医院信息系统的日常维护及网络安全问题
2020-12-14刘济源
摘 要:社会发展至今,人们对医疗信息的安全与隐私越来越注重,以往十年人们更多地在讨论医疗信息系统防病毒、系统宕机之类的问题。而现在讨论更多的是等保、容灾备份、信息数据加密等问题,但虽然讨论侧重点不同,总体来说还是医疗信息安全和隐私性问题,医院有责任对患者的医疗数据妥善保管,在医疗领域应用信息系统,在信息安全方面仍将面对很大挑战,本文将围绕网络安全问题,结合医院现有的信息系统,做出综合阐述。
关键词:医院信息系统;日常维护;网络安全问题
一、选题综述
(一)时代背景
随着时代的发展,医院信息系统的应用已经越来越深入,越来越广泛,医疗信息系统能够将挂号变得简单有序,能让医疗数据的存储与调取更加方便快捷,能节省大量时间,提高医生工作效率和医院管理效率,对患者长期健康情况进行记录,支持快速检索,让医疗更有效用,同时对海量医疗数据的存档调取,系统能帮助挖掘过往病例中隐藏的医疗信息价值,不断提高医疗水平,更好地服务社会,可以说医疗信息系统的应用价值极大。
(二)医院信息系统[1]
医院信息系统(HIS),是Hospital Information System的缩写, HIS可以大致分为三大块:管理信息系统、临床医疗信息系统、医院信息系统的高级应用。管理信息系统(MIS)包括门诊急诊挂号子系统、收费子系统、药库管理系统等等,对患者的数据收集、处理、存储的主体,同时也包括医院的人事、行政等信息的收录处理;临床医疗信息系统(CIS)包括患者医嘱处理子系统、护理信息系统、医学影像诊断报告处理系统等,是面向临床医疗管理,以医疗全过程为主体的管理单元;医疗信息系统的高级应用(PACS)是将医学图像实时传输与查询的系统,包含医学情报、远程诊断与教学、病案诊断记录等。值得一提的是,还有很关键的电子病例系统(EMRS),电子病历系统依附于整体的医院信息系统(HIS),并不是独立的新系统,但因为其重要性,通常单独来说。
(三)医疗信息安全事故实例
2019年4月,有关部门发现湘阴县妇幼保健站未部署入侵防护系统、防火墙及日志审计系统等问题,其行为已构成“不履行网络安全保护义务”罪,依令整改,但该院未按规定整改,直到2019年10月,遭到黑客勒索病毒攻击,医院核心业务信息系统2019年所有数据和备份文件被清除,并通过内网感染到办公终端,医院瘫痪三天。
2019年5月,重庆永川某私立医院服务器瘫痪,网警和技术人员勘察,该医院未按照网络安全制度进行,未采用网络安全技术措施,导致被植入勒索病毒。
这样的例子还有很多,其中很大一部分成因在于医院安全意识薄弱,未履行网络安全等级保护制度。
二、医院信息系统的等级制度和具体要求
卫生部基于医疗信息安全问题,制定有相关等级制度和规范标准[2],明确规定三级甲等医院的信息系统原则上不低于第三级,要求简单来说是应具备对SQL注入、跨站、扫描器扫描、webshe11攻击检测、盗链行为、拒绝服务供给防护、身份认证等14项安全功能,避免来自外部有组织团体的恶意供给,能够发现安全漏洞和安全事件,在系统遭到攻击或其他原因损害后,应能够快速回复绝大部分功能。2019年5月,国家又正式发布了网络安全等级保护制度(简称等保)2.0标准,如下图1简示。
三、对医院信息系统安全性的策略
医院信息系统的安全性影响因素分为硬件和软件问题,硬件设备受损或老化导致信息系统无法有效使用,软件受损则又分为内部泄露和外部泄露,内部泄露指医院内部人员盗用患者信息,外部泄露是医院信息系统有漏洞,受到网络恶性攻击,患者信息面临泄漏的风险,导致医院瘫痪,这里,也将结合上文等保的“技术要求”和“管理要求”两方面展开阐述
(一)管理要求方面:明确医院信息系统安全性的重要[3]
结合上述信息系统的事故实例,我们可以发现,医院疏于对医院信息系统的防护,很大一部分原因在于安全意识缺乏,事到临头才后悔不及,国家对医疗医院对应的信息系统防护都严格的等级划分,但很多医院并没有做到这些,据《2019 健康医疗行业观测报告》数据统计,对15339家医疗行业相关单位的网络信息系统进行统计,具有脆弱性和各项安全隐患的有9523家,占比62.14%,可以说我国的医疗信息系统全面处于风险状态,医院方面需要明确信息系统安全性的重要,积极自查,和社会上相关互联网检测企业合作,优化信息系统,加大警觉性,加强安全意识。
(二)管理要求方面:建立完善的网络安全管理制度
建立完善的网络安全制度,首先使用优秀的、具有高度防护功能的信息系统软件,做好物理环境、防火墙建设、网络边界完整性检查、入侵防范、数据及时备份等,避免出现网络安全问题,其次,要建立完善的管理机制,将医院信息系统的使用规范化、细化,防止网络设备非法登陆,做好身份鉴别、访问权限控制等要求,要求医院内部人员严格遵守管理制度。
(三)管理要求方面:提高医院工作人员的职业素养
患者信息泄露也分为内部泄露和外部泄露,内部泄露指医院内部人员利用权限,盗用患者隐秘,利用患者信息非法获取利益,外部則是黑客入侵、勒索非法利益,这里说的就是内部泄露,党的十三届全国人大常委第七次会议明确提出,泄露患者隐私的医院相关人员要承担相关责任,但上有政策,下有对策,医院内部人员私自盗取患者信息的行为还时而发生,在技术上可以利用利用防火墙、审计设备和准入控制系统,实时准确记录内部员工行为操作,做好内部监控,但要想从根本上解决内部泄露患者信息的情况,加强培训教育,不断提升工作人员职业素养也是必须的[4]。
四、结束语
从本文的审题可知,网络安全即信息安全,日常维护是全面维护的基础,也是核心维护需求,是确保医院信息系统安全性的根本途径,结合上述分析,从根本解决网络信息系统的“安全性”问题,切实保障患者信息,具有非常大的意义。
参考文献:
[1]冯佩伟.浅谈医院信息系统的日常维护及网络安全问题[J].现代医药卫生,2008(22):147-148.
[2]王赠,李伟.医院信息系统的网络安全管理与维护[J].通讯世界,2017(12)
[3]耿红丽.医院信息系统的网络安全管理与维护[J].《中国新通信》,2017(1):88-88,共1页.
[4]于栋玮.医院信息系统的网络安全管理与维护[J].中国高新区,2019(3):250.
作者简介:
刘济源,江苏,汉,19910203,本科,初级,医院信息系统维护与网络安全