張榮幟

摘 要：信息化建設(shè)是任何一個企業(yè)必須重視的問題，因?yàn)樾畔⒒ㄔO(shè)直接關(guān)系著企業(yè)的長遠(yuǎn)發(fā)展，而信息安全更是為企業(yè)的發(fā)展提供了可靠保障。主要對醫(yī)療信息化安全管理體系的建設(shè)進(jìn)行了簡單分析。

關(guān)鍵詞：醫(yī)療信息化；安全管理；網(wǎng)絡(luò)病毒；網(wǎng)絡(luò)癱瘓

中圖分類號：R197.3 文獻(xiàn)標(biāo)識碼：A DOI：10.15913/j.cnki.kjycx.2015.13.041

1 企業(yè)信息安全管理體系分析

1.1 信息化網(wǎng)絡(luò)安全風(fēng)險分析

網(wǎng)絡(luò)結(jié)構(gòu)存在單點(diǎn)故障、設(shè)備性能不足以支撐業(yè)務(wù)系統(tǒng)需求等原因造成的網(wǎng)絡(luò)堵塞，導(dǎo)致業(yè)務(wù)丟包率較高；由于網(wǎng)絡(luò)互連引起越權(quán)訪問、惡意攻擊和病毒入侵等，導(dǎo)致網(wǎng)絡(luò)邊界存在安全隱患；缺乏必要的身份鑒別、安全防范和安全審計(jì)等技術(shù)手段，易造成設(shè)備的無權(quán)限訪問和惡意更改設(shè)備參數(shù)問題；缺乏必要的網(wǎng)絡(luò)安全檢測、主動防御設(shè)備，導(dǎo)致惡意攻擊、非法訪問、網(wǎng)絡(luò)病毒、DOS（拒絕服務(wù)）/DDOS攻擊和網(wǎng)頁篡改等時常發(fā)生，無法有效阻止網(wǎng)絡(luò)攻擊，進(jìn)而造成網(wǎng)絡(luò)癱瘓。

1.2 主機(jī)安全風(fēng)險分析

缺乏必要的身份鑒別、安全審計(jì)等手段，易造成設(shè)備的無權(quán)限訪問和惡意更改設(shè)備參數(shù)；系統(tǒng)中殘存有未及時刪除的過期賬號、測試賬號、共享賬號和默認(rèn)用戶等，為非法入侵提供了賬戶信息；操作系統(tǒng)存在安全漏洞、安全設(shè)置不當(dāng)和用戶權(quán)限設(shè)置不當(dāng)?shù)惹闆r，導(dǎo)致文件信息、數(shù)據(jù)庫信息和敏感信息等被非法獲??；病毒入侵導(dǎo)致信息泄露、文件丟失和機(jī)器死機(jī)等不安全因素。

1.3 應(yīng)用安全風(fēng)險分析

用戶賬號被非法使用，冒用他人身份非法訪問信息系統(tǒng)，導(dǎo)致數(shù)據(jù)被非法竊取、非授權(quán)訪問和惡意篡改等；缺乏必要的操作行為記錄和審計(jì)手段，無法為查獲違法操作者提供必要的數(shù)據(jù)證據(jù)，使操作者逃避責(zé)任處罰；應(yīng)用軟件存在漏洞或在開發(fā)過程中存在后門，為黑客留下了入侵的可操作性；軟件進(jìn)程資源中未設(shè)置最大、最小限額和多重并發(fā)訪問限制，軟件資源被迅速占用，導(dǎo)致系統(tǒng)資源因被耗盡而無法訪問。

1.4 數(shù)據(jù)安全和備份恢復(fù)

在數(shù)據(jù)傳輸過程中，無法檢測到用戶數(shù)據(jù)和重要業(yè)務(wù)數(shù)據(jù)等在傳輸過程中是否受到破壞或被非法竊??；因數(shù)據(jù)泄露時未加密，而被非法解密后使用；因關(guān)鍵數(shù)據(jù)未及時備份，在主節(jié)點(diǎn)遭到破壞后無法及時進(jìn)行數(shù)據(jù)恢復(fù)。

1.5 管理安全風(fēng)險分析

不具備相應(yīng)的安全管理組織，缺少安全管理人員，安全管理組織不健全會造成上、下級管理混亂，遇到突發(fā)情況時無法及時、有效地進(jìn)行應(yīng)急響應(yīng)；缺少必要的安全運(yùn)維管理系統(tǒng)，無法實(shí)時監(jiān)控機(jī)房的工作狀態(tài)、網(wǎng)絡(luò)連接狀態(tài)、系統(tǒng)運(yùn)行狀態(tài)，無法及時發(fā)現(xiàn)已發(fā)生的網(wǎng)絡(luò)安全事件；人員安全意識淡薄，在日常工作中無意泄露系統(tǒng)口令、隨意放置操作員卡、私接外網(wǎng)、非法拷貝系統(tǒng)信息、私自安裝、私自卸載程序、違規(guī)操作和擅離崗位等均會埋下安全隱患；人員分工和職責(zé)不明，缺乏必要的監(jiān)督、約束和獎罰制度等，進(jìn)而造成潛在管理風(fēng)險；缺乏必要的人員安全培訓(xùn)，缺少對系統(tǒng)故障、信息泄露等突發(fā)事件的及時應(yīng)對措施，常錯過事件的最佳處置時間。

