前言:想要寫出一篇引人入勝的文章?我們特意為您整理了醫(yī)院信息網(wǎng)絡(luò)與信息系統(tǒng)的風(fēng)險(xiǎn)管理范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:隨著計(jì)算機(jī)及互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,醫(yī)院管理已離不開網(wǎng)絡(luò)和信息系統(tǒng),醫(yī)院管理信息系統(tǒng)是支撐醫(yī)療業(yè)務(wù)、醫(yī)療質(zhì)量和醫(yī)院全面管理的重要保障,涉及醫(yī)院業(yè)務(wù)活動(dòng)的方方面面,信息安全尤為重要。本文就醫(yī)院的信息網(wǎng)絡(luò)與信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行初步的分析,以期與醫(yī)院同行共同探討交流一些常用的安全技術(shù)。
關(guān)鍵詞:網(wǎng)絡(luò)安全;醫(yī)院;信息安全;風(fēng)險(xiǎn)管理
0引言
醫(yī)療行業(yè)是一個(gè)比較特殊且管理復(fù)雜度相對較高的領(lǐng)域,信息化是現(xiàn)代醫(yī)院管理的重要基礎(chǔ)和技術(shù)手段,醫(yī)院信息化是多種網(wǎng)絡(luò)硬件與龐大的醫(yī)療業(yè)務(wù)管理應(yīng)用模塊所構(gòu)成的技術(shù)綜合體,任何一個(gè)細(xì)小的軟硬件故障或細(xì)微的安全疏忽都可能造成全院臨床業(yè)務(wù)和醫(yī)療服務(wù)的中斷。為此,在醫(yī)院管理信息化的建設(shè)過程中,我們多花費(fèi)一些時(shí)間來思考信息安全、多花費(fèi)一些投入去保障信息安全則是一件十分必要且富有現(xiàn)實(shí)意義的工作。
1醫(yī)院網(wǎng)絡(luò)安全及信息系統(tǒng)安全風(fēng)險(xiǎn)的識別
信息系統(tǒng)安全的概念實(shí)際上已包含了硬件和軟件的安全。其中的硬件即常說的網(wǎng)絡(luò)安全,其中的軟件是指滿足管理要求的軟件應(yīng)用模塊、系統(tǒng)、平臺以及實(shí)現(xiàn)安全指標(biāo)的各類硬件設(shè)備中所固化的程序指令代碼。在學(xué)術(shù)界,一般只用信息安全這一概念,而在實(shí)際工作中經(jīng)常會(huì)混淆這兩個(gè)名稱,口語化常用網(wǎng)絡(luò)安全代指硬件安全,信息安全代指軟件安全,均屬于信息安全的學(xué)術(shù)范疇。
1.1信息安全是醫(yī)院可持續(xù)發(fā)展的重要保障
醫(yī)院信息化是多種網(wǎng)絡(luò)硬件與龐大的醫(yī)療業(yè)務(wù)管理應(yīng)用模塊所構(gòu)成的高技術(shù)綜合體,醫(yī)院信息化管理系統(tǒng)涉及臨床管理、藥耗品與物資管理、財(cái)務(wù)管理、行政管理、后勤管理、績效管理等眾多應(yīng)用管理。近年來,遠(yuǎn)程醫(yī)療、自助服務(wù)、醫(yī)保結(jié)算等網(wǎng)上醫(yī)療或云醫(yī)療服務(wù)的不斷延伸,網(wǎng)絡(luò)的健壯性與安全性需求已提升到一個(gè)重要的位置,任何一個(gè)細(xì)小的軟硬件故障或細(xì)微的安全疏忽都可能造成全院臨床業(yè)務(wù)和醫(yī)療服務(wù)的中斷,這就涉及財(cái)務(wù)風(fēng)險(xiǎn)和醫(yī)療服務(wù)糾紛風(fēng)險(xiǎn)。醫(yī)療信息涉及公民個(gè)人隱私,涉及公民隱私保護(hù)的法律風(fēng)險(xiǎn),因此醫(yī)療信息必須采取多重安全措施、備份措施。這三大風(fēng)險(xiǎn)是一家醫(yī)院正常經(jīng)營和持續(xù)發(fā)展的重大隱患,務(wù)必要采取相應(yīng)的技術(shù)措施和管理措施予以防范。
