摘要：我國(guó)進(jìn)入“互聯(lián)網(wǎng)+”時(shí)代，更多醫(yī)院在工作中應(yīng)用了信息技術(shù)，網(wǎng)絡(luò)平臺(tái)盡管能夠?yàn)楣ぷ魅藛T帶來(lái)諸多便捷，但由于互聯(lián)網(wǎng)技術(shù)自身的開放性，還帶來(lái)了較多信息安全風(fēng)險(xiǎn)。為確保各類重要信息的安全性，須關(guān)注開展信息安全管理，積極應(yīng)對(duì)安全風(fēng)險(xiǎn)，以避免各種信息安全事故的發(fā)生。鑒于此，本文圍繞醫(yī)院信息安全管理工作的實(shí)際情況，概述了“互聯(lián)網(wǎng)+”背景下信息安全管理的內(nèi)涵和特點(diǎn)，分析了醫(yī)院信息安全系統(tǒng)面臨的三方面風(fēng)險(xiǎn)，詳細(xì)提出了應(yīng)對(duì)信息安全的四種策略。

關(guān)鍵詞：“互聯(lián)網(wǎng)+”；醫(yī)院；信息安全；風(fēng)險(xiǎn)；應(yīng)對(duì)策略

引言

醫(yī)院信息系統(tǒng)和網(wǎng)絡(luò)環(huán)境的安全，是保證醫(yī)療工作有序開展的基礎(chǔ)，是提升患者個(gè)人信息安全性的保證。伴隨“互聯(lián)網(wǎng)+”時(shí)代的到來(lái)，醫(yī)院的信息化程度不斷提升，信息化應(yīng)用項(xiàng)目更加豐富，外加醫(yī)院業(yè)務(wù)向外拓展，使部署策略更加復(fù)雜。因此，醫(yī)院要積極應(yīng)對(duì)信息安全風(fēng)險(xiǎn)，用完備的信息安全管理體系解決更多風(fēng)險(xiǎn)問(wèn)題。

1. “互聯(lián)網(wǎng)+”背景下醫(yī)院信息安全管理概述

伴隨信息技術(shù)的發(fā)展，互聯(lián)網(wǎng)技術(shù)逐步進(jìn)入各個(gè)行業(yè)，我國(guó)醫(yī)療行業(yè)迎來(lái)了“互聯(lián)網(wǎng)+”的新時(shí)代?；ヂ?lián)網(wǎng)技術(shù)的應(yīng)用，讓醫(yī)院的各項(xiàng)資源得到科學(xué)配置，滿足人們的就醫(yī)需要，為人們的生命健康保駕護(hù)航。由于醫(yī)療行業(yè)自身的特殊性，醫(yī)院在進(jìn)行信息化建設(shè)時(shí)，要按照自身的運(yùn)營(yíng)特性，建立屬于自己的信息體系。但信息技術(shù)高速發(fā)展的同時(shí)，醫(yī)院信息安全風(fēng)險(xiǎn)迅速加大。為了適應(yīng)“互聯(lián)網(wǎng)+”時(shí)代潮流，醫(yī)院要做好信息安全管理工作，確保所有數(shù)據(jù)信息的安全。

1.1 信息安全管理的內(nèi)涵

信息安全管理是指對(duì)醫(yī)院的信息系統(tǒng)相關(guān)硬件、軟件、數(shù)據(jù)庫(kù)信息等加以安全保護(hù)管理，以免被偶然、惡意地破壞或泄漏等。主要是使信息系統(tǒng)的網(wǎng)絡(luò)連接服務(wù)不受到負(fù)面影響而發(fā)生中斷，確保信息系統(tǒng)的可靠、連續(xù)運(yùn)行，為醫(yī)院正常運(yùn)營(yíng)提供安全上的支持。現(xiàn)階段，醫(yī)院的信息安全管理成為系統(tǒng)參與的一環(huán)，在醫(yī)院的管理和運(yùn)行中，中心工作在于保障醫(yī)療安全，以全體工作人員為根基，全面降低醫(yī)院的信息風(fēng)險(xiǎn)，為人們提供更為優(yōu)質(zhì)的醫(yī)療服務(wù)，使醫(yī)院得以實(shí)現(xiàn)良性運(yùn)營(yíng)的目標(biāo)[1]。

