2017年3月,李克強(qiáng)總理在政府工作報(bào)告中首次提出,要制定“互聯(lián)網(wǎng)+”行動計(jì)劃,推動移動云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等與傳統(tǒng)行業(yè)相結(jié)合。2017年6月1日《網(wǎng)絡(luò)安全法》實(shí)施后,“互聯(lián)網(wǎng)+醫(yī)療”的信息安全越發(fā)重要處在風(fēng)口浪尖。
瀘州市中醫(yī)院屬于三級甲等中醫(yī)醫(yī)院,醫(yī)院信息化建設(shè)已運(yùn)行多年,目前為四川省二星數(shù)字化醫(yī)院。醫(yī)院建設(shè)有醫(yī)院信息管理系統(tǒng)(HIS)、臨床信息系統(tǒng)(CIS)、檢驗(yàn)信息管理系統(tǒng)(LIS)、醫(yī)學(xué)影像存儲與管理系統(tǒng)(PACS)、重癥臨床信息系統(tǒng)、手術(shù)麻醉信息系統(tǒng)、合理用藥、供應(yīng)中心追溯系統(tǒng)、傳染病監(jiān)測系統(tǒng)、掌上智慧醫(yī)院等40余個子系統(tǒng)。信息系統(tǒng)覆蓋全院各個部門,涵蓋患者就診的各個環(huán)節(jié)。醫(yī)院信息系統(tǒng)的安全性直接關(guān)系到醫(yī)療工作的正常運(yùn)行,一旦網(wǎng)絡(luò)癱瘓或數(shù)據(jù)丟失,將會給醫(yī)院帶來巨大的災(zāi)難和難以彌補(bǔ)的損失。因此,為保證醫(yī)院信息系統(tǒng)安全正常工作,必須采用必要的安全管理措施來保障醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)持久、穩(wěn)定、安全地運(yùn)行。
1.醫(yī)院信息安全概況
當(dāng)前,信息系統(tǒng)已成為醫(yī)院各部門業(yè)務(wù)開展的必備工具,是實(shí)現(xiàn)醫(yī)院現(xiàn)代化運(yùn)營的重要手段。但若信息安全出現(xiàn)問題,小則影響醫(yī)院業(yè)務(wù)開展甚至停擺,大則影響社會安定。加強(qiáng)醫(yī)院信息安全建設(shè)與提升職工信息安全意識勢在必行。
1.1信息安全保護(hù)范圍
醫(yī)院信息安全主要包括設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及行為安全。如中心機(jī)房服務(wù)器、存儲器、交換機(jī)等設(shè)備安全,醫(yī)院內(nèi)部網(wǎng)絡(luò)及互聯(lián)網(wǎng)接入安全,各科室終端安全(如開機(jī)密碼保護(hù)、文檔資料、USB接入等安全)信息系統(tǒng)中患者病歷數(shù)據(jù)、個人隱私安全等,甚至包括個人的科研成果、項(xiàng)目文檔、銀行及支付賬戶安全等。
1.2信息安全主要威脅
威脅信息安全的主要方式包括病毒、木馬及人為的特定攻擊等。攻擊者(黑客)通過篡改網(wǎng)頁源代碼、利用系統(tǒng)漏洞加入木馬程序等,對用戶進(jìn)行攻擊,盜取用戶重要數(shù)據(jù),迫使用戶滿足其提出的要求。比如前段時間全球出現(xiàn)的勒索病毒、無敵艦隊(duì)等。
?
