医院网络安全防护策略分析

林进护，陈卓明，庄一峰

（厦门市儿童医院，福建 厦门 361000）

伴随着互联网时代的到来，许多医院纷纷采用信息系统运营各项数据信息，虽然取得了一定的成效，但在网络安全方面也迎来了一定的风险和挑战。在这样的背景下，必须要注重提高医院网络整体的安全防护能力，结合当前安全运营和防护方面存在的问题，提出相应的防护策略和建议。通过这种方式推动医院网络安全工作步入良性循环之中，有效解决当前所面临的困境。充分利用信息技术的优势，保障医院各项工作的效率。

1 医院网络概述

计算机技术在当前社会的各个领域应用十分广泛，在医疗领域之中，主要应用在建立信息系统。对于医院来说，借助计算机技术能够实现各个部门之间的高效沟通和交流。建立统一的信息管理系统，各个科室之间，能够及时共享重要的数据信息，包括患者信息、各类药品的信息及人事财务的信息，还可以为患者提供在线挂号、咨询等服务。相较于传统的闭塞模式，计算机技术的到来，为医院的诸多工作提供了极大便利，也由此提升了各个部门的工作效率。医院在与其他单位进行交流和互动的过程中，也可以随时接入互联网查询相关资料信息，能够突破时间和空间方面的限制，与其他院的专家进行在线沟通和交流。除此之外，也可以为偏远地区的患者提供医疗指导和建议，大大提高了医院整体的工作效率。医院网络在为各项工作带来便利的同时，也面临着一定的威胁和挑战[1]。如果缺乏防护措施和应急措施，那么信息系统在遭到破坏之后，容易导致重要的信息数据泄露，将会给患者及医院带来不可挽回的损失，造成不利的社会影响。因此，必须要深入分析当前医院网络安全所面临的问题，提出针对性的解决策略。

2 医院网络安全当前所面临的困境

2.1 安全问题的主要来源

近些年来，医院计算机网络得到了迅猛的发展，但由于管理阶层存在管理观念的误区，将重心放在应用方面，而忽略对技术和系统的管理。因此，也会导致医院计算机网络存在较大的安全隐患问题。

2.1.1 硬件基础设施存在风险因素

计算机网络在使用过程中，所采用的物理设备可能会出现损坏的情况，影响医院的正常工作。导致这些问题出现的原因在于一些不可控的自然因素，但是往往会对计算机网络造成破坏性的影响。除此之外，还包括计算机设备本身性能存在缺陷，在采购的时候，并未对设备生产厂家的资质进行审核。导致后续使用过程中，容易出现问题，也会因此影响各项业务的开展状况。

2.1.2 物理环境存在风险因素

一般来说，计算机网络与互联网之间是相互联通的，这也使得医院的网络具有一定的开放性和互动性，为了加强对信息数据的保护，后期可能会采取网络隔离的方式。或者针对医院内部设置访问控制，只有准入权限，才能够进入系统，通过这样的方式来提高整个系统的安全性。但根据目前情况来看，国内黑客已经形成产业化特征，医院互联网所处的物理环境依然存在一定的风险因素。

2.1.3 操作与使用存在风险因素

对于医院所使用的网络来说，虽然只有符合相关准入权限的人员才能够操作整个系统，提取重要的信息数据，但由于人工操作失误，或者未能按照程序进行操作，也会存在一定的风险因素，可能会给医院计算机网络造成不良的影响。比如一些人员可能在工作时间内通过医院网络访问一些违法网站，导致重要的信息数据被泄露或者携带病毒，导致医院整个设备被病毒所感染。

2.2 安全问题的主要表现形式

2.2.1 患者信息数据泄露

根据目前情况来看，医院网络安全所面临的困境，还是十分严重的，加强对网络的安全防护也成为了管理部门所共同关注的重点。安全问题的主要表现形式分为2个方面，首先是指患者信息数据被盗窃。在日常工作过程中，医院的计算机网络中会进行大量的患者信息传输和储存工作。一些黑客和非法攻击者会利用各种手段盗取这些信息，为自己谋利。其次，如果在身份认证方面存在一些漏洞或问题的话，那么可能会影响用户数据的安全存储，不仅会给用户带来巨大的困扰，也会严重危害医患关系。

2.2.2 计算机网络遭受恶意攻击

计算机网络当前所面临的最主要问题，就在于容易遭受恶意攻击。由于医院互联网系统还不够完善，容易受到一些黑客和不法分子的关注进行主观破坏。在竞争环境中，一些存在竞争关系的医院网络也会对相关网络进行攻击，会通过毁坏有效数据或者阻碍网络使用的方式，大大影响医院网络的整体运行效率，同时也会危害医院服务系统的性能。这些问题都给医院网络的安全建设带来了严重的影响，必须要注重对这些问题根源的分析，从常见表现形式等方面入手，采取相关应对策略。

