“互联网+医疗”时代来临！医院信息安全最重要

　　2017年3月，李克强总理在政府工作报告中首次提出，要制定”互联网+”行动计划，推动移动云计算、大数据、物联网等与传统行业相结合。2017年6月1日《网络安全法》实施后，”互联网+医疗”的信息安全越发重要处在风口浪尖。

 

　　泸州市中医院属于三级甲等中医医院，医院信息化建设已运行多年，目前为四川省二星数字化医院。医院建设有医院信息管理系统（HIS）、临床信息系统（CIS）、检验信息管理系统（LIS）、医学影像存储与管理系统（PACS）、重症临床信息系统、手术麻醉信息系统、合理用药、供应中心追溯系统、传染病监测系统、掌上智慧医院等40余个子系统。信息系统覆盖全院各个部门，涵盖患者就诊的各个环节。医院信息系统的安全性直接关系到医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给医院带来巨大的灾难和难以弥补的损失。因此，为保证医院信息系统安全正常工作，必须采用必要的安全管理措施来保障医院信息网络系统持久、稳定、安全地运行。

 

　　1.医院信息安全概况

 

　　当前，信息系统已成为医院各部门业务开展的必备工具，是实现医院现代化运营的重要手段。但若信息安全出现问题，小则影响医院业务开展甚至停摆，大则影响社会安定。加强医院信息安全建设与提升职工信息安全意识势在必行。

 

　　1.1信息安全保护范围

 

　　医院信息安全主要包括设备安全、网络安全、数据安全及行为安全。如中心机房服务器、存储器、交换机等设备安全，医院内部网络及互联网接入安全，各科室终端安全（如开机密码保护、文档资料、USB接入等安全）信息系统中患者病历数据、个人隐私安全等，甚至包括个人的科研成果、项目文档、银行及支付账户安全等。

 

　　1.2信息安全主要威胁

 

　　威胁信息安全的主要方式包括病毒、木马及人为的特定攻击等。攻击者（黑客）通过篡改网页源代码、利用系统漏洞加入木马程序等，对用户进行攻击，盗取用户重要数据，迫使用户满足其提出的要求。比如前段时间全球出现的勒索病毒、无敌舰队等。

 

　　1.3感染途径

 

　　通过网络浏览、电子邮件、移动存储介质、网络下载等途径，可使终端设备感染上病毒，一传十、十传百，甚至会导致整个内部网络设备瘫痪。

 

　　2医院信息安全分类

 

　　根据医院实际工作情况，信息安全一般可分为硬件安全、网络安全及数据库安全。

 

　　（1）硬件安全。医院中心机房核心设备主要包括服务器、交换机及存储控制器。其工作环境要求严格，一般要求将温度置于22℃左右，相对湿度为45%～65%，且机房内要无人员流动、防尘、半封闭，并安装静电地板、防雷设施等。

 

　　（2）网络安全。医院信息系统中的数据依靠网络传输，由于医院日常业务的特殊性，必须保证网络7×24小时无故障运行，所以网络设备的维护至关重要。中心机房安装有温湿度监控系统，漏水预警提醒，有异常将短信报警。信息中心人员24小时值班，每天查看路由器、交换机、光纤收发器、光模块等设备的指示灯状态是否正常，各种插头是否松动等。根据医院实际情况，将内外网物理隔离、分开访问，内网数据不能被外网访问，这样保证信息访问的安全性。同时在网络结构上采用总线型拓扑方式，采用双机均衡模式，实现了关键业务的链路冗余及网络冗余，保障网络稳定运行。另外，配置网络访问权限防止非法用户入侵网络，确保网络运行安全。

 

　　（3）数据库安全。数据库是医院信息安全的核心，在整个医院信息安全方面的地位举足轻重。为了保障医院数据信息的安全，应重点制定维护制度和管理制度，如数据库管理权限、操作员角色管理、关键数据监控、外部对接授权等。

 

　　3信息安全保障方式

 

　　当前开展诊疗服务对信息系统的依赖程度越来越高，医院信息系统中存储着大量医疗数据和患者个人信息，因此必须确保其安全性才能保障医院正常运作和持续发展。

 

　　3.1强化信息安全技术

 

　　信息安全技术是保障信息的完整性、保密性和可控性而采用的技术手段及安全产品。医院信息系统安全主要包括以下两方面：

 

　　3.1.1硬件技术一是信息安全等级保护技术，使用网闸物理隔离、安装防火墙、入侵检测、日志审计、安全管理平台、漏洞扫描等手段，将医院内、外网真正有效的保护起来，以防止黑客及病毒入侵，达到安全防护的目的；二是服务器虚拟化技术，将多台服务器建立为虚拟资源池，在虚拟资源池中根据实际需求划分虚拟机作为应用服务器，保证医院业务系统不会中断；三是存储双活虚拟化技术，建立异地灾备中心，双活数据库实时在线，定时备份；四是使用不间断电源，建立双路供电保障，有条件的医院可配备应急发电机。

 

