醫(yī)院管理信息系統(tǒng)維護與網(wǎng)絡(luò)安全要點研究

（廣西桂東人民醫(yī)院 廣西 543000）

1 引言

在大數(shù)據(jù)時代背景下，醫(yī)院管理工作中所接觸到的信息越來越多，因此醫(yī)院紛紛引進了管理信息系統(tǒng)。目前醫(yī)院的信息化水平逐漸提高，管理工作者的信息安全意識也在不斷增強，并且正在積極地采取科學(xué)合理的維護措施及安全策略來確保信息系統(tǒng)的安全穩(wěn)定運行。但是仍然會出現(xiàn)安全意識缺陷問題，例如在進行系統(tǒng)安全維護的過程中盲目使用安全應(yīng)對策略，亦或?qū)Π踩芾韱栴}認知較低，進而導(dǎo)致信息系統(tǒng)的維護與網(wǎng)絡(luò)安全管理工作缺乏針對性?；诖?，各個醫(yī)院應(yīng)針對信息系統(tǒng)維護與網(wǎng)絡(luò)安全要點采取科學(xué)合理的策略來提高醫(yī)院信息化建設(shè)水平。

2 醫(yī)院管理信息系統(tǒng)維護與網(wǎng)絡(luò)安全威脅分析

醫(yī)院信息系統(tǒng)較為復(fù)雜，所涉及的業(yè)務(wù)非常多，各個參與角色也有所不同，所以面對的安全威脅也非常復(fù)雜，接下來將從內(nèi)外兩個方面分析。

2.1 內(nèi)部威脅

醫(yī)院中許多信息安全事故或者泄露事件都是因為人為因素所造成的，如醫(yī)護人員在工作時因操作不當而導(dǎo)致計算機突然斷電，或者引發(fā)系統(tǒng)故障而影響計算機的正常運行。其次醫(yī)院內(nèi)部工作人員將攜帶有病毒的個人電腦接入醫(yī)院網(wǎng)絡(luò)，進而對網(wǎng)路產(chǎn)生破壞，出現(xiàn)業(yè)務(wù)中斷的現(xiàn)象。

2.2 外部威脅

一些外來人員利用電腦擅自接入醫(yī)院內(nèi)網(wǎng)，有意識的傳播病毒，竊取或篡改數(shù)據(jù)。外部威脅一般很少見，但是一旦出現(xiàn)將會產(chǎn)生無法彌補的損失。

3 醫(yī)院管理信息系統(tǒng)維護與網(wǎng)絡(luò)安全要點分析

3.1 中心機房與服務(wù)器

中心機房是醫(yī)院信息系統(tǒng)的核心組成部分，同時也是確保維護網(wǎng)絡(luò)安全的重要前提條件。首先，需要認真維護中心機房的工作環(huán)境，檢查好恒濕恒溫設(shè)備的運行狀態(tài)，根據(jù)中心機房設(shè)備的運行要求對室內(nèi)的溫度及濕度進行嚴格的管控。其次，中心機房內(nèi)還應(yīng)當及時更新抗磁場干擾設(shè)備與加裝防雷系統(tǒng)，確保中心機房在雷雨天氣狀態(tài)下依然能夠保持正常運行狀態(tài)。

醫(yī)院信息系統(tǒng)服務(wù)器的維護要點主要在如下兩個方面：

（1）應(yīng)高度重視日常維護工作，這是信息系統(tǒng)服務(wù)器正常運轉(zhuǎn)的重要保障，可以確保信息系統(tǒng)順利服務(wù)各個部門。維護人員為了確保網(wǎng)絡(luò)的正常運行，需要維護檢測的內(nèi)容有集線器、交換器及路由器等網(wǎng)絡(luò)輸送裝置。同時還應(yīng)當確保各種硬件設(shè)備的清潔，定期進行衛(wèi)生處理。如打掃主板上的灰塵，對主板接口進行防氧化處理等，這些對于確保醫(yī)院信息系統(tǒng)穩(wěn)定具有重要的意義。除此之外，日常維護工作還應(yīng)當確保軟件的正常使用，定期對安全訪問權(quán)限進行監(jiān)控，并且需要經(jīng)常進行病毒檢查并積極更新殺毒軟件，對歷史信息進行定期的轉(zhuǎn)存，確保信息系統(tǒng)的流暢性，同時還能夠保護歷史信息的安全。

（2）對于服務(wù)器重大事故發(fā)維護，無論服務(wù)器的質(zhì)量有多好，在工作過程中都不可避免地會出現(xiàn)故障問題而對信息系統(tǒng)產(chǎn)生影響。因此醫(yī)院需要購置兩臺服務(wù)器，將其中一臺設(shè)置為主機，另外一臺則為備用。需要注意的是，備用的服務(wù)器應(yīng)處于良好備用狀態(tài)，這樣若發(fā)生事故備用服務(wù)器也能力迅速接替主服務(wù)器的相關(guān)工作，進而維持醫(yī)院的正常運行。除此之外，為了確保醫(yī)院信息系統(tǒng)的服務(wù)器能夠7X24 小時不間斷運行，應(yīng)采用冗余設(shè)置，同時除了雙服務(wù)器保障之外還應(yīng)當配備高質(zhì)量、工作時間長的UPS 電源。

