摘 要: 本文以医院信息安全面临的问题和解决问题的策略为主题, 对其进行探讨。
关键词: 信息安全; 网络技术; 医院信息系统; 信息资源;
随着医院信息化的迅速发展, 以及其业务范围的不断扩大, 医院的各个环节都引入了信息系统, 使得医院信息系统分布大规模增加, 信息安全的风险也随之而来, 包括由于计算机设备故障, 系统缺陷, 病毒侵害, 黑客攻击等。为了保证医院信息管理系统中的信息资源的安全和完整, 避免医疗数据的丢失、损坏、被篡改、被盗取以及信息泄露等情况发生, 加强医院信息安全愈发重要。
1、 医院信息管理安全现状及分析
1.1、 当前医院信息安全的现状
通过实际调查以及新闻报道, 我们可以得知, 在医院的各个环节都进入了信息系统的今天, 医疗信息尤其是病人在医院治疗的各种信息, 成为了医院及医疗系统中重要的信息资源。由于网络具有开放性, 黑客或者不法分子可以通过网络手段或其他手段对医院信息管理系统造成破坏, 篡改, 盗取数据信息用于非法活动, 甚至直接导致医院信息系统崩溃、瘫痪。这不仅仅会影响到医院的正常工作和发展, 而且还会给社会带来了不稳定因素。
1.2、 医院信息安全问题的分析
1.2.1、 对系统用户权限分配管理存在的问题
在医院工作的人员众多, 按照职能可将员工分为医生、护理人员、行政管理人员、医疗技术人员、后勤管理人员等几大类工种, 每个工种下面又根据级别不同可以按级别再次分类。由于每个工种的职责不同, 不同级别的权力不同, 这使得不同的工种, 不同级别的人员对可共享信息资源访问和操作的权限是不同的。每个工作人员都具有自己独有的用户账号和密码, 但是由于有些工作人员缺乏信息安全意识, 从未修改自己的初始密码, 或者将自己的用户账号和密码告知他人直接让他人使用, 这就从某种程度上已造成了用户权限的泄露。
此外, 由于医院信息系统的大规模增加, 对于不明网络、计算机终端接入有所忽视, 使得某些未经授权的用户可随意连接进入医院内网, 对医院网络信息安全构成了极大地威胁。
1.2.2、 信息管理系统终端存在的信息安全隐患
医院信息系统的终端, 即客户端。用户随意插接USB、硬盘等外接设备, 安装一些非法软件或不明插件都有可能使黑客或者病毒入侵, 导致信息系统的安全受到极大的威胁和破坏。
1.2.3、 服务器端存在的信息安全隐患
作为医院信息管理系统的核心, 服务器的安全和稳定是整个医院信息系统安全运行的根本。服务器机房的安全决定了服务器物理上的安全。通过实际调查可知, 医院服务器机房由于失火、被盗、进水、断电、被雷击等突发状况直接致使医院信息系统瘫痪或者为医院带来不同程度上的损失, 例如数据丢失等。另一方面, 由于目前大部分操作系统采用Windows操作系统, 由于操作系统未能及时更新, 以及防火墙处于关闭状态, 长时间不进行系统安全检测, 这将使系统处于极大的安全威胁中, 甚至导致服务器系统崩溃或者数据库被破坏。
2、 医院信息系统安全对策探讨
2.1、 保障医院服务器及服务器机房的安全
服务器及机房是承载整个医院信息系统的基础, 由于服务器、交换机、路由器等设备都集中在机房中, 故其安全性不言而喻。首先, 要为机房和设备提供安全的物理环境, 包括:机房内适当的温度、湿度, 保证机器设备易于散热;使服务器机房内处于防火、防盗、防雷击、防电磁辐射骚扰的安全环境下, 以此保障设备不被直接造成物理损坏;定时打扫机房;限制服务器机房的使用权限, 减少服务器机房内的人员流动;在服务器机房内安装监视器;保证机房的不间断供电, 配备备用电源, 使机房在断电状态下各设备能够继续工作。
