摘要：我国进入“互联网+”时代，更多医院在工作中应用了信息技术，网络平台尽管能够为工作人员带来诸多便捷，但由于互联网技术自身的开放性，还带来了较多信息安全风险。为确保各类重要信息的安全性，须关注开展信息安全管理，积极应对安全风险，以避免各种信息安全事故的发生。鉴于此，本文围绕医院信息安全管理工作的实际情况，概述了“互联网+”背景下信息安全管理的内涵和特点，分析了医院信息安全系统面临的三方面风险，详细提出了应对信息安全的四种策略。

关键词：“互联网+”；医院；信息安全；风险；应对策略

引言

医院信息系统和网络环境的安全，是保证医疗工作有序开展的基础，是提升患者个人信息安全性的保证。伴随“互联网+”时代的到来，医院的信息化程度不断提升，信息化应用项目更加丰富，外加医院业务向外拓展，使部署策略更加复杂。因此，医院要积极应对信息安全风险，用完备的信息安全管理体系解决更多风险问题。

1. “互联网+”背景下医院信息安全管理概述

伴随信息技术的发展，互联网技术逐步进入各个行业，我国医疗行业迎來了“互联网+”的新时代。互联网技术的应用，让医院的各项资源得到科学配置，满足人们的就医需要，为人们的生命健康保驾护航。由于医疗行业自身的特殊性，医院在进行信息化建设时，要按照自身的运营特性，建立属于自己的信息体系。但信息技术高速发展的同时，医院信息安全风险迅速加大。为了适应“互联网+”时代潮流，医院要做好信息安全管理工作，确保所有数据信息的安全。

1.1 信息安全管理的内涵

信息安全管理是指对医院的信息系统相关硬件、软件、数据库信息等加以安全保护管理，以免被偶然、恶意地破坏或泄漏等。主要是使信息系统的网络连接服务不受到负面影响而发生中断，确保信息系统的可靠、连续运行，为医院正常运营提供安全上的支持。现阶段，医院的信息安全管理成为系统参与的一环，在医院的管理和运行中，中心工作在于保障医疗安全，以全体工作人员为根基，全面降低医院的信息风险，为人们提供更为优质的医疗服务，使医院得以实现良性运营的目标[1]。

1.2 信息安全管理的特点

（1）系统性：医院信息系统的主要功能是将医院内各个子系统加以串联，达到各部门信息共享的目的。从患者进入医院挂号开始，患者的信息便在挂号处、诊疗处、划价处、财务处、药房、住院处等地之间传递，说明系统性是医院信息化管理进步的表现和必然特征。医院的级别越高、资源数量越大，对于信息化管理的系统性要求更加严格。尤其在“互联网+”背景下，医院的正常运行和发展需要社会、企业、政府等组织加以配合，更加证明了医院的信息安全工作并非单独开展，而是系统化联合运行的过程，需要内部、外部信息的统一协调和多方配合。

（2）动态性：医院信息系统的动态性与自身的开放性有关，物流、信息流、人流等各方面均处于动态变化中，且动态性的特点不只单纯体现于医院信息的对外开放，还在于医院内部各个部门、科室之间的内部信息与资源的共享，是确保医院健康、稳定运行的基础。

（3）高难度性：医院进行信息安全管理的重要条件是尽量减少信息、人员、物资的流动，以防造成安全管理的漏洞。但医院具有特殊性，职责就是对外开放救死扶伤，这更加大了信息安全管理工作的难度。尤其在患者众多、人员纷杂的大型医院中，接收的患者疾病种类、严重程度均存在差异，人员的密集和信息的高速流动，均成为医院信息安全管理工作开展的重要挑战[2]。

2. “互联网+”背景下医院信息安全面临的风险

2.1 信息安全风险攻击范围方面

医院的信息系统在“互联网+”背景下将面临更多来自互联网空间的不利影响，具有更广泛的攻击范围。当前，医院积极开展信息化建设，信息边界划分模糊的问题更加显著。尤其是移动OA终端、互联网平台终端，边界模糊将造成安全威胁程度的加深。外加医院扩展了信息边界，还容易出现安全风险供给类型的多元化，若医院沿用以往的安全风险防控方式将难以应对。

