◆賈維

數(shù)字化醫(yī)院信息安全建設(shè)與管理策略

◆賈維

（淮安市第二人民醫(yī)院信息中心 江蘇 223002）

進(jìn)入21世紀(jì)后，我國醫(yī)療體制改革進(jìn)入深化階段，在經(jīng)濟(jì)、科技進(jìn)步下醫(yī)院管理變得更加科學(xué)、規(guī)范。在信息時代背景下數(shù)字化管理建設(shè)逐漸成為醫(yī)院發(fā)展主流方向，但是令人遺憾的是我國數(shù)字化醫(yī)院建設(shè)還存著諸多問題，主要表現(xiàn)為數(shù)字化管理制度不嚴(yán)格，信息技術(shù)差距過大，安全體系落后等等，這些問題嚴(yán)重影響了我國數(shù)字化醫(yī)院建設(shè)。為此，筆者結(jié)合自身多次參與數(shù)字化醫(yī)院管理建設(shè)，淺議現(xiàn)階段我國數(shù)字化醫(yī)院信息安全建設(shè)存在的具體問，并提出優(yōu)化解決方案，意在幫助其他醫(yī)院數(shù)字化建設(shè)者提供參考意見。

數(shù)字化技術(shù)；醫(yī)院管理；網(wǎng)絡(luò)建設(shè)；優(yōu)化策略

伴隨著我國科學(xué)技術(shù)的發(fā)展，信息技術(shù)逐漸融入我們生活之中，不僅給人們生活生產(chǎn)活動帶來了極大便捷，還為醫(yī)療改革帶來了全新契機(jī)。若醫(yī)院管理人員能夠?qū)?shù)字化技術(shù)融入醫(yī)藥管理、引導(dǎo)服務(wù)、醫(yī)生診療等諸個重要環(huán)節(jié)和節(jié)點，可以有效提升醫(yī)院醫(yī)療效率，持續(xù)降低醫(yī)護(hù)人員工作壓力，讓醫(yī)院管理工作更加科學(xué)且規(guī)范。但是由于數(shù)字化技術(shù)應(yīng)用維度較廣、系統(tǒng)集成性較強(qiáng)、創(chuàng)新上線高、管理項目種類多、系統(tǒng)開發(fā)難度大、網(wǎng)絡(luò)安全問題嚴(yán)峻，很多醫(yī)院在應(yīng)用數(shù)字化管理方法時反而會暴露出一些體制改革上的問題。

1 數(shù)字化醫(yī)院信息管理現(xiàn)狀分析

1.1 網(wǎng)絡(luò)安全投入有限

數(shù)字化醫(yī)院信息安全建設(shè)是一項需要消耗大量時間、精力、資源的系統(tǒng)性工程，在信息時代背景下，每個患者的個人信息很容易在不法分子竊取，想要保障患者個人信息，需要從管理規(guī)則、數(shù)字化制度、醫(yī)護(hù)人員網(wǎng)絡(luò)安全意識三個方面綜合進(jìn)行提升，才能夠保障患者信息安全，但是能夠做到此層次的大多數(shù)是三甲醫(yī)院，而其他醫(yī)院網(wǎng)絡(luò)安全投資十分有限。部分醫(yī)院仍在使用傳統(tǒng)醫(yī)院網(wǎng)絡(luò)安全辦法，將醫(yī)院與外界互聯(lián)網(wǎng)相隔絕，讓醫(yī)院網(wǎng)絡(luò)構(gòu)成一個系統(tǒng)局域網(wǎng)，在沒有外界干擾下保障患者信息安全[1]。這種方法在設(shè)計理念階段雖然十分合理，而且造價成本較低，但是實際應(yīng)用過程中就會出現(xiàn)很多問題，如數(shù)字化管理的優(yōu)勢就是在于信息傳播速度快、互聯(lián)網(wǎng)信息儲存量大、與其他醫(yī)院醫(yī)生交流無障礙等，但是在局域網(wǎng)下醫(yī)生只能完成門診信息確認(rèn)、醫(yī)藥開方、醫(yī)療病史調(diào)取、患者繳費詳情幾個簡單的功能。而且整個醫(yī)院依托局域網(wǎng)絡(luò)信息互傳軟件，很容易產(chǎn)生系統(tǒng)垃圾降低信息傳播速度與軟件運行速度。采用這種局域網(wǎng)管理辦法的醫(yī)院一般多為資金有限，規(guī)模較小的醫(yī)院，無法聘請專業(yè)網(wǎng)絡(luò)專家或設(shè)立計算機(jī)安全室，只能以相對限制辦法低成本開展網(wǎng)絡(luò)安全管理[2]。

