医院网络信息安全问题及对策研究
2022-11-11刘莉
刘 莉
(天津市滨海新区妇幼保健计划生育服务中心,天津 300270)
1 医院网络信息安全概述
随着我国医疗体制改革的逐渐完善,强化医院信息化体系建设尤为重要。“互联网+”模式对业务模块化应用影响颇大,可有效推动现代化医疗信息体制改革,实现办公智能化、业务网络化、服务数据化,方便患者就诊,提升运行效率。医院网络信息安全是指对医院网络进行设计架构,以安全保障、稳定运行为主,进行全系统网络安全规范与标准强化。医院网络信息特点为大数据、大关联,数据类型较多,涉及部门较广,加之资源或机构数据共享,在外网方面更加注重安全保障。因此,医院网络信息安全问题一直备受诸多学者关注。
2 医院网络信息安全系统技术架构分析
2.1 网络信息安全系统架构目标
本网络信息安全系统设计架构主要以智慧医院概念为主,基于医院业务数据与档案信息的重要性,本系统设计中要充分体现医院医疗体系网络的协同、互通、共享。提升全资源数据共享的同时,实时对病毒、非法程序及木马进行全过程监测。本安全系统设计满足现代化智慧医院要求,包括跨机构互联互通、自动化高效运营、全流程重塑体验、大数据驱动决策、持续性创新机制。另外,本系统设计中选择5G技术,主要是基于5G技术的大宽带、低延时优势,提升数据传输的容量,安全系统技术要架构在云医疗、系统、网络业务系统之上。基于人工智能与大数据应用,本网络信息安全系统要对其进行信息系统安全保护,全面提升智慧医院的安全可靠运行,该医院信息系统架构如图1所示。
图1 智慧医院信息系统架构
以互联网诊疗系统安全保障为例,当互联网用户在公有云发出访问请求时,所有访问需要经过隔离区(Demilitarized Zone,DMZ)进行边界防护和清洗,才能到达私有云数据库。私有云与内网之间亦有相应的安全设置,确保系统安全。
2.2 加强安全配置管理
安全配置错误是OWASP TOP10安全风险中最常见的问题,在本次市属医院安全风险检测中发现的次数占比达到30%,应引起医疗卫生机构的充分重视。网络攻击者能够通过未修复的漏洞、访问默认账户、不再使用的页面、未受保护的文件和目录等来取得对系统和数据的未授权访问。这类问题通常由以下原因造成:(1)应用程序堆栈的每一层级等缺少适当的安全加固,如服务器、数据库、应用程序框架没有进行安全配置;(2)应用程序启用或者安装了必要的功能,如不必要的端口、服务、网页、账户或权限;(3)默认账户的密码没有及时更改;(4)软件更新过程中未及时对安全配置进行对应的更新。
为了防止安全配置类问题的出现,建议医疗机构和信息系统开发厂商采取以下措施:(1)在程序堆栈的每个层级开启必要的安全配置,如配置网络访问策略、关闭默认端口、开启ASP.NET等程序框架的安全保护配置等措施;(2)在程序开发和配置过程中应遵循信息系统最小化原则,如去除不必要的功能、移除可能导致配置信息泄露的文档和示例等措施;(3)更改默认账户的密码;(4)检查和修复安全配置来适应最新的安全说明、更新和补丁,并将其纳入信息系统更新管理过程。
2.3 加强对身份认证的管理
失效的身份认证,在本次市属医院安全风险检测中出现的次数占比达到18.2%,属于A类影响因素,对市属医院的网络安全构成重要影响。身份认证管理问题是在信息系统的设计和实现中普遍存在的问题,网络攻击者可以通过默认的管理账户列表、自动暴力破解、GPU破解工具等实现对系统的破坏,导致用户身份盗窃等问题。可以通过以下措施,防止身份认证管理问题的出现:(1)实现多因素身份验证,以防止用户名密码盗用、暴力破解等攻击;(2)执行弱密码检查,测试密码是否符合密码长度和复杂度要求;(3)使用服务端内置的会话管理器,在登录后生成高度复杂的新随机会话ID。
3 新时代医院网络信息安全存在主要问题
3.1 病毒升级入侵影响系统稳定
新型网络病毒的危害将更大、更迅猛。因此,从病毒影响层面分析,需全面强化医院网络信息数据系统的稳定运行,开展针对病毒波及的应对策略分析。首先,病毒升级后会对整个医院网络信息系统进行侵袭,并对网络数据、信息内容进行删除或乱码,导致整个医院网络系统应用停滞,甚至整个网络系统瘫痪等,严重影响医院正常运行与医疗保障,在该过程中通常无法以时效手段对其进行优化控制,病毒的复制与传染性又较强,一旦发生很难预防或控制。其次,病毒类型较多且不断升级变化,医院的病毒分辨与判断能力偏低,为不同类型病毒的网络入侵提供条件。因此,新时代病毒升级是医院网络安全首要面对的问题之一。
3.2 黑客非法入侵波及数据信息
医院信息数据网络由于其公开属性,在密匙设置或保密设计等方面相对缺乏,网络平台的公众属性与特点限制全面加密操作。因此,黑客可通过某种网络程序对其进行非法入侵,待侵入医院网络系统或信息空间后会对其资料、数据、信息等进行篡改、破坏。应对黑客入侵的主要防范手段是对非法程序与编码植入的规避,但医院网络系统受客观条件与技术层面影响,无法达到其双重标准。所以,在整体黑客非法入侵应对中医院网络安全依然需要升级。
