险来自多个方面,系统本身就存在漏洞,医务人员的失误操作,外界非法分子入侵,这些都令医院安全风险问题变得复杂化。对应的防范策略涉及到安全体系的建立、安全技术的实施等,需要医院投入大量人力、物力、财力。安全工作虽然困难重重,但一定要保证医院网络信息系统安全稳定运行,促进我国卫生事业发展,为广大人民服务。
作者:张建忠 毛亮 单位:重庆三峡中心医院
引用:
[1]韩辉.医院信息化建设中网络安全分析与防护[J].信息安全与技术,2014.
[2]李炜,黄倩.医院无线网络建设及安全分析[J].电子设计工程,2015.
[3]徐亚雄.医院信息化建设中的网络安全分析与防护[J].网络安全技术与应用,2015
