趙昱

【摘要】? ? 近年來(lái)，社會(huì)信息化水平不斷提高，大多數(shù)醫(yī)院都認(rèn)識(shí)到了信息化建設(shè)的重要性并構(gòu)建了信息管理系統(tǒng)，提高了管理水平。但是，醫(yī)院信息管理系統(tǒng)存在較多的安全隱患，例如物理層、網(wǎng)絡(luò)層、系統(tǒng)層以及應(yīng)用層都存在安全隱患，很容易出現(xiàn)信息泄露等問(wèn)題，為此需要通過(guò)加強(qiáng)信息安全管理、完善安全技術(shù)保障、提高安全服務(wù)管理水平等手段減少信息管理系統(tǒng)的安全隱患，增強(qiáng)其安全性。

【關(guān)鍵詞】? ? 醫(yī)院? ? 信息管理系統(tǒng)? ? 安全隱患

引言：

信息管理系統(tǒng)具有多重特點(diǎn)，例如資源共享性、系統(tǒng)開(kāi)放性等，這些特點(diǎn)雖然是信息管理系統(tǒng)的優(yōu)勢(shì)，但也影響到了信息管理系統(tǒng)的安全性，導(dǎo)致信息管理系統(tǒng)當(dāng)中存在較多的安全隱患，這就需要明確信息管理系統(tǒng)的安全隱患并應(yīng)用針對(duì)性的措施解決問(wèn)題。

一、信息管理系統(tǒng)概述

信息管理系統(tǒng)涉及到了多個(gè)學(xué)科，例如統(tǒng)計(jì)學(xué)、會(huì)計(jì)學(xué)、經(jīng)濟(jì)學(xué)、數(shù)學(xué)模型以及組織理論等，應(yīng)用了諸多技術(shù)，例如數(shù)據(jù)庫(kù)技術(shù)、計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)通信技術(shù)等，會(huì)受到諸多因素的影響，如組織戰(zhàn)略、組織環(huán)境、組織文化等，因此信息管理系統(tǒng)不僅是技術(shù)系統(tǒng)，也是社會(huì)系統(tǒng)[1]。信息管理系統(tǒng)的功能較多，主要包括數(shù)據(jù)處理功能、預(yù)測(cè)功能、計(jì)劃功能、控制功能以及輔助決策功能。信息管理系統(tǒng)的類型較多，如辦公自動(dòng)化系統(tǒng)、通信系統(tǒng)、決策支持系統(tǒng)、企業(yè)系統(tǒng)、管理信息系統(tǒng)與執(zhí)行信息系統(tǒng)、決策支持系統(tǒng)等。

二、醫(yī)院信息管理系統(tǒng)中的安全隱患

信息管理系統(tǒng)具有多重特點(diǎn)，例如系統(tǒng)開(kāi)放性、數(shù)據(jù)共享性、資源共享性、信息聚生性、數(shù)據(jù)互訪性、電磁泄露性等，而這些特點(diǎn)導(dǎo)致信息管理系統(tǒng)出現(xiàn)了較多的安全隱患。從某種角度可以將信息管理系統(tǒng)劃分為物理層、網(wǎng)絡(luò)層、系統(tǒng)層以及應(yīng)用層這四個(gè)層面，這四個(gè)層面當(dāng)中都存在一些安全隱患。

2.1物理層安全隱患

物理層安全隱患指的是由物理因素造成的隱患，例如物理特性以及周邊環(huán)境等因素都會(huì)對(duì)網(wǎng)絡(luò)設(shè)備造成影響，可能會(huì)導(dǎo)致線路或設(shè)備無(wú)法正常使用，繼而影響到網(wǎng)絡(luò)系統(tǒng)的正常使用[2]。同時(shí)，故障、設(shè)備老化、盜取設(shè)備、毀壞設(shè)備等因素會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)無(wú)法正常使用。此外，醫(yī)院的網(wǎng)絡(luò)包括兩種類型，即辦公網(wǎng)絡(luò)與專用業(yè)務(wù)網(wǎng)絡(luò)，這兩個(gè)網(wǎng)絡(luò)之間存在物理隔斷，可能會(huì)影響到網(wǎng)絡(luò)的使用。

2.2網(wǎng)絡(luò)層安全隱患

網(wǎng)絡(luò)層的安全隱患有很多，例如信息泄露、信息被篡改、網(wǎng)絡(luò)威脅等。信息泄露與信息被篡改主要包括局域網(wǎng)與上下級(jí)網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在攻擊以及篡改等行為。外網(wǎng)的安全隱患主要包括網(wǎng)絡(luò)監(jiān)聽(tīng)以及探測(cè)掃描系統(tǒng)安全漏洞。