1.2 信息安全體系不完善

完善網(wǎng)絡(luò)安全體系是建設(shè)數(shù)字化醫(yī)院信息安全管理必經(jīng)之路，若只提升網(wǎng)絡(luò)建設(shè)資金的投入而沒有相應(yīng)的安全體系，數(shù)字化醫(yī)院信息管理實際應(yīng)用效果會有所下降。數(shù)字化醫(yī)院信息安全體系必須涵蓋數(shù)據(jù)構(gòu)成、應(yīng)用方向規(guī)定、患者信息確定、系統(tǒng)循環(huán)分析、入侵檢測報警等多個保障環(huán)節(jié)。具體而言，醫(yī)院網(wǎng)絡(luò)會分外網(wǎng)和內(nèi)網(wǎng)，外網(wǎng)的需要加設(shè)管理工具、網(wǎng)絡(luò)防火墻、瀏覽網(wǎng)頁與下載內(nèi)容檢測以及殺毒軟件，這套保障措施可以保障醫(yī)院是外網(wǎng)不受網(wǎng)絡(luò)攻擊影響[3]。而醫(yī)院內(nèi)網(wǎng)管理會較為嚴(yán)格，除了常用的防火墻、網(wǎng)閘、態(tài)勢感知等設(shè)備，一般采取計算機(jī)桌面軟件安全匙登錄、入網(wǎng)身份認(rèn)證、操作審核、信息下載監(jiān)管等功能，只有醫(yī)院特定人員可以登錄內(nèi)網(wǎng)審查信息，如醫(yī)生、醫(yī)院教授、醫(yī)院領(lǐng)導(dǎo)、護(hù)士長等重要醫(yī)護(hù)職員，他們在系統(tǒng)中的每一步操作都會被進(jìn)行記錄，一旦接觸做出違規(guī)操作內(nèi)網(wǎng)就會發(fā)送信息連接外網(wǎng)發(fā)出警報，醫(yī)院管理人員就可以第一時間審查操作人員信息，并對問題加以處理。但現(xiàn)階段部分醫(yī)院由于安全體系不完善，對內(nèi)網(wǎng)瀏覽者、登錄者管理不嚴(yán)格，而且在內(nèi)網(wǎng)被入侵時也沒有應(yīng)對措施，在后期網(wǎng)絡(luò)維護(hù)階段也沒有合理計劃[4]。

1.3 醫(yī)院監(jiān)督力度較差

部分醫(yī)院將網(wǎng)絡(luò)安全問題交由其他網(wǎng)絡(luò)科技公司，讓他們完全負(fù)責(zé)醫(yī)院網(wǎng)絡(luò)安全建設(shè)，經(jīng)過專業(yè)人員設(shè)計與參與，醫(yī)院數(shù)字化信息安全管理建設(shè)有了極大提升。但是筆者發(fā)現(xiàn)，這部分醫(yī)院管理者將網(wǎng)絡(luò)信息安全建設(shè)交由他人后，逐漸放棄對內(nèi)部醫(yī)護(hù)人員網(wǎng)絡(luò)安全教育，在出現(xiàn)問題后將所有責(zé)任歸結(jié)于網(wǎng)絡(luò)科技公司。網(wǎng)絡(luò)科技公司的確是依靠自己專業(yè)技術(shù)為醫(yī)院搭建起網(wǎng)絡(luò)安全系統(tǒng)，但是由于網(wǎng)絡(luò)發(fā)揮速度與各個操作軟件更新節(jié)奏較快，沒有任何一家網(wǎng)絡(luò)科技公司能夠保障經(jīng)過一次建設(shè)就能夠保障醫(yī)院網(wǎng)絡(luò)永不受侵?jǐn)_。而作為醫(yī)院網(wǎng)絡(luò)系統(tǒng)的操作醫(yī)護(hù)人員，他們的操作方法也與網(wǎng)絡(luò)信息安全也有著直接的聯(lián)系[5]。簡單來說，在網(wǎng)絡(luò)上有一些釣魚網(wǎng)站和內(nèi)設(shè)后臺安裝包，計算機(jī)操作人員只要點擊瀏覽或下載，不法分子就可以通過網(wǎng)絡(luò)后臺盜取計算機(jī)信息或者是攻擊醫(yī)院內(nèi)網(wǎng)系統(tǒng)，而這一套操作完全可以發(fā)生在計算機(jī)操作者不知情的情況下。釣魚網(wǎng)站不只是單指具有黃、賭之類性質(zhì)的網(wǎng)站，一些醫(yī)療信息網(wǎng)站或新聞網(wǎng)站也會存在相應(yīng)問題，這類網(wǎng)站都是一些令人醒目的噱頭吸引瀏覽人員，例如“美國已經(jīng)成功研制出HIV育苗”“國外科學(xué)家從遠(yuǎn)古動物遺骸中成功提取永生細(xì)胞”，這些網(wǎng)站信息看似不存在問題，但它的確是專門為了醫(yī)療人員準(zhǔn)備的陷阱，專門盜取醫(yī)院患者信息。醫(yī)護(hù)人員若沒有良好的網(wǎng)絡(luò)安全意識，再簡單的網(wǎng)絡(luò)攻擊手段都可能到得手[6]。