1.2信息安全是推動(dòng)醫(yī)療行業(yè)向現(xiàn)代化醫(yī)院發(fā)展的重要基礎(chǔ)
隨著區(qū)域醫(yī)療資源的大整合、分級診療制度的落地實(shí)施以及全國醫(yī)保跨區(qū)結(jié)算體系的建立,醫(yī)院管理的信息化已不再是一家醫(yī)院自己內(nèi)部的事情了,所有的信息必須走出醫(yī)院、走出地市、走向全國,實(shí)現(xiàn)全國范圍內(nèi)醫(yī)療信息的互聯(lián)互通,這是一個(gè)大趨勢,所以,在信息安全方面達(dá)不到相應(yīng)安全等級保護(hù)(等保)的醫(yī)院,則沒有資格接入這一全國范圍內(nèi)的互聯(lián)互通醫(yī)療信息網(wǎng)絡(luò),不跨過這一門檻,醫(yī)院的發(fā)展以及向現(xiàn)代化醫(yī)院推進(jìn)的理想就只能是一朵浮云。
2醫(yī)院網(wǎng)絡(luò)及信息系統(tǒng)的安全管理
醫(yī)院信息系統(tǒng)中的醫(yī)療信息數(shù)據(jù)、財(cái)務(wù)信息數(shù)據(jù)等內(nèi)容眾多,運(yùn)用病毒查殺軟件、建立防火墻等網(wǎng)絡(luò)技術(shù),加強(qiáng)軟硬件雙重管理,保證內(nèi)部業(yè)務(wù)交流、數(shù)據(jù)信心安全以及對入侵監(jiān)測的管理,強(qiáng)化用戶的層級管理,對用戶的認(rèn)證與業(yè)務(wù)處理范圍進(jìn)行管控,強(qiáng)化內(nèi)部管控的提升,從容應(yīng)對外部黑客、病毒等問題對系統(tǒng)及網(wǎng)絡(luò)的攻擊,保障醫(yī)院信息系統(tǒng)可靠運(yùn)行,促進(jìn)醫(yī)院現(xiàn)代化管理水平不斷提升。
2.1建立完善的防火墻及安全檢測策略
防火墻技術(shù)和安全策略是醫(yī)院信息系統(tǒng)安全的可靠保障,通過多層安全策略的保護(hù)機(jī)制,為醫(yī)院醫(yī)療數(shù)據(jù)及資源、財(cái)務(wù)相關(guān)數(shù)據(jù)提供有效保證,并能夠提升工作效率,和諧醫(yī)患關(guān)系,保證業(yè)務(wù)流程的順利,實(shí)現(xiàn)醫(yī)療和醫(yī)院信息管理系統(tǒng)的健康運(yùn)行。(1)防火墻能夠?qū)?nèi)網(wǎng)與外網(wǎng)進(jìn)行有效分隔,建立可靠的網(wǎng)絡(luò)互聯(lián)關(guān)卡,提升網(wǎng)絡(luò)用戶的訪問、認(rèn)證及有效數(shù)據(jù)過濾,防范外來數(shù)據(jù)的攻擊,是安全的重要邊界,同時(shí)也是保護(hù)敏感的可靠數(shù)據(jù)服務(wù)應(yīng)用。尤其針對外來入侵及病毒的監(jiān)測,加強(qiáng)地址、及身份認(rèn)證進(jìn)行深化管理。