论医院信息化安全建设

论医院信息化安全建设

刘始鑫

佛山市第三人民医院  广东  佛山  528000

摘要：本文简要分析了医院信息化安全建设中存在一些问题，进而分析实施医院信息化安全建设的对策。希望通过分析可以为医院网络信息系统的建设提供发展性意见，并且保障医院的网络安全。

关键词：医院；信息化安全；建设

引言：随着现代科学技术的发展，信息技术逐渐应用到医院方面，为医院整体的内部信息建设有着重要的意义。针对如今医院信息化安全建设的现状，需要采取有效的安全防护措施，保障医院行业的信息安全的稳定。

1、医院信息化安全建设存在的问题

第一，安全管理制度不完善。

目前医疗行业人员存在对安全政策、制度、流程等了解不够，没有真正理解安全制度的重要性，因而没有按照要求建立健全的安全管理制度，同时，制度的完善也是一个长期过程，需要花时间去不断的完善。

为了应付上级部门的检查，就安排极少数人个人去编写安全制度，这样的制度根本就没有经过单位有关负责人过目，更别说让大家研究、讨论了。这样的制度反映的只是某个人片面的、肤浅的看法，而不是大家的思想。这样的制度只是应付检查，而不是为了促进工作。

国内医院网络安全建设还处于安全产品堆砌阶段，重硬件轻软件、重产品轻服务、重合规轻运营的现象普遍存在，而忽略了安全管理制度的完善。

第二，病毒和漏洞的存在。医院的网络环境比较复杂，终端也多，再加上使用终端的医生、护士或其他相关工作人员安全意识不够，乱用移动存储设备、打开未知的邮件或附件等导致终端很容易感染病毒，比如勒索病毒、永恒之蓝、挖矿等等。同时医院内存在各种系统，这些系统或多或少都存在安全漏洞，而且这些漏洞由于某些原因，都不能及时进行修复，这些漏洞很容易遭到不法的犯罪分子入侵，容易造成患者个人信息、医嘱信息、护理信息、治疗方案等敏感信息的泄露。

第三，网络信息建设的内外环境不稳定。存在一些客观的环境因素，部分医院的基础设施比较陈旧，不适应现代医院网络信息系统的要求；此外，目前大部分医院也存在网络安全建设比较松散，缺乏顶层设计，未形成统一的安全体系的情况，技术方面很多医院只是采用了防火墙、防病毒等简单的安全防护措施，这是远远不够的。目前，网络攻击行为日趋频繁，随着网络环境的开放，关键设施控制网络的数字化水平不断提高，特别是在如今疫情情况下，内外组织以对国内医疗行业的网络攻击越来越频繁，医院诸多方面都在经受着网络安全的考验。

第四，安全防护系统不够先进，现在医院的网络安全防护系统比较落后，只是固定的几项防护系统，没有能力做到医院信息系统全面防护，很容易受到外来的恶意攻击。而且医院产品和数据方面的系统防护能力不强，防护技术反应时间缓慢，很难应对如今的网络侵害和网络病毒。

2、实施医院信息化安全建设的对策

2.1加大医院的安全设施建设

第一，安装合适的杀毒软件。杀毒软件是一种可以对病毒、木马等一切已知的对计算机有危害的程序代码进行清除的程序工具，通常集成监控识别、病毒扫描和清除、自动升级、主动防御等功能，有的杀毒软件还带有数据恢复、防范黑客入侵、网络流量控制等功能，是计算机防御系统（包含杀毒软件，防火墙，特洛伊木马和恶意软件的查杀程序，入侵预防系统等）的重要组成部分。

第二，安装防火墙。防火墙（作为阻塞点、控制点）可以极大地提高内部网络的安全性，并通过过滤不安全的服务来降低风险。因为只有精心选择的应用协议才能通过防火墙，帮助计算机系统在医院网络内部设立一道网络安全的保护屏障，使网络环境变得更加安全，确保医院信息的安全。第三，利用探针和态势感知来全面洞悉医院网络安全风险的情况，并且也可以结合日志审计系统、数据库审计系统这些记录网络安全数据的平台来保护医院网络信息内部的数据库的稳定。第四，定期对医院基础设施和各业务系统的进行包括弱口令、漏洞扫描、渗透测试等的自查，及时发现各种安全隐患，并且对这些安全隐患或漏洞进行修复，保证医院整体的网络安全。第四，利用vpn和堡垒机进行信息系统的日常维护。