3 医院网络安全组织机构划分策略

在加强医院网络安全工作的过程中，必须要充分获得高层领导部门的决策支持，同时也需要严格落实相关要求，才能够进一步提高安全防护措施的执行力度。由此，必须要建设完善的组织架构，一般来说，主要分为2个部分，分别是指挥层和运行层[2]。指挥层主要由领导小组组成，运行层主要由领导小组办公室和工作小组组成。

3.1 指挥层

根据实际情况，医院应积极成立指导安全工作的小组，主要由单位的主管领导担任最高领导，进行统一的调度和安排。围绕医院网络安全和信息化建设工作，领导小组必须要制定明确的网络安全目标，并根据现阶段所发生的信息安全事故和问题，深入剖析背后存在的原因，采取有针对性的解决对策，并注重评估网络安全年度工作案例。

3.2 运行层

网络安全与信息化建设工作小组，主要负责网络信息安全相关的各项工作，注重制定完善的网络安全管理策略，结合医院现阶段的实际情况，积极承担相关工作，并定期对工作成果和情况进行检查和评估。通过这种方式能够进一步完善医院整体的安全防护策略，结合实际问题提出相关改进建议。

4 医院网络分级保护策略

对于医院来说，不同的信息系统，对于保密性和可用性的要求，也存在一定的差异，必须要结合实际情况，对信息系统进行分类和分级，由此才能够围绕不同的等级，设计合理的技术框架，促进安全防护工作和措施得到有效的实行。

4.1 明确防护等级

根据国家相关文件规定，医院核心业务系统安全保护等级，原则上不低于第三级，不仅需要具有相互独立的信息系统，而且各个医院之间的信息系统也需要达到互通和交流，逐级必须要明确自身的责任。在这样的情况下，加强各个部门和科室的分工，尽可能将安全防护的责任落实到个人，才能够促进相关防护策略得到有效的实行。

4.2 设计合理的技术框架

围绕所制定的防护等级，需要设立合理的安全技术框架，主要包括一个安全管理中心，安全的计算环境、区域边界及通信网络。在普通服务器安全区域内，原则上是不允许保存超过本机要求的敏感数据信息，相关人员必须要严格落实这方面的要求，根据实际情况和需求对主机进行加固处理。在重要服务器安全区域内，需要采取一定的隔离措施。在边界服务器安全区域内，必须要加强防护处理。在用户终端安全区域内，必须要按照不同的物理位置进行划分。

5 医院网络安全建设策略

5.1 进行整体网络的安全规划

对于医疗行业来说，必须要加强对整体网络的安全规划，结合单位的实际需求与网络安全框架进行有机的结合。首先要加强对当前医疗行业计算机网络应用现状的调研，充分了解医院网络建构的实际需求。在此基础上进行总体安全设计，并规划具体的安全建设项目，明确医院网络系统需要改进和完善的目标。在具体实施过程中，应充分访谈医院内部各类岗位的人员，了解医患关系对网络所提出的实际诉求，同时，要广泛收集不同岗位人员对网络安全所提出的意见和建议。基于此能够了解医院IT资产实际状况，并制定相应的安全防护措施，及时将安全诉求转化为医院防护措施制定的方向。除此之外，医院也可以聘请一些外部专家积极参与讨论，共同制定医院网络安全建设目标。

5.2 加强日常信息化项目建设

在建设医院日常信息化项目的过程中，必须要严格落实相关要求，坚持同步规划的理念，必须要在确立项目之前进行统一的方案讨论。尤其是要明确安全保护的主要对象和层级，据此制定相应的保护措施，严格落实国家所制定的通用安全要求。同时还需要进行同步建设，围绕医院现阶段的实际需求设置防火墙、防病毒和堡垒机等，实施具体的计划。除此之外，还需要同步运行，将责任落实到各个科室及各个部门，由此来提高整个医院安全防护小组的责任意识，能够确保日常工作中积极运行常态化网络安全监督检查工作要求。

6 医院网络安全运行策略

针对现阶段医院网络安全防护存在的隐患和问题，必须要注重制定完善的安全运行策略和防护措施，进一步提高医院信息系统的安全性，为了确保医院计算机网络的安全运行，必须要注重加强对网络硬件设备的维护和处理，以下主要从5个方面，分析医院网络安全运行的具体策略。

6.1 加强安全巡检

在制定医院网络安全规划的过程中，必须要将单位具体业务所对应的网络安全需求和网络安全框架进行有机的结合，加强对相关背景需求的调研和分析，以不同岗位人员所提出的建议和诉求为主，制定完善的安全巡检措施。对于网络安全员来说，安全巡检是最基本的工作之一，能够及时度量安全风险的变化特征。因此，必须要严格落实每月一次的全面终端安全检查工作，通过抽查的方式对不同类别和不同区域的计算机终端进行详细的检查和评估，由此也能够提高对服务器和网络设备的保护力度，及时发现其中存在的安全隐患和问题，做好日常运行中常态化网络安全监督检查工作，使得这些问题能够得到及时的解决，也能够结合实际情况对安全设备进行优化，根据可以识别的风险因素和漏洞，采取安全加固等相关措施。严格落实安全巡检的要求，也能够进一步提高网络安全防护的系统性，确保医院网络得到安全的运行，在未来实现更加持久的发展。

