◆贾维

数字化医院信息安全建设与管理策略

◆贾维

（淮安市第二人民医院信息中心 江苏 223002）

进入21世纪后，我国医疗体制改革进入深化阶段，在经济、科技进步下医院管理变得更加科学、规范。在信息时代背景下数字化管理建设逐渐成为医院发展主流方向，但是令人遗憾的是我国数字化医院建设还存着诸多问题，主要表现为数字化管理制度不严格，信息技术差距过大，安全体系落后等等，这些问题严重影响了我国数字化医院建设。为此，笔者结合自身多次参与数字化医院管理建设，浅议现阶段我国数字化医院信息安全建设存在的具体问，并提出优化解决方案，意在帮助其他医院数字化建设者提供参考意见。

数字化技术；医院管理；网络建设；优化策略

伴随着我国科学技术的发展，信息技术逐渐融入我们生活之中，不仅给人们生活生产活动带来了极大便捷，还为医疗改革带来了全新契机。若医院管理人员能够将数字化技术融入医药管理、引导服务、医生诊疗等诸个重要环节和节点，可以有效提升医院医疗效率，持续降低医护人员工作压力，让医院管理工作更加科学且规范。但是由于数字化技术应用维度较广、系统集成性较强、创新上线高、管理项目种类多、系统开发难度大、网络安全问题严峻，很多医院在应用数字化管理方法时反而会暴露出一些体制改革上的问题。

1 数字化医院信息管理现状分析

1.1 网络安全投入有限

数字化医院信息安全建设是一项需要消耗大量时间、精力、资源的系统性工程，在信息时代背景下，每个患者的个人信息很容易在不法分子窃取，想要保障患者个人信息，需要从管理规则、数字化制度、医护人员网络安全意识三个方面综合进行提升，才能够保障患者信息安全，但是能够做到此层次的大多数是三甲医院，而其他医院网络安全投资十分有限。部分医院仍在使用传统医院网络安全办法，将医院与外界互联网相隔绝，让医院网络构成一个系统局域网，在没有外界干扰下保障患者信息安全[1]。这种方法在设计理念阶段虽然十分合理，而且造价成本较低，但是实际应用过程中就会出现很多问题，如数字化管理的优势就是在于信息传播速度快、互联网信息储存量大、与其他医院医生交流无障碍等，但是在局域网下医生只能完成门诊信息确认、医药开方、医疗病史调取、患者缴费详情几个简单的功能。而且整个医院依托局域网络信息互传软件，很容易产生系统垃圾降低信息传播速度与软件运行速度。采用这种局域网管理办法的医院一般多为资金有限，规模较小的医院，无法聘请专业网络专家或设立计算机安全室，只能以相对限制办法低成本开展网络安全管理[2]。

1.2 信息安全体系不完善

完善网络安全体系是建设数字化医院信息安全管理必经之路，若只提升网络建设资金的投入而没有相应的安全体系，数字化医院信息管理实际应用效果会有所下降。数字化医院信息安全体系必须涵盖数据构成、应用方向规定、患者信息确定、系统循环分析、入侵检测报警等多个保障环节。具体而言，医院网络会分外网和内网，外网的需要加设管理工具、网络防火墙、浏览网页与下载内容检测以及杀毒软件，这套保障措施可以保障医院是外网不受网络攻击影响[3]。而医院内网管理会较为严格，除了常用的防火墙、网闸、态势感知等设备，一般采取计算机桌面软件安全匙登录、入网身份认证、操作审核、信息下载监管等功能，只有医院特定人员可以登录内网审查信息，如医生、医院教授、医院领导、护士长等重要医护职员，他们在系统中的每一步操作都会被进行记录，一旦接触做出违规操作内网就会发送信息连接外网发出警报，医院管理人员就可以第一时间审查操作人员信息，并对问题加以处理。但现阶段部分医院由于安全体系不完善，对内网浏览者、登录者管理不严格，而且在内网被入侵时也没有应对措施，在后期网络维护阶段也没有合理计划[4]。

1.3 医院监督力度较差

部分医院将网络安全问题交由其他网络科技公司，让他们完全负责医院网络安全建设，经过专业人员设计与参与，医院数字化信息安全管理建设有了极大提升。但是笔者发现，这部分医院管理者将网络信息安全建设交由他人后，逐渐放弃对内部医护人员网络安全教育，在出现问题后将所有责任归结于网络科技公司。网络科技公司的确是依靠自己专业技术为医院搭建起网络安全系统，但是由于网络发挥速度与各个操作软件更新节奏较快，没有任何一家网络科技公司能够保障经过一次建设就能够保障医院网络永不受侵扰。而作为医院网络系统的操作医护人员，他们的操作方法也与网络信息安全也有着直接的联系[5]。简单来说，在网络上有一些钓鱼网站和内设后台安装包，计算机操作人员只要点击浏览或下载，不法分子就可以通过网络后台盗取计算机信息或者是攻击医院内网系统，而这一套操作完全可以发生在计算机操作者不知情的情况下。钓鱼网站不只是单指具有黄、赌之类性质的网站，一些医疗信息网站或新闻网站也会存在相应问题，这类网站都是一些令人醒目的噱头吸引浏览人员，例如“美国已经成功研制出HIV育苗”“国外科学家从远古动物遗骸中成功提取永生细胞”，这些网站信息看似不存在问题，但它的确是专门为了医疗人员准备的陷阱，专门盗取医院患者信息。医护人员若没有良好的网络安全意识，再简单的网络攻击手段都可能到得手[6]。

