卞保軍

（連云港市第四人民醫(yī)院 江蘇 222001）

0 引言

隨著現(xiàn)代信息技術(shù)的發(fā)展，醫(yī)院信息管理不斷吸收新的信息理論、理念、技術(shù)，從無到有，發(fā)展至今，成為集門診、住院、檢查檢驗、電子病歷、遠(yuǎn)程會診等綜合化的信息平臺，實現(xiàn)集成式、覆蓋式、數(shù)據(jù)共享醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)。醫(yī)院信息直接影響診療活動，信息網(wǎng)絡(luò)安全直接影響信息的正常流通，若出現(xiàn)故障，可能給診療活動造成巨大的危害，甚至釀成醫(yī)療事故。本次研究從醫(yī)院網(wǎng)絡(luò)的特點、隱患、常見的問題出發(fā)，論述構(gòu)建安全網(wǎng)絡(luò)的策略。

1 存在的風(fēng)險

1.1 網(wǎng)絡(luò)安全防護(hù)能力薄弱

網(wǎng)絡(luò)自身存在脆弱性，作為虛擬信息傳輸系統(tǒng)，其本身易受干擾，對安全防護(hù)要求較高。光纜電纜質(zhì)量、走向、布局，服務(wù)器質(zhì)量、穩(wěn)定性，交換機(jī)熱備，防水、防斷電漏電、防雷擊、防觸動要求較高，據(jù)統(tǒng)計絕大多數(shù)二級醫(yī)院信息管理系統(tǒng)缺乏專業(yè)維護(hù)，硬件設(shè)施不完備，抗故障能力不足。信息基礎(chǔ)技術(shù)、數(shù)據(jù)庫管理、數(shù)據(jù)容災(zāi)備份、網(wǎng)絡(luò)安全管理等核心技術(shù)掌握不足，存在被攻擊的潛在風(fēng)險；醫(yī)院信息系統(tǒng)可靠性有待提高，系統(tǒng)研發(fā)技術(shù)儲備不足，嚴(yán)重依賴于軟、硬件產(chǎn)品堆砌，合理性、科學(xué)性、系統(tǒng)性有待加強(qiáng)，不僅增加了系統(tǒng)負(fù)荷，還存在未知的軟件沖突風(fēng)險。

1.2 內(nèi)部管理風(fēng)險

網(wǎng)絡(luò)安全意識有待加強(qiáng)，從上至下醫(yī)院人員均忽視網(wǎng)絡(luò)信息安全，筆者調(diào)查本院約有80%工作人員網(wǎng)絡(luò)信息安全意識、行為不合格。主要表現(xiàn)，①涉及自身登錄，安全防護(hù)意識嚴(yán)重不足，缺乏可靠、安全的防護(hù)手段，均采用簡單數(shù)字密碼登錄模式，在自己使用的登錄設(shè)備上軟件防護(hù)嚴(yán)重不足；②對登錄設(shè)備管理不足，存在安全隱患，登錄時不觀察周圍環(huán)境，同事之間互相登錄，在醫(yī)院外人員面前登錄，登錄離開后不退出登錄界面，等等；③安全防護(hù)觀念落后，意識不足，工作人員從上至下均忽視醫(yī)院網(wǎng)絡(luò)信息安全管理，部分工作人員認(rèn)為網(wǎng)絡(luò)安全是信息科人員工作；醫(yī)院領(lǐng)導(dǎo)對醫(yī)院網(wǎng)絡(luò)信息安全缺乏足夠的了解與重視，缺乏管理投入，上行下效，管理制度混亂；④缺乏完備、科學(xué)的網(wǎng)絡(luò)信息安全內(nèi)部管理，對不安全行為缺乏監(jiān)督、約束，違規(guī)操作缺乏懲戒，違法操作難以被發(fā)現(xiàn)、監(jiān)管。

