隨着我國醫院資訊化建設速度越來越快,HIS、LIS、PACS、EMR等資訊系統的應用,既提升了醫院醫療資訊化水平和醫生工作效率,也方便了病人的就診,同時醫院也更加地依賴於網絡。由於人員的不規範上網行爲、病毒、木馬等安全隱患,給醫院網絡帶來了巨大的威脅。對此醫院要清晰地意識到網絡安全隱患所造成的危害,切實提高思想意識,高度重視網絡安全防護,對網絡安全隱患要進行有效的防範,促進醫院資訊化建設的健康發展。
1醫院資訊化建設中網絡安全的重要性
近年來我國資訊化進程越來越快,醫院資訊化建設也取得了一系列顯著成果,如銀行事務、電子郵件、電子商務和自動化辦公等應用,在爲社會、企業、個人帶來方便的同時,由於互聯網具備較強的開放性、互聯性、匿名性等特徵,也將引起網絡應用安全隱患。對醫院來說,在應用網絡通信技術、計算機技術以後,將從整體上促使自身執行效率的提升。但是因爲醫院業務流程非常繁瑣,以門診系統爲例,在掛號、就診及化驗等流程來看,顯得過於複雜,而應用先進的資訊技術手段,能夠在醫保卡上準確、完全記錄各方面資訊,醫務工作者也只需要透過相關證號就能夠將患者資訊調出來,非常方便。由於醫院資訊化建設中需要與互聯網進行連接,因而也容易受到各種外部威脅,產生很多網絡安全隱患,這點需要醫院注意。
2醫院資訊化建設中的網絡安全隱患
醫院中心機房是醫院資訊的核心,也是醫院網絡的彙總。一旦出現問題,輕者部分服務開啓不了,重者網絡癱瘓,將嚴重影響整個醫院的正常執行與管理,爲醫院與患者造成巨大損害。主要存在以下幾個問題:
(1)中心機房出入人員太多而且人員比較雜,特別是機房設備上架、維護等,相關工作需要人員參差不齊,沒有統一管理;
(2)工程師在中心機房維護時,會應用到各種外接設備(如:移動硬盤、U盤),這樣會引起網絡安全隱患,可能導致病毒侵入現象,對醫院各項數據、資訊造成威脅;
(3)中心機房無環境監控系統,資訊中心人員只有在出問題的時候纔會去中心機房檢查,導致中心機房無實時監管,而中心機房的配電系統、溫溼度檢測、UPS機組監控系統等都會對各設備的正常執行產生影響。醫院網絡分爲內網和外網,其中內網主要分爲無線和有線:許多醫院院內無線網絡存在長期弱密碼,且長期不更新密碼,IP動態獲取等安全隱患。而有線雖然劃分了VLAN,但存在IP與MAC地址未綁定,缺少上網認證等安全隱患。而外網主要包括醫院OA、網站、醫院質控上報及院內人員上網瀏覽查資料等。存在的安全隱患有:
一是醫院網站存在被駭客攻擊的風險,如果醫院網站被黑後,就會泄漏病人資訊、藥品資訊、費用資訊等重要數據;
二是由於醫院許多醫護人員缺乏上網安全意識,隨意在網絡系統中上傳或下載檔案資料等,容易感染病毒、木馬等安全問題,爲駭客、病毒等非法入侵創造了可乘之機,會讓醫院系統網絡出現斷開,服務器變得癱瘓,病人資訊被盜,數據出現丟失等。嚴重影響醫院網絡安全、穩定的執行。
3醫院資訊化建設中的網絡安全防護策略
3.1完善網絡安全管理制度
(1)建立和完善相關的安全管理制度,保證其具備較強的可操作性,如:資訊系統管理制度、中心機房管理制度、網絡安全管理制度、人員值班備班制度及其他相關制度等。必須要嚴格執行這些規章制度,實行有效的獎懲措施。對於網絡維護要明確責任,誰操作誰負責,同時每年至少演練一次,保證安全。
(2)制定科學合理的網絡應急預案,建立網絡安全應急小組,從事件嚴重程度出發,採用相應的處理辦法。同時資訊中心人員也應定期或不定期進行巡檢,發現問題,及時解決問題。
(3)加強培訓,不僅僅是資訊中心人員培訓,還要對全院每個職工進行培訓,提高全院人員對網絡安全的意識。要定期對網絡管理人員作出考覈,保證其具備勝任本職工作的能力。
(4)對上網用戶進行認證,特別是上醫院外網時更要做好認證,避免出現風險。
3.2加大網絡邊界安全防護力度
爲避免醫院資訊化建設中出現網絡安全問題,應該採取如下措施:
(1)從醫院網絡架構出發,內外網要進行物理隔離,訪問外網的計算機只能訪問外網。同時搭建上網行爲安全管理器,屏蔽除安全網站外的所有網站,如需要訪問必須向資訊中心備案,並對網絡攻擊行爲要有預警和短信提醒功能。而對內網的安全應要有更高要求,應該部署相關的殺毒軟件和桌面管理器。
