探討醫(yī)院信息系統(tǒng)數(shù)據(jù)安全威脅與防范機(jī)制

潘 珩

探討醫(yī)院信息系統(tǒng)數(shù)據(jù)安全威脅與防范機(jī)制

潘 珩

目的探究分析醫(yī)院信息系統(tǒng)數(shù)據(jù)的安全威脅并有針對(duì)性的制訂防范機(jī)制。方法對(duì)我院存在的數(shù)據(jù)安全隱患以及威脅進(jìn)行分析，對(duì)其提出一個(gè)衡量標(biāo)準(zhǔn)，探究醫(yī)院信息系統(tǒng)數(shù)據(jù)方法機(jī)制的建設(shè)。結(jié)果分析醫(yī)院數(shù)據(jù)安全的威脅因素且有針對(duì)性的制訂防范機(jī)制后，醫(yī)院信息系統(tǒng)出現(xiàn)機(jī)密數(shù)據(jù)泄露及數(shù)據(jù)篡改等問題概率有了顯著下降。結(jié)論只有將醫(yī)院自身信息系統(tǒng)的安全性最大程度的提升，才能保證醫(yī)院的正常運(yùn)營和科學(xué)化管理。

醫(yī)院信息系統(tǒng)；安全威脅；防范機(jī)制

醫(yī)院信息系統(tǒng)（HIS）是當(dāng)前現(xiàn)代化醫(yī)院不可或缺的基礎(chǔ)設(shè)施，主要包括日常醫(yī)療、經(jīng)營管理、服務(wù)以及決策等多方面內(nèi)容。隨著醫(yī)院信息化建設(shè)的不斷普及與開展，醫(yī)院信息系統(tǒng)所發(fā)揮的作用不斷增大，因此出現(xiàn)的安全問題也越來越多[1]。對(duì)于醫(yī)院信息系統(tǒng)的數(shù)據(jù)安全防范已成為關(guān)系醫(yī)院能否正常經(jīng)營和管理的關(guān)鍵點(diǎn)。

1 數(shù)據(jù)安全威脅因素

1.1 主動(dòng)安全威脅此類威脅主要是指為了達(dá)到某種特定目標(biāo)所進(jìn)行的一種非法數(shù)據(jù)訪問，包括惡意訪問和數(shù)據(jù)篡改兩種形式，其對(duì)于醫(yī)院信息數(shù)據(jù)的安全存在很大危害。

1.1.1 惡意訪問 主要是指未經(jīng)過授權(quán)以非常規(guī)的手段對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行訪問，以達(dá)到某種特定目的。一般情況均由于內(nèi)部工作人員通過自身所掌握的權(quán)限或是植入木馬的方式，對(duì)更高級(jí)的權(quán)限進(jìn)行竊取，故意避開系統(tǒng)訪問的控制機(jī)制對(duì)醫(yī)院的網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用，或通過擴(kuò)大自身的權(quán)限對(duì)醫(yī)院機(jī)密或重要業(yè)務(wù)數(shù)據(jù)內(nèi)容進(jìn)行刺探等。最為典型的要數(shù)醫(yī)藥代表對(duì)自身所代理的藥品消費(fèi)數(shù)據(jù)與醫(yī)院的藥品目錄等進(jìn)行統(tǒng)計(jì)。

1.1.2 數(shù)據(jù)篡改 是指為了達(dá)到某種非法目的，對(duì)醫(yī)院的重要業(yè)務(wù)數(shù)據(jù)內(nèi)容進(jìn)行非常規(guī)篡改。常見于藥房工作人員為了做平賬目對(duì)藥品的庫存進(jìn)行修改；使非醫(yī)保藥物進(jìn)入醫(yī)院進(jìn)行使用，對(duì)醫(yī)保藥物目錄進(jìn)行篡改；修改患者醫(yī)藥費(fèi)，為自己“關(guān)系戶”患者“走后門”，對(duì)患者的檢查與檢驗(yàn)結(jié)果進(jìn)行修改；醫(yī)生為了掩蓋因自身的不當(dāng)行為而導(dǎo)致的醫(yī)療事故，對(duì)患者的病囑和病歷進(jìn)行修改。這些行為對(duì)醫(yī)院的利益和形象均會(huì)造成嚴(yán)重破壞，而修改者可從中獲益。

1.2 被動(dòng)安全威脅

1.2.1 操作失誤 該類錯(cuò)誤主要是數(shù)據(jù)庫管理人員因疏忽而出現(xiàn)錯(cuò)誤的操作，或終端用戶利用客戶端軟件當(dāng)前所存在的程序缺陷，無意之間進(jìn)行了違規(guī)操作，導(dǎo)致對(duì)醫(yī)院的數(shù)據(jù)信息造成暫時(shí)性甚至永久性損壞。

1.2.2 硬件故障 主要是指因硬件原因使醫(yī)院信息系統(tǒng)的運(yùn)行出現(xiàn)異常，主要包括網(wǎng)絡(luò)故障和服務(wù)器故障。導(dǎo)致出現(xiàn)服務(wù)器故障的因素有硬盤故障、主板故障等，且該故障會(huì)隨著服務(wù)器運(yùn)行時(shí)間而呈現(xiàn)正相關(guān)聯(lián)。網(wǎng)絡(luò)故障主要表現(xiàn)為網(wǎng)絡(luò)不順通，大部分由于網(wǎng)線原因而出現(xiàn)此類故障。