1.3感染途徑
通過網(wǎng)絡(luò)瀏覽、電子郵件、移動存儲介質(zhì)、網(wǎng)絡(luò)下載等途徑,可使終端設(shè)備感染上病毒,一傳十、十傳百,甚至?xí)?dǎo)致整個內(nèi)部網(wǎng)絡(luò)設(shè)備癱瘓。
2醫(yī)院信息安全分類
根據(jù)醫(yī)院實(shí)際工作情況,信息安全一般可分為硬件安全、網(wǎng)絡(luò)安全及數(shù)據(jù)庫安全。
(1)硬件安全。醫(yī)院中心機(jī)房核心設(shè)備主要包括服務(wù)器、交換機(jī)及存儲控制器。其工作環(huán)境要求嚴(yán)格,一般要求將溫度置于22℃左右,相對濕度為45%~65%,且機(jī)房內(nèi)要無人員流動、防塵、半封閉,并安裝靜電地板、防雷設(shè)施等。
(2)網(wǎng)絡(luò)安全。醫(yī)院信息系統(tǒng)中的數(shù)據(jù)依靠網(wǎng)絡(luò)傳輸,由于醫(yī)院日常業(yè)務(wù)的特殊性,必須保證網(wǎng)絡(luò)7×24小時無故障運(yùn)行,所以網(wǎng)絡(luò)設(shè)備的維護(hù)至關(guān)重要。中心機(jī)房安裝有溫濕度監(jiān)控系統(tǒng),漏水預(yù)警提醒,有異常將短信報(bào)警。信息中心人員24小時值班,每天查看路由器、交換機(jī)、光纖收發(fā)器、光模塊等設(shè)備的指示燈狀態(tài)是否正常,各種插頭是否松動等。根據(jù)醫(yī)院實(shí)際情況,將內(nèi)外網(wǎng)物理隔離、分開訪問,內(nèi)網(wǎng)數(shù)據(jù)不能被外網(wǎng)訪問,這樣保證信息訪問的安全性。同時在網(wǎng)絡(luò)結(jié)構(gòu)上采用總線型拓?fù)浞绞?,采用雙機(jī)均衡模式,實(shí)現(xiàn)了關(guān)鍵業(yè)務(wù)的鏈路冗余及網(wǎng)絡(luò)冗余,保障網(wǎng)絡(luò)穩(wěn)定運(yùn)行。另外,配置網(wǎng)絡(luò)訪問權(quán)限防止非法用戶入侵網(wǎng)絡(luò),確保網(wǎng)絡(luò)運(yùn)行安全。
(3)數(shù)據(jù)庫安全。數(shù)據(jù)庫是醫(yī)院信息安全的核心,在整個醫(yī)院信息安全方面的地位舉足輕重。為了保障醫(yī)院數(shù)據(jù)信息的安全,應(yīng)重點(diǎn)制定維護(hù)制度和管理制度,如數(shù)據(jù)庫管理權(quán)限、操作員角色管理、關(guān)鍵數(shù)據(jù)監(jiān)控、外部對接授權(quán)等。
3信息安全保障方式
當(dāng)前開展診療服務(wù)對信息系統(tǒng)的依賴程度越來越高,醫(yī)院信息系統(tǒng)中存儲著大量醫(yī)療數(shù)據(jù)和患者個人信息,因此必須確保其安全性才能保障醫(yī)院正常運(yùn)作和持續(xù)發(fā)展。
3.1強(qiáng)化信息安全技術(shù)
信息安全技術(shù)是保障信息的完整性、保密性和可控性而采用的技術(shù)手段及安全產(chǎn)品。醫(yī)院信息系統(tǒng)安全主要包括以下兩方面:
3.1.1硬件技術(shù)
一是信息安全等級保護(hù)技術(shù),使用網(wǎng)閘物理隔離、安裝防火墻、入侵檢測、日志審計(jì)、安全管理平臺、漏洞掃描等手段,將醫(yī)院內(nèi)、外網(wǎng)真正有效的保護(hù)起來,以防止黑客及病毒入侵,達(dá)到安全防護(hù)的目的;二是服務(wù)器虛擬化技術(shù),將多臺服務(wù)器建立為虛擬資源池,在虛擬資源池中根據(jù)實(shí)際需求劃分虛擬機(jī)作為應(yīng)用服務(wù)器,保證醫(yī)院業(yè)務(wù)系統(tǒng)不會中斷;三是存儲雙活虛擬化技術(shù),建立異地災(zāi)備中心,雙活數(shù)據(jù)庫實(shí)時在線,定時備份;四是使用不間斷電源,建立雙路供電保障,有條件的醫(yī)院可配備應(yīng)急發(fā)電機(jī)。
