医院信息系统风险分析及对策

李颢 成都市第七人民医院

信息技术不断更迭，为医院的管理提供了新兴的技术条件与系统平台。医院信息系统本身需要管理较多的信息与资源，覆盖了医院的所有业务，数据的积累与收集难度较大，一旦对信息资源管理不当将面临数据丢失的危机。故此，医院信息系统管理部门应该全面了解信息系统可能出现的各种风险，如网络故障、人为操作失误、数据中心服务器存储故障等，并针对相应的风险采取合理的制定方案，进而提升信息化建设的水平。本文针对医院信息系统风险进行展开分析。

1 分析现阶段医院信息系统风险

1.1 计算机数据机房环境与基础设施存在风险

第一，计算机数据机房存在的风险包括：火灾隐患、空调故障、雷电等突发状况袭击等。众所周知，信息系统机房中需要运用多种设施设备，不仅发热量耗费大，同时保持设备运行需要一定的温度、湿度控制，而一旦空调故障将对设备运行的稳定性造成威胁，甚至导致系统停止运行。从一个角度来说，计算机数据机房中运行的电子设备多，使火灾发生的危险系数显著上升。同时由于信息系统机房设备以低压为主，极易受到直接雷或者感应雷的侵袭，进而造成严重破坏。第二，电源系统存在潜在风险。信息系统中需要运用存储设备、服务器设备、交换机设备等，这些设备作为维持信息系统运行的关键，始终要连接电源保持启动状态，一旦停电不仅导致机房设备停止运行，业务无法正常开展，甚至导致信息数据库与操作库产生故障。例如传输线路、市电供应、UPS电源等都存在着危险，一旦损坏将破坏信息系统。第三，网络设备存在安全隐患。信息系统网络设备主要包括：交换机设备、路由器设备、网路安全设备等，主要遍布于医院信息系统计算机机房或者楼群弱电竖井之中，由于这些设备存在的位置较为特殊，因此如果一旦安装不当将导致设备发生故障或者意外事件，安全风险系数较高，值得高度重视。

1.2 网络安全存在风险隐患

首先，信息系统网络边界存在安全隐患。对于医院信息系统来说，难免要与外界一些网络信息产生交集，进行数据共享、信息交流等，如医院与保险系统、银行系统产生业务接触，但是外部网络系统往往不可控、不可预知，极易产生安全风险。其次，医院内部存在网络安全风险。由于医院信息系统中存在的用户数量基数较大，网络信息分布点冗杂分散，信息用户的层次不够统一，因此极易受到非法用户的入侵，导致内部网络终端产生安全风险。

1.3 信息应用系统平台存在风险隐患

第一，信息操作系统存在安全风险。通常情况下，医院信息部门应用的系统为Windows、UNIX等，不管运用哪一种应用系统，运行一段时间后都将产生风险漏洞，为非法入侵者或者一些外来病毒创造了“机遇”，影响医院信息安全。第二，数据库系统运行存在风险。医院信息系统的运行效率、安全性与数据平台存在直接联系，而数据库本身的漏洞风险较大，因此对医院信息系统容易造成威胁。

2 探究医院信息系统风险管理的安全策略

2.1 加强医院安全保障体系的有效管理

当前，网络信息技术高度发达，对于我国大多数医院来说，信息系统俨然已经成为不可或缺的管理工具，保证医院的临床医疗业务与管理业务等。然而，据相关调查显示，医院内部的管理不够完善仍然威胁着信息系统的网络安全，故此，健全医院信息系统管理体系势在必行。首先，要构建医院信息安全管理组织体系，明确信息安全的负责人；其次，完善信息系统档案资料卡，对技术资源产生的资料等加以保存，并对信息资料进行记录建档管理，保证在发生问题时可以“追本溯源”；第三，完善网络安全监控系统；第四，完善信息应急管理处理方案，及时制定处理问题的办法举措。

2.2 完善信息系统硬件设备安全体系

硬件设施是保证医院信息系统稳定运行的重要前提。首先，要对计算机机房环境加强管理，保证清洁干燥。对基础设施如计算机、空调设施、监控设施、防雷击设施、供电设施、消防设施等强化管理。要运用冗余设计调整空调设备、供电设备等，并采用双路供电模式保证中心机房正常运行。可以说，医院信息系统机房作为维护信息系统的“心脏”，对于机房管理人员应该加强管理，限制出入权限，并对出入行为进行详细记录，一旦发生问题便于及时追踪追责。完善计算机机房控制，对机房的温度、湿度、服务器等加强保护与维护。引进防雷击技术，如信号防雷、电源防雷技术等，对中心机房、供电系统直接接入防雷接地设备。

其次，完善网络与网络设备的有效管理。要设计双网络基础架构，采用双上行连接核心交换机、汇聚交换机等，并配置双电源模块。最后，对于网络安全管理，要加强内部网络安全的管控，如完善网络边界安全，建立安全审计系统，网络准入系统、日志审计系统、安全态势感知平台、运维审计系统等。对于网络边界设施安全防护系统，如防毒墙、隔离网闸等。

2.3 加强信息系统软件安全技术

医院信息系统软件安全极其重要，关系着信息系统的安全运行，其主要包括医院信息系统的健壮性、数据库安全管理、防病毒软件、操作系统等。

第一，对于信息操作系统来说，使用UNIX系统稳定性较强，针对可能出现的漏洞要及时修补。第二，保证信息系统的健壮性。在信息系统运行初期阶段，要提升技术人员的专业能力与信息素养，全面了解医院的信息需求，进而建立与医院实际情况相契合的信息系统，避免由于系统不健全产生的风险隐患。第三，保证数据库安全管理。医院数据库往往涉及到庞大的数据资源，因此信息部门要建立数据权限、数据备份等，加强数据安全权限管理，提升数据库利用效率。同时，要建立信息系统客户端应用软件，负责办理临床医疗与缴费系统等相关业务，保证用户能够通过软件进行业务处理，从而提供更加便捷安全的服务。最后，要加强防病毒系统的管理，可以建立网络版防病毒系统，及时升级病毒库，防范病毒危害。

3 结束语

在医院信息系统管理中，经常出现各种风险，如计算机运行故障，信息系统遭侵袭，管理制度不健全等，严重影响医院信息化管理的稳定运行。故此，医院信息管理部门应该构建完善的信息系统管理模式，强化信息安全防护与信息准入门槛，及时检查互联网连接情况，消除信息安全可能出现的风险隐患，进而提升信息系统的安全性，保证信息系统风险管理质量，促进医院信息化水平的不断提升。