1.3 外部風(fēng)險

目前，多數(shù)大型醫(yī)院已認(rèn)識到醫(yī)院內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相互串聯(lián)存在的信息安全風(fēng)險，進(jìn)行了一定的改進(jìn)，但出于成本、時間過于緊迫等因素，絕大數(shù)醫(yī)院內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)仍為串聯(lián)，缺乏有效的物理隔絕手段，有來自于外部侵入的風(fēng)險。外部連接缺乏有效的控制手段，主要表現(xiàn)在以下幾個方面：①醫(yī)院信息設(shè)備普遍內(nèi)、外網(wǎng)絡(luò)通用，工作人員既可登錄連接外部互聯(lián)網(wǎng)也可登錄內(nèi)部信息網(wǎng)絡(luò)，改造成本巨大，改造也需要耗費較長的時間，可能致信息網(wǎng)絡(luò)在一段時間內(nèi)癱瘓，影響診療活動，因此許多醫(yī)療機(jī)構(gòu)即使意識到內(nèi)、外通用的風(fēng)險，仍不愿進(jìn)行改造；②對外圍設(shè)備管理不足，對醫(yī)院工作人員、外部人員移動、連接設(shè)備如光驅(qū)、U盤、USB無線接入設(shè)備、WIFI管理存在漏洞；③對來自于外部侵入監(jiān)控能力嚴(yán)重不足，一方面醫(yī)院信息安全人員技術(shù)儲備畢竟無法與專業(yè)人員相比，網(wǎng)絡(luò)黑客、駭客能力強(qiáng)大，威脅醫(yī)院網(wǎng)絡(luò)信息安全，另一方面醫(yī)院自身信息系統(tǒng)防范外部侵入技術(shù)儲備不足，目前，我國絕多數(shù)醫(yī)院管理系統(tǒng)均重視電子病歷、臨床路徑、醫(yī)生工作站、檢查檢驗等信息系統(tǒng)建設(shè)，重視診療信息交換，資源控制、管理決策，輕視風(fēng)險防護(hù)，對防病毒系統(tǒng)、入侵檢測系統(tǒng)、防火墻系統(tǒng)重視不足，多采用市場上通用安全產(chǎn)品作為防護(hù)手段，不僅存在不兼容的風(fēng)險，還缺乏可控性。

2 醫(yī)院網(wǎng)絡(luò)安全管理策略探討

基于以上的網(wǎng)絡(luò)安全風(fēng)險，加強(qiáng)人員管理、設(shè)備管理、風(fēng)險處理，構(gòu)建覆蓋式的網(wǎng)絡(luò)信息安全管理體系。

2.1 人員管理

人是風(fēng)險管理的關(guān)鍵，所有的管理都是由人來完成的，人具有巨大的能動性，加強(qiáng)人員管理是醫(yī)院網(wǎng)絡(luò)信息安全管理的關(guān)鍵。①首先，應(yīng)加強(qiáng)工作人員信息安全防范意識，工作人員作為信息交互終端操作的起點，應(yīng)具有安全防護(hù)意識，通過定期不定期的宣傳教育，加強(qiáng)德治、法制教育，增強(qiáng)工作人員的職業(yè)道德、法制素養(yǎng)，養(yǎng)成規(guī)范操作的習(xí)慣。②加強(qiáng)安全風(fēng)險管理人員技術(shù)儲備，積極引進(jìn)網(wǎng)絡(luò)安全管理專業(yè)人才，加強(qiáng)內(nèi)部培養(yǎng)，在實際網(wǎng)絡(luò)安全管理中不斷查漏補(bǔ)缺，積極改造設(shè)施、設(shè)備、信息系統(tǒng)，減少潛在的信息安全風(fēng)險；提高對發(fā)生的網(wǎng)絡(luò)安全事故的處理能力，及時排查、解決，提高工作效用，盡力減少事故對醫(yī)院工作的影響。③建立、健全醫(yī)院網(wǎng)絡(luò)信息安全監(jiān)督體系，加強(qiáng)對人員的監(jiān)督，包括內(nèi)部人員、外部人員，對內(nèi)部人員違規(guī)操作、風(fēng)險操作、違法操作進(jìn)行監(jiān)督，及時懲處；對外部人員加強(qiáng)監(jiān)管，教育宣傳，抑制有意或無意的威脅網(wǎng)絡(luò)信息安全的行為，如損毀設(shè)備、盜取信息等。