2 加快醫(yī)療信息化安全建設(shè)的對策

2.1 加強(qiáng)引導(dǎo)，轉(zhuǎn)變觀念

對醫(yī)療信息化進(jìn)行管理的有效保障即充分運(yùn)用現(xiàn)代管理制度，同時，應(yīng)自上而下地強(qiáng)化信息安全管理意識和安全管理觀念，從而為醫(yī)療信息化安全建設(shè)提供思想上的保證。但目前我國大多醫(yī)療機(jī)構(gòu)對信息安全管理的重視程度不足。為了轉(zhuǎn)變醫(yī)療機(jī)構(gòu)的信息安全管理理念，上級主管部門可聘請本領(lǐng)域相關(guān)專家定期到各醫(yī)療機(jī)構(gòu)進(jìn)行相關(guān)的學(xué)習(xí)和培訓(xùn)工作，不斷提高各醫(yī)療機(jī)構(gòu)信息管理人員的綜合素質(zhì)和技術(shù)水平，從而為醫(yī)療信息化安全體系的建設(shè)提供可靠的人才。

2.2 完善信息化建設(shè)標(biāo)準(zhǔn)

近年來，我國的醫(yī)療制度建設(shè)已經(jīng)取得了很大進(jìn)展，正不斷趨于完善，但信息化安全體系的建設(shè)還不具備有效的建設(shè)標(biāo)準(zhǔn)，所以，國家在對醫(yī)療機(jī)構(gòu)制度進(jìn)行統(tǒng)一要求的同時，還應(yīng)對信息系統(tǒng)的安全體系建設(shè)加以重視。同時，制訂科學(xué)的信息化管理方案，有效協(xié)調(diào)軟件開發(fā)商與醫(yī)療機(jī)構(gòu)之間的關(guān)系，并通過醫(yī)療經(jīng)辦機(jī)構(gòu)將需要報銷人員的信息進(jìn)行上傳和有效反饋，實(shí)現(xiàn)在線審核，從而更好地推動醫(yī)療信息化安全建設(shè)體系的健康發(fā)展。

2.3 完善相應(yīng)的法律法規(guī)體系

在國外，尤其是一些發(fā)達(dá)國家已經(jīng)對醫(yī)療信息安全管理有了很完善的法律保障，我國可學(xué)習(xí)發(fā)達(dá)國家的成功經(jīng)驗(yàn)，結(jié)合我國醫(yī)療機(jī)構(gòu)的具體情況制訂符合我國國情的醫(yī)療信息管理法律法規(guī)。尤其是對電力病例系統(tǒng)和醫(yī)療護(hù)理執(zhí)行過程中的法律問題，都應(yīng)獲得法律上的保障，并要求全體醫(yī)護(hù)人員嚴(yán)格遵守。

2.4 加大資金投入，調(diào)整投資結(jié)構(gòu)

隨著科學(xué)技術(shù)的不斷發(fā)展，醫(yī)院信息系統(tǒng)的軟、硬件更新?lián)Q代越來越頻繁，這在很大程度上增加了醫(yī)療機(jī)構(gòu)信息安全管理的資金投入。因此，資金來源問題成為了醫(yī)療機(jī)構(gòu)面臨的主要問題。在資金籌集方面，醫(yī)療機(jī)構(gòu)可爭取中央、地方財政的支持，還可通過醫(yī)療機(jī)構(gòu)自身的盈利增加信息安全體系建設(shè)的投入，通過社會捐贈、銀行貸款和重大項(xiàng)目的合作等方式對信息化建設(shè)增加投入。對于信息化安全建設(shè)投資機(jī)構(gòu)，需要注意避免出現(xiàn)片面化的現(xiàn)象，既要對硬件設(shè)施增加相應(yīng)的投入，還要注重人才的培養(yǎng)。

總而言之，醫(yī)療信息安全管理體系直接影響著醫(yī)療行業(yè)的健康發(fā)展，所以，醫(yī)療行業(yè)必須要對信息安全管理予以高度重視，以此為醫(yī)療行業(yè)的發(fā)展作出積極貢獻(xiàn)。

參考文獻(xiàn)

[1]劉啟望，馮超，劉敏，等.對醫(yī)療安全管理體系建設(shè)的幾點(diǎn)思考[J].中國衛(wèi)生事業(yè)管理，2008（01）：20-21.

[2]程秀權(quán).信息安全管理體系建設(shè)研究[J].電信網(wǎng)技術(shù)，2007（09）：8-12.

[3]姜春水.安全管理體系基本要義和基礎(chǔ)性要素的思考[J].中國民用航空，2009（08）：59-62.

[4]楊敏.企業(yè)信息安全管理體系建設(shè)的探討[J].電子技術(shù)與軟件工程，2013（24）：238-239.

〔編輯：張思楠〕