医院电子信息系统面临的安全问题及防御措施探讨

张劲辉

摘 要：近年来，随着信息技术的快速发展，电子信息技术普遍应用在各行业中，并为医院信息管理提供新的平台和方式。在医院管理中，可通过电子通讯、计算机设备收集、提取、存储、处理病人医疗信息、财务信息、档案等，最终提高医院管理水平。

关键词：医院；电子信息系统；安全问题；防御措施

引言

随着医改的不断深入，国家对医院信息系统建设给予的充分重视和支持，医院的信息系统建设被提升至前所未有的高度。因此，进行医院信息系统建设，将医院调整到最佳运行状态成为各家医院管理和建设的一个重点。但就整体状况而言，尤其是应用系统软件和管理水平方面与国外先进国家尚有很大差距。

1医院电子信息系统构建的必要性

1.1促使医院建立适用的计算机网络系统

以前的一个传统误区就是认为搞计算机系统就是购买一堆计算机和网络设备即可，这点给很多单位造成了巨大的资源浪费。目前我国的计算机硬件和网络建设在国际上相比是不落后的，但是利用率非常低，效益很不好。信息化应用的核心是应用软件，一般的应用应该确定软件需求和功能后，根据科学的方式计算出所需的计算机硬件和网络设备的配置，再购买计算机及网络设备，这是投入产出比比较好的方式。除了少数具备专业人才的医院外，大部分医院在规划和购买计算机及网络设备在专业公司帮助和服务下，才有比较好的投资收益。

1.2为医院培养各类信息化所需人才

医院的计算机应用是一个复杂的系统，除了购买必须的硬件、软件外，医院信息化主要人才的意识和水平，各类操作人员对于计算机硬件、网络以及信息化所需要的各类知识掌握情况的好坏，也直接决定一个医院计算机应用的效果。计算机网络公司在为医院实施信息系统的过程中，一般都通过培训、辅导等方式，让医院的各类人员掌握必须的计算机硬件、网络以及信息化所需要的各类知识，同时在系统正式使用后，对于医院在运行过程中出现的各类问题、新需求等，计算机网络公司都通过一定的方式给予解决，在这个过程中又进一步为医院传播了各类知识。通过上述信息系统实施和应用的过程，计算机网络公司同时要为医院培养各类信息化所需人才，如系统管理员、熟练操作计算机的收费员等，到以后可能还会有医院运营分析与管理方面的人才、辅助领导决策的人才、制定竞争策略的人才等。

1.3从根本上改变医院运行模式与管理方式

信息化从根本上改变医院管理者的决策方式和决策手段，一切决策都变得有据可依。决策需要情况和数据，在手工处理数据阶段，一般要在月末之后的5～10天才能给出结果。运行信息系统之后，可向领导提供即时性的、真真切切的数据，且信息量大大增加，医院的管理者从“结果管理”转变为“过程管理”，同时信息化帮助医院引进其他医院的先进经验，医院信息管理系统是融合很多医院的先进管理经验而成的，医院使用HIS系统后，可以直接接受其他医院的先进经验，完善自身管理。医院管理所涉及的人、财、物以及市场资源等方方面面全部可以实现精细化管理与专业管理，更符合市场竞争的要求。

2医院电子信息系统面临的安全问题

2.1医院信息系统安全风险评估处于初级阶段

目前医院信息系统通常由医院自己招聘的网络管理团队进行维护，而信息系统安全风险评估技术涉及多学科知识，其不仅是一个技术性问题，也是一个管理学问题，而许多医院的信息系统没有进行过风险评估，所以无法及时和准确地获取医院信息系统存在的安全漏洞和攻击威胁风险，不能夠及时地采取安全防范措施进行预防和保护。另外，医院信息系统应用背景复杂，包括药品管理、医学诊断、医学治疗等方面的知识，在医院信息系统风险评估过程中，风险评估缺乏规范化的标准，导致风险评估主体和客体不清晰，无法明确划分参与者的工作内容，并且承担相关的角色，因此医院风险评估效果较差。

2.2医院电子信息系统攻击技术逐渐增强

云计算、分布式移动和移动计算技术快速发展，其不但促进了电子信息系统在医院行业中的应用，同时也提高了网络黑客、木马和病毒攻击技术，网络安全威胁更加智能化，尤其是网络威胁更加隐蔽，潜伏的周期更长，给医院信息系统带来的安全威胁也更加严重，非常容易导致患者病历资料丢失，无法长期跟踪患者身体健康状况，不能够优化患者治疗方案，提供最佳的治疗服务。

2.3医院电子信息系统操作人员安全意识薄弱

医院电子信息系统用户角色包括医生、护士、行政管理人员和普通的患者，用户通常为非计算机专业人员，在操作系统的过程中，不能够严格按照医院电子信息系统的操作规范进行，时常携带含有病毒的优盘、硬盘或网络传输文件，随意插拔，非常容易感染医院网络平台内的其他终端或系统，导致系统崩溃或数据资源被盗。

2.4网络攻击和威胁形式呈现多样化

传统网络攻击和威胁多来源于黑客、病毒和木马，并且由于医院信息系统孤立存在，所以导致网络攻击威胁不能够达到目的。近年来由于移动互联网、光纤网络的快速发展和进步，分布式管理系统基于互联网连接在一起，登录终端包括PC、iPad、iPhone等智能终端，因此网络病毒传播途径越来越多，呈现多样化。

3医院电子信息系统安全问题的防御措施

3.1应用层数据加密传输

医院电子信息系统关联的用户在操作过程中，通常位于网络的不同位置，比如内网核心位置、内网普通位置、外网位置等，因此为了保证应用层数据信息输入的安全性，可以采用IPSec VPN和SSL VPN技术加密通信渠道，实现数据的加密传输。

3.2数据传输控制

由于不同的用户分属于医院行政管理部门、业务科室等，所以为了不同角色的用户实现网络服务器的安全存取控制，可以将医院内部网络的IP地址进行分段、分类管理。医院电子信息系统IP地址归属不同的子网、VLAN和VPN，并且与计算机的MAC地址、用户名等进行逐一关联，形成良好的映射关系，不但可以有效地控制网络应用的访问和存取权限，同时也可以非常容易且方便地管理和监测网络中的所有用户，采用ROST技术实施强制访问控制，所有用户都无法访问受保护的网络资源。因此，医院网络设计过程中，IP地址划分、VLAN设计和ROST技术，将是一项非常重要的工作。

3.3服务器安全防护

医院电子信息系统服务器在操作过程中，要构建严格的防病毒体系，采用防火墙、入侵检测控制、安全审计、访问控制列表等，控制服务器操作系统用户的权限和角色，使其能够按照规则进行操作，保证医院信息化系统服务器不会受到网络木马、病毒和黑客的攻击。

3.4用户角色控制

医院电子信息系统用户数目多，各个系统用户具有不同的访问权限，所以为了控制医院电子信息系统的操作规程，系统在访问权限控制过程中，采用角色权限进行动态的调控，以便能够灵活管理用户，限制用户的系统操作功能和服务器访问权限，采用统一的访问认证系统和单点登录认证机制，保证用户获取系统服务器的授权和安全访问系统的服务资源。

结束语

综上所述，医院信息系统建设是现代化医院的重要标志之一，也是必要的基础设施。尽管目前仍然存在诸多问题，但是只要针对这些问题采取相应的对策，必将带动医院管理模式的改变、工作效率的提高和巨大的经济利益，同时为广大患者和医务人员带来便捷。

参考文献

[1]张晨燕.医院电子信息档案PFS管理模式探讨[J].办公室业务，

（作者单位：兴隆县人民医院）