　　3.1.2软件技术一是安装正版杀毒软件覆盖全院，实时监控每台电脑的工作站状态；二是采用数据库核查技术，对访问数据库的行为进行安全核查；三是建立网络安全准入控制系统和IT运维管理系统，制定相应规则控制网络访问，并要求信息管理人员实时监控医院网络设备，真正实现人防、物防、技防。

 

　　3.2提高人员信息安全意识

 

　　医院信息安全管理中”人”是最重要的因素，其有可能是信息安全最大的防护者，也可能是信息安全问题的制造者。主要包括医院领导、中层管理人员、普通职工、信息管理人员等，应分别具备以下方面的信息安全意识：

 

　　3.2.1医院领导重视院领导对信息安全的重视程度，决定了医院信息安全状况。领导重视，中层管理人员必然重视，特别是信息中心管理者则会更加注重信息安全方面的建设。

 

　　3.2.2中层管理人员应具备信息安全防范及补救意识当发生信息安全事件时，管理人员应立即采取应急措施，补救事件造成的危害，将信息安全事件损失和危害降到最低。同时，应组织专业人员客观分析事件发生的原因，纠正问题漏洞。

 

　　3.2.3普通职工要具备安全操作意识普通职工虽不要求完全掌握信息安全技术，但要注重培养较强的信息安全意识，牢记信息安全方面的规定和要求，养成良好工作习惯，不违规操作，保证涉密信息安全。

 

　　3.2.4信息专业人员要具备主动判断、提前防范意识信息专业人员须提升信息安全防范意识，具备较强责任心，主动承担医院信息安全防护工作，主动对信息系统及基础设施进行隐患排查、查缺补漏，并向全院职工普及信息安全知识。

 

　　4信息安全制度与防范

 

　　4.1制度建设

 

　　目前有《网络安全法》《计算机信息系统安全保护条例》、《计算机信息系统安全等级保护通用技术要求》《信息技术安全技术信息安全事件管理指南》等法律法规，医院须根据相关规定，结合实际情况，建立一套适用于自身发展需求的医院信息安全管理制度，提高医院信息安全管理水平。

 

　　信息管理部门制订全院信息安全管理制度，如网络安全保护制度、网络安全检查制度、中心机房安全管理制度、数据备份与恢复管理制度、安全教育和培训制度、存储介质使用管理规定、应用系统密码安全管理制度等。

 

　　4.2隐患防范

 

　　4.2.1严格授权管理根据医院信息系统权限分配管理办法，用户提出需求，须严格控制其身份认证及授权，区分不同级别的用户，定期提醒其修改密码，且密码须为字母加数字组合，甚至可采用不易破解的动态密码技术，对用户实行身份和操作的合法性认证，如有条件的医院，可考虑使用CA。

 

　4.2.2定期自查检测定期对医院信息系统的安全状况进行自查，对网络系统进行全面安全检测。检测的内容包括：服务器、存储设备、网络设备及操作系统等是否存在安全漏洞，根据安全需要对系统进行安全修复和加固，比如升级、漏扫等。

 

　　4.2.3数据安全备份医院数据中心存放着大量数据，正所谓”硬件有价，数据无价”，为保证数据安全，可进行三种方式的数据备份：一是租用”云空间”，将数据备份至”云端”，甚至可将医院核心业务服务端转移至”云端”，但须掌握”云”安全知识；二是建设异地容灾系统，即在外地租用空间，通过光纤或互联网专线传输，定时（或实时）进行数据备份；三是利用数据库技术每天定时自动备份数据库文件到指定位置。

 

　　4.2.4提供对外合作明确一家安全服务机构，当医院遇到突发的安全事件时，安全服务机构能够提供应急响应服务，并立即配合医院信息中心人员进行处理。

 

　　4.3提高工作人员的信息安全素养

 

　　随着医院信息化建设的深入，临床数据逐步开放，个人保证信息安全及医院管控数据安全成为难题，提升医务人员信息安全素养刻不容缓，可通过加强宣传、教育培训和考试测评等三种方式进行。

 

　　（1）加强宣传。通过医院官网、OA系统、宣传手册、微视频等方式对信息安全的重要性进行宣传，时刻警醒全体职工从自身做起，保证医院数据安全，不向任何人提供医院任何数据资料，不泄露医院、患者的任何信息。（2）教育培训。不定期组织全员职工参与网络安全知识、信息系统操作规范及上网安全等培训，专业技术人员考取网络安全员证书，并开展形式多样的信息安全知识竞赛活动，激发职工学习信息安全知识的热情。（3）考试测评。根据每年信息安全形势，设置信息安全试题库，定期组织职工进行考试测评。

 

　　在医院信息化建设过程中，信息安全建设不容忽视。若出现信息安全问题，一切建设成果则无从谈起。本研究通过对安全防范技术、管理制度及措施、人员培训等方面的探索，明确了完善信息安全管理制度和提高职工信息安全意识的重要性，要求信息安全管理策略必须切实得到落实，方能实现医院长期、有效的信息安全，从而为医院信息化建设保驾护航。