2.2 信息安全威胁防御难度方面

医院信息系统安全受到威胁的表现，在于病毒、黑客等的入侵，出现系统运行问题或瘫痪等。当前由于信息系统接入了互联网，使得信息规模更加庞大，将使得信息安全威胁的防御难度有所增加。以往的信息安全保护方法有相对局限性，部分医院无法做到快速应对处于动态变化状态的安全威胁。在医院网络范围内，通常存在较多终端设备，但沿用静态化的信息管理模式容易拖慢系统更新速度，则潜伏性的网络安全威胁将无法被技术人员所察觉。

2.3 信息安全管理人员自身方面

信息技术崛起和发展为医院带来了更多活力，同时引发了更多安全风险，尽管较多医院能够意识到信息技术的重要性，将信息化建设加以落实，但部分医院未能关注安全管理技术人员的责任明确问题。比如，未能指定有关部门和人员，开展对医院信息系统的日常维护工作，造成技术人员缺少信息管理的责任意识，外加部分技术人员自身素质有待提升，更容易增加安全风险问题的发生概率，或在发生安全风险后，未能及时进行追责处理，均容易降低医院信息系统的安全性。

3. “互联网+”背景下医院信息安全风险的应对策略

3.1 重视信息安全管理工作

在“互联网+”背景下，若想切实做好医院信息安全风险的应对工作，基础任务便是让技术人员能够更加重视信息安全管理工作。为了让技术人员具有较高的信息安全保护意识，需要提升技术人员队伍的统筹领导能力，明确信息安全管理制度和目标，规范技术人员的行为。应加强对技术人员的日常教育，使技术人员可以从内心真正认识到维护信息安全对于医院整个信息系统运行的重要性。针对医院内技术人员由于人为操作不当造成的安全问题，可由相关负责人组织开展信息安全培训，不断提升技术人员的业务能力和拓宽知识框架，在实践中持续总结工作经验，便于在今后及时应对各种信息安全事故，达成熟练掌握信息维护技术的目标。还可以根据信息系统的运行特点推行使用制度，组织建立监察小组，对信息系统的日常运行加以管控，对于未能按照有关制度操作的技术人员予以处罚，保证所有内部工作人员均按照既定的规范要求加以操作。在制度中增加禁止安装非指定的、容易对信息安全造成威胁的软件的规定，防止信息泄漏，从“人”的角度出发高效抵御安全风险。

3.2 创新信息安全优化技术

信息安全优化技术是确保医院内部信息系统平稳运行的基础。医院可从三个角度出发，使安全优化技术得以创新。

（1）进行网络访问控制：对网络访问进行控制，是提高医院信息和网络安全等级的可行办法。根据“零信任”网络安全策略，医院可考虑在网络系统中经由策略决策引擎，实施对各种访问行为的严格验证和授权管理，对于所有访问医院网络系统的用户均要做到反复明确和认证身份，配合开展证书系统安装工作，达到访问全程安全认证的目的，降低从终端至服务器存在非法访问问题的概率，阻断配置端的非法请求。使用细粒度策略，对各类访问请求进行持续分析，做好访问用户信任度的评价工作，根据用户类型判断用户能够访问医院内的资源种类，再对信息资源执行只读、可存档、可删除等分类操作控制，最大限度减少用户与医院内敏感信息的接触，从根本上降低医院内的信息安全风险。

（2）运用数据加密技术：数据加密是一种将明文信息经过特定密码算法转化为密钥信息的技术类型，最终目的在于信息保护，适用于医院的网络和信息系统。在开展医院信息安全管理工作时，若能充分發挥数据加密技术的价值，便能起到提升数据安全等级的作用，该技术使用后，只有被医院指定的用户或网络才能得到相应的完整数据信息，而所有非授权用户均无法得到经过加密处理后的内容。现阶段，较多医院在信息传播中使用TCP/IP网络协议，尽管该方法具有较高的性价比，能够节约信息安全优化技术应用的投入成本，但存在一定的安全隐患。因此，需要技术人员在传输信息时，将信息转换为伪造代码，在另一端接收时再使用特殊方法读取信息，达成高效保护医院信息网络传输的目标。