1.2 信息安全管理的特點(diǎn)

（1）系統(tǒng)性：醫(yī)院信息系統(tǒng)的主要功能是將醫(yī)院內(nèi)各個(gè)子系統(tǒng)加以串聯(lián)，達(dá)到各部門信息共享的目的。從患者進(jìn)入醫(yī)院掛號(hào)開始，患者的信息便在掛號(hào)處、診療處、劃價(jià)處、財(cái)務(wù)處、藥房、住院處等地之間傳遞，說(shuō)明系統(tǒng)性是醫(yī)院信息化管理進(jìn)步的表現(xiàn)和必然特征。醫(yī)院的級(jí)別越高、資源數(shù)量越大，對(duì)于信息化管理的系統(tǒng)性要求更加嚴(yán)格。尤其在“互聯(lián)網(wǎng)+”背景下，醫(yī)院的正常運(yùn)行和發(fā)展需要社會(huì)、企業(yè)、政府等組織加以配合，更加證明了醫(yī)院的信息安全工作并非單獨(dú)開展，而是系統(tǒng)化聯(lián)合運(yùn)行的過(guò)程，需要內(nèi)部、外部信息的統(tǒng)一協(xié)調(diào)和多方配合。

（2）動(dòng)態(tài)性：醫(yī)院信息系統(tǒng)的動(dòng)態(tài)性與自身的開放性有關(guān)，物流、信息流、人流等各方面均處于動(dòng)態(tài)變化中，且動(dòng)態(tài)性的特點(diǎn)不只單純體現(xiàn)于醫(yī)院信息的對(duì)外開放，還在于醫(yī)院內(nèi)部各個(gè)部門、科室之間的內(nèi)部信息與資源的共享，是確保醫(yī)院健康、穩(wěn)定運(yùn)行的基礎(chǔ)。

（3）高難度性：醫(yī)院進(jìn)行信息安全管理的重要條件是盡量減少信息、人員、物資的流動(dòng)，以防造成安全管理的漏洞。但醫(yī)院具有特殊性，職責(zé)就是對(duì)外開放救死扶傷，這更加大了信息安全管理工作的難度。尤其在患者眾多、人員紛雜的大型醫(yī)院中，接收的患者疾病種類、嚴(yán)重程度均存在差異，人員的密集和信息的高速流動(dòng)，均成為醫(yī)院信息安全管理工作開展的重要挑戰(zhàn)[2]。

2. “互聯(lián)網(wǎng)+”背景下醫(yī)院信息安全面臨的風(fēng)險(xiǎn)

2.1 信息安全風(fēng)險(xiǎn)攻擊范圍方面

醫(yī)院的信息系統(tǒng)在“互聯(lián)網(wǎng)+”背景下將面臨更多來(lái)自互聯(lián)網(wǎng)空間的不利影響，具有更廣泛的攻擊范圍。當(dāng)前，醫(yī)院積極開展信息化建設(shè)，信息邊界劃分模糊的問(wèn)題更加顯著。尤其是移動(dòng)OA終端、互聯(lián)網(wǎng)平臺(tái)終端，邊界模糊將造成安全威脅程度的加深。外加醫(yī)院擴(kuò)展了信息邊界，還容易出現(xiàn)安全風(fēng)險(xiǎn)供給類型的多元化，若醫(yī)院沿用以往的安全風(fēng)險(xiǎn)防控方式將難以應(yīng)對(duì)。

2.2 信息安全威脅防御難度方面

醫(yī)院信息系統(tǒng)安全受到威脅的表現(xiàn)，在于病毒、黑客等的入侵，出現(xiàn)系統(tǒng)運(yùn)行問(wèn)題或癱瘓等。當(dāng)前由于信息系統(tǒng)接入了互聯(lián)網(wǎng)，使得信息規(guī)模更加龐大，將使得信息安全威脅的防御難度有所增加。以往的信息安全保護(hù)方法有相對(duì)局限性，部分醫(yī)院無(wú)法做到快速應(yīng)對(duì)處于動(dòng)態(tài)變化狀態(tài)的安全威脅。在醫(yī)院網(wǎng)絡(luò)范圍內(nèi)，通常存在較多終端設(shè)備，但沿用靜態(tài)化的信息管理模式容易拖慢系統(tǒng)更新速度，則潛伏性的網(wǎng)絡(luò)安全威脅將無(wú)法被技術(shù)人員所察覺(jué)。

