“互聯(lián)網(wǎng)+醫(yī)療”時(shí)代來(lái)臨!醫(yī)院信息安全最重要

健康界
當(dāng)前,信息系統(tǒng)已成為醫(yī)院各部門業(yè)務(wù)開展的必備工具,是實(shí)現(xiàn)醫(yī)院現(xiàn)代化運(yùn)營(yíng)的重要手段。但若信息安全出現(xiàn)問(wèn)題,小則影響醫(yī)院業(yè)務(wù)開展甚至停擺,大則影響社會(huì)安定。加強(qiáng)醫(yī)院信息安全建設(shè)與提升職工信息安全意識(shí)勢(shì)在必行。
  2017年3月,李克強(qiáng)總理在政府工作報(bào)告中首次提出,要制定"互聯(lián)網(wǎng)+"行動(dòng)計(jì)劃,推動(dòng)移動(dòng)云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等與傳統(tǒng)行業(yè)相結(jié)合。2017年6月1日《網(wǎng)絡(luò)安全法》實(shí)施后,"互聯(lián)網(wǎng)+醫(yī)療"的信息安全越發(fā)重要處在風(fēng)口浪尖。
 
  瀘州市中醫(yī)院屬于三級(jí)甲等中醫(yī)醫(yī)院,醫(yī)院信息化建設(shè)已運(yùn)行多年,目前為四川省二星數(shù)字化醫(yī)院。醫(yī)院建設(shè)有醫(yī)院信息管理系統(tǒng)(HIS)、臨床信息系統(tǒng)(CIS)、檢驗(yàn)信息管理系統(tǒng)(LIS)、醫(yī)學(xué)影像存儲(chǔ)與管理系統(tǒng)(PACS)、重癥臨床信息系統(tǒng)、手術(shù)麻醉信息系統(tǒng)、合理用藥、供應(yīng)中心追溯系統(tǒng)、傳染病監(jiān)測(cè)系統(tǒng)、掌上智慧醫(yī)院等40余個(gè)子系統(tǒng)。信息系統(tǒng)覆蓋全院各個(gè)部門,涵蓋患者就診的各個(gè)環(huán)節(jié)。醫(yī)院信息系統(tǒng)的安全性直接關(guān)系到醫(yī)療工作的正常運(yùn)行,一旦網(wǎng)絡(luò)癱瘓或數(shù)據(jù)丟失,將會(huì)給醫(yī)院帶來(lái)巨大的災(zāi)難和難以彌補(bǔ)的損失。因此,為保證醫(yī)院信息系統(tǒng)安全正常工作,必須采用必要的安全管理措施來(lái)保障醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)持久、穩(wěn)定、安全地運(yùn)行。
 
  1.醫(yī)院信息安全概況
 
  當(dāng)前,信息系統(tǒng)已成為醫(yī)院各部門業(yè)務(wù)開展的必備工具,是實(shí)現(xiàn)醫(yī)院現(xiàn)代化運(yùn)營(yíng)的重要手段。但若信息安全出現(xiàn)問(wèn)題,小則影響醫(yī)院業(yè)務(wù)開展甚至停擺,大則影響社會(huì)安定。加強(qiáng)醫(yī)院信息安全建設(shè)與提升職工信息安全意識(shí)勢(shì)在必行。
 
  1.1信息安全保護(hù)范圍
 
  醫(yī)院信息安全主要包括設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及行為安全。如中心機(jī)房服務(wù)器、存儲(chǔ)器、交換機(jī)等設(shè)備安全,醫(yī)院內(nèi)部網(wǎng)絡(luò)及互聯(lián)網(wǎng)接入安全,各科室終端安全(如開機(jī)密碼保護(hù)、文檔資料、USB接入等安全)信息系統(tǒng)中患者病歷數(shù)據(jù)、個(gè)人隱私安全等,甚至包括個(gè)人的科研成果、項(xiàng)目文檔、銀行及支付賬戶安全等。
 
  1.2信息安全主要威脅
 
  威脅信息安全的主要方式包括病毒、木馬及人為的特定攻擊等。攻擊者(黑客)通過(guò)篡改網(wǎng)頁(yè)源代碼、利用系統(tǒng)漏洞加入木馬程序等,對(duì)用戶進(jìn)行攻擊,盜取用戶重要數(shù)據(jù),迫使用戶滿足其提出的要求。比如前段時(shí)間全球出現(xiàn)的勒索病毒、無(wú)敵艦隊(duì)等。
 
