摘要：本文对新时代医院网络信息安全面临的主要问题及其应对策略进行了研究，首先分析了新时代医院网络信息安全面临的问题，然后分析了网络信息安全的最终目标，最后针对问题制定了医院网络信息安全的应对策略。

关键词：网络信息；安全；问题和对策

1引言

现如今随着网络技术的日新月异，互联网已经深入到全国各个行业中去，基于网络的新型发展模式已经非常普遍[1]。从就医阶段来看，预约、挂号、就诊和购药等情况需要信息查询和医患互助，大部分治疗工作都可以在网上开展[2]。从医院自身发展的角度看，为了提升医院救治患者的效率，优化医院的组织架构，提升业务流转的即时性，提升医院的核心竞争力，已经建立了大批量的信息化系统，涉及硬件和软件的各个方面。在网络安全方面，医院往往是借助有线网络和无线网络并用的方式[3]。在发展医院互联网的过程中，要综合考虑医院的内外部的综合需求，从以上两个方面统筹考虑，不论是医院内部还是外部，都需要对用户的账号和权限进行管理，还需要对患者的诊疗流程及个人信息进行管理，以上信息都是黑客等不法分子所关心的资源[4]。同时，有个别资源的窃取者借机通过各类不法行为破坏医院的相关系统，导致系统瘫痪。近年来，随着网络技术的不断发展，各类不法分子数量不断增多，以勒索为目的的不法行为发生非常频繁。由于医院内部人员存在管理上的疏忽，数据泄露或者丢失现象非常多，硬件和软件瘫痪的现象非常多，也存在人为的主动因素导致的各类安全事件[5]。因此，虽然网络和信息技术为我们带来了进步，但是信息安全事件的发生，一直在警示我们，信息安全永远没有止境[6]。

2新时代医院网络信息安全面临的主要问题

在医院互联网发展过程中，无线网络容易对医院的移动医疗造成影响。在局域网内部，如果存在无线网络，则可能会导致医院移动互联网不能及时介入。未经可信认证的非法接入用户，不仅会对内部数据的安全性造成危害，而且还会对网络带宽造成影响，为医院网络的安全造成危害。综合不同的医院网络架构情况可知，现如今主要的医院网络架构示意图如图1所示。医院内部存在众多移动端系统，在医护人员对移动应用进行使用的过程中，存在植入软件危害系统的风险。例如在相关门禁权限的使用过程中，时长会出现门卡被盗的问题，从而增加了风险发生的概率[8]。同时，在医院内部或者外部通过移动终端在对数据进行下载或者复制等流程时，均会增加病毒发生的风险，从而致使相关医疗数据会被公之于众[9]。需要注意的是，随着移动应用数量的不断增多，在手机端运行iOS或者安卓程序时，程序有可能被反编译，进而导致恶意代码被拦截，增加了信息安全的风险。现如今，在医院内部大多数操作系统均有一定的通用性，且大多数系统都是采用Windows方式进行的，但是Windows系统作为最容易被攻破的系统，采用系统安全漏洞能够实现对医院内部资料的窃取和共计[10]。同时，大部分信息系统均是采用低级的数据库管理系统来实现数据的管理，随着系统使用年限的不断增加，会产生数量级别非常大的数据和资料，如果对以上资料管理不善，则很可能会使得这些数据暴露在攻击人面前，以上资料很可能会随着系统的故障被非法窃取，最终被损坏或者丢失，从而出现信息安全方面的问题。在大数据技术发展的今天，互联网和不同的行业深度融合是非常有必要的，医疗行业也不例外。在医疗行业引入信息技术，例如HIS或者EMR等系统，能够很好实现医院工作的效率提升，保障医疗改革朝着精准的方向发展，医疗技术近年来也已经开始出现信息化发展的方向和趋势。尤其是在引入大数据技术之后，在医疗服务和患者的诊断等方面技术不断迭代更新，这些信息都是患者的隐私信息，是医院工作的机密信息，这些信息在信息化建设过程中，出现了各类漏洞，同时会使得医疗数据的传输和共享遭受影响。如果被使用到不良途径中去，甚至会对于病人和医院的切身利益造成影响。一旦医务工作人员和病人对大数据医疗技术本身存在质疑，并且对其安全性没有充分的认识，若此种现象存在此种问题，会使得现代医疗信息化技术不复存在，也很难推进医疗改革朝着有利于自身情况下发展。从此种角度出发，在大数据时代信息化建设会在很大程度上推进医疗信息化的改革，从医院的管理层便需要高度重视医院的网络信息安全构建问题，采取特殊的手段，为基于大数据技术的医院网络信息系统的运行和维护保驾护航，促使医院进入到理想化的现代医疗服务水平。