2.3 信息安全管理人員自身方面

信息技術(shù)崛起和發(fā)展為醫(yī)院帶來(lái)了更多活力，同時(shí)引發(fā)了更多安全風(fēng)險(xiǎn)，盡管較多醫(yī)院能夠意識(shí)到信息技術(shù)的重要性，將信息化建設(shè)加以落實(shí)，但部分醫(yī)院未能關(guān)注安全管理技術(shù)人員的責(zé)任明確問(wèn)題。比如，未能指定有關(guān)部門和人員，開展對(duì)醫(yī)院信息系統(tǒng)的日常維護(hù)工作，造成技術(shù)人員缺少信息管理的責(zé)任意識(shí)，外加部分技術(shù)人員自身素質(zhì)有待提升，更容易增加安全風(fēng)險(xiǎn)問(wèn)題的發(fā)生概率，或在發(fā)生安全風(fēng)險(xiǎn)后，未能及時(shí)進(jìn)行追責(zé)處理，均容易降低醫(yī)院信息系統(tǒng)的安全性。

3. “互聯(lián)網(wǎng)+”背景下醫(yī)院信息安全風(fēng)險(xiǎn)的應(yīng)對(duì)策略

3.1 重視信息安全管理工作

在“互聯(lián)網(wǎng)+”背景下，若想切實(shí)做好醫(yī)院信息安全風(fēng)險(xiǎn)的應(yīng)對(duì)工作，基礎(chǔ)任務(wù)便是讓技術(shù)人員能夠更加重視信息安全管理工作。為了讓技術(shù)人員具有較高的信息安全保護(hù)意識(shí)，需要提升技術(shù)人員隊(duì)伍的統(tǒng)籌領(lǐng)導(dǎo)能力，明確信息安全管理制度和目標(biāo)，規(guī)范技術(shù)人員的行為。應(yīng)加強(qiáng)對(duì)技術(shù)人員的日常教育，使技術(shù)人員可以從內(nèi)心真正認(rèn)識(shí)到維護(hù)信息安全對(duì)于醫(yī)院整個(gè)信息系統(tǒng)運(yùn)行的重要性。針對(duì)醫(yī)院內(nèi)技術(shù)人員由于人為操作不當(dāng)造成的安全問(wèn)題，可由相關(guān)負(fù)責(zé)人組織開展信息安全培訓(xùn)，不斷提升技術(shù)人員的業(yè)務(wù)能力和拓寬知識(shí)框架，在實(shí)踐中持續(xù)總結(jié)工作經(jīng)驗(yàn)，便于在今后及時(shí)應(yīng)對(duì)各種信息安全事故，達(dá)成熟練掌握信息維護(hù)技術(shù)的目標(biāo)。還可以根據(jù)信息系統(tǒng)的運(yùn)行特點(diǎn)推行使用制度，組織建立監(jiān)察小組，對(duì)信息系統(tǒng)的日常運(yùn)行加以管控，對(duì)于未能按照有關(guān)制度操作的技術(shù)人員予以處罰，保證所有內(nèi)部工作人員均按照既定的規(guī)范要求加以操作。在制度中增加禁止安裝非指定的、容易對(duì)信息安全造成威脅的軟件的規(guī)定，防止信息泄漏，從“人”的角度出發(fā)高效抵御安全風(fēng)險(xiǎn)。

3.2 創(chuàng)新信息安全優(yōu)化技術(shù)

信息安全優(yōu)化技術(shù)是確保醫(yī)院內(nèi)部信息系統(tǒng)平穩(wěn)運(yùn)行的基礎(chǔ)。醫(yī)院可從三個(gè)角度出發(fā)，使安全優(yōu)化技術(shù)得以創(chuàng)新。

