◆聂微 张旭凯

（龙岩市第一医院 福建 361000）

1 引言

在医疗行业内，信息化的建设可以说是最先践行的行业之一，尤其是在医院内，HIS、PIAS、LIS、电子病历等信息系统的应用逐渐成为常态化。其中，智慧医疗和互联互通等医疗信息服务不仅改善了以往医院出现的客户信息存档的各种问题，同时医护人员的工作效率也得到了极大的改善，患者的就医体验也得到了优化提升。然而，医院的信息一体化存在着安全隐患，例如：勒索病毒的出现，对计算机的危害进一步加深，并且传播速度非常快。在这样的情况下，网络安全建设和管理工作是当前最重要的工作内容之一。

2 医院网络安全建设和管理的重要性

当前，计算机网络在医院的应用越来越广泛，如何更合理的应用网络功能是高效处置信息及快速传递的关键，在这样的方式下，对网络环境的安全防范及管理维护展现出了其重要性。比如，医院利用信息技术对患者就诊信息进行采集、整合、处理和分析，也为患者提供不同类型诊疗业务，患者也能够对就诊信息进行快速有效的查询，而这些信息资源开发利用的基础就是网络通信。如果医院的计算机网络安发生事故，将会导致患者信息泄漏或者网络瘫痪等后果。因此医院网络安全的建设和管理对医疗效率在一定程度上也产生了极大的影响。

2.1 网络安全建设的重要性

随着国家网络安全法的颁布，许多医院对网络安全的建设愈加重视，通过招收网络安全技术人才以及和安全厂商合作等途径建设网络的安全防控。但是部分医院仍然存在许多安全漏洞，工作人员等信息被暴露在互联网，甚至存在信息丢失和篡改。网络安全建设需要根据医院自身的具体条件构建务实的网络安全整体架构，它关系到医院是否能够有效地阻止恶意的网络入侵和窃取等行为。

2.2 网络安全管理的重要性

医院投入大量预算在网络安全建设方面，购买很多的安全设备，就像是买了许多意外保险。然而，医院的安全运维管理“三天打鱼两天晒网”，在实际过程中，为了方便，提高效率，省去麻烦，临床科室人员往往因为缺乏安全意识以诸多理由要求开放更大的网络安全限制范围，信息部门也疏于管理，导致很多安全产品最终形同虚设。

3 医院网络安全建设和管理的现状及问题

2020 年中国医院协会信息专业委员会给出的调查报告中对我国医院信息化的情况做了汇总，在报告当中，仅有43.95%的医院施行并通过了等级保护测试，从这一结果中不难看出，在医疗行业当中等保制度施行的情况并不理想。在报告当中还指出，符合二级等保要求的医院占比在13.57%，有20.38%的医院符合三级等保要求。从上述的数据中可以看出，网络信息安全在医院中的完善度并不高，换言之医院的网络安全建设和管理还面临一些问题。医院对信息安全保障工作的开展情况如下表1 所示。

表1 医院采取的网络安全措施

表1 中所展示的医院当前使用的安全防护措施已经比较齐全，然而并不是所有的医院都将上述的措施落实到位，并且占比非常小。

3.1 相关人员缺少安全意识及管理经验

由于平常不会经常出现网络安全事故，很多医院的工作人员对于网络安全的关注并不高，在安全意识方面存在较多的问题，导致在日常的工作中很难将网络运维及管理落实到位。医院对于技术人员的培训方面重视程度不够，投入精力并不大，信息部门作为医院的辅助部门缺少安全管理意识和经验[1]。在安全管理方面，安全维护管理人员为了能够方便自己操作，采用的方式是弱口令，并且相应的管理措施及办法也不够完整。此外，医护人员普遍不了解计算机网络，缺乏安全操控意识，更不懂得哪些操作可能会造成安全事故[2]。在这种情况下，非信息的工作人员往往会提出或者直接进行产生网络安全威胁的操作，这将给黑客进行网络入侵的机会，如医院内主要采用的是局域内网或者是通过虚拟的网络技术分为了多个内网，但是不同的计算机之间是连接的，并且数据可以共享。在这样的情况下，一旦出现其中某一台计算机感染了病毒，那么与之相连接的另外一台计算机不可避免都会感染病毒[3]。所以，医护人员如果使用U 盘等移动介质会导致存储介质中的病毒潜伏在主机上，很有可能导致该网段的电脑都会感染病毒。

3.2 计算机网络软硬件水平较低

在计算机网络建设中，硬件和软件相辅相成，是不容忽视的基础。如果对计算机软件和硬件的维护升级及管理不充分，医院网络安全建设的运行效果也会受到不利的影响[4]。针对当前的情况，医院的管理人员在维护网络软硬件方面还有较大的不足，进而导致网络安全依然存在威胁。一些外来数据并没有进行严格的审查，导致医院整个网络系统在运行的过程中出现了严重的安全事故。如传文件的过程中外网的文件大多直接通过FTP 服务器传输到内网，也没有定期升级病毒库，这可能会造成该网段的电脑感染病毒。目前，有一些医院的系统依然是采用的已经淘汰的Windows xp、移动医疗PAD 设备等，因为缺少相应的安全保障，导致主机问题不断发生，也为黑客提供了可攻击的机会。医院网络安全建设和管理过程中，应用的情况是不断变化及扩展的，并且结构也会越来越复杂，在这个过程中，很少有医院会再去优化安全设备的配置，甚至直到报废都没有变动过，安全设备起到的保护作用非常有限。在上述问题的影响下，医院的安全信息系统会受到各种病毒侵害和黑客攻击，对医院的业务的开展带来极大的危害。