2 数字化医院信息安全建设与管理策略

2.1 严控网络安全性

在信息时代背景下，人们可以通过互联网突破时间与空间限制，完成信息之间的交流同步，医院也是信息技术的受益者，无论是医院单位还是医护个人都可以通过该技术传播信息、交换信息、共享信息，信息技术不仅加强医院各个单位之间的联系性，还帮助医护人员极大地缓解了工作压力，让医院在诊疗事务处理效率上有了很大提升[7]。但是由于网络信息开放、共享性特征较强，也导致了医院始终存在不安全因素，一些不法分子为了私人目的攻击、破坏网络信息，这让医院信息安全一直处于危险边缘。对于不法分子的挑战医院网络安全管理人员需要加强网络访问路径的审查工作，加持审查力度与检测方法，这样就可以保证客户端与医院主机服务器不受外界因素攻击。针对不同科室的信息交交换与分享安全问题，医院网络管理人员需要加强IP信息与MAC之间的绑定，严防出现ARP诈骗问题的发生。同时，医院网络安全管理人员要依照不同科室信息交换需求设置不同的防火墙，在不同端口设置木马、蠕虫、病毒检测方法。例如，门诊计算机主要是承担患者信息录入工作，经过患者选择才能完成挂号流程，而患者在选择过程中会填写大量私人信息，例如姓名、年龄、手机号、身份证号、过敏原、医疗史等等，这些信息若落入不法分子手中完全可以完成一次精准诈骗。为此医院网络管理人员要在此端口对网络下载、浏览、外网分享文件进行严格审查，将网络攻击扼杀在摇篮之中。

2.2 加强硬件设备投入与监管

一个医院若想提升自身数字化网络信息安全性，需要有一定较为强大的硬件设备支持，而医用网络安全硬件一般价格较高，需要医院加大网络安全投资力度。对于部分城镇医院医疗资金总量小，无法采购网络尖端设备的问题，笔者有两种解决方案：其一，医院领导与地方政府职能部门进行协商，通过政府部门的支持提升本地医疗水平。其二，医院可以采购一些国内外一些大型医院已经淘汰的网络设备，网络设备不同于医疗设备，网络设备需要对面的是医护人员，而医疗设备需要面对的是患者，采购二手网络设备虽然在名义上无法令人接受，但是一些二手的医用网络设备的确实用价值较高，商品价格较低，能够在保障中、小医院是5~8年内无须更换相应设备。此外，在添加设备的同时，医院网络管理人员需要提升默认用户访问权限，采用一人一账户原则，并依照医护人员职务开放操作限制[8]。例如，普通医护人员可以查看患者姓名、年龄、病患史信息，而医生则可以在此基础上查看患者籍贯、是否有陪同家属、是否拥有术后过激反应等等其他信息，更高级的医护主任则拥有信息下载权限。只有这样不法分子在使用医护人员信息登录后，所造成的破坏范围也是极为有限的。

医院网络管理者在进行数字化医院信息安全建设过程中，还需要加强对医务人员的网络监管，实行医务人员的网络违规违法行为与医院奖金绩效挂钩，让违规违法付出代价，同时加强医护人员网络安全意识教育工作，定期为医护人员提供网络操作培训讲课，将网络上一些常见信息盗取手段与预防方法讲述给医护人员，进而提升整体医院整体网络安全性。为此加强硬件设备投入与加强网络监管两手都要硬，如没有硬件投入，巧妇也难为无米之炊；如疏于管理，再强的硬件设备也解决不了信息化安全问题。

3 结语

综合上文内容，我们可以得知在信息时代下，医院要加强数字化信息安全建设，保障患者私人信息不被泄露，杜绝发生信息诈骗问题的发生。进入21世纪后人类信息呈爆炸式增长，各种信息技术形式和相关人才数量快速增长，部分不法分子为了满足自己的私欲，通过自己学习到的网络技术，破坏、盗取医院医疗信息这不仅是一种违法行为，也是缺乏道德品德的行为。为了能够应对外界因素的挑战，医院网络管理人员需要严控网络安全性，向医院申请更多建设资金，采购更为先进的医疗网络硬件设备，并完善医院网络管理结构，加强医院人员网络安全管理意识，最终保障医院医疗信息安全性。

[1]张荣和. 现代数字化时代下医院网络信息化管理的策略与方法探析[J]. 医学研究，2020，002（002）：101-101.

[2]张勇豪. 信息安全管理的建设在医院信息化建设中的作用分析[J]. 数字化用户，2019，025（010）：155，157.

[3]孙震，王梦莹，贾末，等. 5G技术在医疗领域中的应用探讨[J]. 中华医院管理杂志，2020，36（07）：589-591.

[4]庄洪杰. 数字化医院计算机信息网络系统安全及应对策略分析[J]. 数字通信世界，2019，178（10）：168-168.

[5]孙剑，鲁一鸣. 浅析数字化医院计算机信息网络系统安全及对策[J]. 科技经济导刊，2019，692（30）：35-35.

[6]盖淑花. 数字化医院计算机信息网络系统安全与应对措施[J]. 科技创新导报，2019，504（36）：125+127.

[7]王康华. 基于计算机网络技术的计算机网络信息安全及其防护策略[J]. 数字化用户，2019，025（020）：72.

[8]刘程皓，李筱倩. 医院信息化建设中计算机网络安全管理与维护浅析[J]. 数字化用户，2019，025（017）：62.