2 數(shù)字化醫(yī)院信息安全建設(shè)與管理策略

2.1 嚴(yán)控網(wǎng)絡(luò)安全性

在信息時代背景下，人們可以通過互聯(lián)網(wǎng)突破時間與空間限制，完成信息之間的交流同步，醫(yī)院也是信息技術(shù)的受益者，無論是醫(yī)院單位還是醫(yī)護(hù)個人都可以通過該技術(shù)傳播信息、交換信息、共享信息，信息技術(shù)不僅加強(qiáng)醫(yī)院各個單位之間的聯(lián)系性，還幫助醫(yī)護(hù)人員極大地緩解了工作壓力，讓醫(yī)院在診療事務(wù)處理效率上有了很大提升[7]。但是由于網(wǎng)絡(luò)信息開放、共享性特征較強(qiáng)，也導(dǎo)致了醫(yī)院始終存在不安全因素，一些不法分子為了私人目的攻擊、破壞網(wǎng)絡(luò)信息，這讓醫(yī)院信息安全一直處于危險邊緣。對于不法分子的挑戰(zhàn)醫(yī)院網(wǎng)絡(luò)安全管理人員需要加強(qiáng)網(wǎng)絡(luò)訪問路徑的審查工作，加持審查力度與檢測方法，這樣就可以保證客戶端與醫(yī)院主機(jī)服務(wù)器不受外界因素攻擊。針對不同科室的信息交交換與分享安全問題，醫(yī)院網(wǎng)絡(luò)管理人員需要加強(qiáng)IP信息與MAC之間的綁定，嚴(yán)防出現(xiàn)ARP詐騙問題的發(fā)生。同時，醫(yī)院網(wǎng)絡(luò)安全管理人員要依照不同科室信息交換需求設(shè)置不同的防火墻，在不同端口設(shè)置木馬、蠕蟲、病毒檢測方法。例如，門診計算機(jī)主要是承擔(dān)患者信息錄入工作，經(jīng)過患者選擇才能完成掛號流程，而患者在選擇過程中會填寫大量私人信息，例如姓名、年齡、手機(jī)號、身份證號、過敏原、醫(yī)療史等等，這些信息若落入不法分子手中完全可以完成一次精準(zhǔn)詐騙。為此醫(yī)院網(wǎng)絡(luò)管理人員要在此端口對網(wǎng)絡(luò)下載、瀏覽、外網(wǎng)分享文件進(jìn)行嚴(yán)格審查，將網(wǎng)絡(luò)攻擊扼殺在搖籃之中。

2.2 加強(qiáng)硬件設(shè)備投入與監(jiān)管

一個醫(yī)院若想提升自身數(shù)字化網(wǎng)絡(luò)信息安全性，需要有一定較為強(qiáng)大的硬件設(shè)備支持，而醫(yī)用網(wǎng)絡(luò)安全硬件一般價格較高，需要醫(yī)院加大網(wǎng)絡(luò)安全投資力度。對于部分城鎮(zhèn)醫(yī)院醫(yī)療資金總量小，無法采購網(wǎng)絡(luò)尖端設(shè)備的問題，筆者有兩種解決方案：其一，醫(yī)院領(lǐng)導(dǎo)與地方政府職能部門進(jìn)行協(xié)商，通過政府部門的支持提升本地醫(yī)療水平。其二，醫(yī)院可以采購一些國內(nèi)外一些大型醫(yī)院已經(jīng)淘汰的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備不同于醫(yī)療設(shè)備，網(wǎng)絡(luò)設(shè)備需要對面的是醫(yī)護(hù)人員，而醫(yī)療設(shè)備需要面對的是患者，采購二手網(wǎng)絡(luò)設(shè)備雖然在名義上無法令人接受，但是一些二手的醫(yī)用網(wǎng)絡(luò)設(shè)備的確實用價值較高，商品價格較低，能夠在保障中、小醫(yī)院是5~8年內(nèi)無須更換相應(yīng)設(shè)備。此外，在添加設(shè)備的同時，醫(yī)院網(wǎng)絡(luò)管理人員需要提升默認(rèn)用戶訪問權(quán)限，采用一人一賬戶原則，并依照醫(yī)護(hù)人員職務(wù)開放操作限制[8]。例如，普通醫(yī)護(hù)人員可以查看患者姓名、年齡、病患史信息，而醫(yī)生則可以在此基礎(chǔ)上查看患者籍貫、是否有陪同家屬、是否擁有術(shù)后過激反應(yīng)等等其他信息，更高級的醫(yī)護(hù)主任則擁有信息下載權(quán)限。只有這樣不法分子在使用醫(yī)護(hù)人員信息登錄后，所造成的破壞范圍也是極為有限的。