2.2 軟件及硬件管理

網(wǎng)管系統(tǒng)首要任務(wù)保證服務(wù)器安全，科學(xué)規(guī)劃服務(wù)器與局域網(wǎng)的安裝與配置，如嚴(yán)格管理磁盤分區(qū)、操作系統(tǒng)，及時進(jìn)行補(bǔ)丁修復(fù)；設(shè)置用戶及其權(quán)限，加強(qiáng)用戶登錄、鎖定、密碼管理；建立信息審核制度，加強(qiáng)對重要信息的防護(hù)；運用先進(jìn)的軟件、設(shè)備加強(qiáng)服務(wù)器抗風(fēng)險能力，對可疑的用戶、信息、設(shè)備、IP地址進(jìn)行監(jiān)控、處理。防病毒系統(tǒng)，需覆蓋至每一個節(jié)點，引進(jìn)高效、安全、可靠的防病毒軟件，提高系統(tǒng)防病毒能力，及時查殺已存在的病毒。防火墻系統(tǒng)、入侵監(jiān)測覆蓋整個系統(tǒng)以監(jiān)控整個系統(tǒng)活動，抵抗入侵，提高抗風(fēng)險能力。備份系統(tǒng)，備份系統(tǒng)包括軟件備份、硬件備份，對重要信息進(jìn)行多重備份，采用硬件備份、物理隔絕、保密措施以提高備份的安全性。其它硬件投入包括合理布局設(shè)施、纜線、信號源等，選用質(zhì)量可靠、穩(wěn)定性與防護(hù)能力強(qiáng)的設(shè)備；增加相應(yīng)設(shè)施投入，如中央機(jī)房的監(jiān)控系統(tǒng)，門禁系統(tǒng)，備用電源、防雷擊、防靜電設(shè)備等，定期、不定期進(jìn)行維護(hù)、維修、更新。

2.3 建立風(fēng)險應(yīng)急預(yù)案

以上防護(hù)措施雖能有效提高醫(yī)院網(wǎng)絡(luò)安全防護(hù)能力，但風(fēng)險故障具有不可預(yù)見性、突然性，風(fēng)險可大、可小，可能為潛在風(fēng)險也可能為已發(fā)生的故障，建立風(fēng)險應(yīng)急備案的目的在于及時、高效的處理風(fēng)險，抑制潛在風(fēng)險、將已發(fā)生的故障損失降至最低。建立風(fēng)險應(yīng)急備案的主要方法：①建立風(fēng)險應(yīng)急處理小組，小組人員需要加強(qiáng)專業(yè)能力，應(yīng)急能力，溝通協(xié)調(diào)能力，能及時、高效排查故障，調(diào)配資源，協(xié)調(diào)各方關(guān)系，及時處置，降低損失；②建立應(yīng)急預(yù)案，通過分析、總結(jié)，制定常出現(xiàn)故障處置方案，如設(shè)備損毀、軟件故障等，及時修復(fù)更換，將損失降至最低，制定重大故障應(yīng)急預(yù)案，及時取得有關(guān)領(lǐng)導(dǎo)協(xié)助，將損失將至最低。

3 小結(jié)

綜上所述：醫(yī)院網(wǎng)絡(luò)安全管理需要整個單位工作人員重視、配合，建立健全制度保障，遵循整體安全性原則，制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，總體規(guī)劃，分步實施，加強(qiáng)軟、硬件投入，全面提高安全防護(hù)能力。

[1]洪懿.論醫(yī)院網(wǎng)絡(luò)安全與維護(hù)措施[J].無線互聯(lián)科技，2013，12（07）：187-187.

[2]鄭蕾，翁盛鑫，黃影.醫(yī)院信息系統(tǒng)客戶端的安全管理和實踐[J].醫(yī)療衛(wèi)生裝備，2010，31（3）：62-63.

[3]郭凌菱，榮文英，常建國，等.醫(yī)院網(wǎng)絡(luò)安全解決方案“三重安全管理系統(tǒng)”[J].醫(yī)療衛(wèi)生裝備，2012，33（9）：45-49.