“互联网+医疗”背景下的医院信息安全防护建设与实践
2021-12-17李瑶瑶
李瑶瑶
摘要:随着移动互联网时代的来临,“互联网+”在各行各业中得以广泛应用,其中医疗领域同样也不例外。而在“互联网+医疗”的背景下,医院对信息化建设的大举推进,拓宽了医疗卫生事业的发展空间,然后在信息安全方面却暴露出了一定问题,导致医院医疗信息存在潜在风险。基于此,我们需要做好当前互联网+医疗背景下的医院信息安全防护建设工作,该文便主要针对于此进行分析,并提出具体的实践策略。
关键词:互联网+医疗;医院;信息安全;防护
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2021)33-0036-02
开放科学(资源服务)标识码(OSID):
现如今,“互联网+”早已渗透各行业领域,正在以一种革命式手段改变诸多行业形态,医疗领域也亦如此。近些年,医院的信息化建设早已展开,以逐步实现医疗信息外向拓展与内向联通,而这也是互联网+医疗的必然发展趋势。要想达成这一目标,必须消除院际之间的信息隔阂,打通诊疗信息共享渠道,实现数据互换,当然也要保证医院信息环境的安全稳定,才能确保诊疗服务的正常开展[1]。然而,因为医院的信息化建设具有一定特殊性,加之信息安全防护建设略显滞后,所以导致医疗信息网络暴露出一定的脆弱性及易攻击性,意味着互联网+医疗背景下的信息网络面临着前所未有的安全挑战。因此,为了确保医院信息网络安全,创造高速、开放、稳定的医疗信息运行环境,本文便针对这一内容展开深入探讨。
1 “互联网+医疗”背景下医院信息安全现状分析
“互联网+医疗”,意味着互联网与医院医疗服务的密切融合,现如今人们所使用的远程医疗服务、在线挂号系统、在线支付小程序等,均为互联网+医疗产物,大大提高了医疗工作服务效率。然而,不可否认的是接入互联网势必会导致医院信息安全风险加剧,目前医院的信息安全风险重点凸显在软硬件设备安全、管理安全等多个层面,表现为信息泄露、数据遗失、病毒入侵、黑客攻击等等。
1.1 法律体系存在漏洞
随着我国互联网行业的高速发展,为了确保网络信息安全,国家也相继出台了一系列法律法规,其中最具代表性的有《国家安全法》《网络安全法》等[2]。然后,因为互联网发展速度非常快且应用的行业领域不斷扩张,再加上如今黑客手段不断升级与病毒传播隐蔽化,很容易就造成了医院信息安全防护方面出现漏洞。许多不法分子为了一己私利,便会利用尚未完善的法律漏洞去窃取医院的医疗信息,从中谋取利益。
1.2 软硬件平台安全隐患较大
在互联网+医疗背景下,医院信息化建设正大力推进,但在专业软硬件设备配置与开发方面尚处在初级阶段,所以软硬件平台也暴露出了一定的安全隐患。再加上互联网本就是开放性平台,医院的内部信息安全完全与互联网割裂是不可能的,倘若缺少强效防御软件以及完善的信息安全防护体系,则很难有效保障医院医疗信息安全。
1.3 医院信息安全管理存在不足
医疗信息涉及个人隐私,同时有着极高商业价值,尽管这一点在医院内部有着高度认识,但是相较于医疗设备购置、提高病患满意度等方面来讲,医疗信息给医院带来的直观收益并不大,所以医院在管理工作中对其关注度向来不够[3]。其一,大部分医院管理层理念较为守旧,对“互联网+医疗”时代背景下医院信息所暴露出的安全隐患并未有准确把握,即便是出现医疗信息丢失或被窃取,同样也没有做进一步责任追求;其二,信息安全管理责任不明确。医疗信息作为医院的重要机密,如果得不到重视、缺乏健全管理制度,自然难以将责任落实到个人。一方面是医疗信息的存储,通常医疗信息会存储在医院信息系统的数据库中,由安全管理部门负责管理,医护人员则无需对医疗信息的安全负责,因为这一责任划分不明晰的情况,所以每次出现问题相互推诿责任。另一方面,医护人员及相关科室对医疗信息安全管理的意识和态度并不端正,会在无意之间导致医疗信息泄露,导致医院蒙受损失,比如部分医生或护士会接受他人请求去调阅医院信息,这一点要坚决杜绝;其三,考核机制完善度不够。对有调阅医院信息权限的人员未做好登记与监督,导致其信息调阅范围失控。此外,医院内部部分设备存在内外网混用的情况,同样增加了信息泄露的风险。