（1）進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制：對(duì)網(wǎng)絡(luò)訪問(wèn)進(jìn)行控制，是提高醫(yī)院信息和網(wǎng)絡(luò)安全等級(jí)的可行辦法。根據(jù)“零信任”網(wǎng)絡(luò)安全策略，醫(yī)院可考慮在網(wǎng)絡(luò)系統(tǒng)中經(jīng)由策略決策引擎，實(shí)施對(duì)各種訪問(wèn)行為的嚴(yán)格驗(yàn)證和授權(quán)管理，對(duì)于所有訪問(wèn)醫(yī)院網(wǎng)絡(luò)系統(tǒng)的用戶均要做到反復(fù)明確和認(rèn)證身份，配合開展證書系統(tǒng)安裝工作，達(dá)到訪問(wèn)全程安全認(rèn)證的目的，降低從終端至服務(wù)器存在非法訪問(wèn)問(wèn)題的概率，阻斷配置端的非法請(qǐng)求。使用細(xì)粒度策略，對(duì)各類訪問(wèn)請(qǐng)求進(jìn)行持續(xù)分析，做好訪問(wèn)用戶信任度的評(píng)價(jià)工作，根據(jù)用戶類型判斷用戶能夠訪問(wèn)醫(yī)院內(nèi)的資源種類，再對(duì)信息資源執(zhí)行只讀、可存檔、可刪除等分類操作控制，最大限度減少用戶與醫(yī)院內(nèi)敏感信息的接觸，從根本上降低醫(yī)院內(nèi)的信息安全風(fēng)險(xiǎn)。

（2）運(yùn)用數(shù)據(jù)加密技術(shù)：數(shù)據(jù)加密是一種將明文信息經(jīng)過(guò)特定密碼算法轉(zhuǎn)化為密鑰信息的技術(shù)類型，最終目的在于信息保護(hù)，適用于醫(yī)院的網(wǎng)絡(luò)和信息系統(tǒng)。在開展醫(yī)院信息安全管理工作時(shí)，若能充分發(fā)揮數(shù)據(jù)加密技術(shù)的價(jià)值，便能起到提升數(shù)據(jù)安全等級(jí)的作用，該技術(shù)使用后，只有被醫(yī)院指定的用戶或網(wǎng)絡(luò)才能得到相應(yīng)的完整數(shù)據(jù)信息，而所有非授權(quán)用戶均無(wú)法得到經(jīng)過(guò)加密處理后的內(nèi)容?，F(xiàn)階段，較多醫(yī)院在信息傳播中使用TCP/IP網(wǎng)絡(luò)協(xié)議，盡管該方法具有較高的性價(jià)比，能夠節(jié)約信息安全優(yōu)化技術(shù)應(yīng)用的投入成本，但存在一定的安全隱患。因此，需要技術(shù)人員在傳輸信息時(shí)，將信息轉(zhuǎn)換為偽造代碼，在另一端接收時(shí)再使用特殊方法讀取信息，達(dá)成高效保護(hù)醫(yī)院信息網(wǎng)絡(luò)傳輸?shù)哪繕?biāo)。

（3）提升病毒防御性能：安裝防火墻、病毒檢測(cè)和殺毒軟件，是提升醫(yī)院信息系統(tǒng)病毒防御能力的常規(guī)方法。因醫(yī)院內(nèi)網(wǎng)終端受到病毒入侵的風(fēng)險(xiǎn)相對(duì)較高，技術(shù)人員的首要任務(wù)便是做好內(nèi)網(wǎng)終端安全防護(hù)加固工作。有條件的醫(yī)院可在終端部署付費(fèi)版殺毒軟件，安排技術(shù)人員定期予以更新和升級(jí)，盡快修復(fù)系統(tǒng)漏洞；若為了降低成本投入，則要選用開源版的殺毒軟件，根據(jù)醫(yī)院的信息系統(tǒng)現(xiàn)實(shí)情況適當(dāng)添加插件，讓軟件功能上盡量接近付費(fèi)版軟件；或者先安裝專有版殺毒軟件，滿足病毒防御的基本功能，待到醫(yī)院能夠提供資金支持后，再將專有版軟件進(jìn)行注冊(cè)，轉(zhuǎn)換為付費(fèi)版以獲得軟件的全部功能，但不得安裝破解版的付費(fèi)軟件，以免木馬病毒“乘虛而入”。技術(shù)人員在此期間可在醫(yī)院的數(shù)據(jù)中心適當(dāng)部署入侵防御系統(tǒng)，開展數(shù)據(jù)備份工作，保證在數(shù)據(jù)中心服務(wù)器受到病毒侵害時(shí)能夠盡快讓醫(yī)療信息恢復(fù)正常，盡可能減少醫(yī)院的損失，使醫(yī)院信息系統(tǒng)的關(guān)鍵部分始終處于安全監(jiān)管的狀態(tài)下[3]。