此外, 在医院信息系统中的信息资源, 包括科室医生信息, 病人信息, 医疗数据, 药品信息, 病例档案信息等, 其安全和完整关乎整个医院信息系统的正常运行。因此, 数据库的备份至关重要。可采用双机热备份与磁盘阵列技术相结合, 若主服务器因故障停止工作, 备用服务器立即代替主服务器工作, 待主服务器恢复正常后再将数据上传至主服务器, 确保数据的完整性和正确性。
2.2、 限制用户的使用权限和用户对终端的操作
由于用户随意插接USB、硬盘等外接设备, 安装一些非法软件或不明插件, 有可能会导致黑客或者病毒入侵, 对信息系统安全造成威胁。对此, 须对用户权限进行限制, 除因工作需要必须使用外接设备的终端, 其余终端的USB接口和光驱禁用, 对外来的USB、硬盘等外接设备做好病毒查杀或者格式化操作, 以此避免病毒通过终端进行传播, 威胁整个医院网络。强制各个工作人员修改其用户密码, 保证个人用户权限不被外人使用, 加强工作人员的网络安全意识。
2.3、 对计算机病毒的防治及阻止黑客入侵
当今网络技术高速发展, 计算机病毒传染与黑客入侵手段也是层出不穷, 伴随着计算机病毒与黑客入侵手段的发展, 病毒防治与反黑客入侵技术的进步也是日新月异。对于医院信息系统这一庞大且具有广泛数据资源的网络, 对病毒防治及反黑客入侵必不可少。若仅仅依靠定期检测是不能确保医院网络安全的, 必须依靠长效的防治手段与机制。主要的对策有:
(1) 医院信息网络中接入的计算机均安装正版操作系统, 并且要定期更新版本;
(2) 为医院信息系统安装防火墙, 阻止来自外部的恶意程序或者病毒的入侵;
(3) 为医院信息系统安装正版企业版杀毒软件, 并定期进行病毒查杀和检测系统漏洞;
(4) 实行医院内网与外网之间的有效控制, 除个别因工作需要必须连接外网的计算机, 其余系统内计算机不得连接外网, 确保医院内网安全;
(5) 实时对医院网络流量、设备状态、用户行为实行监控。根据记录数据进行分析, 一旦发现流量出现异常, 则立刻采取流量限制措施, 并且对流量数据进行分析, 保证网络效率及内网的稳定性;
(6) 对未经授权私自连接进入医院内网的设备进行监控, 确定位置, 并且阻止其继续访问;
(7) 对数据库采取防SQL注入攻击, 同时在Web service接口函数中增加防止SQL注入, 保证数据库的完整与保密。
3 其他
医院的信息安全, 不仅要靠技术和硬件设备的支持, 还需要相应的管理制度。明确医院不同职位的员工在医院信息系统中的权限, 对违规操作导致信息丢失、泄露的员工进行相应的惩罚。在新版本的信息系统上线后对医院员工展开使用流程培训, 同时普及网络安全常识以及宣传医院信息管理制度。
4、 结论
医院的信息安全作为一个长期存在的问题, 关乎医院的正常运行以及社会的稳定, 医院的信息管理人员责任重大。本文以此为主题, 分析了当下医院信息管理中存在的信息安全问题, 并由此总结了一些行之有效的防治对策和技术手段。有效的技术手段, 加之相应的管理是保证医院信息系统安全的关键。
参考文献
[1]高晨光, 马宝英, 高照彦, 范书平.医院信息系统网络安全问题及对策研究[J].中国农村卫生事业管理, 2013 (03) .
[2]周雪.医院信息管理系统中的安全问题及对策探讨[J].电脑知识与技术, 2014 (05) .
[3]赵峰.加强医院信息管理系统安全的策略[J].网友世界, 2013 (07) .
[4]许耀文.信息安全管理的建设在医院信息化建设中的作用探讨[J].现代经济信息, 2018 (08) .