3.2 網(wǎng)絡(luò)安全防護

隨著醫(yī)院信息化建設(shè)逐漸完善，醫(yī)院的各個科室的業(yè)務(wù)也越來越依賴于信息系統(tǒng)，如財務(wù)數(shù)據(jù)、病人就診記錄等信息一直是醫(yī)院最關(guān)鍵的信息，通過信息系統(tǒng)不僅可以提高工作效率，同時可以降低管理成本。但是，這樣的工作模式也滋生了一批非法人員，對醫(yī)院的數(shù)據(jù)進行竊取或篡改，進而謀取非法私利。許多醫(yī)院都因為病毒爆發(fā)而出現(xiàn)業(yè)務(wù)中斷或數(shù)據(jù)丟失現(xiàn)象，為了有效解決此問題應(yīng)制定完善的身份認證及訪問控制策略，確保信息系統(tǒng)訪問人員的可靠性。

目前，醫(yī)院可以引進IDS 入侵檢測設(shè)備，監(jiān)控醫(yī)院內(nèi)網(wǎng)的流量情況，并且對異常情況發(fā)出預(yù)警。但這些IP數(shù)據(jù)對于解決安全事件而言并沒有太大的意義，因此可以將IDS系統(tǒng)與安全策略服務(wù)器結(jié)合在一起，讓醫(yī)院信息系統(tǒng)能夠自動防御網(wǎng)絡(luò)上的攻擊，并且自動修復(fù)攻擊后果并學(xué)習(xí)安全策略。

3.3 強化訪問控制

現(xiàn)階段，傳統(tǒng)的訪問控制策略已無法適應(yīng)當今環(huán)境復(fù)雜的醫(yī)院信息系統(tǒng)，因為有意或無意的濫用權(quán)力，經(jīng)常出現(xiàn)越權(quán)行為。同時當操作者消失后，即不再通過系統(tǒng)執(zhí)行職責(zé)時，靜態(tài)的授權(quán)方式未能進行有效的調(diào)整。類似的情況有許多，這些都反映出了醫(yī)院管理信息系統(tǒng)的漏洞。若能夠有效識別用戶，確保合法的用戶連接網(wǎng)絡(luò)，可以有效隔絕外來人員對網(wǎng)絡(luò)安全的威脅。

訪問控制首先需要強調(diào)時間因素，即員工在職時間、工作時間與非在職時間及非工作時間。同時醫(yī)院信息系統(tǒng)還需要針對員工的工作性質(zhì)來進行調(diào)整，確保各自權(quán)限僅使用于自己的崗位之中。其次，還可以采取適當?shù)纳矸菡J證技術(shù)，如動態(tài)口令、UK認證及生物識別技術(shù)等，根據(jù)員工角色的不同可以選擇不同的認證方式。最后，需要重視入網(wǎng)控制策略，這也是提高醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全性的重要手段。

目前醫(yī)院信息系統(tǒng)入網(wǎng)控制分為3 步：用戶名的識別驗證；用戶口令的識別驗證；用戶權(quán)限檢查。這3個步驟只要任何一個出現(xiàn)問題，那么該用戶則不能進入網(wǎng)絡(luò)。然后根據(jù)用戶權(quán)限檢查，對用戶的入網(wǎng)時間、入網(wǎng)位置等進行控制，避免出現(xiàn)角色權(quán)限濫用的現(xiàn)象發(fā)生。

3.4 強化授權(quán)工作

醫(yī)院信息化建設(shè)的加快主要體現(xiàn)在信息系統(tǒng)具有非常多的子系統(tǒng)，各項功能也日益完善。目前許多醫(yī)院已經(jīng)基本實現(xiàn)自動化與信息化，各項業(yè)務(wù)非常依賴信息系統(tǒng)，這也使得工作人員的分工更加專業(yè)，工作區(qū)域也更加分散。在這樣的影響之下，傳統(tǒng)的集中授權(quán)方式已無法滿足現(xiàn)階段醫(yī)院信息系統(tǒng)的安全管理要求。

針對如上問題，為追求醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全的穩(wěn)定性，滿足安全管理的基本要求，各個醫(yī)院需要通過科學(xué)合理的授權(quán)策略。如分布式授權(quán)與層次化授權(quán)相結(jié)合的策略，這樣既可以保障授權(quán)工作的時效性，同時能夠確保操作者的合法性，進而降低了可能出現(xiàn)網(wǎng)絡(luò)安全問題的風(fēng)險。醫(yī)院各個科室及職能部門應(yīng)認真學(xué)習(xí)授權(quán)策略，根據(jù)角色的層級，逐級進行授權(quán)，避免統(tǒng)一授權(quán)的煩瑣性，這也是確保醫(yī)院信息系統(tǒng)安全穩(wěn)定運行的重要手段。

4 結(jié)束語

醫(yī)院管理信息系統(tǒng)的維護與網(wǎng)絡(luò)安全非常重要，它不僅會直接影響信息系統(tǒng)的運行效果，同時還可能會對醫(yī)院造成負面影響，甚至還會產(chǎn)生嚴重的損失。因此，需要加強對醫(yī)院管理信息系統(tǒng)維護與網(wǎng)絡(luò)安全的研究，全面分析潛在的內(nèi)外部威脅因素，針對性的采取科學(xué)合理的策略加以解決，以此來確保醫(yī)院信息系統(tǒng)安全穩(wěn)定運行。