  1.3感染途徑
 
  通過(guò)網(wǎng)絡(luò)瀏覽、電子郵件、移動(dòng)存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)下載等途徑,可使終端設(shè)備感染上病毒,一傳十、十傳百,甚至?xí)?dǎo)致整個(gè)內(nèi)部網(wǎng)絡(luò)設(shè)備癱瘓。
 
  2醫(yī)院信息安全分類
 
  根據(jù)醫(yī)院實(shí)際工作情況,信息安全一般可分為硬件安全、網(wǎng)絡(luò)安全及數(shù)據(jù)庫(kù)安全。
 
 ?。?)硬件安全。醫(yī)院中心機(jī)房核心設(shè)備主要包括服務(wù)器、交換機(jī)及存儲(chǔ)控制器。其工作環(huán)境要求嚴(yán)格,一般要求將溫度置于22℃左右,相對(duì)濕度為45%~65%,且機(jī)房?jī)?nèi)要無(wú)人員流動(dòng)、防塵、半封閉,并安裝靜電地板、防雷設(shè)施等。
 
  (2)網(wǎng)絡(luò)安全。醫(yī)院信息系統(tǒng)中的數(shù)據(jù)依靠網(wǎng)絡(luò)傳輸,由于醫(yī)院日常業(yè)務(wù)的特殊性,必須保證網(wǎng)絡(luò)7×24小時(shí)無(wú)故障運(yùn)行,所以網(wǎng)絡(luò)設(shè)備的維護(hù)至關(guān)重要。中心機(jī)房安裝有溫濕度監(jiān)控系統(tǒng),漏水預(yù)警提醒,有異常將短信報(bào)警。信息中心人員24小時(shí)值班,每天查看路由器、交換機(jī)、光纖收發(fā)器、光模塊等設(shè)備的指示燈狀態(tài)是否正常,各種插頭是否松動(dòng)等。根據(jù)醫(yī)院實(shí)際情況,將內(nèi)外網(wǎng)物理隔離、分開訪問(wèn),內(nèi)網(wǎng)數(shù)據(jù)不能被外網(wǎng)訪問(wèn),這樣保證信息訪問(wèn)的安全性。同時(shí)在網(wǎng)絡(luò)結(jié)構(gòu)上采用總線型拓?fù)浞绞?,采用雙機(jī)均衡模式,實(shí)現(xiàn)了關(guān)鍵業(yè)務(wù)的鏈路冗余及網(wǎng)絡(luò)冗余,保障網(wǎng)絡(luò)穩(wěn)定運(yùn)行。另外,配置網(wǎng)絡(luò)訪問(wèn)權(quán)限防止非法用戶入侵網(wǎng)絡(luò),確保網(wǎng)絡(luò)運(yùn)行安全。
 
 ?。?)數(shù)據(jù)庫(kù)安全。數(shù)據(jù)庫(kù)是醫(yī)院信息安全的核心,在整個(gè)醫(yī)院信息安全方面的地位舉足輕重。為了保障醫(yī)院數(shù)據(jù)信息的安全,應(yīng)重點(diǎn)制定維護(hù)制度和管理制度,如數(shù)據(jù)庫(kù)管理權(quán)限、操作員角色管理、關(guān)鍵數(shù)據(jù)監(jiān)控、外部對(duì)接授權(quán)等。
 
  3信息安全保障方式
 
  當(dāng)前開展診療服務(wù)對(duì)信息系統(tǒng)的依賴程度越來(lái)越高,醫(yī)院信息系統(tǒng)中存儲(chǔ)著大量醫(yī)療數(shù)據(jù)和患者個(gè)人信息,因此必須確保其安全性才能保障醫(yī)院正常運(yùn)作和持續(xù)發(fā)展。
 
  3.1強(qiáng)化信息安全技術(shù)
 
  信息安全技術(shù)是保障信息的完整性、保密性和可控性而采用的技術(shù)手段及安全產(chǎn)品。醫(yī)院信息系統(tǒng)安全主要包括以下兩方面:
 
