近年来医药卫生体制改革的文件不断出台,推动了现代信息技术和医疗机构信息化建设的迅速发展。基于此,文章阐述医院信息化建设在计算机网络安全管理的价值,指出影响医院计算机网络安全的相关因素,并对网络安全管理与防护措施进行研究。
1网络安全在医院信息化建设中的重要性
计算机网络是在医疗信息化建设及基础,是医疗管理系统的载体。医院的网络架构一般是由服务器、存储设备、交换设备、网络设备以及保障其不受攻击的安全设备组成。医院业务信息系统部署在院内服务器中,利用存储设备保存医疗数据,通过网络设备实现系统功能应用和数据传输。但是,如果没有安全设备,服务器、存储、网络设备、应用软件就如同没穿铠甲的士兵在战场上打仗,结果是可想而知的。在网络安全形势越来越严峻的国际大背景下,网络安全在医院信息化建设中的重要性是不言而喻的。因此,保障医院信息系统的安全至关重要,怎样预防和应对这些存在的安全隐患,避免对运行的信息系统造成威胁,保护患者的隐私不被泄露,是医院信息系统建设过程中应当考虑的最重要的问题,为打造完善的医疗服务体系做保障[1]。医院信息系统的建设离不开安全的网络环境做保障,网络安全是信息化建设过程中的头等大事,是首要考虑的因素[2]。在医院信息化的过程中,信息系统的建设和网络安全保障是相辅相成的,加强网络安全的风险预防、控制和管理,很大程度上保障了系统内部业务数据和患者隐私的安全性,同时也提高了信息系统的建设水平[3]。
2影响医院网络信息安全的因素
2.1硬件方面:随着信息技术的高速发展,网络安全防范技术已经和信息化体系结构深度融合起来,这样对以数据信息的交换、传输、存储为主要的网络管控机制,具有明显有效的作用[4]。医院信息化建设的硬件基本上实现了国产化,可是即使是国内品牌的设备使用的仍然是国外的技术,包括中央处理器(CPU)、内存、操作系统等。除了设备本身的技术漏洞,不能及时进行配置设定,不能定期给软件升级,没有使用必要的安全设备,交换机、网络打印机没有重置密码,或者有些医院没有采购正版软件等,都是在技术层面形成的安全漏洞。会使设备面临崩溃、系统崩溃、数据丢失等严重问题。近年来由于上述原因,多家医疗机构已经遭受了比较严重的入侵,造成巨大的损失,严重阻碍了信息化发展的速度,降低了信息化飞速发展带给医院发展的质量。
2.2软件技术方面:医院信息管理系统是个庞大而繁杂的管理软件。它不仅涉及多学科(临床、医技、药事、治疗、管理、保障等),还存在维度多、交叉业务频繁、条线复杂的情况。这么庞大的系统工程不是一个或几个厂家的产品能解决的,每个软件厂商都有其优势,那么医院就会采购多家厂商的产品。由此产生的后果是,每个系统的应用都符合应用部门的需求,然而这么多的厂商和近200多个系统的管理就会存在疏漏。尤其是软件厂商的产品本身有无安全漏洞、权限设置是否合理、密码规则有没有强制限定等,都是造成网络安全的因素。
2.3人为因素方面:医院计算机网络和信息管理系统是医院运营管理的主要手段。所有的资源都在信息系统内共享,如果一旦因人为操作不规范,就会使病毒入侵有机可乘,随着网络中数据的传输、交互,蔓延到整个网络架构,致使网络系统全面瘫痪。另外,病毒本身不易被检测到,所以很难通过目前的杀毒软件进行全面查杀。网络管理者的密码设置不够严谨、保存不当。以及应用软件的使用者安全意识淡薄都会使有心者提供威胁便利。从医院信息系统的应用来看,每个系统都需要身份信息识别,一般需要以账号、密码相结合的方式验证身份,这就引发了网络安全中常见的账号密码被暴力破解的问题。密码级别、复杂度低的密码设置增加了用户信息被盗的风险。
3解决网络安全的方法和措施