(2)防火牆。對內外網數據通信進行掃描,在發生惡意Javascript攻擊、拒絕服務攻擊等網絡攻擊後,能夠有效進行過濾,將無關端口關閉,禁止來自於非法站點的訪問請求。
(3)入侵檢測系統。根據安全策略庫相關內容嚴格監控通信狀況,在發現有與安全策略不符的疑似入侵行爲後,將第一時發出告警提示,且入侵檢測系統能夠與防火牆進行聯動,對各種攻擊行爲進行組織。
(4)局域網劃分。透過科學合理地劃分醫院內部員工對資訊資源的劃分,能夠最大限度降低維護與管理的工作量,避免受到廣播風暴影響。
(5)邊界惡意代碼防範。從數據中心業務風險分析與等級保護三級對邊界惡意代碼防範的要求出發,將防病毒產品設定在互聯網邊界,防病毒產品能夠檢查HTTP、FTP、SMTP、POP3、IMAP以及MSN協議的內容,並對存在的病毒進行消除,支援查殺引導區病毒、檔案型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、後門程序、惡意腳本等各種惡意代碼,同時能夠定期升級病毒庫版本。
3.3加強網絡安全監測管理
(1)網絡實時監測。監測醫院網絡中實時數據傳輸狀況,相關監測結果透過數字壓縮功能傳輸至監控中心,當出現網絡安全問題則立即發送報警,確保第一時間處理,爲醫院網絡安全提供可靠保證,提升網絡安全監測效果。
(2)日誌檔案查詢。透過查詢監控對象統計和分析,確保能夠及時、準確、全面瞭解醫院網絡整體狀況,對於出現的安全隱患可以儘快採取解決措施,避免發生故障與問題。
(3)中心機房監控系統。醫院資訊中心要對中心機房配電系統、UPS機組監控系統、溫溼度檢測等系統的.實時監控。提高機房管理工作效率並提供安全舒適的工作環境,提升網絡的安全性。
(4)醫院網站託管第三方。網站的應用服務與數據庫分離(應用服務器在第三方,數據庫在醫院,透過接口連接),同時與第三方簽定各項保密協議。
(5)雲安全管理平臺。通常要利用虛擬化平臺,集中管理所有的安全措施,主要包括數據防丟失、安全資訊與事件管理及終端保護方案等,可以提供相關的雲服務,透過虛擬化的形式爲醫院節省維護成本。
3.4數據庫安全管理
(1)涉及到數據庫的主要硬件有服務器和存儲設備。對於數據庫服務器可以使用集羣方式,防止因一臺服務器停用而導致整個醫院資訊系統癱瘓,同時也防止醫院系統使用高峯時,出現系統響應不及時等情況。而存儲設備可以使用磁盤陣列(如:RAID5、RAID6),磁盤陣列上配備有熱備盤,提高數據傳輸速率與系統的穩定性。
(2)細分數據庫訪問權限,可以分成超級用戶、管理用戶、各系統用戶等。對超級用戶來說,可以訪問整個網絡數據庫,並由醫院資訊科主管負責,定期更新數據庫密碼。對管理用戶來說,負責管理數據庫中的數據,包括備份數據、庫鎖管理和數據庫內所需的表樣式等。對各系統用戶來說,只可以對自用數據庫進行訪問。若是管理員數量較多,要以基本用戶設定爲基礎,爲所有管理員設定一個自用用戶。(3)醫院還要部署相應的審計軟件與防統方軟件,監管並記錄每個用戶對數據庫的各類操作行爲與該計算機的IP位址[4]。對重要的業務數據庫進行異地備份,可採取完全備份或增量備份,如果發生業務數據丟失或人爲破壞,可以儘快地恢復相關數據,保證業務數據的完整性。只有這樣才能進一步提升醫院資訊系統的安全性。
4結語
在網絡資訊時代下,醫院資訊化建設步伐也逐步加快,但是也出現了很多安全隱患,只有保證網絡的順利執行,纔有利於醫院各項業務與服務工作的開展。醫院要高度重視網絡安全防護的重要性,既要採用先進的技術手段,還要建立完善的規章制度,各級領導與普通醫務工作者都要提高警惕,共同參與到網絡安全維護工作中,爲醫院資訊化建設鋪平道路。
參考文獻
[1]牛永亮.淺談醫院資訊化建設中的網絡安全與防護措施[J].經濟師,2018,(01):234-235.
[2]鮑懷東.醫院資訊化建設中的網絡安全防護[J].電子技術與軟件工程,2017,(05):221.
[3]楊治民.醫院資訊化建設中網絡安全研究[J].資訊化建設,2016,(05):256.
[4]賀瑤.醫院資訊化建設中網絡安全問題研究[J].網絡安全技術與應用,2014,(09):147-149.