3.1.2軟件技術(shù)
一是安裝正版殺毒軟件覆蓋全院,實(shí)時監(jiān)控每臺電腦的工作站狀態(tài);二是采用數(shù)據(jù)庫核查技術(shù),對訪問數(shù)據(jù)庫的行為進(jìn)行安全核查;三是建立網(wǎng)絡(luò)安全準(zhǔn)入控制系統(tǒng)和IT運(yùn)維管理系統(tǒng),制定相應(yīng)規(guī)則控制網(wǎng)絡(luò)訪問,并要求信息管理人員實(shí)時監(jiān)控醫(yī)院網(wǎng)絡(luò)設(shè)備,真正實(shí)現(xiàn)人防、物防、技防。
3.2提高人員信息安全意識
醫(yī)院信息安全管理中"人"是最重要的因素,其有可能是信息安全最大的防護(hù)者,也可能是信息安全問題的制造者。主要包括醫(yī)院領(lǐng)導(dǎo)、中層管理人員、普通職工、信息管理人員等,應(yīng)分別具備以下方面的信息安全意識:
3.2.1醫(yī)院領(lǐng)導(dǎo)重視
院領(lǐng)導(dǎo)對信息安全的重視程度,決定了醫(yī)院信息安全狀況。領(lǐng)導(dǎo)重視,中層管理人員必然重視,特別是信息中心管理者則會更加注重信息安全方面的建設(shè)。
3.2.2中層管理人員應(yīng)具備信息安全防范及補(bǔ)救意識
當(dāng)發(fā)生信息安全事件時,管理人員應(yīng)立即采取應(yīng)急措施,補(bǔ)救事件造成的危害,將信息安全事件損失和危害降到最低。同時,應(yīng)組織專業(yè)人員客觀分析事件發(fā)生的原因,糾正問題漏洞。
3.2.3普通職工要具備安全操作意識
普通職工雖不要求完全掌握信息安全技術(shù),但要注重培養(yǎng)較強(qiáng)的信息安全意識,牢記信息安全方面的規(guī)定和要求,養(yǎng)成良好工作習(xí)慣,不違規(guī)操作,保證涉密信息安全。
3.2.4信息專業(yè)人員要具備主動判斷、提前防范意識
信息專業(yè)人員須提升信息安全防范意識,具備較強(qiáng)責(zé)任心,主動承擔(dān)醫(yī)院信息安全防護(hù)工作,主動對信息系統(tǒng)及基礎(chǔ)設(shè)施進(jìn)行隱患排查、查缺補(bǔ)漏,并向全院職工普及信息安全知識。
4信息安全制度與防范
4.1制度建設(shè)
目前有《網(wǎng)絡(luò)安全法》《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求》《信息技術(shù)安全技術(shù)信息安全事件管理指南》等法律法規(guī),醫(yī)院須根據(jù)相關(guān)規(guī)定,結(jié)合實(shí)際情況,建立一套適用于自身發(fā)展需求的醫(yī)院信息安全管理制度,提高醫(yī)院信息安全管理水平。
信息管理部門制訂全院信息安全管理制度,如網(wǎng)絡(luò)安全保護(hù)制度、網(wǎng)絡(luò)安全檢查制度、中心機(jī)房安全管理制度、數(shù)據(jù)備份與恢復(fù)管理制度、安全教育和培訓(xùn)制度、存儲介質(zhì)使用管理規(guī)定、應(yīng)用系統(tǒng)密碼安全管理制度等。
4.2隱患防范
4.2.1嚴(yán)格授權(quán)管理
根據(jù)醫(yī)院信息系統(tǒng)權(quán)限分配管理辦法,用戶提出需求,須嚴(yán)格控制其身份認(rèn)證及授權(quán),區(qū)分不同級別的用戶,定期提醒其修改密碼,且密碼須為字母加數(shù)字組合,甚至可采用不易破解的動態(tài)密碼技術(shù),對用戶實(shí)行身份和操作的合法性認(rèn)證,如有條件的醫(yī)院,可考慮使用CA。
4.2.2定期自查檢測
