王 丽

（广东省农垦中心医院信息科 广东 524002）

0 引言

信息安全是医院信息系统建设不可或缺的组成部分，医院信息系统安全涉及网络安全、备份方案可靠性、计算机病毒防治、系统管理等内容，加强医院信息安全管理，对保障正常医疗秩序，提高医院的工作质量和工作效率具有十分重要的意义。近年来，随着医院信息化的不断发展，医院信息安全问题日益凸显，严重威胁着医院信息系统的安全运行，影响医院医疗工作的顺利进行。因此，如何加强医院信息安全管理，保障医院信息安全，防止信息泄露、篡改，防止网络攻击导致的业务中断，提高医院的工作质量和工作效率，是医院信息化建设中面临的重大课题。

1 新形势下医院信息安全所面临的主要挑战

1.1 信息安全策略不明确，信息安全管理责任不明

医院信息化工作的特殊性，对医院信息安全提出了很高的要求，医院信息安全建设是一个复杂的系统性工程。医院信息安全出现问题往往在于只注重各种网络安全产品的采购，而没有制定信息安全的中、长期整体规划，没有根据自己的信息安全目标制定符合医院实际的安全管理策略，或者没有根据网络信息安全出现的一些新问题，及时调整医院的信息安全策略。这些现象的出现，使医院信息安全产品不能得到合理的配置和适当的优化，不能起到应有的作用。加之，医院领导对信息安全的重视程度不够，未能及时发现医院信息安全存在的隐患，对于即将面临的信息安全风险和已有的信息安全防范措施未能进行有针对性的评估和评判，从而使得信息安全不能得到保障。

1.2 网络安全事件频繁发生，网络安全危害日益严重

随着计算机网络技术的迅速发展，以计算机病毒泛滥、系统漏洞、黑客攻击等为代表的诸多安全问题也日益暴露出来，严重威胁到医院的正常运营。目前，多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起的。在医院网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用外来软件等行为也比比皆是。“失控”的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证医院网络安全运行的前提，也是目前医院网络安全管理急需解决的问题。

1.3 信息系统数据存在安全隐患，安全孤岛现象严重

服务器故障会造成医院的信息网络全面瘫痪，服务器系统的磁盘上存储着所有医院信息系统的数据，一旦损坏将带来无法逆转的损失。同时，人员误操作或病毒感染，会使系统的重要文件被删除或修改，导致系统失灵。目前大多数医院在网络安全建设中的网络、应用系统防护上虽然采取了防火墙等安全产品和硬件冗余等安全措施，但安全产品之间无法实现联动，安全信息无法挖掘，安全防护效果低，存在一定程度的安全孤岛现象。另外，安全产品部署不均衡，各个系统部署了多个安全产品，但在系统边界存在安全空白，没有形成纵深的安全防护。

2 新形势下加强医院信息安全管理的主要对策

2.1 健全信息安全管理规范和机制，优化医院信息安全管理

第一，要加强安全机构建设，明确医院信息安全管理责任。设立专门的信息安全领导小组，明确主要领导、分管领导和信息科的相应责任职责，严格落实信息管理责任。领导小组应不定期的组织信息安全检查和应急安全演练。

第二，加强安全队伍建设，增强信息安全防范意识。建设一支高水平、稳定的安全管理队伍，是医院信息系统能够正常运行的保证。因此，医院必通过引进、培训等渠道，加强医院人员信息安全培训教育，增强医务人员的安全防范意识以及制定网络安全应急方案。

第三，加强安全制度建设，优化信息安全管理策略。建立一整套切实可行的安全制度，包括：物理安全、系统与数据安全、网络安全、应用安全、运行安全和信息安全等各方面的规章制度，确保医疗工作有序进行。所以，医院要根据自身信息系统的实际情况确定安全管理等级和安全管理范围，制订有关网络操作使用规程和人员出入机房管理制度，制定网络系统的维护制度和应急措施等，建立适合自身的信息安全管理策略，如，签订信息安全保密协议、购买相应的安全产品实施安全保护、监控网络安全状况（遇攻击时可采取安全措施）、主动测试网络安全隐患、生成网络安全总体报告并改善安全策略，提高网络信息系统安全性。