  3.1.1硬件技術(shù)一是信息安全等級(jí)保護(hù)技術(shù),使用網(wǎng)閘物理隔離、安裝防火墻、入侵檢測(cè)、日志審計(jì)、安全管理平臺(tái)、漏洞掃描等手段,將醫(yī)院內(nèi)、外網(wǎng)真正有效的保護(hù)起來(lái),以防止黑客及病毒入侵,達(dá)到安全防護(hù)的目的;二是服務(wù)器虛擬化技術(shù),將多臺(tái)服務(wù)器建立為虛擬資源池,在虛擬資源池中根據(jù)實(shí)際需求劃分虛擬機(jī)作為應(yīng)用服務(wù)器,保證醫(yī)院業(yè)務(wù)系統(tǒng)不會(huì)中斷;三是存儲(chǔ)雙活虛擬化技術(shù),建立異地災(zāi)備中心,雙活數(shù)據(jù)庫(kù)實(shí)時(shí)在線,定時(shí)備份;四是使用不間斷電源,建立雙路供電保障,有條件的醫(yī)院可配備應(yīng)急發(fā)電機(jī)。
 
  3.1.2軟件技術(shù)一是安裝正版殺毒軟件覆蓋全院,實(shí)時(shí)監(jiān)控每臺(tái)電腦的工作站狀態(tài);二是采用數(shù)據(jù)庫(kù)核查技術(shù),對(duì)訪問(wèn)數(shù)據(jù)庫(kù)的行為進(jìn)行安全核查;三是建立網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)和IT運(yùn)維管理系統(tǒng),制定相應(yīng)規(guī)則控制網(wǎng)絡(luò)訪問(wèn),并要求信息管理人員實(shí)時(shí)監(jiān)控醫(yī)院網(wǎng)絡(luò)設(shè)備,真正實(shí)現(xiàn)人防、物防、技防。
 
  3.2提高人員信息安全意識(shí)
 
  醫(yī)院信息安全管理中"人"是最重要的因素,其有可能是信息安全最大的防護(hù)者,也可能是信息安全問(wèn)題的制造者。主要包括醫(yī)院領(lǐng)導(dǎo)、中層管理人員、普通職工、信息管理人員等,應(yīng)分別具備以下方面的信息安全意識(shí):
 
  3.2.1醫(yī)院領(lǐng)導(dǎo)重視院領(lǐng)導(dǎo)對(duì)信息安全的重視程度,決定了醫(yī)院信息安全狀況。領(lǐng)導(dǎo)重視,中層管理人員必然重視,特別是信息中心管理者則會(huì)更加注重信息安全方面的建設(shè)。
 
  3.2.2中層管理人員應(yīng)具備信息安全防范及補(bǔ)救意識(shí)當(dāng)發(fā)生信息安全事件時(shí),管理人員應(yīng)立即采取應(yīng)急措施,補(bǔ)救事件造成的危害,將信息安全事件損失和危害降到最低。同時(shí),應(yīng)組織專業(yè)人員客觀分析事件發(fā)生的原因,糾正問(wèn)題漏洞。
 
  3.2.3普通職工要具備安全操作意識(shí)普通職工雖不要求完全掌握信息安全技術(shù),但要注重培養(yǎng)較強(qiáng)的信息安全意識(shí),牢記信息安全方面的規(guī)定和要求,養(yǎng)成良好工作習(xí)慣,不違規(guī)操作,保證涉密信息安全。
 
  3.2.4信息專業(yè)人員要具備主動(dòng)判斷、提前防范意識(shí)信息專業(yè)人員須提升信息安全防范意識(shí),具備較強(qiáng)責(zé)任心,主動(dòng)承擔(dān)醫(yī)院信息安全防護(hù)工作,主動(dòng)對(duì)信息系統(tǒng)及基礎(chǔ)設(shè)施進(jìn)行隱患排查、查缺補(bǔ)漏,并向全院職工普及信息安全知識(shí)。
 
  4信息安全制度與防范
 
  4.1制度建設(shè)
 
  目前有《網(wǎng)絡(luò)安全法》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》《信息技術(shù)安全技術(shù)信息安全事件管理指南》等法律法規(guī),醫(yī)院須根據(jù)相關(guān)規(guī)定,結(jié)合實(shí)際情況,建立一套適用于自身發(fā)展需求的醫(yī)院信息安全管理制度,提高醫(yī)院信息安全管理水平。
 
  信息管理部門制訂全院信息安全管理制度,如網(wǎng)絡(luò)安全保護(hù)制度、網(wǎng)絡(luò)安全檢查制度、中心機(jī)房安全管理制度、數(shù)據(jù)備份與恢復(fù)管理制度、安全教育和培訓(xùn)制度、存儲(chǔ)介質(zhì)使用管理規(guī)定、應(yīng)用系統(tǒng)密碼安全管理制度等。
 
