臧慶運

（樂陵市中醫(yī)院 山東 德州 253600）

醫(yī)院信息系統(tǒng)（HIS）的安全管理策略分析

臧慶運

（樂陵市中醫(yī)院 山東 德州 253600）

隨著我國醫(yī)療體制改革的逐漸推進，醫(yī)院更加注重信息管理系統(tǒng)的建設(shè)，從而促進自身醫(yī)療服務(wù)水平的不斷提升，但是在醫(yī)院信息系統(tǒng)的實際運行過程中，其安全性依舊存在一定的威脅，必須借助于科學(xué)的安全管理策略來確保系統(tǒng)的安全穩(wěn)定運行。本文結(jié)合筆者實際工作研究，分析了醫(yī)院信息系統(tǒng)（HIS）的安全管理策略。

醫(yī)院信息系統(tǒng)；安全管理；對策建議

1 引言

近年來國內(nèi)醫(yī)院信息管理水平明顯提升，從現(xiàn)階段信息管理系統(tǒng)的實際情況來看，HIS的應(yīng)用可以在很大程度地提升信息檔案管理水平，同時增強醫(yī)院的醫(yī)療服務(wù)能力。但信息系統(tǒng)的應(yīng)用雖然讓醫(yī)院經(jīng)營管理活動得到了進一步優(yōu)化，但因為網(wǎng)絡(luò)環(huán)境中的不安全因素以及管理制度等方面的缺陷和問題，導(dǎo)致信息系統(tǒng)的安全運行受到了一定的影響，所以我們必須要全面分析研究如何有效確保醫(yī)院信息系統(tǒng)的安全性。

2 醫(yī)院信息系統(tǒng)常見安全隱患分析

2.1 病毒、黑客入侵

隨著信息技術(shù)的發(fā)展和應(yīng)用，醫(yī)院信息系統(tǒng)的安全性也受到了一定程度的挑戰(zhàn)，部分不法分子借助于外部網(wǎng)絡(luò)或醫(yī)院內(nèi)部工作人員擅自對信息系統(tǒng)數(shù)據(jù)進行竊取、篡改，用于非法目的。若醫(yī)院計算機系統(tǒng)存在漏洞則很容易被黑客入侵或受到計算機病毒威脅，對醫(yī)院信息系統(tǒng)的安全穩(wěn)定運行帶來很大影響，甚至造成醫(yī)院信息系統(tǒng)癱瘓，對醫(yī)院帶來非常大的經(jīng)濟損失。

2.2 用戶權(quán)限管理漏洞

醫(yī)院方面沒有強化對用戶權(quán)限的管理，而偏向于限制應(yīng)用系統(tǒng)操作，忽略了對網(wǎng)絡(luò)接入、計算機終端接入等問題相關(guān)的安全因素。比如說對于網(wǎng)絡(luò)連接權(quán)限，并未通過授權(quán)的用戶也能夠直接與醫(yī)院內(nèi)網(wǎng)進行連接，如此會在很大程度上對醫(yī)院內(nèi)網(wǎng)的穩(wěn)定性與數(shù)據(jù)安全帶來非常大的威脅，甚至還會對醫(yī)院正常經(jīng)營管理造成影響[1]。

2.3 信息管理系統(tǒng)終端隱患

作為醫(yī)院信息系統(tǒng)終端，客戶端安全在很大程度上關(guān)系到整個信息系統(tǒng)的數(shù)據(jù)安全，所以應(yīng)當進一步強化對客戶端的安全防護。如盲目插接USB、移動硬盤等設(shè)備可能會造成系統(tǒng)安全性受到威脅。另外諸如非法軟件的安裝、任意瀏覽不安全網(wǎng)站等都可能讓客戶端受到病毒的入侵，給不法分子可乘之機。

2.4 服務(wù)器和存儲設(shè)備端隱患

因為windows系統(tǒng)目前來說是大部分醫(yī)院都在使用的操作系統(tǒng)，若利用windows系統(tǒng)實現(xiàn)共享，由于其自身的漏洞，會對信息系統(tǒng)帶來很大的安全威脅，甚至造成整個服務(wù)器癱瘓，數(shù)據(jù)庫受到破壞。部分使用人員可能建立共享文件夾用于存放重要數(shù)據(jù)信息，但因為忽略了加密措施則可能造成數(shù)據(jù)信息的泄露。同時，醫(yī)院信息系統(tǒng)若僅僅在客戶端安裝殺毒軟件是難以起到有效的預(yù)防能力的，病毒突破客戶端后入侵服務(wù)器，容易對服務(wù)器造成不可挽回的破壞。