醫(yī)院網(wǎng)絡(luò)管理者在進(jìn)行數(shù)字化醫(yī)院信息安全建設(shè)過程中，還需要加強(qiáng)對醫(yī)務(wù)人員的網(wǎng)絡(luò)監(jiān)管，實行醫(yī)務(wù)人員的網(wǎng)絡(luò)違規(guī)違法行為與醫(yī)院獎金績效掛鉤，讓違規(guī)違法付出代價，同時加強(qiáng)醫(yī)護(hù)人員網(wǎng)絡(luò)安全意識教育工作，定期為醫(yī)護(hù)人員提供網(wǎng)絡(luò)操作培訓(xùn)講課，將網(wǎng)絡(luò)上一些常見信息盜取手段與預(yù)防方法講述給醫(yī)護(hù)人員，進(jìn)而提升整體醫(yī)院整體網(wǎng)絡(luò)安全性。為此加強(qiáng)硬件設(shè)備投入與加強(qiáng)網(wǎng)絡(luò)監(jiān)管兩手都要硬，如沒有硬件投入，巧婦也難為無米之炊；如疏于管理，再強(qiáng)的硬件設(shè)備也解決不了信息化安全問題。

3 結(jié)語

綜合上文內(nèi)容，我們可以得知在信息時代下，醫(yī)院要加強(qiáng)數(shù)字化信息安全建設(shè)，保障患者私人信息不被泄露，杜絕發(fā)生信息詐騙問題的發(fā)生。進(jìn)入21世紀(jì)后人類信息呈爆炸式增長，各種信息技術(shù)形式和相關(guān)人才數(shù)量快速增長，部分不法分子為了滿足自己的私欲，通過自己學(xué)習(xí)到的網(wǎng)絡(luò)技術(shù)，破壞、盜取醫(yī)院醫(yī)療信息這不僅是一種違法行為，也是缺乏道德品德的行為。為了能夠應(yīng)對外界因素的挑戰(zhàn)，醫(yī)院網(wǎng)絡(luò)管理人員需要嚴(yán)控網(wǎng)絡(luò)安全性，向醫(yī)院申請更多建設(shè)資金，采購更為先進(jìn)的醫(yī)療網(wǎng)絡(luò)硬件設(shè)備，并完善醫(yī)院網(wǎng)絡(luò)管理結(jié)構(gòu)，加強(qiáng)醫(yī)院人員網(wǎng)絡(luò)安全管理意識，最終保障醫(yī)院醫(yī)療信息安全性。

[1]張榮和. 現(xiàn)代數(shù)字化時代下醫(yī)院網(wǎng)絡(luò)信息化管理的策略與方法探析[J]. 醫(yī)學(xué)研究，2020，002（002）：101-101.

[2]張勇豪. 信息安全管理的建設(shè)在醫(yī)院信息化建設(shè)中的作用分析[J]. 數(shù)字化用戶，2019，025（010）：155，157.

[3]孫震，王夢瑩，賈末，等. 5G技術(shù)在醫(yī)療領(lǐng)域中的應(yīng)用探討[J]. 中華醫(yī)院管理雜志，2020，36（07）：589-591.

[4]莊洪杰. 數(shù)字化醫(yī)院計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全及應(yīng)對策略分析[J]. 數(shù)字通信世界，2019，178（10）：168-168.

[5]孫劍，魯一鳴. 淺析數(shù)字化醫(yī)院計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全及對策[J]. 科技經(jīng)濟(jì)導(dǎo)刊，2019，692（30）：35-35.

[6]蓋淑花. 數(shù)字化醫(yī)院計算機(jī)信息網(wǎng)絡(luò)系統(tǒng)安全與應(yīng)對措施[J]. 科技創(chuàng)新導(dǎo)報，2019，504（36）：125+127.

[7]王康華. 基于計算機(jī)網(wǎng)絡(luò)技術(shù)的計算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略[J]. 數(shù)字化用戶，2019，025（020）：72.

[8]劉程皓，李筱倩. 醫(yī)院信息化建設(shè)中計算機(jī)網(wǎng)絡(luò)安全管理與維護(hù)淺析[J]. 數(shù)字化用戶，2019，025（017）：62.