醫(yī)院信息網絡與信息系統(tǒng)的風險管理

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了醫(yī)院信息網絡與信息系統(tǒng)的風險管理范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：隨著計算機及互聯(lián)網技術的飛速發(fā)展，醫(yī)院管理已離不開網絡和信息系統(tǒng)，醫(yī)院管理信息系統(tǒng)是支撐醫(yī)療業(yè)務、醫(yī)療質量和醫(yī)院全面管理的重要保障，涉及醫(yī)院業(yè)務活動的方方面面，信息安全尤為重要。本文就醫(yī)院的信息網絡與信息系統(tǒng)的安全風險進行初步的分析，以期與醫(yī)院同行共同探討交流一些常用的安全技術。

關鍵詞：網絡安全；醫(yī)院；信息安全；風險管理

0引言

醫(yī)療行業(yè)是一個比較特殊且管理復雜度相對較高的領域，信息化是現代醫(yī)院管理的重要基礎和技術手段，醫(yī)院信息化是多種網絡硬件與龐大的醫(yī)療業(yè)務管理應用模塊所構成的技術綜合體，任何一個細小的軟硬件故障或細微的安全疏忽都可能造成全院臨床業(yè)務和醫(yī)療服務的中斷。為此，在醫(yī)院管理信息化的建設過程中，我們多花費一些時間來思考信息安全、多花費一些投入去保障信息安全則是一件十分必要且富有現實意義的工作。

1醫(yī)院網絡安全及信息系統(tǒng)安全風險的識別

信息系統(tǒng)安全的概念實際上已包含了硬件和軟件的安全。其中的硬件即常說的網絡安全，其中的軟件是指滿足管理要求的軟件應用模塊、系統(tǒng)、平臺以及實現安全指標的各類硬件設備中所固化的程序指令代碼。在學術界，一般只用信息安全這一概念，而在實際工作中經常會混淆這兩個名稱，口語化常用網絡安全代指硬件安全，信息安全代指軟件安全，均屬于信息安全的學術范疇。

1.1信息安全是醫(yī)院可持續(xù)發(fā)展的重要保障

醫(yī)院信息化是多種網絡硬件與龐大的醫(yī)療業(yè)務管理應用模塊所構成的高技術綜合體，醫(yī)院信息化管理系統(tǒng)涉及臨床管理、藥耗品與物資管理、財務管理、行政管理、后勤管理、績效管理等眾多應用管理。近年來，遠程醫(yī)療、自助服務、醫(yī)保結算等網上醫(yī)療或云醫(yī)療服務的不斷延伸，網絡的健壯性與安全性需求已提升到一個重要的位置，任何一個細小的軟硬件故障或細微的安全疏忽都可能造成全院臨床業(yè)務和醫(yī)療服務的中斷，這就涉及財務風險和醫(yī)療服務糾紛風險。醫(yī)療信息涉及公民個人隱私，涉及公民隱私保護的法律風險，因此醫(yī)療信息必須采取多重安全措施、備份措施。這三大風險是一家醫(yī)院正常經營和持續(xù)發(fā)展的重大隱患，務必要采取相應的技術措施和管理措施予以防范。

1.2信息安全是推動醫(yī)療行業(yè)向現代化醫(yī)院發(fā)展的重要基礎

隨著區(qū)域醫(yī)療資源的大整合、分級診療制度的落地實施以及全國醫(yī)?？鐓^(qū)結算體系的建立，醫(yī)院管理的信息化已不再是一家醫(yī)院自己內部的事情了，所有的信息必須走出醫(yī)院、走出地市、走向全國，實現全國范圍內醫(yī)療信息的互聯(lián)互通，這是一個大趨勢，所以，在信息安全方面達不到相應安全等級保護（等保）的醫(yī)院，則沒有資格接入這一全國范圍內的互聯(lián)互通醫(yī)療信息網絡，不跨過這一門檻，醫(yī)院的發(fā)展以及向現代化醫(yī)院推進的理想就只能是一朵浮云。

2醫(yī)院網絡及信息系統(tǒng)的安全管理

醫(yī)院信息系統(tǒng)中的醫(yī)療信息數據、財務信息數據等內容眾多，運用病毒查殺軟件、建立防火墻等網絡技術，加強軟硬件雙重管理，保證內部業(yè)務交流、數據信心安全以及對入侵監(jiān)測的管理，強化用戶的層級管理，對用戶的認證與業(yè)務處理范圍進行管控，強化內部管控的提升，從容應對外部黑客、病毒等問題對系統(tǒng)及網絡的攻擊，保障醫(yī)院信息系統(tǒng)可靠運行，促進醫(yī)院現代化管理水平不斷提升。