2.5 計算機存在的安全隱患

介入信息系統(tǒng)的計算機稱為管理用機，其用戶為網(wǎng)絡(luò)與數(shù)據(jù)管理員。此類計算機擁有較大的管理權(quán)限，能夠?qū)崿F(xiàn)對系統(tǒng)數(shù)據(jù)庫的直接管理、對服務(wù)器進行直接訪問、對客戶端進行控制。若操作過程中出現(xiàn)失誤，則很容易造成管理機受到病毒的入侵，這些高級權(quán)限被不法分子所利用，會給醫(yī)院造成相當嚴重的后果。又或者工作人員操作不當或管理者擅自操作都會對系統(tǒng)安全帶來很大影響。

3 醫(yī)院信息系統(tǒng)（HIS）的安全管理策略

3.1 服務(wù)器維護管理

服務(wù)器為信息系統(tǒng)帶來了網(wǎng)絡(luò)支持，服務(wù)器能否正確穩(wěn)定運行會在很大程度上決定了醫(yī)院信息系統(tǒng)的安全性。醫(yī)院方面可以選擇主服務(wù)器與備用服務(wù)器結(jié)合的系統(tǒng)，如此一來即便主服務(wù)器出現(xiàn)安全問題，備用服務(wù)器能夠第一時間接替其工作，為醫(yī)院信息系統(tǒng)的正常運行提供保障。同時，我們還能夠設(shè)置獨立的應(yīng)急服務(wù)器，應(yīng)急服務(wù)器中的數(shù)據(jù)信息需要保持和主服務(wù)器同步，當主服務(wù)器出現(xiàn)故障問題后，能夠及時啟動應(yīng)急服務(wù)器，保證醫(yī)院信息系統(tǒng)的正常運行，確保其中的數(shù)據(jù)信息不受到破壞；而當主服務(wù)器恢復(fù)作業(yè)后，應(yīng)急服務(wù)器中的處理數(shù)據(jù)能夠上傳到主服務(wù)器，防止數(shù)據(jù)遺漏[2]。

3.2 嚴格控制安全訪問

對醫(yī)院信息系統(tǒng)內(nèi)部的相關(guān)數(shù)據(jù)信息，醫(yī)院中各個科室的工作人員能夠進行共享，站在訪問者的角度來說，醫(yī)務(wù)人員、行政管理人員、后勤工作人員都能夠登入系統(tǒng)，系統(tǒng)操作用戶較為復(fù)雜，也減弱了其安全性。為確保信息系統(tǒng)的安全穩(wěn)定運行，我們應(yīng)當進行更加嚴格的安全訪問控制，按照操作用戶的不同向他們提供不同等級的授權(quán)，另外各個級別用戶登入系統(tǒng)時必須保證用戶名與密碼的唯一性，確保登錄環(huán)節(jié)的安全。用戶利用自己獨有的用戶名與密碼登入后，能夠根據(jù)管理員給予的權(quán)限進行匹配的操作，而沒有獲得權(quán)限的模塊與數(shù)據(jù)不能夠進行訪問，確保了系統(tǒng)內(nèi)各部分數(shù)據(jù)的獨立與安全。同時還需要增強系統(tǒng)用戶對自身用戶名與密碼的安全保護意識，禁止一鍵登錄，防止非授權(quán)用戶直接登入系統(tǒng)。