2 “互联网+医疗”背景下的医院信息安全防护建设与实践策略
2.1 加强设备与技术层面信息安全防护建设
其一,注重硬件设备方面的管理。在医院的信息化建设过程中,需要用到计算机、网络设备、通信设备等一系列硬件设施。而要想做好信息安全防护建设工作,保证医院信息系统安全稳定,最基础的便是保证信息系统硬件设备的良好质量与妥善建设。立足医院信息系统构造层面来看,重点保护对象为服务器、中心机房、硬件结构设备、工作站等等。其中,中心机房可视作为医院信息网络信息的“心脏”,内部温湿度、避雷安全性、供电稳定性等因素均会直接影响机房的运行;服务器则扮演着医院信息系统的“大脑”角色,唯有保证服务器安全运行,整个系统才能正常运作,可想而知服务器一定要全天候24小时工作。在医院的信息安全防护建设中,需采取多机热备份方案,提高容错率和以双服务器手段去保障服务器的不间断运行[4]。此外,服务器供电需配备UPS电源,采用双电路供电线路。所有医护人员使用的PC终端均会对医院信息系统形成一定影响,尽管各个终端为独立模块,但都要连接全盘系统,所以对于所有接入医院信息网络系统的终端设备均要明确规定,尤其是文件的接发、网站的登录需出示硬性规定,杜绝病毒入侵途径,从根本上保证医院信息安全。
其二,充分利用加密与身份认证技术。在计算机安全管理领域,加密技术与身份认证技术属于常规手段,在保障信息安全方面效果明显。落实到医院的信息安全防护建设工作中,技术人员可通过身份认证的嵌入对收发文件进行加密,一般采取链路加密、端对端加密的方式传送信息。当然,计算机技术的快速更新迭代,也让许多传统的加密技术可靠性逐步弱化,难以满足现代医院信息安全防护建设需求,所以还要进一步提升加密的保险性,可通过复杂密码设置、人脸识别、指纹识别等手段去加强信息安全防范,提高医院信息系统的运行安全性。
其三,构建信息安全防护体系。一方面,要对医院信息系统及时更新,构建科学性更强的网络安全评估体系,定期进行系统扫描去查找漏洞,严控网络访问行为;另一方面,构建强效病毒防护体系,定期清理常见木马与病毒,提高医院信息安全防护效率。当然,还要重视对医院信息系统的监测管理,警觉异常入侵,如若发现安全问题要及时报警,保证安全防范时效[5]。
2.2 做好对医院信息系统外来攻击的应对工作
其一,保障医院信息安全访问。医院一定要提高信息安全防护建设工作质量,采取全面分析及扫描的手段去开展对来自外网的病毒攻击,同时安装保密级别更高的杀毒软件,做好对病毒的防范工作。同时,医院也要如上述所言重视对网络相关设备的安全管理,尤其重视避免硬件设备受损,打造安全的硬件管理环境,同样可有效应对外部用户对医院信息网络系统的损害。同时,赋予不同用户不同权限,避免用户出现越权操作,也即是如果用户不具备该操作权限,会直接对用户行为进行限制。此外,还要配备最基本的防黑客攻击的安全设备,切断一切有可能影响医院信息网络安全的异常行为。
其二,健全风险评估机制。医院信息安全风险评估,也就是对医院信息系统中存在不安全、不稳定因素做出预估,从而察觉系统中暴露出的缺陷与漏洞。从现阶段医院信息安全防护建设工作实际情况来看,主要的信息安全风险集中体现在技术和人员层面,所以医院方面应当组建专门的考核团队,制定安全监测计划,做好人员信息安全管理工作,规范医护人员行为,全面测试与排查硬件设备、网络环境、信息备份、应急预案等方面的设置。当然,医院毕竟属于医疗机构,其信息技术水平可能相对偏弱,所以可寻求专业的第三方安全服务公司进行合作。