3.3 構(gòu)建多元網(wǎng)絡(luò)安全機(jī)制

根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)有關(guān)規(guī)范，醫(yī)院需要在信息安全與應(yīng)用程序上實(shí)施一級(jí)保護(hù)，通過(guò)構(gòu)建具有多元化的網(wǎng)絡(luò)安全機(jī)制，實(shí)現(xiàn)對(duì)信息系統(tǒng)主動(dòng)保護(hù)的目標(biāo)?！盎ヂ?lián)網(wǎng)+”背景下的主動(dòng)保護(hù)技術(shù)通常要應(yīng)用到海量數(shù)據(jù)，能夠在網(wǎng)絡(luò)攻擊對(duì)醫(yī)院信息系統(tǒng)產(chǎn)生不良影響之前，經(jīng)由對(duì)信息的收集和分析，形成集安全監(jiān)測(cè)與報(bào)警功能于一體的安全保護(hù)系統(tǒng)，用于處理與跟蹤信息系統(tǒng)安全問(wèn)題。主動(dòng)防護(hù)的中心是預(yù)警監(jiān)測(cè)，技術(shù)人員可應(yīng)用大數(shù)據(jù)技術(shù)，對(duì)醫(yī)院當(dāng)前的內(nèi)部網(wǎng)絡(luò)環(huán)境加以分析，盡快發(fā)現(xiàn)存在的安全威脅，同步進(jìn)行平臺(tái)預(yù)警和安全信息更新工作。而本地保護(hù)平臺(tái)則可以及時(shí)將可疑文件傳輸?shù)絻?nèi)網(wǎng)，在大數(shù)據(jù)技術(shù)的應(yīng)用下完成威脅信息系統(tǒng)運(yùn)行因子的分析任務(wù)，達(dá)到動(dòng)態(tài)管理的目的。為了防止醫(yī)院信息系統(tǒng)受到破壞，服務(wù)器可經(jīng)過(guò)識(shí)別認(rèn)證，對(duì)目標(biāo)用戶與設(shè)備的驅(qū)動(dòng)程序加以隔離，加密處理有關(guān)信息，在審核記錄后恢復(fù)數(shù)據(jù)。當(dāng)發(fā)生安全事故后，技術(shù)人員可對(duì)之前生成的問(wèn)題報(bào)告加以分析，倒追事故發(fā)生的原因，檢測(cè)外部威脅和審計(jì)內(nèi)部行為，提高醫(yī)院網(wǎng)絡(luò)內(nèi)部的安全系數(shù)。

3.4 定期開展網(wǎng)絡(luò)維護(hù)工作

通過(guò)對(duì)醫(yī)院信息系統(tǒng)風(fēng)險(xiǎn)問(wèn)題的分析可知，在信息系統(tǒng)運(yùn)行期間，安全風(fēng)險(xiǎn)無(wú)法做到完全規(guī)避，說(shuō)明要采用預(yù)防措施降低風(fēng)險(xiǎn)概率，以防出現(xiàn)黑客、病毒入侵等問(wèn)題。為此，醫(yī)院的信息系統(tǒng)管理技術(shù)人員要做到定期開展網(wǎng)絡(luò)維護(hù)工作，對(duì)于信息系統(tǒng)內(nèi)存在的隱患、漏洞等進(jìn)行科學(xué)排查，全方位提高信息系統(tǒng)的防御能力，將安全風(fēng)險(xiǎn)問(wèn)題扼殺在搖籃中。比如，可以定期對(duì)醫(yī)院信息系統(tǒng)內(nèi)的數(shù)據(jù)傳輸、交換過(guò)程進(jìn)行重點(diǎn)排查，分析是否存在木馬、高危病毒等，通過(guò)病毒檢測(cè)軟件或殺毒軟件的工作記錄報(bào)告，建立完善的數(shù)據(jù)檔案，對(duì)報(bào)告結(jié)果加以精確分析，實(shí)現(xiàn)維護(hù)醫(yī)院內(nèi)部信息系統(tǒng)安全的目標(biāo)。