重視將內(nèi)外網(wǎng)絡(luò)的監(jiān)控及隔離,醫(yī)院的數(shù)據(jù)庫內(nèi)含有大量病患資料、研究資料及財(cái)務(wù)數(shù)據(jù)等眾多內(nèi)容,眾多的信息及數(shù)據(jù)資源訪問及流通,需要具有深入攔截及管控能力的防火墻,對關(guān)鍵、敏感及熱點(diǎn)訪問連接進(jìn)行多層設(shè)置,防止因出現(xiàn)網(wǎng)絡(luò)安全出現(xiàn)攻擊等問題對全局造成停止影響。對內(nèi)外部連接區(qū)域的數(shù)據(jù)交換尤為重要,加強(qiáng)運(yùn)行保障,提升安全區(qū)域的等級劃分,實(shí)施網(wǎng)絡(luò)訪問等級劃分,對不同業(yè)務(wù)的需求進(jìn)行權(quán)限管理,對內(nèi)部人員進(jìn)一步進(jìn)行管理,運(yùn)用過濾技術(shù)的防火墻,為醫(yī)院信息系統(tǒng)建立安全管理的第一道防線。(2)醫(yī)院信息系統(tǒng)的安全管控第二個(gè)關(guān)鍵門卡是入侵檢測,對防火墻薄弱的內(nèi)部攻擊及未知攻擊進(jìn)行防范,加強(qiáng)網(wǎng)絡(luò)的監(jiān)測力度,建立共同的系統(tǒng)網(wǎng)絡(luò)防范有效措施,對系統(tǒng)管理員員監(jiān)控、識別等響應(yīng)能力進(jìn)行關(guān)注,提升安全管理的能力。運(yùn)用入侵檢測對系統(tǒng)內(nèi)網(wǎng)絡(luò)、用戶活動(dòng)情況進(jìn)行關(guān)注,對不同網(wǎng)段的傳感器、日志、流量及文件和軟件的非正常改變進(jìn)行控制,信息與程序執(zhí)行情況及時(shí)進(jìn)行對比,迅速分析,合理運(yùn)用檢測引擎對各項(xiàng)信息及數(shù)據(jù)進(jìn)行檢測,對出現(xiàn)網(wǎng)絡(luò)入侵情況及系統(tǒng)非正常變化進(jìn)行匹配模式分析,關(guān)注重點(diǎn)及熱點(diǎn)區(qū)域文件數(shù)據(jù)信息是否完整,對統(tǒng)計(jì)對象的屬性闕值進(jìn)行統(tǒng)計(jì)分析,加強(qiáng)入侵監(jiān)測設(shè)備的參數(shù)定義,及時(shí)進(jìn)行內(nèi)部權(quán)限多層管理模式,可采用二到七層分級管理方式,保障信息的有效性及可控性,為不同權(quán)限人員提供不同的系統(tǒng)服務(wù)。
2.2加強(qiáng)信息安全管理的綜合管控
醫(yī)院對信息通建設(shè)具有明確的管理制度,加強(qiáng)安全管理的系統(tǒng)性,加大信息安全等保投入,提升網(wǎng)絡(luò)安全的管理及建設(shè)標(biāo)準(zhǔn),強(qiáng)化用戶的日志及權(quán)限管理,醫(yī)院信息系統(tǒng)運(yùn)行是24小時(shí)無停息,重視對防火墻、入侵檢測等多重管控,提升整體管控意識,合理進(jìn)行多終端系統(tǒng)管理,實(shí)現(xiàn)操作運(yùn)行的規(guī)范及標(biāo)準(zhǔn)性,運(yùn)用殺毒軟件、防火墻及入侵檢測等多個(gè)防范措施進(jìn)行防范,還可以利用黑盾等軟件接入認(rèn)證,提升主機(jī)通信加密管理,防范地址欺騙,實(shí)現(xiàn)信息網(wǎng)絡(luò)的管理安全,保證醫(yī)院系統(tǒng)平穩(wěn)運(yùn)行。注重軟硬件共同的安全管理,強(qiáng)化軟件管控及技術(shù)提升,注重硬件使用的審批手續(xù)及可靠管理,滿足系統(tǒng)安全管理整體管控需求。
2.3加強(qiáng)無線網(wǎng)絡(luò)安全管理管控