其三,构建分级保障应急预案。在医院信息化建设过程中,同样需要针对信息安全防护构建分级保障应急预案,如果发现数据上传失败、无法访问数据库等异常情况则要及时汇报,视情况严重程度做出相应的处理。此外,还要根据医院临床科室的实际情况去制定应急预案,先对科室信息进行登记,对应急预案的启动时间、替换方案、故障恢复等做出明确规定,并且让所有医护人员熟记于心[6]。为了降低信息安全事故带来的影响,需要在不影响医院业务运转的情况下多进行应急演练。
2.3 落实医院内部信息安全防护管理措施
其一,加强信息安全管理制度建设。医院内部在落实信息安全防护管理措施方面需要强化制度建设,确保机构与规划的双重统一,强化整合力度,完善信息安全防护管理工作的规章制度,保证该项工作有章可循。同时,对机房、软硬件设备、安全防护设施等逐步完善,跳脱部门界限,通过详细规定管理细则,实现医院内部一体化管理,优化过去管理模式中信息与业务相互分离的情况,全面提升信息系统安全防护能力。
其二,强化信息安全监控考核机制。医院信息网络系统需严令禁止内部员工对相关网络配置擅自篡改,不可用他人账号进入系统,更不能擅自安装不在信任列表中的非办公软件。医院信息管理部门要做好日常信息巡查工作,对黑客攻击进行监测预防,对病毒进行清除防范,对重要信息及时备份,对有害信息及时清理等。此外,还要确保各项保密措施的积极落实,例如所有涉密文件必须通过计算机加密后传输;涉密计算机故障检修,一定要由内部人员处理或由专人监控;涉密信息不可存储在移动存储介质中带走,更不得私自出借文档,防止重要资料外泄。
其三,重视信息安全培训工作。医院在信息安全防护建设工作中一定要重视对员工的信息安全业务培训,人力资源部门要做好针对性的安全培训计划,编制培训内容,罗列出与医院信息系统相关的安全管理知识。同时,在培训过程中也要结合医护工作实际情况,讲究循序渐进,以科学化的知识考核去评测员工信息安全知识水平,与绩效奖金挂钩形成动力激励。
3 结束语
综上所述,随着社会时代的发展,人们在物质生活水平不断提升的背景下,对自身健康问题也愈发关注,同时社会医疗行业的快速发展也为社会大众带来了更加便利的医疗服务,加之互联网技术的加持,互联网+医疗时代的來临,大大提高了大众的医疗服务效率。而“互联网+医疗”在发展中同样面临着信息安全问题,要想解决该问题,则要通过加强设备与技术层面信息安全防护建设、做好对医院信息系统外来攻击的应对工作、落实医院内部信息安全防护管理措施,从而提高医院的信息安全防护建设工作效率,增强医院信息网络安全性,保护企业与个人信息,提高医院信息系统稳定性及安全性。
参考文献:
[1] 高巍,潘欣.医院微信就诊服务平台的内部网络安全防护[J].中国数字医学,2016,11(6):92-94.
[2] 胡新龙,李怀成.互联网+医疗健康模式下的医院网络安全防护[J].中国卫生信息管理杂志,2019,16(4):462-466.
[3] 陈拥军,肖新文,陈泓伶,等.医院网络安全体系构建与实现[J].中国数字医学,2016,11(7):105-107.
[4] 李强.刍议医院信息系统的网络安全管理与维护措施[J].中国信息化,2019(2):58-59.
[5] 王华.医院计算机网络安全管理工作的维护策略分析[J].信息系统工程,2017(8):77.
[6] 江润平.对医院信息化建设中网络安全防护的对策研讨[J].信息与电脑(理论版),2019(14):206-207.
【通联编辑:唐一东】