3.3 木马程序感染扰乱系统运行
木马程序也是其主要问题之一,木马程序是指以软件或程序感染为手段的一种篡改程序、扰乱系统形式,“木马”具有一定的病毒感染性与传播性,可在较短时间内对整个医院网络信息系统进行病毒复制、程序扰乱,导致医院网络系统无法正常运行。木马程序最大的危害是其隐藏性,多以小程序或信息内容传递等为主,网络安全管理者很难对其进行判定,而相关应对安全软件又无法对其快速察觉,一旦木马程序入侵则会造成后期诸多问题出现。医院网络信息系统是多种类型信息、大量数据的叠加体现,而木马入侵的形式正是对其系统应用程序进行篡改,导致信息与数据受到感染,如乱码、蓝屏、删除等问题发生。因此,在医院网络信息安全管理中应提升防火墙优化水平、强化多层木马预防程序强化等。
4 新时代优化医院网络信息安全主要途径与策略
4.1 加强技术创新与全面安全防范
结合目前医院网络信息安全防范要求,采用技术创新与植入保障的方式,对网络安全新技术、新模式给予设计架构,提升整个医院网络系统的安全性。首先,对防火墙技术进行创新升级,防火墙技术是抵御病毒、木马与黑客入侵的重要保障,医院网络系统中防火墙的作用尤为关键,受外网与内网大量数据涌入、传送及共享浏览要求,病毒与黑客入侵更为方便。所以,要提升防火墙的防范等级。防火墙的主要作用是以计算机连接网络数据包为主,对计算机、数据库等进行安全监控。医院网络环境安全性相对较低,通过防火墙等级加固便于实现子网环境的整体安全效能。同时防火墙技术应用较为常见,并不需要投入大量资源成本。在防火墙安装中要对其进行结合性分析,通常安装位置在内部网络出口处,让防火墙在内网、外网之间,形成有效的管控屏障,实现对外网风险数据与程序的隔离、管控。同时为该防火墙设置网络地址转换,对从外网进入的数据信息等进行有效检测,并对其开展外网活动与动态的全面监测,并可对相关的可疑内容或数据等进行拦截处理。通过防火墙升级与多层设置,外网进入的数据信息要通过严格筛选与检测方可进入内网。通过防火技术升级可有效提升不良信息由外网进入内网。如密匙技术应用,该技术是在传统计算机网络加密的基础上,通过密匙方式提升访问安全性,该技术主要对外网的访问信息、访问要求进行有效控制,并通过问题、密码或共享密匙的方式提升访问权限,有效控制违法分子通过黑客手段进行访问入侵。一旦发现问题要第一时间对其进行优化处理,便于日后全面开展工作。
4.2 加强医院计算机网络安全管理与体系建设
医院网络信息安全管理是从全面提升安全效能、体系建设方面入手,以计算机信息安全技术应用为主。首先,提升计算机网络安全意识。医院决策者与管理者一定要从全面系统优化层面考虑,对当下互联网+医疗的应用领域给予战略明确、战略布局、战略实施,对医院网络安全管理工作进行战略指导,提升医疗网络安全中的数据驱动、安全驱动、技术驱动等。其次,中层管理者要从医疗体系信息化建设层面入手,对各部门与子机构的网络数据、电子信息等资源进行全面整合,将安全升级与风险应对进行明确分工,并构建大融合网络信息安全管控体系,大融合主要以业财数据融合、住诊数据融合、医病数据融合、内外数据融合等。最后,以多重架构形式为主对其进行体系建设。在体系建设中一定要体现网络安全全面覆盖与植入,对医疗体系与网络资源进行有效保护。
4.3 完善医院网络信息安全管理制度
首先,针对病毒或黑客等入侵开展细化分析、量化控制,做好网络平台数据监测与风险起伏跟踪,对不良程序与访问进行鉴别控制,在过程中要植入信息安全技术软件或程序[1]。同时,针对网络管理人员的重要性对网管、网监队伍开展建设,提升网络管理及操作人员的技术能力、综合素质。如定期开展网络安全培训、技术考核、技术培训等,全面巩固与提升管理人员综合素质。最后,对内控制度进行完善。以网络环境为主对相关事宜、相关问题进行解决,保障医院内部网络环境与外部网络运行,为后期工作开展奠定基础[2]。
4.4 优化医院数据模型及网络安全领域研究
研究的目的在于从全方位对其进行安全加固,在具体实施过程中要结合研究方向与研究主体。首先,侧重数据模型及应用程序的测试研究,数据模型可对通信网络安全行为进行功能化完善,数据模型是基于通信网络风险与数据安全的共同防御属性,通过各种加密方式与数据监测系统植入,提升通信网络中数据波及、影响的应对能力,对全面提升通信网络安全具有极为重要的推动作用[3]。
5 结语
综上所述,通过对医院网络信息安全问题及对策进行分析,从不同层面对医院网络信息安全架构、制度建设、技术应用等进行阐明,结合实际环境与安全需求,提出具体措施,主要包括加强技术创新与全面安全防范、加强医院计算机网络安全管理与体系建设、完善医院网络信息安全管理制度、优化医院数据模型及网络安全领域研究等,为医院网络信息安全体系建设奠定基础。
