醫(yī)院計算機信息安全風(fēng)險管理控制研究

黃紅軍

摘 ? 要：隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，計算機在各個方面都得了廣泛的應(yīng)用。在醫(yī)院當(dāng)中，計算機逐漸在醫(yī)療信息統(tǒng)計、數(shù)據(jù)收集等方面發(fā)揮越來越多的作用，但是隨之而來的信息安全問題也引起了人們的重視。文中將主要就當(dāng)前醫(yī)院計算機信息安全風(fēng)險管理進行詳細的研究和探討。

關(guān)鍵詞：醫(yī)院 ?計算機 ?信息安全 ?風(fēng)險管理

中圖分類號：R197 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標(biāo)識碼：A ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2020）02（b）-0120-02

在現(xiàn)代醫(yī)院運行管理中，計算機已經(jīng)成為一個主要的工具，利用計算機可以提高醫(yī)院工作的效率，節(jié)省大量的人力和物力。在應(yīng)用的同時也要注意到計算機導(dǎo)致信息泄露和安全問題，加強醫(yī)院計算機信息風(fēng)險管理控制，改善醫(yī)療整體服務(wù)質(zhì)量和業(yè)務(wù)能力，從而實現(xiàn)更好地為患者服務(wù)。

1 ?當(dāng)前醫(yī)院計算機信息安全風(fēng)險管理存在的問題

1.1 醫(yī)院內(nèi)部對計算機信息安全不重視

在當(dāng)前我國醫(yī)院的建設(shè)當(dāng)中，主要將重點放在一些醫(yī)療設(shè)備的優(yōu)化以及醫(yī)護人員的專業(yè)化方面，缺乏對信息安全管理的重視。隨著經(jīng)濟和社會的不斷發(fā)展，對醫(yī)院信息化建設(shè)工作也提出了更高的要求，這就使得醫(yī)院在信息安全管理方面的呈現(xiàn)出許多不足，管理觀念落后。

1.2 醫(yī)院計算機信息安全技術(shù)保障不到位。

信息安全的隱患主要就是人為泄露或者是病毒入侵，另外還有一些意外因素也可能造成信息泄露或失效，例如，一些醫(yī)院用過的電池或者是信息平臺沒有報廢，還在混合使用，又或者是缺乏單獨的機房發(fā)電設(shè)備，這些都可能造成信息安全隱患[1]。

1.3 醫(yī)院內(nèi)部信息安全管理責(zé)任沒有到位

當(dāng)前，醫(yī)院計算機信息安全管理并沒有指定的明確的部門和人員。大多數(shù)醫(yī)院都認(rèn)為信息安全應(yīng)該是信息管理部門的責(zé)任，一些醫(yī)護人員并沒有這個責(zé)任。實際上，信息安全和醫(yī)護人員是息息相關(guān)的，醫(yī)護人員的既是信息安全的受眾者也是信息安全保護的責(zé)任者。但是，醫(yī)院往往忽視這一點，沒有對護士和醫(yī)生等等工作人員的信息安全教育，這就導(dǎo)致他們信息安全方面的知識掌握不足，缺乏保護信息安全的責(zé)任意識。

1.4 醫(yī)院信息安全管理監(jiān)督機制不健全

由于信息安全管理沒有得到重視，這就導(dǎo)致一些規(guī)章制度也沒有得到遵守，從而導(dǎo)致對信息使用情況監(jiān)督的缺乏。工作人員不按照制度來進行工作，一些信息就很可能被泄露，例如醫(yī)院很少對具有信息查詢權(quán)限的人進行登記，而醫(yī)院的服務(wù)器又在機房托管，機房外來人員比較多，外網(wǎng)和內(nèi)外網(wǎng)混合使用[2]。在這種情況下就很容易發(fā)生信息泄露的問題。

2 ?醫(yī)院計算機信息安全風(fēng)險管理控制策略

2.1 如何在互聯(lián)網(wǎng)的背景下加強醫(yī)院計算機信息安全管理

針對上述問題，如何在互聯(lián)網(wǎng)的背景下加強醫(yī)院計算機信息安全管理。已經(jīng)成為人們關(guān)注的重點。為此，本文提出以下建議。

加強醫(yī)院相關(guān)人員的重視程度，建立健全信息安全保護規(guī)章制度。首先，醫(yī)院要明確信息安全并不是只由信息管理部門負(fù)責(zé)的，而是由醫(yī)護工作人員人員共同擔(dān)負(fù)的。因此，醫(yī)院內(nèi)部一定要加強對計算機信息安全風(fēng)險管理的重視程度，確保每個工作人員都具有一定的信息安全保護知識。為此，醫(yī)院可以定期開展信息安全講座，培養(yǎng)工作人員信息安全意識，同時還要建立健全計算機信息安全管理制度，實施責(zé)任制。醫(yī)院內(nèi)部選定一個工作人員作為信息安全小組的負(fù)責(zé)人，負(fù)責(zé)人要擔(dān)負(fù)起應(yīng)有的責(zé)任和義務(wù)，就出現(xiàn)的信息安全問題進行定期討論，然后針對這些信息安全保障中出現(xiàn)的問題進行總結(jié)，安排部署后續(xù)的信息安全管理工作。此外，要建立健全信息管理工作的各項規(guī)章制度，使信息工作有章可循。例如，醫(yī)院內(nèi)部必須嚴(yán)禁職工擅自修改計算機的網(wǎng)絡(luò)配置、盜用他人密碼和IP地址上網(wǎng);禁止計算機使用者擅自安裝一些非指定的軟件;信息安全管理部門也要定期對網(wǎng)絡(luò)安全進行檢查，將一些有害的、無用的信息清除;針對一些保密文件一定要做好保密措施，在避免泄露的同時做好備份工作，以免信息丟失;在一些涉密計算機出現(xiàn)故障需要修理的時候，必須由專人在場對修理過程進行監(jiān)控[3]。