2.2 规范信息安全管理流程，合理控制医院信息安全访问

第一，规范密码管理。要求单位内所有密码以“暗文”保存，并配有相关的密码修改日志记录。一是设备密码及网络账号密码等由信息科负责人和系统管理员商议确定并定期更新。二是在单位员工忘记密码的情况下，需填写密码更改申请表或密码初始化申请表，由单位相关科室审批同意后，信息科才可予以修改。

第二，规范权限管理。一方面，当相关业务软件需增加新用户或取消原有用户时，需要填写相关情况说明表，由其所在科室负责人签字经纪委审批同意后，信息科才可采取相应措施予以增加新用户并分配相应操作权限或销毁原有用户。另一方面，要注意当员工需变更其统计或其他操作权限时，需要填写权限变更说明表，由其所在科室负责人签字后再由相关行政科室审批同意后信息科方可予以修改。

第三，规范第三方访问控制管理。要求计算机的IP地址与MAC地址绑定后才可访问单位内部网络。一是当第三方人员出入信息科或需使用信息科计算机时，需填写相关登记表。二是当第三方人员需要访问内部网络时，要求其尽量使用信息科计算机。如第三方人员想将其自带计算机连接至单位内部网络时，需填写申请表格，由信息科负责人签字，再经相关科室审批同意后，信息科方可分配IP地址予第三方，允许其访问内部网络。

2.3 强化信息系统安全技术，有效遏制医院信息安全隐患

第一，强化冗余技术。医院信息网络由于运行整个医院的业务系统，需要保证网络的正常运行，不因网络的故障或变化引起医院业务的瞬间质量恶化甚至内部业务系统的中断。网络作为数据处理及转发中心，应充分考虑可靠性。网络的可靠性通过冗余技术实现，包括电源冗余、处理器冗余、模块冗余、设备冗余链路冗余等技术。

第二，建立安全的数据中心，强化数据信息加密处理技术。医疗系统的数据类型丰富，在不断的对数据进行读取和存储的同时，也带来了数据丢失，数据被非法调用，数据遭恶意破坏等安全隐患。为了保证系统数据的安全，建立安全可靠的数据中心，能够很有效的杜绝安全隐患，加强医疗系统的数据安全等级，保证各个医疗系统的健康运转，确保病患的及时信息交互。融合的医疗系统数据中心包括了数据交换、安全防护、数据库、存储、服务器集群、灾难备份／恢复，远程优化等各个组件。同时，要强化数据信息的加密处理，采取先进的虚拟化技术、驱动级加密等技术，实现对医院数据信息、重要文件资料的加密，确保医院网络信息安全。

第三，安装安全监控系统，强化入侵检测技术。安全监控系统可充分利用医院现有的网络和安全投资，随时监控和记录各个终端以及网络设备的运行情况，识别、隔离被攻击的组件。与此同时，它可以强化行为管理，对各种网络行为和操作进行实施监控，保持医院内部安全策略的符合性。入侵检测为网络信息系统提供了内部与外部攻击以及误操作的实时保护，在网络信息系统受到危害前可以拦截一定的程序入侵系统，从而确保计算机网络安全运行。网络信息环境下，黑客、外部攻击、病毒入侵率高，必须注意使用入侵检测系统，对主机和网络进行实时的监测和预警，提高网络信息系统的防御能力。

总之，医院信息安全是一个复杂的系统工程，需要建立一整套有效、健全的安全防御体系，采用多重技术手段全方位的安全防治策略，才能最终达到保护医院信息安全的目的，保证医院信息体系安全、健康、稳定、高效地运行。

[1]苏玉成.医院信息系统的安全及防治措施[J].医学信息.2008.

[2]刘志国，邹珉.浅谈医院信息系统的安全管理[J].信息系统工程.2010.

[3]孟一清.浅谈医院信息安全管理[J].中国卫生产业.2011.