黃紅軍

摘 ? 要：隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，計(jì)算機(jī)在各個(gè)方面都得了廣泛的應(yīng)用。在醫(yī)院當(dāng)中，計(jì)算機(jī)逐漸在醫(yī)療信息統(tǒng)計(jì)、數(shù)據(jù)收集等方面發(fā)揮越來越多的作用，但是隨之而來的信息安全問題也引起了人們的重視。文中將主要就當(dāng)前醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理進(jìn)行詳細(xì)的研究和探討。

關(guān)鍵詞：醫(yī)院 ?計(jì)算機(jī) ?信息安全 ?風(fēng)險(xiǎn)管理

中圖分類號(hào)：R197 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ? ? ? ? ? ? ? 文章編號(hào)：1674-098X（2020）02（b）-0120-02

在現(xiàn)代醫(yī)院運(yùn)行管理中，計(jì)算機(jī)已經(jīng)成為一個(gè)主要的工具，利用計(jì)算機(jī)可以提高醫(yī)院工作的效率，節(jié)省大量的人力和物力。在應(yīng)用的同時(shí)也要注意到計(jì)算機(jī)導(dǎo)致信息泄露和安全問題，加強(qiáng)醫(yī)院計(jì)算機(jī)信息風(fēng)險(xiǎn)管理控制，改善醫(yī)療整體服務(wù)質(zhì)量和業(yè)務(wù)能力，從而實(shí)現(xiàn)更好地為患者服務(wù)。

1 ?當(dāng)前醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理存在的問題

1.1 醫(yī)院內(nèi)部對(duì)計(jì)算機(jī)信息安全不重視

在當(dāng)前我國醫(yī)院的建設(shè)當(dāng)中，主要將重點(diǎn)放在一些醫(yī)療設(shè)備的優(yōu)化以及醫(yī)護(hù)人員的專業(yè)化方面，缺乏對(duì)信息安全管理的重視。隨著經(jīng)濟(jì)和社會(huì)的不斷發(fā)展，對(duì)醫(yī)院信息化建設(shè)工作也提出了更高的要求，這就使得醫(yī)院在信息安全管理方面的呈現(xiàn)出許多不足，管理觀念落后。

1.2 醫(yī)院計(jì)算機(jī)信息安全技術(shù)保障不到位。

信息安全的隱患主要就是人為泄露或者是病毒入侵，另外還有一些意外因素也可能造成信息泄露或失效，例如，一些醫(yī)院用過的電池或者是信息平臺(tái)沒有報(bào)廢，還在混合使用，又或者是缺乏單獨(dú)的機(jī)房發(fā)電設(shè)備，這些都可能造成信息安全隱患[1]。

1.3 醫(yī)院內(nèi)部信息安全管理責(zé)任沒有到位

當(dāng)前，醫(yī)院計(jì)算機(jī)信息安全管理并沒有指定的明確的部門和人員。大多數(shù)醫(yī)院都認(rèn)為信息安全應(yīng)該是信息管理部門的責(zé)任，一些醫(yī)護(hù)人員并沒有這個(gè)責(zé)任。實(shí)際上，信息安全和醫(yī)護(hù)人員是息息相關(guān)的，醫(yī)護(hù)人員的既是信息安全的受眾者也是信息安全保護(hù)的責(zé)任者。但是，醫(yī)院往往忽視這一點(diǎn)，沒有對(duì)護(hù)士和醫(yī)生等等工作人員的信息安全教育，這就導(dǎo)致他們信息安全方面的知識(shí)掌握不足，缺乏保護(hù)信息安全的責(zé)任意識(shí)。

1.4 醫(yī)院信息安全管理監(jiān)督機(jī)制不健全

由于信息安全管理沒有得到重視，這就導(dǎo)致一些規(guī)章制度也沒有得到遵守，從而導(dǎo)致對(duì)信息使用情況監(jiān)督的缺乏。工作人員不按照制度來進(jìn)行工作，一些信息就很可能被泄露，例如醫(yī)院很少對(duì)具有信息查詢權(quán)限的人進(jìn)行登記，而醫(yī)院的服務(wù)器又在機(jī)房托管，機(jī)房外來人員比較多，外網(wǎng)和內(nèi)外網(wǎng)混合使用[2]。在這種情況下就很容易發(fā)生信息泄露的問題。