3医院网络信息安全的目标分析

机密性是保障信息数据在有保密实现的情况下，不被泄露给非授权的用户或者其他实体。数据的机密性是网络信息安全建设中最为重要的目标，也是实现医院网络信息化的重中之重。其次，在保障数据安全的情况下，还需要保障信息数据不被非授权用户所伪造或者篡改，从而保障系统数据的完整性。在保障以上数据完整性的前提条件下，在数据的产生方或者发送方会对有关的事实进行否认，最大限度规避此种情况，是保证信息化建设的不可否认性。同时，在开展网络信息化建设时，还应该统筹考虑通信实体的真实身份，在发生安全事件之后，可以通过各类不同的手段或者依据，实现网络信息安全的位置定位和追踪，力求第一时间发现存在的问题。要另外，还要阻止已知的攻击行为和病毒进入网内和系统；要限定不同实体对业务或信息资源访问的范围。

4医院网络信息安全对策

4.1体系化制定网络信息安全管理制度

在医院管理层级开展信息化项目建设的过程中，主要关注建设和系统的覆盖范围等问题，但是对于系统的维护工作并不重视。相关的信息化项目运维机制和体系建设等相对比较确实，同时在管理方面缺乏相关的具有支撑价值的文件。因此，对于信息化项目在前期设计、规划和实施过程中的组织架构和职能定义并不明确，一旦出现异常事件则很难及时的出现应急解决方案，因此管理制度和文件的定义是非常需要的。主要可以开展以下工作：（1）领导小组是非常重要的。在网络安全信息化建设的过程中，医疗机构的管理层面一定要引起足够的重视，成立相关网络安全及信息化方面的专家，出台各类章程，相关的纲领性文件和管理规定，对网络安全的工作背景、目的、性质或者纲领性文件进行定义，从而阐明医院信息安全工作的重要性，明确不同部门对网络信息安全的责任感和重视程度。（2）与各部门负责人和重点网络信息安全岗位人员签署网络信息安全责任书，用以将责任和义务明确化、具体化，着力提高有关人员的责任感和重视度。另外，还应该制定网络安全方面的管理应急预案，预案要对具体的问题制定具体有针对性的措施，同时将可能发生的安全事件进行分类和分级，并对每类事件制定详细预案。注意，预案中的方案要有可执行性和可操作性，要在具体的实战过程中，对经常发生的各类突发事件以及其操作规程进行预先演练，还应该根据实际情况对应急预案进行完善。（3）从整体上提升数据安全级别。制定数据管理、信息技术规范、网站管理、新媒体管理、用户、账号和密码管理等一系列相关制度。用以阐明各项信息化工作、各个环节具体可能面临的网络信息安全问题，指明避免或解决问题的方法和措施等。

4.2提升网络信息安全意识和信息化素养

在现如今医院信息化建设过程中，往往注重信息化系统是否覆盖了医院的所有业务流程，系统运行过程中的性能好不好，但是对系统的安全性却并不关注，在系统投入使用之后，后期的运营和维护也显得比较缺失，更有许多管理层认为，信息安全和网络安全仅仅是医院信息技术部门的责任。因此，提升网络安全意识，提升信息化建设人员的整体水平是十分必要的。