3.1建立健全网络安全保障体系:网络安全离不开制度保障,因此出于医院网络安全的考虑,我们首先要明确医院系统的网络架构,分析其中可能存在的隐患,针对具体的架构和隐患制定相应的网络安全应对方案和制度,并严格遵照落实。同时,要规范操作规程,定期或不定期地对重要的信息系统或平台进行风险评估和隐患排查,明确具体隐患的责任主体,加强访问控制权限、弱口令、身份鉴定等技术防范管理,净化网络环境。
3.2对网络系统进行安全隔离:医院作为特殊的机构,业务繁琐复杂,数据资源类型众多,数据规模庞大,每个部门对信息系统和数据的要求不一,因此,医院为提升信息网络安全水平,必须要针对具体业务部门的需求,在规划网络时,根据具体的实际情况,实行严格的内外网隔离,加强小范围的局域网网络隔离,从而保证数据在存储、传输共享时的网络安全。
3.3加大对医院网络信息安全的资金投资力度:医院的信息化发展离不开网络安全的保障,网络安全除了做好制度保障和技术防范措施外,有专门的网络安全软件、硬件防护设备更加重要,因此要加大对网络信息安全的软硬件设备资金的投资力度。比如,购买检测性能较好的杀毒软件,对每一台终端进行定时或不定时监测,一旦发现用户操作过程存在安全风险,则弹窗提醒,帮助用户作出有效判断,定时更新最新的病毒库,对当前系统数据传输过程中存在的风险数据进行界定,依据系统病毒库中的数据进行类型判断,判断为其中某种风险,就进行查杀处理,防止内部网络被入侵。还有,对重要信息系统的服务器做双机备份,当服务器A出现故障时,系统内部能自动检测并自动切换到服务器B,保证业务不停歇、数据不丢失。以及,运用身份识别认证技术,购买身份认证的服务器和介质,使用U盾作为用户签名的鉴定,防抵赖、防篡改。因此,医院网络信息安全需要安全防护软硬件做保障,加大软硬件的投资需要成本。
3.4定期备份、恢复数据:以上都是保证网络信息安全的预防措施,一旦发生网络安全事故,最首要的任务就是保证数据的恢复与业务的正常运行。因此,在网络安全遭受入侵时,尽可能地避免数据丢失或者将数据丢失带来的损失降低到最小是最为有效的一项补救措施,也就是说在日常工作中,定期地进行数据备份与恢复尤其重要。对数据进行备份,是为防止系统在出现故障或遭受攻击后业务中断造成数据丢失,而采取的将数据的全部或部分复制到其他存储介质的一种措施。数据恢复是指系统遭受灾难后,利用备份的数据对系统和业务进行恢复的过程。数据备份是为了对遭遇数据灾难后的数据进行灾难恢复,其核心是如何在灾难中保护数据及灾后迅速启用数据。根据数据灾难的类型,如:硬件故障、操作系统故障、软件平台故障、人为操作失误、网络入侵或其他安全事件,数据备份的方式和策略也有所不同,可以是定期或实时备份,可以是本地磁带、光盘、硬盘备份,也可以是远程磁带、光盘、硬盘备份,以及利用云计算技术进行备份,策略和方式根据具体实际情况选择结合。医院根据实际情况选择适合的备份方式,这样的话,在医院业务数据遭受灾难时,能保证数据在最短时间内恢复,保障原有系统的正常运行,将损失减小到最低。
在新时期,各大医院都在不断地加大资金投资力度,加快医院信息化的发展速度,这是医院发展征程上必须经历的阶段,有利于提升医院的品牌形象和服务质量[5]。在医院信息化发展为患者提供便利,为医院发展提供决策和支持的同时,也面临着网络信息安全的巨大挑战。因此,医院领导及工作人员要重视网络信息安全,将安全防护工作放在首要位置,通过建立健全网络安全保障体系,加大对网络安全工作的资金投资力度,利用软硬件设备和技术防范手段,安排专职人员定期数据备份与恢复等方式,将网络安全工作尽全力尽做到极致。网络安全无小事,只有做好医院信息化建设中的网络安全工作,医院信息化才能助力医院发展,更好地为提升患者就医体验、提升医院发展质量和服务水平做贡献。
作者:郭俊 郭煜 单位:山西省数字健康指导中心 西省中医院信息管理科