  4.2隱患防范
 
  4.2.1嚴(yán)格授權(quán)管理根據(jù)醫(yī)院信息系統(tǒng)權(quán)限分配管理辦法,用戶提出需求,須嚴(yán)格控制其身份認(rèn)證及授權(quán),區(qū)分不同級(jí)別的用戶,定期提醒其修改密碼,且密碼須為字母加數(shù)字組合,甚至可采用不易破解的動(dòng)態(tài)密碼技術(shù),對(duì)用戶實(shí)行身份和操作的合法性認(rèn)證,如有條件的醫(yī)院,可考慮使用CA。
 
 4.2.2定期自查檢測(cè)定期對(duì)醫(yī)院信息系統(tǒng)的安全狀況進(jìn)行自查,對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面安全檢測(cè)。檢測(cè)的內(nèi)容包括:服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備及操作系統(tǒng)等是否存在安全漏洞,根據(jù)安全需要對(duì)系統(tǒng)進(jìn)行安全修復(fù)和加固,比如升級(jí)、漏掃等。
 
  4.2.3數(shù)據(jù)安全備份醫(yī)院數(shù)據(jù)中心存放著大量數(shù)據(jù),正所謂"硬件有價(jià),數(shù)據(jù)無(wú)價(jià)",為保證數(shù)據(jù)安全,可進(jìn)行三種方式的數(shù)據(jù)備份:一是租用"云空間",將數(shù)據(jù)備份至"云端",甚至可將醫(yī)院核心業(yè)務(wù)服務(wù)端轉(zhuǎn)移至"云端",但須掌握"云"安全知識(shí);二是建設(shè)異地容災(zāi)系統(tǒng),即在外地租用空間,通過(guò)光纖或互聯(lián)網(wǎng)專線傳輸,定時(shí)(或?qū)崟r(shí))進(jìn)行數(shù)據(jù)備份;三是利用數(shù)據(jù)庫(kù)技術(shù)每天定時(shí)自動(dòng)備份數(shù)據(jù)庫(kù)文件到指定位置。
 
  4.2.4提供對(duì)外合作明確一家安全服務(wù)機(jī)構(gòu),當(dāng)醫(yī)院遇到突發(fā)的安全事件時(shí),安全服務(wù)機(jī)構(gòu)能夠提供應(yīng)急響應(yīng)服務(wù),并立即配合醫(yī)院信息中心人員進(jìn)行處理。
 
  4.3提高工作人員的信息安全素養(yǎng)
 
  隨著醫(yī)院信息化建設(shè)的深入,臨床數(shù)據(jù)逐步開放,個(gè)人保證信息安全及醫(yī)院管控?cái)?shù)據(jù)安全成為難題,提升醫(yī)務(wù)人員信息安全素養(yǎng)刻不容緩,可通過(guò)加強(qiáng)宣傳、教育培訓(xùn)和考試測(cè)評(píng)等三種方式進(jìn)行。
 
 ?。?)加強(qiáng)宣傳。通過(guò)醫(yī)院官網(wǎng)、OA系統(tǒng)、宣傳手冊(cè)、微視頻等方式對(duì)信息安全的重要性進(jìn)行宣傳,時(shí)刻警醒全體職工從自身做起,保證醫(yī)院數(shù)據(jù)安全,不向任何人提供醫(yī)院任何數(shù)據(jù)資料,不泄露醫(yī)院、患者的任何信息。(2)教育培訓(xùn)。不定期組織全員職工參與網(wǎng)絡(luò)安全知識(shí)、信息系統(tǒng)操作規(guī)范及上網(wǎng)安全等培訓(xùn),專業(yè)技術(shù)人員考取網(wǎng)絡(luò)安全員證書,并開展形式多樣的信息安全知識(shí)競(jìng)賽活動(dòng),激發(fā)職工學(xué)習(xí)信息安全知識(shí)的熱情。(3)考試測(cè)評(píng)。根據(jù)每年信息安全形勢(shì),設(shè)置信息安全試題庫(kù),定期組織職工進(jìn)行考試測(cè)評(píng)。
 
  在醫(yī)院信息化建設(shè)過(guò)程中,信息安全建設(shè)不容忽視。若出現(xiàn)信息安全問(wèn)題,一切建設(shè)成果則無(wú)從談起。本研究通過(guò)對(duì)安全防范技術(shù)、管理制度及措施、人員培訓(xùn)等方面的探索,明確了完善信息安全管理制度和提高職工信息安全意識(shí)的重要性,要求信息安全管理策略必須切實(shí)得到落實(shí),方能實(shí)現(xiàn)醫(yī)院長(zhǎng)期、有效的信息安全,從而為醫(yī)院信息化建設(shè)保駕護(hù)航。
THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論