隨著近年來無線終端設(shè)備的迅速普及,醫(yī)院信息系統(tǒng)中無線應(yīng)用迅速普及,提供日常檢查、咨詢及反饋等多種信息交流,重視對網(wǎng)絡(luò)秘鑰的管控,對非法訪問或黑客入侵從源頭上進(jìn)行把握,防止因SSID廣播的應(yīng)用造成不必要的信息泄露與安全管控問題,強(qiáng)化病患隱私與醫(yī)療數(shù)據(jù)的管理,提升用戶信息處理能力,分層級進(jìn)行身份驗(yàn)證,對局域網(wǎng)內(nèi)人員行為進(jìn)行可靠的約束,加強(qiáng)巡視及比對,對出現(xiàn)非法越權(quán)及數(shù)據(jù)波動(dòng)加大用戶進(jìn)行管控,實(shí)現(xiàn)無線網(wǎng)絡(luò)的安全管控。
2.4提升信息系統(tǒng)網(wǎng)絡(luò)硬件的安全等級
網(wǎng)絡(luò)安全及醫(yī)院信息系統(tǒng)需要大量的硬件,且醫(yī)院科室眾多并與都醫(yī)患信息、財(cái)務(wù)信息相聯(lián)系,加強(qiáng)多終端硬件的管理,對外來U盤、移動(dòng)硬盤等硬件應(yīng)用需要加強(qiáng),防止從內(nèi)部侵害網(wǎng)絡(luò)安全,健全規(guī)章管理制度及審批手續(xù),完善硬件設(shè)備、文件利用及機(jī)房環(huán)境、線路連接等管控,并加強(qiáng)相關(guān)管理制度的。尤其是醫(yī)療文件、財(cái)務(wù)文件的讀取與拷貝,必須經(jīng)過層層審批,在拷貝過程中要進(jìn)行監(jiān)督及檢查,對外來硬件進(jìn)行查殺、篩選后進(jìn)行應(yīng)用,從源頭進(jìn)行安全管理,實(shí)行可靠運(yùn)行,為信息系統(tǒng)軟件與硬件管理形成可靠保障。
3結(jié)語
醫(yī)院信息系統(tǒng)及網(wǎng)絡(luò)安全管理是醫(yī)院業(yè)務(wù)運(yùn)行的重要保障,加強(qiáng)網(wǎng)絡(luò)安全管理,為醫(yī)院營造穩(wěn)定、健康的網(wǎng)絡(luò)環(huán)境,提供更為優(yōu)質(zhì)的服務(wù),降低重復(fù)、枯燥的工作,提升醫(yī)院服務(wù)效率,滿足患者不同需求。加強(qiáng)醫(yī)院內(nèi)外網(wǎng)的管控,強(qiáng)化防火墻、殺毒軟件、入侵檢測等環(huán)節(jié)的能力及水平,防范黑客、病毒等多方面的攻擊,強(qiáng)化無線網(wǎng)絡(luò)的服務(wù)與管理,提升安全性,妥善保障醫(yī)院內(nèi)部信息,為更多患者提供個(gè)性服務(wù),促進(jìn)我國網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行與維護(hù)能力提升,推動(dòng)我國醫(yī)療行業(yè)信息化管理的整體大發(fā)展。
參考文獻(xiàn):
[1]王玉珍,賀瀅,馬婧等.醫(yī)院信息系統(tǒng)安全保障體系存在的風(fēng)險(xiǎn)分析[J].醫(yī)療衛(wèi)生裝備,2007.
[2]鄭西川,張漢雄,胡燕峰等.醫(yī)院信息系統(tǒng)安全架構(gòu)及實(shí)施策略[J].中國醫(yī)療設(shè)備,2006.
[3]李明龍.基于網(wǎng)絡(luò)安全角度分析醫(yī)院計(jì)算機(jī)信息系統(tǒng)技術(shù)的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2016.
作者:薛瑤 單位:南京醫(yī)科大學(xué)附屬常州第二人民醫(yī)院