2.1建立完善的防火墻及安全檢測策略

防火墻技術和安全策略是醫(yī)院信息系統(tǒng)安全的可靠保障，通過多層安全策略的保護機制，為醫(yī)院醫(yī)療數據及資源、財務相關數據提供有效保證，并能夠提升工作效率，和諧醫(yī)患關系，保證業(yè)務流程的順利，實現醫(yī)療和醫(yī)院信息管理系統(tǒng)的健康運行。（1）防火墻能夠將內網與外網進行有效分隔，建立可靠的網絡互聯(lián)關卡，提升網絡用戶的訪問、認證及有效數據過濾，防范外來數據的攻擊，是安全的重要邊界，同時也是保護敏感的可靠數據服務應用。尤其針對外來入侵及病毒的監(jiān)測，加強地址、及身份認證進行深化管理。重視將內外網絡的監(jiān)控及隔離，醫(yī)院的數據庫內含有大量病患資料、研究資料及財務數據等眾多內容，眾多的信息及數據資源訪問及流通，需要具有深入攔截及管控能力的防火墻，對關鍵、敏感及熱點訪問連接進行多層設置，防止因出現網絡安全出現攻擊等問題對全局造成停止影響。對內外部連接區(qū)域的數據交換尤為重要，加強運行保障，提升安全區(qū)域的等級劃分，實施網絡訪問等級劃分，對不同業(yè)務的需求進行權限管理，對內部人員進一步進行管理，運用過濾技術的防火墻，為醫(yī)院信息系統(tǒng)建立安全管理的第一道防線。（2）醫(yī)院信息系統(tǒng)的安全管控第二個關鍵門卡是入侵檢測，對防火墻薄弱的內部攻擊及未知攻擊進行防范，加強網絡的監(jiān)測力度，建立共同的系統(tǒng)網絡防范有效措施，對系統(tǒng)管理員員監(jiān)控、識別等響應能力進行關注，提升安全管理的能力。運用入侵檢測對系統(tǒng)內網絡、用戶活動情況進行關注，對不同網段的傳感器、日志、流量及文件和軟件的非正常改變進行控制，信息與程序執(zhí)行情況及時進行對比，迅速分析，合理運用檢測引擎對各項信息及數據進行檢測，對出現網絡入侵情況及系統(tǒng)非正常變化進行匹配模式分析，關注重點及熱點區(qū)域文件數據信息是否完整，對統(tǒng)計對象的屬性闕值進行統(tǒng)計分析，加強入侵監(jiān)測設備的參數定義，及時進行內部權限多層管理模式，可采用二到七層分級管理方式，保障信息的有效性及可控性，為不同權限人員提供不同的系統(tǒng)服務。

2.2加強信息安全管理的綜合管控

醫(yī)院對信息通建設具有明確的管理制度，加強安全管理的系統(tǒng)性，加大信息安全等保投入，提升網絡安全的管理及建設標準，強化用戶的日志及權限管理，醫(yī)院信息系統(tǒng)運行是24小時無停息，重視對防火墻、入侵檢測等多重管控，提升整體管控意識，合理進行多終端系統(tǒng)管理，實現操作運行的規(guī)范及標準性，運用殺毒軟件、防火墻及入侵檢測等多個防范措施進行防范，還可以利用黑盾等軟件接入認證，提升主機通信加密管理，防范地址欺騙，實現信息網絡的管理安全，保證醫(yī)院系統(tǒng)平穩(wěn)運行。注重軟硬件共同的安全管理，強化軟件管控及技術提升，注重硬件使用的審批手續(xù)及可靠管理，滿足系統(tǒng)安全管理整體管控需求。

2.3加強無線網絡安全管理管控

隨著近年來無線終端設備的迅速普及，醫(yī)院信息系統(tǒng)中無線應用迅速普及，提供日常檢查、咨詢及反饋等多種信息交流，重視對網絡秘鑰的管控，對非法訪問或黑客入侵從源頭上進行把握，防止因SSID廣播的應用造成不必要的信息泄露與安全管控問題，強化病患隱私與醫(yī)療數據的管理，提升用戶信息處理能力，分層級進行身份驗證，對局域網內人員行為進行可靠的約束，加強巡視及比對，對出現非法越權及數據波動加大用戶進行管控，實現無線網絡的安全管控。

2.4提升信息系統(tǒng)網絡硬件的安全等級

網絡安全及醫(yī)院信息系統(tǒng)需要大量的硬件，且醫(yī)院科室眾多并與都醫(yī)患信息、財務信息相聯(lián)系，加強多終端硬件的管理，對外來U盤、移動硬盤等硬件應用需要加強，防止從內部侵害網絡安全，健全規(guī)章管理制度及審批手續(xù)，完善硬件設備、文件利用及機房環(huán)境、線路連接等管控，并加強相關管理制度的。尤其是醫(yī)療文件、財務文件的讀取與拷貝，必須經過層層審批，在拷貝過程中要進行監(jiān)督及檢查，對外來硬件進行查殺、篩選后進行應用，從源頭進行安全管理，實行可靠運行，為信息系統(tǒng)軟件與硬件管理形成可靠保障。

3結語

醫(yī)院信息系統(tǒng)及網絡安全管理是醫(yī)院業(yè)務運行的重要保障，加強網絡安全管理，為醫(yī)院營造穩(wěn)定、健康的網絡環(huán)境，提供更為優(yōu)質的服務，降低重復、枯燥的工作，提升醫(yī)院服務效率，滿足患者不同需求。加強醫(yī)院內外網的管控，強化防火墻、殺毒軟件、入侵檢測等環(huán)節(jié)的能力及水平，防范黑客、病毒等多方面的攻擊，強化無線網絡的服務與管理，提升安全性，妥善保障醫(yī)院內部信息，為更多患者提供個性服務，促進我國網絡系統(tǒng)安全運行與維護能力提升，推動我國醫(yī)療行業(yè)信息化管理的整體大發(fā)展。

參考文獻：

[1]王玉珍，賀瀅，馬婧等.醫(yī)院信息系統(tǒng)安全保障體系存在的風險分析[J].醫(yī)療衛(wèi)生裝備，2007.

[2]鄭西川，張漢雄，胡燕峰等.醫(yī)院信息系統(tǒng)安全架構及實施策略[J].中國醫(yī)療設備，2006.

[3]李明龍.基于網絡安全角度分析醫(yī)院計算機信息系統(tǒng)技術的應用[J].網絡安全技術與應用，2016.

作者：薛瑤 單位：南京醫(yī)科大學附屬常州第二人民醫(yī)院