4.3培养专业化网络信息化安全人才

在众多医院来看，大部分系统的建设人员或者运维人员都被认为是网络信息安全的管理人员。其日常精力主要聚焦于对日常问题的应付上，根本没有时间关注网络安全相关的问题，更没有精力应付网络信息安全的构建。人力资源和专业化的人才是首要资源，医院应该对其设置专门的信息化网络安全管理岗位，在日常过程中引进并培养专业化的人才，使其肩负起网络信息安全的基本责任。现如今，国家已经成立了许多专业化的安全培训机构，可以为广大信息系统建设人员提供更加专业化和系统化的培训，通过参加培训，信息化人员的基本技能便能够得到大幅提升，同时对于考核人员还需要颁发CISP和CISAW等相关专业证书。

4.4构建专业化的安全防护体系

（1）提升物理安全级别物理服务器对于信息化项目是基础支撑工具，系统能否运行稳定是依靠基础设施支撑的。但是在现如今的医院信息化建设过程中，基础物理截止的管理仍然存在的问题较多。大多数机房在安全级别方面均不符合相关的标准要求，大部分医院仅仅建设了一个中心机房，缺乏备份机制。主要的机配备了UPS电源，也建设了相关的监视器以及门禁系统，配备了相关的监控平台。但是对于大多数医院机房来讲，还不具备以上基础管理设施，对于重要设备的集中管理机制也比较缺乏。因此，在未来针对机房提升其物理安全级别是非常有必要的。应该从硬件升级、网络视频监控和软件实时预警等方面下功夫。（2）夯实网络通信安全信息安全面临的要素很多，如图2所示。如计算机木马病毒、蠕虫、逻辑炸弹等都是需要防备的要素。网络是各个应用系统之间通信的媒介之一，在数据传输过程中，需要采用加密措施。另外，可以通过监控平台实现对网络运行情况的监视和处理，尽快发现问题并对异常问题进行处理。现如今，众多医院已经将其网络划分为内部和外部网络，同时还设置了5G专用网络。在进行网络划分时，要确定好不同网络之间的安全边界，不同区域之间要进行界限的划清，通过网闸或者其他网络设备对网络安全级别进行提升。在内网区域内，服务器应该尽量采用虚拟化的策略进行优化，防止非授权情况下的接入，部署虚拟机防火墙（VAF）防止病毒越界蔓延。要尽快对平台的漏洞进行扫描，对网络以及重要的应用进行安全端口检测，尽快发现网络方面的漏洞，第一时间对漏洞进行修复。监理状态监控平台，尽快分析预判安全事件会造成的威胁，快速识别安全事件，制定有效的处置方法，并提供有力的保障。（3）提升安全终端的安全级别现场终端是用户和网络之间的主要交互界面，其安全十分重要。在日常分析中发现，大多数安全攻击均是以终端作为入口开展的，因此提升终端的安全级别是十分重要的。终端的安全级别划分主要分为个人主机的防护以及服务器的防护两个方面。个人主机的防护，必须要明确其主机是哪个网络，并将归属不同的网络之间的物理逻辑进行分离。其主机应该采用正版的操作系统，对于服务器的管理密码要设置一定复杂度要求的密码，在服务器中安装防火墙以及相关的杀毒软件，定期对软件进行查杀。在服务器的防护方面，首先应该保障服务器主机所使用的是正版操作系统，并对其服务器中的软件进行定期及时的更新。其次，要强化服务器在使用过程中的身份简便，安全必要的杀毒软件，对其进行定期查杀。最后，应该对不使用的服务器端口进行关闭，防止不必要的安全漏洞发生。对服务器的用户进行权限细分，授予不同用户最小的服务器使用权限，将服务器发生安全事故的概率降低到最小。对于密码要定期维护并且密码的设置要符合相关规则的基本要求，在用户登录过程中，只能采用远程方式进行登录，并且启用相关的加密措施。用户的接入服务器应该避免使用U盘或者其他外界设备，对于重要的服务器，访问应该考虑引入CA认证系统，对其准入做好控制管理。

5结论

随着网络和信息技术的不断发展，医院+互联网的发展模式必将是未来的方向。尽管近年来医院信息化建设取得了非常大的进步，但是在信息化安全建设方面仍然存在很大的差距，在未来仍然有很长的路要走。医院应该从管理体系制定、制度优化、安全防护体系建设等方面，提升自身的整体水平，从而推进医疗信息化的不断发展。

作者:魏传宇 单位:聊城市第四人民医院