定期對醫(yī)院信息系統(tǒng)的安全狀況進(jìn)行自查,對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面安全檢測。檢測的內(nèi)容包括:服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備及操作系統(tǒng)等是否存在安全漏洞,根據(jù)安全需要對系統(tǒng)進(jìn)行安全修復(fù)和加固,比如升級、漏掃等。
4.2.3數(shù)據(jù)安全備份
醫(yī)院數(shù)據(jù)中心存放著大量數(shù)據(jù),正所謂"硬件有價,數(shù)據(jù)無價",為保證數(shù)據(jù)安全,可進(jìn)行三種方式的數(shù)據(jù)備份:一是租用"云空間",將數(shù)據(jù)備份至"云端",甚至可將醫(yī)院核心業(yè)務(wù)服務(wù)端轉(zhuǎn)移至"云端",但須掌握"云"安全知識;二是建設(shè)異地容災(zāi)系統(tǒng),即在外地租用空間,通過光纖或互聯(lián)網(wǎng)專線傳輸,定時(或?qū)崟r)進(jìn)行數(shù)據(jù)備份;三是利用數(shù)據(jù)庫技術(shù)每天定時自動備份數(shù)據(jù)庫文件到指定位置。
4.2.4提供對外合作
明確一家安全服務(wù)機(jī)構(gòu),當(dāng)醫(yī)院遇到突發(fā)的安全事件時,安全服務(wù)機(jī)構(gòu)能夠提供應(yīng)急響應(yīng)服務(wù),并立即配合醫(yī)院信息中心人員進(jìn)行處理。
4.3提高工作人員的信息安全素養(yǎng)
隨著醫(yī)院信息化建設(shè)的深入,臨床數(shù)據(jù)逐步開放,個人保證信息安全及醫(yī)院管控?cái)?shù)據(jù)安全成為難題,提升醫(yī)務(wù)人員信息安全素養(yǎng)刻不容緩,可通過加強(qiáng)宣傳、教育培訓(xùn)和考試測評等三種方式進(jìn)行。
(1)加強(qiáng)宣傳。通過醫(yī)院官網(wǎng)、OA系統(tǒng)、宣傳手冊、微視頻等方式對信息安全的重要性進(jìn)行宣傳,時刻警醒全體職工從自身做起,保證醫(yī)院數(shù)據(jù)安全,不向任何人提供醫(yī)院任何數(shù)據(jù)資料,不泄露醫(yī)院、患者的任何信息。(2)教育培訓(xùn)。不定期組織全員職工參與網(wǎng)絡(luò)安全知識、信息系統(tǒng)操作規(guī)范及上網(wǎng)安全等培訓(xùn),專業(yè)技術(shù)人員考取網(wǎng)絡(luò)安全員證書,并開展形式多樣的信息安全知識競賽活動,激發(fā)職工學(xué)習(xí)信息安全知識的熱情。(3)考試測評。根據(jù)每年信息安全形勢,設(shè)置信息安全試題庫,定期組織職工進(jìn)行考試測評。
在醫(yī)院信息化建設(shè)過程中,信息安全建設(shè)不容忽視。若出現(xiàn)信息安全問題,一切建設(shè)成果則無從談起。本研究通過對安全防范技術(shù)、管理制度及措施、人員培訓(xùn)等方面的探索,明確了完善信息安全管理制度和提高職工信息安全意識的重要性,要求信息安全管理策略必須切實(shí)得到落實(shí),方能實(shí)現(xiàn)醫(yī)院長期、有效的信息安全,從而為醫(yī)院信息化建設(shè)保駕護(hù)航。
參考文獻(xiàn)
[1]王建英,陳文霞,胡雯,張鵬.醫(yī)院信息安全分析及措施[J]. 中國病案,2013,14(9):.
[2]張靜波,王韜.論醫(yī)院信息安全保障體系建設(shè)[J].中國醫(yī)院,2006(2):51-53.
[3]石磊.網(wǎng)絡(luò)安全與管理[M].清華大學(xué)出版社,2009,9:95-96.
[4]羅力.國民信息安全素養(yǎng)評價指標(biāo)體系構(gòu)建研究[J].重慶大學(xué)學(xué)報(bào): 社會科學(xué)版,2012,18(3):81-86.