2.3系統(tǒng)層安全隱患

系統(tǒng)層的安全隱患也有很多，例如數(shù)據(jù)庫(kù)、操作系統(tǒng)以及產(chǎn)品當(dāng)中的病毒和漏洞威脅。醫(yī)院網(wǎng)絡(luò)操作系統(tǒng)當(dāng)中的安全漏洞相對(duì)較多，會(huì)出現(xiàn)很多安全隱患。

2.4應(yīng)用層安全隱患

非授權(quán)訪問(wèn)與身份認(rèn)證漏洞是應(yīng)用層出現(xiàn)的安全隱患。當(dāng)前，大多數(shù)服務(wù)系統(tǒng)登錄采用的都是靜態(tài)的口令，而竊取靜態(tài)口令的難度非常小，所以很多非法用戶可能會(huì)通過(guò)破解靜態(tài)口令的方式進(jìn)行信息竊取等，如果出現(xiàn)這種情況醫(yī)院就可能會(huì)出現(xiàn)信息泄露等問(wèn)題[3]。

三、解決醫(yī)院信息管理系統(tǒng)安全隱患的方案

3.1增強(qiáng)信息安全意識(shí)

意識(shí)決定行動(dòng)，若想減少信息管理系統(tǒng)當(dāng)中的安全隱患就應(yīng)該增強(qiáng)信息安全意識(shí)，為此醫(yī)院管理者應(yīng)該提高對(duì)信息管理系統(tǒng)的重視程度，不斷增強(qiáng)自身的信息安全意識(shí)，通過(guò)有效措施減少信息管理系統(tǒng)中的安全隱患[4]。首先，醫(yī)院管理者應(yīng)該深入研究信息管理系統(tǒng)的重要性，明確保障信息管理系統(tǒng)安全性的必要性。其次，醫(yī)院管理者應(yīng)該加大宣傳力度，讓信息管理系統(tǒng)負(fù)責(zé)人以及相關(guān)工作人員了解為何要保障信息管理系統(tǒng)的安全性，增強(qiáng)其信息安全意識(shí)和信息管理意識(shí)，并鼓勵(lì)其為增強(qiáng)信息安全性建言獻(xiàn)策。

3.2完善信息管理制度

完善的規(guī)章制度可以在一定程度上減少信息管理系統(tǒng)當(dāng)中的安全隱患，保障信息安全性，為此醫(yī)院應(yīng)該根據(jù)實(shí)際情況制定信息管理制度，并貫徹落實(shí)信息管理制度當(dāng)中的各項(xiàng)條例。第一，醫(yī)院應(yīng)當(dāng)制定信息管理系統(tǒng)應(yīng)用制度，明確信息管理系統(tǒng)的應(yīng)用細(xì)則，讓相關(guān)人員嚴(yán)格遵守規(guī)章制度進(jìn)行正確操作。第二，醫(yī)院應(yīng)當(dāng)制定信息管理制度，將信息劃分為普通信息和加密信息兩種類型，讓相關(guān)人員根據(jù)具體要求進(jìn)行信息的處理工作，避免出現(xiàn)錯(cuò)誤。第三，醫(yī)院應(yīng)當(dāng)制定完善的獎(jiǎng)懲制度。在操作過(guò)程中，部分人員可能會(huì)出現(xiàn)操作失誤等問(wèn)題，繼而造成信息泄露，這就需要對(duì)其進(jìn)行一定的懲罰，同時(shí)也需要給予一些工作態(tài)度認(rèn)真負(fù)責(zé)的人以獎(jiǎng)勵(lì)[5]。第四，醫(yī)院應(yīng)該綜合考慮各種突發(fā)情況，并制定完善的應(yīng)急預(yù)案，避免出現(xiàn)嚴(yán)重問(wèn)題。

3.3提高人員專業(yè)素養(yǎng)