3.3 防治病毒策略

醫(yī)院信息系統(tǒng)的運行平臺為電子計算機，而隨著近年來計算機技術(shù)的飛速發(fā)展，各種不同的計算機病毒也層出不窮，在很大程度上影響到計算機系統(tǒng)的安全，也會對信息系統(tǒng)的安全穩(wěn)定運行造成影響。因此首先應(yīng)當針對醫(yī)院信息系統(tǒng)內(nèi)部的相關(guān)數(shù)據(jù)信息進行有效的備份，按照數(shù)據(jù)信息的重要程度，科學(xué)規(guī)定備份的時間間隔，確保信息系統(tǒng)數(shù)據(jù)的安全與完整；醫(yī)院內(nèi)部計算機安裝系統(tǒng)客戶端時應(yīng)當確保使用正版系統(tǒng)，同時定期開展好計算機維護作業(yè)，增強計算機系統(tǒng)的病毒抵御能力；可使用防火墻技術(shù)來保障系統(tǒng)的安全運行，避免醫(yī)院外部人員惡意入侵系統(tǒng)；在醫(yī)院內(nèi)部計算機中安裝正版殺毒軟件并做好對殺毒軟件的維護管理，定期更新病毒庫，定期使用殺毒軟件對計算機系統(tǒng)進行全盤查殺，消除隱藏的病毒隱患。

3.4 數(shù)據(jù)備份與恢復(fù)策略

醫(yī)院每天需要接待的患者數(shù)量較多，所以醫(yī)院信息系統(tǒng)內(nèi)所存儲的患者病例信息、藥物信息以及醫(yī)院管理信息數(shù)據(jù)十分龐大，同時這部分信息對醫(yī)院各項工作的開展而言意義重大，如果這些信息受到不法分子的竊取或刪改，會對醫(yī)院造成十分嚴重的損失。為確保信息系統(tǒng)內(nèi)部數(shù)據(jù)的安全，應(yīng)當在醫(yī)院內(nèi)部所使用的計算機中安裝好統(tǒng)一的數(shù)據(jù)備份軟件，定期對重要的醫(yī)療數(shù)據(jù)信息進行備份，當系統(tǒng)受到破壞而出現(xiàn)數(shù)據(jù)信息丟失的情況后，能夠第一時間通過數(shù)據(jù)恢復(fù)功能進行恢復(fù)，確保醫(yī)療數(shù)據(jù)的安全性與完整性。另外，啟動與計劃任務(wù)屬于后臺數(shù)據(jù)庫的重要功能，借助科學(xué)的方法把主服務(wù)器內(nèi)的日志定時拷貝到備用服務(wù)器內(nèi)，這樣當系統(tǒng)受到入侵后能夠及時將各種數(shù)據(jù)恢復(fù)到主服務(wù)器中。

3.5 增強安全方法意識

從過去的工作實踐來說，醫(yī)院內(nèi)部依舊有部分信息系統(tǒng)用戶自身安全意識較為薄弱，在具體操作系統(tǒng)的過程中不注重對數(shù)據(jù)信息的保護，存在盲目違規(guī)操作的問題，對此必須要強化其安全意識，讓醫(yī)院信息系統(tǒng)用戶能夠在使用過程中規(guī)范操作，防止因為人為因素導(dǎo)致信息系統(tǒng)受到侵害。醫(yī)院應(yīng)當定期組織開展信息系統(tǒng)安全教育培訓(xùn)活動，對系統(tǒng)用戶進行專業(yè)化培訓(xùn)，在實際使用中，不規(guī)范操作會導(dǎo)致很多病毒趁虛而入，很可能引起安全事故的發(fā)生，所以應(yīng)當強調(diào)用戶的專業(yè)化操作意識，真正確保醫(yī)院信息系統(tǒng)與日常網(wǎng)絡(luò)使用的分離，保證系統(tǒng)安全運行[3]。

4 結(jié)語

總而言之，醫(yī)院信息系統(tǒng)的安全穩(wěn)定性是醫(yī)院推進信息化建設(shè)過程中必須要重視的問題，確保信息系統(tǒng)的安全運行人人有責(zé)。醫(yī)院方面必須要采取有效措施，樹立安全意識，制定科學(xué)完善的應(yīng)急預(yù)案，構(gòu)建更加健全的安全管理制度，確保信息系統(tǒng)的安全穩(wěn)定運行，促進醫(yī)院自身醫(yī)療服務(wù)能力和市場核心競爭力的提升，確保醫(yī)院的持續(xù)健康發(fā)展。

[1]王麗娜,張東軍,張午光.對37所醫(yī)院信息系統(tǒng)信息安全現(xiàn)狀的調(diào)查及對策探討[J].醫(yī)療衛(wèi)生裝備,2014,35(07):111-113+152.

[2]賈鑫.基于醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全分析與設(shè)計[J].中國管理信息化，2013，16(10)：46-47.

TP309 【文獻標識碼】A 【文章編號】1009-5624（2018）02-0076-03