2 ?醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理控制策略

2.1 如何在互聯(lián)網(wǎng)的背景下加強(qiáng)醫(yī)院計(jì)算機(jī)信息安全管理

針對(duì)上述問題，如何在互聯(lián)網(wǎng)的背景下加強(qiáng)醫(yī)院計(jì)算機(jī)信息安全管理。已經(jīng)成為人們關(guān)注的重點(diǎn)。為此，本文提出以下建議。

加強(qiáng)醫(yī)院相關(guān)人員的重視程度，建立健全信息安全保護(hù)規(guī)章制度。首先，醫(yī)院要明確信息安全并不是只由信息管理部門負(fù)責(zé)的，而是由醫(yī)護(hù)工作人員人員共同擔(dān)負(fù)的。因此，醫(yī)院內(nèi)部一定要加強(qiáng)對(duì)計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理的重視程度，確保每個(gè)工作人員都具有一定的信息安全保護(hù)知識(shí)。為此，醫(yī)院可以定期開展信息安全講座，培養(yǎng)工作人員信息安全意識(shí)，同時(shí)還要建立健全計(jì)算機(jī)信息安全管理制度，實(shí)施責(zé)任制。醫(yī)院內(nèi)部選定一個(gè)工作人員作為信息安全小組的負(fù)責(zé)人，負(fù)責(zé)人要擔(dān)負(fù)起應(yīng)有的責(zé)任和義務(wù)，就出現(xiàn)的信息安全問題進(jìn)行定期討論，然后針對(duì)這些信息安全保障中出現(xiàn)的問題進(jìn)行總結(jié)，安排部署后續(xù)的信息安全管理工作。此外，要建立健全信息管理工作的各項(xiàng)規(guī)章制度，使信息工作有章可循。例如，醫(yī)院內(nèi)部必須嚴(yán)禁職工擅自修改計(jì)算機(jī)的網(wǎng)絡(luò)配置、盜用他人密碼和IP地址上網(wǎng);禁止計(jì)算機(jī)使用者擅自安裝一些非指定的軟件;信息安全管理部門也要定期對(duì)網(wǎng)絡(luò)安全進(jìn)行檢查，將一些有害的、無用的信息清除;針對(duì)一些保密文件一定要做好保密措施，在避免泄露的同時(shí)做好備份工作，以免信息丟失;在一些涉密計(jì)算機(jī)出現(xiàn)故障需要修理的時(shí)候，必須由專人在場對(duì)修理過程進(jìn)行監(jiān)控[3]。

2.2 做好面對(duì)信息泄露、信息安全問題的防控舉措

針對(duì)信息安全問題的防控舉措主要可以從以下幾個(gè)方面入手：

首先，醫(yī)院方面要完善評(píng)估風(fēng)險(xiǎn)評(píng)估機(jī)制。所謂信息安全風(fēng)險(xiǎn)評(píng)估就是對(duì)計(jì)算機(jī)系統(tǒng)中存在的不安全因素進(jìn)行評(píng)估，通過這種方式可以，可以及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的風(fēng)險(xiǎn)和漏洞。要控制醫(yī)院信息安全訪問。對(duì)于出現(xiàn)的病毒或者是高危漏洞，工作人員要采用分析和掃描的方式進(jìn)行清除。同時(shí)在計(jì)算機(jī)內(nèi)部也要安裝一些保密程度比較好的軟件進(jìn)行殺毒。避免網(wǎng)絡(luò)病毒入侵電腦，造成信息泄露。

其次，醫(yī)院內(nèi)部加大網(wǎng)絡(luò)設(shè)備安全強(qiáng)度，避免網(wǎng)絡(luò)硬件設(shè)施受到損害。信息安全維護(hù)人員一定要對(duì)醫(yī)院網(wǎng)絡(luò)環(huán)境進(jìn)行嚴(yán)格的篩查，做好對(duì)用戶的身份驗(yàn)證工作，針對(duì)那些不具有訪問權(quán)限的用戶一定要進(jìn)行及時(shí)限制。同時(shí)，針對(duì)信息安全的一大隱患——黑客也要做好預(yù)防性措施，隨時(shí)篩查網(wǎng)絡(luò)環(huán)境是否有黑客或者是病毒入侵。