2.2加强数据备份和定期进行恢复测试

对数据进行全备、增量、冷备、异地备份、云备份等多种方式的备份。多种备份方式是为了应付各种异常场景的需要，异地备份。硬件故障、病毒、网络故障、自然灾害都会导致数据的丢失或者造成业务系统没法正常运行，做多种形式的备份，能针对性的避免这些问题所造成的损失；特别是在目前勒索病毒频发的情况下，对数据做好充分的备份，能最大限度的避免数据丢失。对备份数据，进行定期的恢复测试，可用保证这些备份数据的可用性，避免当出现问题后，这些备份的副本没法用，造成数据的丢失。

2.3制定并完善网络安全事件的应急方案

第一，一些医院网络安全事故都是随机且突然发生，所以存在一定的安全隐患，所以在应对突发的安全事故需要一定的预防措施，制定安全事故的应急预案，来及时应对安全事故，避免事故的扩大化，而且也避免造成一些经济损失。第二，制定网络信息安全的应急预案。从信息报告、预警响应、预案启动到辅助决策、指挥调度等各环节，均依赖于预案中情景、组织、行动、资源等各方面应急要素指引

[2]。所以应急预案结合电子技术，实现数字化应急预案，来更好连接医院信息系统内部，通过实时的数字化监测，来反映信息系统内部的数据安全，确保数据安全的时效性，而且根据存在潜在安全隐患来进行预案制定，短时间内应对突发安全事件。

2.4提升网络安全的防护能力

第一，建设安全管理队伍，提升安全防护能力。首先培养网络安全管理人员的基本素质和专业能力，综合安全知识和风险应对能力来决定医院安全防护工作的效果。其次，建设高素质的安全管理队伍需要培养专业的安全素质人才，结合专业网络安全机构来合作，共同筑建网络安全的防护的系统。最后，医院需要结合专业机构的技术能力和网络安全知识，来增强网络安全外部防护能力，并且也要在紧急情况中让专业机构给出实战经验，确保网络安全的稳定。第二，建立网络安全的深层安全防御机制。创建网络安全的纵向深层防御系统，医院的信息网络安全系统，在防御角度中对于整体网络安全的区域网络进行多项防护措施，并且形成系统化医院网络的安全防护体系。

2.5健全安全管理制度

第一，为了维护网络安全管理制度，需要对于医院存在的网络安全系统进行调查，将内部存在的漏洞和问题进行排查，然后根据医院的实际情况来制定更加适合的网络安全管理制度。然后管理制度中确定网络安全的检查和实行标准，也要让内部程序和环节衔接自如，让制度里程序更加专业化。第二，根据医院的医疗系统和网络运行系统来构建安全管理制度，根据专业安全防护知识来丰富安全管理制度。而且通过安全管理制度独有医院信息系统的安全地检查有了一定的检查标准，促进信息安全管理的标准化和安全化。

2.6营造网络安全运行环境

针对网络安全的环境塑造，需要医院管理人员定期检查和维修信息化设备，维护和保养信息化设备的使用，并且医院的管理人员将医院内部网络和外部网络连接时做好安全对接的工作。创建医院内网安全密码措施，建立稳定的网络密钥系统，肃清外部网络环境，让内外网络运行时不会出现病毒入侵的情况。而且也要维护计算机设备的环境，控制医院机房的湿度和温度，定期检查和打扫机房内部的运行环境，还要添加机房内部的安全措施，例如安装灭火材料、空调和门禁，避免机房内部出现安全问题，也限制可疑人员的进入，保障医院信息化建设中网络安全环境维护。

结论：总的来说，医院信息化安全建设方面存在问题影响着信息安全，安全措施里安全平台从一些防火墙、态势感知、数据库审计和漏洞自查自修复技术等开始入手，并结合数据备份和存储措施，创建和完善应急预案和管理制度，提高防护能力和创建安全环境。为维护医院网络安全做出贡献。

参考文献：

[1]李艳红.大数据背景下云存储数据安全研究[J].网络安全技术与应用,2022(09):70-71.

[2]李迎顺,任晶,王晶晶.应急预案数字化发展方向及路径探讨[J].中国应急管理,2022(09):20-31.