信息管理系統(tǒng)的運(yùn)行安全性影響著醫(yī)院的日常經(jīng)營(yíng)，而醫(yī)護(hù)人員與維護(hù)人員的操作影響著信息管理系統(tǒng)的運(yùn)行，所以若想保障信息管理系統(tǒng)的安全性就應(yīng)該加大對(duì)工作人員的培訓(xùn)力度，提高工作人員的專業(yè)素養(yǎng)。首先，醫(yī)院應(yīng)該對(duì)所有的醫(yī)護(hù)人員進(jìn)行計(jì)算機(jī)培訓(xùn)，提高其計(jì)算機(jī)應(yīng)用能力，讓醫(yī)護(hù)人員了解如何應(yīng)用信息管理系統(tǒng)，避免出現(xiàn)錯(cuò)誤操作等情況。其次，醫(yī)院應(yīng)該對(duì)信息中心維護(hù)人員進(jìn)行培訓(xùn)，提高其維護(hù)能力，確保在計(jì)算機(jī)出現(xiàn)問(wèn)題是時(shí)能夠及時(shí)利用正確的方法解決問(wèn)題[6]。此外，醫(yī)院需要構(gòu)建信息化專員群，安排醫(yī)生和護(hù)士負(fù)責(zé)科室的信息化工作，從而提高信息化水平。

3.4加強(qiáng)信息安全管理

第一，醫(yī)院應(yīng)該在信息化建設(shè)規(guī)劃當(dāng)中增添信息安全建設(shè)內(nèi)容。完善信息化建設(shè)不是一兩天就可以完成的事情，需要長(zhǎng)期堅(jiān)持，且保障信息安全性也非常復(fù)雜，所以醫(yī)院應(yīng)該講信息安全建設(shè)納入到信息化建設(shè)規(guī)劃當(dāng)中，并設(shè)定不同階段的具體目標(biāo)。第二，醫(yī)院需要完善信息安全管理體系，構(gòu)建集信息資源共享體系、信息管理系統(tǒng)維修體系、信息安全保密體系、網(wǎng)絡(luò)安全管理體系、計(jì)算機(jī)中心工作體系、備份工作體系以及中心機(jī)房管理體系于一體的信息安全管理體系，為信息安全管理工作提供科學(xué)指導(dǎo)。

3.5完善安全技術(shù)保障

醫(yī)院在加強(qiáng)信息管理系統(tǒng)建設(shè)時(shí)需要做好信息的安全保障工作，保障信息的完善性、可控性、保密性以及可用性，為此需要采用一些先進(jìn)的技術(shù)手段以及安全措施。

1.醫(yī)院應(yīng)當(dāng)做好內(nèi)外網(wǎng)的物理隔斷工作。大多數(shù)病毒的入侵都是以對(duì)外接口為基礎(chǔ)的，做好內(nèi)外網(wǎng)的物理隔斷工作是降低病毒入侵的關(guān)鍵手段，所以醫(yī)院應(yīng)該通過(guò)有效措施將內(nèi)外網(wǎng)隔離開(kāi)來(lái)，同時(shí)也不能使用內(nèi)網(wǎng)電網(wǎng)的USB接口。

2.醫(yī)院應(yīng)當(dāng)保障機(jī)房環(huán)境的安全性。保障中心機(jī)房環(huán)境的安全性是保障信息管理系統(tǒng)安全運(yùn)行的前提與基礎(chǔ)，所以醫(yī)院應(yīng)該不斷優(yōu)化中心機(jī)房的環(huán)境。醫(yī)院應(yīng)該將中心機(jī)房的溫度控制在合理范圍內(nèi)，所以可以將機(jī)房設(shè)置在中間樓層當(dāng)中，并設(shè)置精密空調(diào)，將空調(diào)的溫度設(shè)置在23℃-25℃之間[7]。同時(shí)，醫(yī)院應(yīng)該科學(xué)控制中心機(jī)房的濕度，一般將濕度控制在40%-55%之間即可。醫(yī)院也應(yīng)該在中心機(jī)房當(dāng)中設(shè)置監(jiān)控設(shè)備、斷電報(bào)警設(shè)備、消防設(shè)備，從而及時(shí)處理各種安全隱患。此外，醫(yī)院應(yīng)該做好機(jī)房的清潔工作，保障機(jī)房的干凈整潔。

3.做好數(shù)據(jù)庫(kù)維護(hù)工作：醫(yī)院應(yīng)該選擇安全系數(shù)高的數(shù)據(jù)庫(kù)，并根據(jù)系統(tǒng)需求定期對(duì)數(shù)據(jù)庫(kù)進(jìn)行升級(jí)。其次，醫(yī)院應(yīng)該做好數(shù)據(jù)庫(kù)的權(quán)限分級(jí)管理工作，避免出現(xiàn)越權(quán)訪問(wèn)以及修改數(shù)據(jù)等問(wèn)題。應(yīng)該明確系統(tǒng)管理員的權(quán)限以及普通員工的權(quán)限，并定期更改用戶密碼，隨時(shí)分析數(shù)據(jù)庫(kù)的事務(wù)。