再次，建立分級(jí)保障應(yīng)急預(yù)案，也就是在出現(xiàn)網(wǎng)絡(luò)問題時(shí)的應(yīng)對(duì)對(duì)策，確保醫(yī)院的日常工作能夠正常進(jìn)行。在當(dāng)前的工作中，比較常出現(xiàn)的問題就是保存數(shù)據(jù)失敗、不能訪問數(shù)據(jù)庫等。當(dāng)出現(xiàn)這些問題時(shí)，工作人員要及時(shí)上報(bào)，然后由專門的故障維修人員進(jìn)行維護(hù)。需要注意的是，維護(hù)人員在進(jìn)行故障處理時(shí)應(yīng)該根據(jù)故障的程度以及相應(yīng)的發(fā)生故障的科室的具體情況制定相應(yīng)的應(yīng)急預(yù)案。另外，醫(yī)院制定的應(yīng)急預(yù)案一定要傳達(dá)到每一個(gè)工作人員那里，確保工作人員對(duì)應(yīng)急預(yù)案了如指掌。

最后，就是要做好信息安全檢測。醫(yī)院應(yīng)該加強(qiáng)對(duì)用戶使用醫(yī)院內(nèi)部網(wǎng)絡(luò)的監(jiān)控?？茖W(xué)安排分析設(shè)計(jì)中出現(xiàn)的拓?fù)浣Y(jié)構(gòu)、數(shù)據(jù)通訊服務(wù)等，爭取實(shí)現(xiàn)以最少的資源構(gòu)建最好的信息安全系統(tǒng)。為此，工作人員要在進(jìn)行醫(yī)院機(jī)房建設(shè)時(shí)要嚴(yán)格按照標(biāo)準(zhǔn)化機(jī)房進(jìn)行建設(shè)，避免出現(xiàn)內(nèi)外網(wǎng)混用和使用無線路由器等情況。同時(shí)，信息管理人員要針對(duì)出現(xiàn)的敏感信息和違規(guī)網(wǎng)絡(luò)行為進(jìn)行記錄，為信息整體安全策略的實(shí)施提供權(quán)威可靠的支持。

3 ?案例

以我院信息系統(tǒng)為例（信息系統(tǒng)整改拓?fù)鋱D見圖1），我院的信息系統(tǒng)分為監(jiān)控管理區(qū)、安全管理區(qū)、內(nèi)網(wǎng)邊界防護(hù)區(qū)、互聯(lián)網(wǎng)訪問區(qū)、核心交換區(qū)、匯聚區(qū)、終端接入?yún)^(qū)、服務(wù)器區(qū)、備份恢復(fù)區(qū)這幾個(gè)部分。每一個(gè)部分的功能各不相同，各個(gè)部分協(xié)同合作，共同保證醫(yī)院信息系統(tǒng)的有效運(yùn)行。例如，監(jiān)控管理區(qū)就擔(dān)任著對(duì)機(jī)房的環(huán)境進(jìn)行監(jiān)控的任務(wù)，一旦機(jī)房出現(xiàn)異常情況工作人員就可以立刻知道。內(nèi)網(wǎng)邊界防護(hù)區(qū)主要就是擔(dān)任著守衛(wèi)者的角色，可以進(jìn)行防火墻、UniNAC網(wǎng)絡(luò)準(zhǔn)入控制、漏洞掃描、防病毒、IDS等工作。備份恢復(fù)區(qū)的設(shè)置是建立應(yīng)急預(yù)案的較好體現(xiàn)，針對(duì)那些丟失或者是損壞的文件可以在備份恢復(fù)區(qū)進(jìn)行修復(fù)，保證文件的完整性。上述多個(gè)區(qū)域共同發(fā)揮作用，進(jìn)一步完善了我院信息系統(tǒng)，為醫(yī)院各部門的工作正常有序的進(jìn)行提供了條件。

綜上所述，全面落實(shí)醫(yī)院計(jì)算機(jī)信息安全管理工作，需要醫(yī)院內(nèi)部每一個(gè)工作人員的共同合作，醫(yī)院內(nèi)部一定要加強(qiáng)對(duì)信息安全管理的重視，建立健全信息安全管制制度，優(yōu)化機(jī)房設(shè)備，營造良好的醫(yī)院信息安全管理環(huán)境，進(jìn)一步提升醫(yī)院工作效率。

參考文獻(xiàn)

[1] 官尚卿，王敏.醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（12）：110，123.

[2] 袁翰超.醫(yī)院計(jì)算機(jī)信息安全風(fēng)險(xiǎn)管理控制方法探究[J].科技創(chuàng)新與應(yīng)用，2016（8）：91.

[3] 鄭嘉琦.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略研究[J].中國新通信，2019，21（6）：163.