3.3 缺少网络安全整体架构和分级分类建设方案

不同行政地区、不同级别和类型的医院对网络安全的要求是不同的。许多医院在网络安全建设过程中没有整体方案，不清楚自身最薄弱的脆弱点，造成有限的信息化建设资金没有花费在最紧急需要防护的地方，在不断的网络攻防之间，出现了安全问题就听从安全产品公司的推销，而整体防护仍然漏洞百出。例如，机房以及数据中心是存放医院内部核心信息与数据的主要场所，机房一旦出现故障，数据就会遭到损害，进而造成一些无法挽回的损失，应该划分为一级建设。因此，医院需要根据对自身的评估以及结合威胁的严重性对建设方案做分级分类的规划。

4 医院网络安全建设和管理的优化措施

4.1 建立和实施分级分类的网络安全整体建设方案

网络安全体系的要求可以分类为信息数据的完整性、及时性、机密性、可用性、真实性和可控性[5]，每个建设环节都可以划分为其中一类。医院的网络安全建设也是一个长期的过程，根据医院的基础需要和威胁的严重性进行分级，总共分为五级，一级具有最高的优先性，依次递减；网络安全建设整体方案的每个建设环节包含做了哪些方面的防护，可以防护的内容是什么，可以抵挡什么类型的网络威胁，还有什么不足并且出现这种问题需要如何解决才能将损失降到最低；然后根据建立的整体规划一步一个脚印分期分批进行实施。目前为止网络安全等级保护测评是最完善的安全建设要求，医院可根据等级测评报告发现与等级保护标准的差距和存在的安全隐患，并对风控点进行补漏[6]。在建设实施过程中，要抓好质量监管，确保每个环节具有切实有效的防护质量，这也需要做好相关的市场调研，选择在该方面有坚实技术实力和良好口碑的安全公司，切勿为了方便将所有的建设环节都交付给一家网络安全公司。

4.2 建立医院网络安全管理体系

采购大量的网络安全设备也不能保证万无一失，而且如果忽略安全管理体系的建立与完善也难以达到保障网络安全的目标。为进一步提高医院信息化建设水平，医院需要制定本院的安全策略和管理制度，按照标准的制定、评审、修订和发布流程执行，从而为医院网络信息安全工作奠定坚实的基础[7]；需要成立专门的网络安全小组，确定岗位和职责，实行安全责任制和奖惩措施；需要针对网络安全相关的操作进行严格的授权和审批，如数据库远程申请和数据修改申请等，并且信息系统的立项，开发和运维等过程都必须做好相关的安全管理，如在编写代码的过程中是否做到安全编程，不仅需要考虑代码的功能性还需要考虑代码的安全性。同时，安全管理人员需要将运行过程中暴露的问题及时告知分管领导，分管领导也需要与上层领导根据医院管理及发展的具体情况提出相应的处理对策。

4.3 加强医院人员网络安全素质提升

想要进一步提高医院内部人员的安全意识和水平，可以开展计算机网络安全管理注意事项的宣传和培训，还有定期开展安全的应急演练并且设置年度考核，树立和强化医护员工的安全责任心理；培养医护人员的基本知识和安全技巧，若察觉到信息系统异常能够及时通知信息人员，并且信息人员对医护人员信息系统操作评价也是作为考核内容之一，根据考核结果对其进行奖惩，例如医护人员由于操作不当导致电脑中毒，信息人员有权对其记录和评价。其次，医院需要引进具有计算机网络安全管理经验的人才，形成具有高综合素质的安全管理团队，它是医院信息化系统安全保障的成功之本[8]。在人员管理方面，医院需要重视对人员的录用以及离职过程中的安全维护协议签署环节，增加医院员工的安全维护义务。

4.4 注重日常网络安全运维工作的开展

安全运维时时都在路上，自从安全设备安装在网络上之后，安全运维就已经开始。日常网络安全维护是围绕实时的软硬件运行情况进行的。在硬件方面，机房和数据中心是首要观察记录和日常维护的对象；对服务器，交换机以及防火墙等设备的巡查和检测是日常维护的基础工作；条件允许的情况下，可以预先准备备用的服务器和冗余网络线路，设置备份数据区对数据中心进行定时备份，争取做到出现事故前解决掉隐患。在发生事故后需及时进行抢修，事后还需要进行审计，反思以后的工作如何进行和管理并且。在软件方面，医院日常的管理工作当中要及时更新杀毒软件以及防火墙补丁的快速升级，定期对医院的信息系统进行漏洞扫描、软件升级和安装补丁，软件更新或下载文件前必须经过病毒查杀，如果发生安全事故需要及时进行应急措施，采用应急预案手工执行，最大程度地减少损害[9]。

4.5 最大限度保护数据安全

医院作为公共服务单位存储大量的患者敏感信息、诊疗信息和临床用药信息等，这些信息对于医院和患者来说都十分重要[10]。那么，医院也必须保障这些信息的完整性、可用性、机密性以及可控制访问。对此，医院可以采用加密技术在访问数据库时加密线路中的信息流，如链路加密、节点加密以及端到端加密等几种技术手段；为了保护数据可用，防护勒索病毒的攻击，除了提示内部员工避免点击不明邮件、未知链接等，可以把重要信息文件进行多处备份。利用数据库权限划分进行角色管理，除了内部人员访问数据库控制，还需对外部人员访问数据库进行多重控制和交叉验证，外包工程师需要使用Key 远程连接数据库。

5 结论

综上所述，在医疗行业中信息化的应用提高了服务的质量以及工作效率。但是在这一过程中计算机安全威胁也成为了医院经营管理的重要问题。本文分析了当前医院的现状和普遍存在的问题，以此提出分级分类的网络安全建设方案和网络安全管理体系以及持续加强医院员工的网络安全素质日常安全运维工作的开展等对策。通过这样的方式可以一定程度上保障医院信息系统能够持续稳定的运行。