4.安裝各類殺毒軟件：安裝殺毒軟件是降低病毒入侵的關(guān)鍵手段，所以醫(yī)院應(yīng)該積極安裝各類殺毒軟件，并定期利用殺毒軟件查殺服務(wù)器以及終端的病毒，同時(shí)也需要設(shè)置網(wǎng)絡(luò)防火墻，實(shí)時(shí)監(jiān)控信息管理系統(tǒng)。例如，醫(yī)院可以安裝卡巴斯基這種殺毒軟件，對(duì)服務(wù)器進(jìn)行集中管理，當(dāng)服務(wù)器升級(jí)時(shí)軟件就會(huì)進(jìn)行病毒查殺工作，從而保障系統(tǒng)安全。

5.加強(qiáng)桌面安全管理：操作人員需要通過(guò)桌面系統(tǒng)訪問(wèn)信息管理系統(tǒng)，所以需要做好桌面的安全管理工作，對(duì)信息管理系統(tǒng)進(jìn)行有效保護(hù)，屏蔽不常使用的軟件，并禁止匿名登錄。

6.完善監(jiān)控系統(tǒng)與防入侵系統(tǒng)：當(dāng)前，針對(duì)計(jì)算機(jī)的監(jiān)控系統(tǒng)與防入侵系統(tǒng)較多，醫(yī)院可以根據(jù)自身需求選擇合適的監(jiān)控系統(tǒng)與防入侵系統(tǒng)，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況，避免非法用戶強(qiáng)行登錄系統(tǒng)。

3.6強(qiáng)化安全服務(wù)管理

除了完善安全技術(shù)保障外，醫(yī)院也應(yīng)該不斷強(qiáng)化安全服務(wù)管理。為此，醫(yī)院應(yīng)當(dāng)構(gòu)建信息管理系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，從而保障信息管理系統(tǒng)的穩(wěn)定運(yùn)行。同時(shí)，醫(yī)院應(yīng)該在信息管理系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估機(jī)制的前提下與專業(yè)的安全服務(wù)機(jī)構(gòu)合作，充分發(fā)揮其在信息管理系統(tǒng)中的安全風(fēng)險(xiǎn)評(píng)估優(yōu)勢(shì)，及時(shí)發(fā)現(xiàn)信息管理系統(tǒng)當(dāng)中的缺陷與漏洞并采取合適的解決策略，避免出現(xiàn)嚴(yán)重問(wèn)題[8]。

四、結(jié)束語(yǔ)

信息管理系統(tǒng)對(duì)醫(yī)院來(lái)說(shuō)至關(guān)重要，只有做好保護(hù)工作才能夠避免出現(xiàn)信息泄露等問(wèn)題，為此醫(yī)院應(yīng)該不斷增強(qiáng)自身的信息安全意識(shí)與管理意識(shí)，加大技術(shù)投入與人才投入力度，做好各項(xiàng)管理工作，從而增強(qiáng)信息管理系統(tǒng)的安全性。

參? 考? 文? 獻(xiàn)

[1]陳成. 淺析醫(yī)院信息網(wǎng)絡(luò)的安全管理與維護(hù)[J]. 信息記錄材料， 2018， 019（009）：75-76.

[2]姜曉鵬. 醫(yī)院計(jì)算機(jī)信息系統(tǒng)的安全問(wèn)題及有效控制[J]. 電腦知識(shí)與技術(shù)， 2016， 12（13）：34-36.

[3]馬靜. 醫(yī)院計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)信息安全防護(hù)策略探析[J]. 信息與電腦， 2020， 032（002）：198-199，203.

[4]邵澤虎. 醫(yī)院信息化系統(tǒng)安全與防御措施探討[J]. 信息與電腦：理論版， 2018， 418（24）：197-198.

[5]梁茹雅. 淺析醫(yī)院信息管理系統(tǒng)與數(shù)據(jù)庫(kù)的安全管理[J]. 建筑工程技術(shù)與設(shè)計(jì)， 2017， 000（019）：5011-5011.

[6]周松. 淺談醫(yī)院計(jì)算機(jī)信息系統(tǒng)的安全問(wèn)題及有效控制[J]. 經(jīng)濟(jì)管理：全文版， 2016（8）：00176-00177.

[7]李揚(yáng). 淺談醫(yī)院信息化建設(shè)中的網(wǎng)絡(luò)安全分析與防護(hù)[J]. 工程技術(shù)（文摘版）·建筑， 2016（6）：00295-00295.

[8]白崇儉， 朱海婷. 淺析醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理與維護(hù)[J]. 心理醫(yī)生， 2017， 23（007）：253-254.