2.2 做好面對信息泄露、信息安全問題的防控舉措

針對信息安全問題的防控舉措主要可以從以下幾個方面入手：

首先，醫(yī)院方面要完善評估風(fēng)險評估機制。所謂信息安全風(fēng)險評估就是對計算機系統(tǒng)中存在的不安全因素進行評估，通過這種方式可以，可以及時發(fā)現(xiàn)系統(tǒng)中存在的風(fēng)險和漏洞。要控制醫(yī)院信息安全訪問。對于出現(xiàn)的病毒或者是高危漏洞，工作人員要采用分析和掃描的方式進行清除。同時在計算機內(nèi)部也要安裝一些保密程度比較好的軟件進行殺毒。避免網(wǎng)絡(luò)病毒入侵電腦，造成信息泄露。

其次，醫(yī)院內(nèi)部加大網(wǎng)絡(luò)設(shè)備安全強度，避免網(wǎng)絡(luò)硬件設(shè)施受到損害。信息安全維護人員一定要對醫(yī)院網(wǎng)絡(luò)環(huán)境進行嚴(yán)格的篩查，做好對用戶的身份驗證工作，針對那些不具有訪問權(quán)限的用戶一定要進行及時限制。同時，針對信息安全的一大隱患——黑客也要做好預(yù)防性措施，隨時篩查網(wǎng)絡(luò)環(huán)境是否有黑客或者是病毒入侵。

再次，建立分級保障應(yīng)急預(yù)案，也就是在出現(xiàn)網(wǎng)絡(luò)問題時的應(yīng)對對策，確保醫(yī)院的日常工作能夠正常進行。在當(dāng)前的工作中，比較常出現(xiàn)的問題就是保存數(shù)據(jù)失敗、不能訪問數(shù)據(jù)庫等。當(dāng)出現(xiàn)這些問題時，工作人員要及時上報，然后由專門的故障維修人員進行維護。需要注意的是，維護人員在進行故障處理時應(yīng)該根據(jù)故障的程度以及相應(yīng)的發(fā)生故障的科室的具體情況制定相應(yīng)的應(yīng)急預(yù)案。另外，醫(yī)院制定的應(yīng)急預(yù)案一定要傳達到每一個工作人員那里，確保工作人員對應(yīng)急預(yù)案了如指掌。

最后，就是要做好信息安全檢測。醫(yī)院應(yīng)該加強對用戶使用醫(yī)院內(nèi)部網(wǎng)絡(luò)的監(jiān)控?？茖W(xué)安排分析設(shè)計中出現(xiàn)的拓?fù)浣Y(jié)構(gòu)、數(shù)據(jù)通訊服務(wù)等，爭取實現(xiàn)以最少的資源構(gòu)建最好的信息安全系統(tǒng)。為此，工作人員要在進行醫(yī)院機房建設(shè)時要嚴(yán)格按照標(biāo)準(zhǔn)化機房進行建設(shè)，避免出現(xiàn)內(nèi)外網(wǎng)混用和使用無線路由器等情況。同時，信息管理人員要針對出現(xiàn)的敏感信息和違規(guī)網(wǎng)絡(luò)行為進行記錄，為信息整體安全策略的實施提供權(quán)威可靠的支持。

3 ?案例

以我院信息系統(tǒng)為例（信息系統(tǒng)整改拓?fù)鋱D見圖1），我院的信息系統(tǒng)分為監(jiān)控管理區(qū)、安全管理區(qū)、內(nèi)網(wǎng)邊界防護區(qū)、互聯(lián)網(wǎng)訪問區(qū)、核心交換區(qū)、匯聚區(qū)、終端接入?yún)^(qū)、服務(wù)器區(qū)、備份恢復(fù)區(qū)這幾個部分。每一個部分的功能各不相同，各個部分協(xié)同合作，共同保證醫(yī)院信息系統(tǒng)的有效運行。例如，監(jiān)控管理區(qū)就擔(dān)任著對機房的環(huán)境進行監(jiān)控的任務(wù)，一旦機房出現(xiàn)異常情況工作人員就可以立刻知道。內(nèi)網(wǎng)邊界防護區(qū)主要就是擔(dān)任著守衛(wèi)者的角色，可以進行防火墻、UniNAC網(wǎng)絡(luò)準(zhǔn)入控制、漏洞掃描、防病毒、IDS等工作。備份恢復(fù)區(qū)的設(shè)置是建立應(yīng)急預(yù)案的較好體現(xiàn)，針對那些丟失或者是損壞的文件可以在備份恢復(fù)區(qū)進行修復(fù)，保證文件的完整性。上述多個區(qū)域共同發(fā)揮作用，進一步完善了我院信息系統(tǒng)，為醫(yī)院各部門的工作正常有序的進行提供了條件。

綜上所述，全面落實醫(yī)院計算機信息安全管理工作，需要醫(yī)院內(nèi)部每一個工作人員的共同合作，醫(yī)院內(nèi)部一定要加強對信息安全管理的重視，建立健全信息安全管制制度，優(yōu)化機房設(shè)備，營造良好的醫(yī)院信息安全管理環(huán)境，進一步提升醫(yī)院工作效率。

參考文獻

[1] 官尚卿，王敏.醫(yī)院計算機信息安全風(fēng)險管理策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（12）：110，123.

[2] 袁翰超.醫(yī)院計算機信息安全風(fēng)險管理控制方法探究[J].科技創(chuàng)新與應(yīng)用，2016（8）：91.

[3] 鄭嘉琦.計算機網(wǎng)絡(luò)信息安全及防護策略研究[J].中國新通信，2019，21（6）：163.