6.2 积极发现危险

医院必须要进一步加强网络安全意识的培训，通过健全网络安全制度体系，来提升整体的管理效率和水平。首先所制定的安全制度，必须要不断拓宽覆盖范围，涉及医院工作的方方面面，将责任落实到具体的人员，由此来提高不同岗位工作人员的责任意识和安全意识。在日常网络安全使用过程中，必须要严格按照相关要求，进行规范性操作。这样的话才能够确保医院网络常态化和规范化运作。结合当前医院网络安全运行的现状和所存在的突出问题，必须要加强对员工安全意识的培训，不断完善网络安全制度，确保员工能够积极发现网络系统中存在的问题和危险因素。主要是指在不法分子攻击网络之前，能够及时发现所存在的漏洞，通过分析安全设备的安全事件和日志，将医院信息系统中问题，及时提交给管理员，并得到有效的处理和整改。

6.3 加强安全培训

以往各个科室的人员，在使用医院网络的过程中，可能由于操作不当等问题而给系统带来不良的影响。在保障医院网络安全运行的过程中，必须要加强对各个科室和各个部门人员的安全培训，严格落实网络安全法规和标准，注重提高全体工作人员的责任意识和安全意识。参与医疗机构信息化流程的工作人员总数较多，因此，必须要积极落实安全意识培训和教育工作，针对相关技术人员要加强技术专业培训，定期统一地考核评估特定人员的专业水准和能力。通过统一的组织能够激励特定人员参与网络培训和现场培训。借助丰富的培训形式，提高特定人员的专业能力。除此之外，也应该结合网络安全典型的事件，围绕所在机构信息系统的现状，制定相应的场景，也能够由此加强特定人员对这些事件的印象，及时将工作经验转化为常态化工作流程。在接受培训之后，必须要督促特定人员参加相关考试和考核工作，将最终的结果进行反馈，有助于不断完善医院网络安全防护方案，也能够及时检验对特定人员专业培训的效果，促进后期工作得到有效的实行，避免由于人工操作失误和不当而造成的安全事故。

6.4 做好保障工作

对于医院的计算机网络来说，在一些重大活动期间，经常容易发生一些安全信息事故，因此，必须要做好充分的任务保障工作。主要是在一些重大活动和节假日期间，加强对员工和相关人员的培训，提升整个组织的安全防护能力。具体来说，主要包括3个阶段，首先必须要针对现阶段医院的关键资产和脆弱性进行优化和处理，加强对硬件和软件各方面的筛选和分析，尽可能减少数据信息在互联网上的暴露面，通过这种方式能够提高整个系统的安全防护性。其次，在重大任务保障期间，必须要注重灵活运用管理和技术手段，提高对问题的处理效果。加强对暴露面所遇到风险的控制，对于非必需的网站和系统，应及时进行关停处理，以免对整个信息系统和网络造成不良的影响。最后在总结阶段，必须要对前期所发现和没有解决的问题进行持续的优化处理，将具体的安全防护和监测经验转化为网络优化和改善的具体方向，由此制定常态化工作流程，严格落实相关要求，也能够进一步提高医院组织的安全防护能力。

6.5 落实应急响应

在明确医院安全工作目标的过程中，首先必须要注重防止安全事件的发生，结合以往事故发生的情况来看，虽然已经尽可能做出了最大的挽救措施，但依然难以防止安全事件的发生。在这样的情况下，必须要及时对系统进行检测和修复。落实应急响应机制的目标在于减少安全事故对整个系统的影响，因此，必须要积极制定完善的应急预案。在整个流程中，制定相应的预案措施，有助于提高处理工作的效率。对此，医院必须要参照有关标准和规定，定期进行演练，提高自身的应急能力，并且需要保留相关文档和日志，有助于分析并积累应急处理的经验。除此之外，提升医院网络的安全性是一个长期和系统化的过程，必须要加强安全意识和责任意识的培训，对以往所存在的问题进行有效整改，才能够促进医院信息系统，实现持续化发展，有效解决运行过程中所存在的问题。因此，必须要建立相应的检查和回顾机制，以便于及时发现其中所存在的安全隐患问题，也能够进一步提高应急处理的效果。

7 结束语

综上所述，在当前信息技术大面积普及的背景下，医院信息系统为诸多工作提供了极大便利，也拉近了医者与患者之间的距离。但同时也暴露出计算机网络安全方面存在的问题和不足，针对所分析的问题，必须尽快采取有效的行动和措施，构建完善的信息防护体系，从指挥层到运行层，实施积极的网络安全防护策略。除此之外，也需要不断加强信息化管理水平，切实做好医院计算机网络的安全管理和防护工作。通过这种方式能够消除网络安全运营和管理方面存在的隐患，保障各项工作得到平稳的运行，进一步提升医院整体的工作效率，也能够保障医院在今后实现长远的发展。