医院网络安全管理策略探讨
2014-03-19卞保军
卞保军
(连云港市第四人民医院 江苏 222001)
0 引言
随着现代信息技术的发展,医院信息管理不断吸收新的信息理论、理念、技术,从无到有,发展至今,成为集门诊、住院、检查检验、电子病历、远程会诊等综合化的信息平台,实现集成式、覆盖式、数据共享医院信息网络系统。医院信息直接影响诊疗活动,信息网络安全直接影响信息的正常流通,若出现故障,可能给诊疗活动造成巨大的危害,甚至酿成医疗事故。本次研究从医院网络的特点、隐患、常见的问题出发,论述构建安全网络的策略。
1 存在的风险
1.1 网络安全防护能力薄弱
网络自身存在脆弱性,作为虚拟信息传输系统,其本身易受干扰,对安全防护要求较高。光缆电缆质量、走向、布局,服务器质量、稳定性,交换机热备,防水、防断电漏电、防雷击、防触动要求较高,据统计绝大多数二级医院信息管理系统缺乏专业维护,硬件设施不完备,抗故障能力不足。信息基础技术、数据库管理、数据容灾备份、网络安全管理等核心技术掌握不足,存在被攻击的潜在风险;医院信息系统可靠性有待提高,系统研发技术储备不足,严重依赖于软、硬件产品堆砌,合理性、科学性、系统性有待加强,不仅增加了系统负荷,还存在未知的软件冲突风险。
1.2 内部管理风险
网络安全意识有待加强,从上至下医院人员均忽视网络信息安全,笔者调查本院约有80%工作人员网络信息安全意识、行为不合格。主要表现,①涉及自身登录,安全防护意识严重不足,缺乏可靠、安全的防护手段,均采用简单数字密码登录模式,在自己使用的登录设备上软件防护严重不足;②对登录设备管理不足,存在安全隐患,登录时不观察周围环境,同事之间互相登录,在医院外人员面前登录,登录离开后不退出登录界面,等等;③安全防护观念落后,意识不足,工作人员从上至下均忽视医院网络信息安全管理,部分工作人员认为网络安全是信息科人员工作;医院领导对医院网络信息安全缺乏足够的了解与重视,缺乏管理投入,上行下效,管理制度混乱;④缺乏完备、科学的网络信息安全内部管理,对不安全行为缺乏监督、约束,违规操作缺乏惩戒,违法操作难以被发现、监管。
1.3 外部风险
目前,多数大型医院已认识到医院内部网络与外部网络相互串联存在的信息安全风险,进行了一定的改进,但出于成本、时间过于紧迫等因素,绝大数医院内部网络与外部网络仍为串联,缺乏有效的物理隔绝手段,有来自于外部侵入的风险。外部连接缺乏有效的控制手段,主要表现在以下几个方面:①医院信息设备普遍内、外网络通用,工作人员既可登录连接外部互联网也可登录内部信息网络,改造成本巨大,改造也需要耗费较长的时间,可能致信息网络在一段时间内瘫痪,影响诊疗活动,因此许多医疗机构即使意识到内、外通用的风险,仍不愿进行改造;②对外围设备管理不足,对医院工作人员、外部人员移动、连接设备如光驱、U盘、USB无线接入设备、WIFI管理存在漏洞;③对来自于外部侵入监控能力严重不足,一方面医院信息安全人员技术储备毕竟无法与专业人员相比,网络黑客、骇客能力强大,威胁医院网络信息安全,另一方面医院自身信息系统防范外部侵入技术储备不足,目前,我国绝多数医院管理系统均重视电子病历、临床路径、医生工作站、检查检验等信息系统建设,重视诊疗信息交换,资源控制、管理决策,轻视风险防护,对防病毒系统、入侵检测系统、防火墙系统重视不足,多采用市场上通用安全产品作为防护手段,不仅存在不兼容的风险,还缺乏可控性。
2 医院网络安全管理策略探讨
基于以上的网络安全风险,加强人员管理、设备管理、风险处理,构建覆盖式的网络信息安全管理体系。
2.1 人员管理
人是风险管理的关键,所有的管理都是由人来完成的,人具有巨大的能动性,加强人员管理是医院网络信息安全管理的关键。①首先,应加强工作人员信息安全防范意识,工作人员作为信息交互终端操作的起点,应具有安全防护意识,通过定期不定期的宣传教育,加强德治、法制教育,增强工作人员的职业道德、法制素养,养成规范操作的习惯。②加强安全风险管理人员技术储备,积极引进网络安全管理专业人才,加强内部培养,在实际网络安全管理中不断查漏补缺,积极改造设施、设备、信息系统,减少潜在的信息安全风险;提高对发生的网络安全事故的处理能力,及时排查、解决,提高工作效用,尽力减少事故对医院工作的影响。③建立、健全医院网络信息安全监督体系,加强对人员的监督,包括内部人员、外部人员,对内部人员违规操作、风险操作、违法操作进行监督,及时惩处;对外部人员加强监管,教育宣传,抑制有意或无意的威胁网络信息安全的行为,如损毁设备、盗取信息等。
2.2 软件及硬件管理
网管系统首要任务保证服务器安全,科学规划服务器与局域网的安装与配置,如严格管理磁盘分区、操作系统,及时进行补丁修复;设置用户及其权限,加强用户登录、锁定、密码管理;建立信息审核制度,加强对重要信息的防护;运用先进的软件、设备加强服务器抗风险能力,对可疑的用户、信息、设备、IP地址进行监控、处理。防病毒系统,需覆盖至每一个节点,引进高效、安全、可靠的防病毒软件,提高系统防病毒能力,及时查杀已存在的病毒。防火墙系统、入侵监测覆盖整个系统以监控整个系统活动,抵抗入侵,提高抗风险能力。备份系统,备份系统包括软件备份、硬件备份,对重要信息进行多重备份,采用硬件备份、物理隔绝、保密措施以提高备份的安全性。其它硬件投入包括合理布局设施、缆线、信号源等,选用质量可靠、稳定性与防护能力强的设备;增加相应设施投入,如中央机房的监控系统,门禁系统,备用电源、防雷击、防静电设备等,定期、不定期进行维护、维修、更新。
2.3 建立风险应急预案
以上防护措施虽能有效提高医院网络安全防护能力,但风险故障具有不可预见性、突然性,风险可大、可小,可能为潜在风险也可能为已发生的故障,建立风险应急备案的目的在于及时、高效的处理风险,抑制潜在风险、将已发生的故障损失降至最低。建立风险应急备案的主要方法:①建立风险应急处理小组,小组人员需要加强专业能力,应急能力,沟通协调能力,能及时、高效排查故障,调配资源,协调各方关系,及时处置,降低损失;②建立应急预案,通过分析、总结,制定常出现故障处置方案,如设备损毁、软件故障等,及时修复更换,将损失降至最低,制定重大故障应急预案,及时取得有关领导协助,将损失将至最低。
3 小结
综上所述:医院网络安全管理需要整个单位工作人员重视、配合,建立健全制度保障,遵循整体安全性原则,制定出合理的网络安全体系结构,总体规划,分步实施,加强软、硬件投入,全面提高安全防护能力。
[1]洪懿.论医院网络安全与维护措施[J].无线互联科技,2013,12(07):187-187.
[2]郑蕾,翁盛鑫,黄影.医院信息系统客户端的安全管理和实践[J].医疗卫生装备,2010,31(3):62-63.
[3]郭凌菱,荣文英,常建国,等.医院网络安全解决方案“三重安全管理系统”[J].医疗卫生装备,2012,33(9):45-49.