（3）提升病毒防御性能：安装防火墙、病毒检测和杀毒软件，是提升医院信息系统病毒防御能力的常规方法。因医院内网终端受到病毒入侵的风险相对较高，技术人员的首要任务便是做好内网终端安全防护加固工作。有条件的医院可在终端部署付费版杀毒软件，安排技术人员定期予以更新和升级，尽快修复系统漏洞；若为了降低成本投入，则要选用开源版的杀毒软件，根据医院的信息系统现实情况适当添加插件，让软件功能上尽量接近付费版软件；或者先安装专有版杀毒软件，满足病毒防御的基本功能，待到医院能够提供资金支持后，再将专有版软件进行注册，转换为付费版以获得软件的全部功能，但不得安装破解版的付费软件，以免木马病毒“乘虚而入”。技术人员在此期间可在医院的数据中心适当部署入侵防御系统，开展数据备份工作，保证在数据中心服务器受到病毒侵害时能够尽快让医疗信息恢复正常，尽可能减少医院的损失，使医院信息系统的关键部分始终处于安全监管的状态下[3]。

3.3 构建多元网络安全机制

根据网络安全等级保护有关规范，医院需要在信息安全与应用程序上实施一级保护，通过构建具有多元化的网络安全机制，实现对信息系统主动保护的目标。“互联网+”背景下的主动保护技术通常要应用到海量数据，能够在网络攻击对医院信息系统产生不良影响之前，经由对信息的收集和分析，形成集安全监测与报警功能于一体的安全保护系统，用于处理与跟踪信息系统安全问题。主动防护的中心是预警监测，技术人员可应用大数据技术，对医院当前的内部网络环境加以分析，尽快发现存在的安全威胁，同步进行平台预警和安全信息更新工作。而本地保护平台则可以及时将可疑文件传输到内网，在大数据技术的应用下完成威胁信息系统运行因子的分析任务，达到动态管理的目的。为了防止医院信息系统受到破坏，服务器可经过识别认证，对目标用户与设备的驱动程序加以隔离，加密处理有关信息，在审核记录后恢复数据。当发生安全事故后，技术人员可对之前生成的问题报告加以分析，倒追事故发生的原因，检测外部威胁和审计内部行为，提高医院网络内部的安全系数。

3.4 定期开展网络维护工作

通过对医院信息系统风险问题的分析可知，在信息系统运行期间，安全风险无法做到完全规避，说明要采用预防措施降低风险概率，以防出现黑客、病毒入侵等问题。为此，医院的信息系统管理技术人员要做到定期开展网络维护工作，对于信息系统内存在的隐患、漏洞等进行科学排查，全方位提高信息系统的防御能力，将安全风险问题扼杀在摇篮中。比如，可以定期对医院信息系统内的数据传输、交换过程进行重点排查，分析是否存在木马、高危病毒等，通过病毒检测软件或杀毒软件的工作记录报告，建立完善的数据档案，对报告结果加以精确分析，实现维护医院内部信息系统安全的目标。

技术人员还要关注对硬件设备方面的维护管理，因为硬件设备是保证信息系统正常运行的根基，雷电、阴雨、高温等天气现象的发生，都容易对设备的运行产生干扰。技术人员在部署设备时，要做好防雷击的工作，留意医院内部计算机房的环境条件，将温度、湿度、无线电干扰、空气含尘浓度等指标均控制在可靠的范围内。在设备相对集中的区域内则要进行防火工作，由于硬件设备在运行时可产生高温，技术人员更要加强对温度和湿度的控制，部署好防火设施、安全监测系统、不间断电源等，对所有设备的运行状态进行全天候的监控，确保所有硬件设备均能正常运转[4]。

结语

综上所述，在“互联网+”背景下医院采用多元措施降低信息安全风险，对于今后的稳定运行具有现实意义。医院要对信息安全问题高度重视，在为患者提供优质服务的同时，要注意规避信息安全风险。通过重视信息安全管理工作、创新信息安全优化技术、构建多元网络安全机制、定期开展网络维护等手段的应用，促进我国医院信息安全防护事业的长远发展。

参考文献：

[1]张敏，沈嘉裕，刘华玮，等.我国互联网医院APP的隐私政策评价研究——基于认知负荷与内容合规双重视域[J].现代情报，2023，43（3）：110-122.

[2]林杰.互联网医疗中的信息安全和隐私保护策略分析[J].电子元器件与信息技术，2022，6（12）：218-221.

[3]陈宇斯.基于人机协同的医院信息安全技术及系统研发[J].无线互联科技，2022，19（23）：36-38.

[4]李瑶瑶.“互联网+医疗”背景下的医院信息安全防护建设与实践[J].电脑知识与技术，2021，17（33）：36-37，40.

作者简介：聂媛媛，本科，中级工程师，研究方向：计算机网络安全、信息化建设。