技術(shù)人員還要關(guān)注對(duì)硬件設(shè)備方面的維護(hù)管理，因?yàn)橛布O(shè)備是保證信息系統(tǒng)正常運(yùn)行的根基，雷電、陰雨、高溫等天氣現(xiàn)象的發(fā)生，都容易對(duì)設(shè)備的運(yùn)行產(chǎn)生干擾。技術(shù)人員在部署設(shè)備時(shí)，要做好防雷擊的工作，留意醫(yī)院內(nèi)部計(jì)算機(jī)房的環(huán)境條件，將溫度、濕度、無(wú)線電干擾、空氣含塵濃度等指標(biāo)均控制在可靠的范圍內(nèi)。在設(shè)備相對(duì)集中的區(qū)域內(nèi)則要進(jìn)行防火工作，由于硬件設(shè)備在運(yùn)行時(shí)可產(chǎn)生高溫，技術(shù)人員更要加強(qiáng)對(duì)溫度和濕度的控制，部署好防火設(shè)施、安全監(jiān)測(cè)系統(tǒng)、不間斷電源等，對(duì)所有設(shè)備的運(yùn)行狀態(tài)進(jìn)行全天候的監(jiān)控，確保所有硬件設(shè)備均能正常運(yùn)轉(zhuǎn)[4]。

結(jié)語(yǔ)

綜上所述，在“互聯(lián)網(wǎng)+”背景下醫(yī)院采用多元措施降低信息安全風(fēng)險(xiǎn)，對(duì)于今后的穩(wěn)定運(yùn)行具有現(xiàn)實(shí)意義。醫(yī)院要對(duì)信息安全問(wèn)題高度重視，在為患者提供優(yōu)質(zhì)服務(wù)的同時(shí)，要注意規(guī)避信息安全風(fēng)險(xiǎn)。通過(guò)重視信息安全管理工作、創(chuàng)新信息安全優(yōu)化技術(shù)、構(gòu)建多元網(wǎng)絡(luò)安全機(jī)制、定期開展網(wǎng)絡(luò)維護(hù)等手段的應(yīng)用，促進(jìn)我國(guó)醫(yī)院信息安全防護(hù)事業(yè)的長(zhǎng)遠(yuǎn)發(fā)展。

參考文獻(xiàn)：

[1]張敏，沈嘉裕，劉華瑋，等.我國(guó)互聯(lián)網(wǎng)醫(yī)院APP的隱私政策評(píng)價(jià)研究——基于認(rèn)知負(fù)荷與內(nèi)容合規(guī)雙重視域[J].現(xiàn)代情報(bào)，2023，43（3）：110-122.

[2]林杰.互聯(lián)網(wǎng)醫(yī)療中的信息安全和隱私保護(hù)策略分析[J].電子元器件與信息技術(shù)，2022，6（12）：218-221.

[3]陳宇斯.基于人機(jī)協(xié)同的醫(yī)院信息安全技術(shù)及系統(tǒng)研發(fā)[J].無(wú)線互聯(lián)科技，2022，19（23）：36-38.

[4]李瑤瑤.“互聯(lián)網(wǎng)+醫(yī)療”背景下的醫(yī)院信息安全防護(hù)建設(shè)與實(shí)踐[J].電腦知識(shí)與技術(shù)，2021，17（33）：36-37，40.

作者簡(jiǎn)介：聶媛媛，本科，中級(jí)工程師，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全、信息化建設(shè)。