2 醫(yī)院數(shù)據(jù)安全衡量標(biāo)準(zhǔn)

2.1 完整性醫(yī)院數(shù)據(jù)信息必須要安全、有效且精確，不會(huì)因任何不安全因素而對(duì)原來數(shù)據(jù)內(nèi)容及流向有所修改或破壞。數(shù)據(jù)的完整性主要包括實(shí)體完整性、數(shù)據(jù)參照完整性及用戶定義完整性。

2.2 保密性是指醫(yī)院系統(tǒng)中只會(huì)對(duì)經(jīng)過允許的人員提供有保密要求的信息，對(duì)此類信息的使用只能通過經(jīng)過允許的方式，避免系統(tǒng)內(nèi)部的信息出現(xiàn)非法泄露的情況。

2.3 可靠性醫(yī)院信息系統(tǒng)的數(shù)據(jù)信息，在需要時(shí)可及時(shí)使用，不會(huì)因系統(tǒng)故障或操作失誤等問題所影響，而出現(xiàn)信息丟失或信息難以使用等。對(duì)于硬件的要求應(yīng)具備冗余技術(shù)和完整的備份數(shù)據(jù)以及恢復(fù)的機(jī)制；而軟件方面則需具預(yù)警和自動(dòng)修復(fù)的功能。

3 醫(yī)院數(shù)據(jù)安全防范機(jī)制

3.1 權(quán)限管理對(duì)于醫(yī)院信息系統(tǒng)數(shù)據(jù)安全性而言，可靠的數(shù)據(jù)庫權(quán)限控制有著非常重要的存在價(jià)值。在信息系統(tǒng)中，不同的工作人員都應(yīng)具有與自身工作匹配的權(quán)限，如果能夠隨意僭越權(quán)限進(jìn)行操作，極易導(dǎo)致出現(xiàn)嚴(yán)重問題。對(duì)于此類問題主要從以下方面入手：①適當(dāng)授權(quán)。對(duì)每位用戶或角色，在授權(quán)時(shí)只授予對(duì)應(yīng)的最小化權(quán)限，與本身業(yè)務(wù)無關(guān)的權(quán)限則不能授予，避免因此出現(xiàn)越權(quán)操作，如果工作人員有離崗或崗位調(diào)動(dòng)時(shí)則應(yīng)將其用戶分配權(quán)限收回；②數(shù)據(jù)庫相關(guān)操作須規(guī)范。醫(yī)院的發(fā)展需不斷對(duì)自身陳舊的程序進(jìn)行更換或更新，嚴(yán)格的規(guī)章制度對(duì)其進(jìn)行規(guī)范就比較重要。數(shù)據(jù)信息系統(tǒng)因進(jìn)行軟件更新時(shí)而出現(xiàn)問題，所以對(duì)于數(shù)據(jù)庫的操作需嚴(yán)格要求，以免出現(xiàn)人為錯(cuò)誤操作的事件[2]。

3.2 數(shù)據(jù)加密所謂權(quán)限管理是從制度開始對(duì)于用戶的使用權(quán)限進(jìn)行約束，為了避免因漏洞導(dǎo)致對(duì)數(shù)據(jù)庫進(jìn)行非法操作的行為有所抑制，可通過對(duì)數(shù)據(jù)進(jìn)行加密以達(dá)到防范的效果，即使擁有相關(guān)權(quán)限，但其加密數(shù)據(jù)依然難以破解[3]，具有顯著的防范作用。

4 結(jié)語

本文主要對(duì)醫(yī)院當(dāng)前存在較為普遍的數(shù)據(jù)安全威脅現(xiàn)象進(jìn)行分析，并根據(jù)分析的原因進(jìn)行有針對(duì)性的處理，為今后保障醫(yī)院系統(tǒng)數(shù)據(jù)安全提供可靠依據(jù)。當(dāng)前提倡現(xiàn)代化醫(yī)院建設(shè)，醫(yī)院信息系統(tǒng)數(shù)據(jù)是關(guān)乎醫(yī)院發(fā)展的重點(diǎn)，因此加強(qiáng)醫(yī)院系統(tǒng)數(shù)據(jù)安全防范機(jī)制的制訂有很大的必要性。

[1] 劉俊梅.醫(yī)院信息系統(tǒng)的現(xiàn)狀及其發(fā)展趨勢[J].解放軍護(hù)理雜志,2011,28(7):45-46.

[2] 杜金霞,張玲.淺談醫(yī)院信息系統(tǒng)的應(yīng)用與發(fā)展[J].醫(yī)療裝備,2012,25(1):52-53.

[3] 張媛.無線網(wǎng)絡(luò)技術(shù)在醫(yī)院信息管理系統(tǒng)中的應(yīng)用[J].醫(yī)療衛(wèi)生裝備,2012,33(1):58-60.

R197.3

B

1673-5846(2014)01-0176-02

河南省鄭州大學(xué)第一附屬醫(yī)院，河南鄭州 450052