公務(wù)員期刊網(wǎng) 論文中心 正文

醫(yī)院信息化建設(shè)網(wǎng)絡(luò)安全管理與防護(hù)

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了醫(yī)院信息化建設(shè)網(wǎng)絡(luò)安全管理與防護(hù)范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

醫(yī)院信息化建設(shè)網(wǎng)絡(luò)安全管理與防護(hù)

摘要:文章簡(jiǎn)要闡述了當(dāng)前我國(guó)醫(yī)院網(wǎng)絡(luò)安全的現(xiàn)狀,在此基礎(chǔ)上,分析了互聯(lián)網(wǎng)時(shí)代醫(yī)院網(wǎng)絡(luò)安全面臨的挑戰(zhàn),并就新形勢(shì)下醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)措施進(jìn)行了探討。

關(guān)鍵詞:醫(yī)院信息化建設(shè);網(wǎng)絡(luò)安全管理;安全防護(hù)

引言

近年來(lái),我國(guó)醫(yī)院信息化建設(shè)取得了飛速的發(fā)展,尤其是在“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的推動(dòng)下,醫(yī)院信息化建設(shè)正朝著網(wǎng)絡(luò)化、數(shù)據(jù)化、智能化方向不斷邁進(jìn),信息化建設(shè)正成為醫(yī)院現(xiàn)代化發(fā)展的重要支撐,推動(dòng)著醫(yī)療服務(wù)向更加人性化、更加智能化、智能化的方向發(fā)展。在我國(guó)醫(yī)院信息化建設(shè)取得豐碩成果的同時(shí),醫(yī)院醫(yī)療信息安全問(wèn)題也面臨著新的安全風(fēng)險(xiǎn)和挑戰(zhàn),網(wǎng)絡(luò)安全管理和防護(hù)正成為醫(yī)院信息化建設(shè)中至關(guān)重要的組成部分,某種程度上甚至關(guān)系到醫(yī)院信息化建設(shè)的成敗。根據(jù)相關(guān)統(tǒng)計(jì)結(jié)果,目前各類信息化系統(tǒng)的安全漏洞數(shù)量每年都有較大范圍的增長(zhǎng),2017年的數(shù)量同比增長(zhǎng)了47%,2018年同比增長(zhǎng)了40%,截至2019年12月,國(guó)家信息安全漏洞共享平臺(tái)收集整理信息系統(tǒng)安全漏洞16193個(gè),較2018年(14201個(gè))增長(zhǎng)14.0%。windows是各類信息化系統(tǒng)中應(yīng)用最多的系統(tǒng)平臺(tái),同時(shí)也是被不法之徒們重點(diǎn)關(guān)注的對(duì)象。針對(duì)windows系統(tǒng)安全漏洞的各類病毒的大范圍傳播對(duì)醫(yī)院信息化系統(tǒng)的網(wǎng)絡(luò)安全造成了重大威脅。如何在醫(yī)院信息化建設(shè)過(guò)程中,既充分發(fā)揮信息化系統(tǒng)的優(yōu)勢(shì)特點(diǎn),服務(wù)于醫(yī)院各項(xiàng)業(yè)務(wù)開(kāi)展,又能夠有效保障系統(tǒng)的信息安全,成為當(dāng)前醫(yī)院信息化建設(shè)的重要課題。

1醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀

隨著我國(guó)醫(yī)院信息化建設(shè)進(jìn)程的不斷加快,各級(jí)醫(yī)院對(duì)各類信息系統(tǒng)的依賴程度也不斷加深,與此同時(shí),網(wǎng)絡(luò)安全問(wèn)題也日益突顯。就目前而言,我國(guó)醫(yī)療系統(tǒng)的網(wǎng)絡(luò)安全現(xiàn)狀大致表現(xiàn)在以下幾個(gè)方面,一是網(wǎng)絡(luò)安全組織機(jī)構(gòu)建設(shè);二是日常信息安全管理制度建設(shè)與落實(shí);三是應(yīng)急管理工作的開(kāi)展情況;四是網(wǎng)絡(luò)信息安全保障投入情況;五是信息安全事件及應(yīng)對(duì)。在網(wǎng)絡(luò)安全組織機(jī)構(gòu)建設(shè)方面,我國(guó)醫(yī)院大多都建立了以院級(jí)領(lǐng)導(dǎo)分管的醫(yī)院信息化建設(shè)管理部門,但設(shè)立專門的網(wǎng)絡(luò)安全管理部門及專職網(wǎng)絡(luò)安全管理人員的醫(yī)院并不多,通常是由醫(yī)院信息科來(lái)負(fù)責(zé)相關(guān)工作。此外,大多數(shù)醫(yī)院并沒(méi)有明確的網(wǎng)絡(luò)信息安全體系建設(shè)規(guī)劃,即便一些有這樣的規(guī)劃,在具體實(shí)施方面,落實(shí)情況也并不理想。在此方面,二級(jí)醫(yī)院同樣落后于三級(jí)醫(yī)院。在日常網(wǎng)絡(luò)信息安全管理制度建設(shè)方面,各級(jí)醫(yī)院都建立了信息化管理方面的制度,但也有一些在網(wǎng)絡(luò)信息安全方面不夠重視,沒(méi)有建立完善的信息系統(tǒng)安全管理制度,相較于信息化系統(tǒng)的安全管理制度,醫(yī)院對(duì)數(shù)據(jù)安全管理制度方面更為積極。在應(yīng)急管理工作的開(kāi)展情況方面,多數(shù)醫(yī)院都建立了較為完善的應(yīng)急管理預(yù)案,但開(kāi)展過(guò)應(yīng)急演練的醫(yī)院還是比較少。多數(shù)醫(yī)院都對(duì)信息化系統(tǒng)的數(shù)據(jù)進(jìn)行了安全備份,但在內(nèi)、外部技術(shù)支援建立方面不盡如人意,在很大程度上影響了醫(yī)院的應(yīng)急管理工作的實(shí)際效率。在網(wǎng)絡(luò)信息安全保障投入方面,雖然我國(guó)很多醫(yī)院對(duì)于信息化系統(tǒng)的建設(shè)都比較重視,在經(jīng)費(fèi)投入方面都具有明確的預(yù)算,但對(duì)于網(wǎng)絡(luò)信息安全保障投入方面的卻差強(qiáng)人意,很多醫(yī)院的網(wǎng)絡(luò)信息安全保障經(jīng)費(fèi)預(yù)算在整個(gè)信息化建設(shè)經(jīng)費(fèi)投入中的占比不足5%,很多醫(yī)院在信息化系統(tǒng)新建、改建、擴(kuò)建過(guò)程中,沒(méi)有將網(wǎng)絡(luò)信息安全防護(hù)措施同步設(shè)計(jì)、同步建設(shè)及同步使用,新建信息化系統(tǒng)項(xiàng)目中不少醫(yī)院都沒(méi)有將網(wǎng)絡(luò)信息安全納入技術(shù)方案審核。在網(wǎng)絡(luò)信息安全事件和應(yīng)對(duì)情況方面,80%以上的醫(yī)院都發(fā)生過(guò)病毒感染、木馬以及內(nèi)部人員濫用網(wǎng)絡(luò)端口和系統(tǒng)資源等網(wǎng)絡(luò)安全事件,由此造成的數(shù)據(jù)丟失、系統(tǒng)崩潰、網(wǎng)絡(luò)無(wú)法使用等事件多有發(fā)生。一般醫(yī)院具備一定的網(wǎng)絡(luò)信息安全事件應(yīng)對(duì)能力,但發(fā)現(xiàn)手段單一、應(yīng)對(duì)能力與不足,多數(shù)情況下,需要請(qǐng)網(wǎng)絡(luò)安全服務(wù)單位及網(wǎng)絡(luò)開(kāi)發(fā)維護(hù)單位協(xié)助解決??偟膩?lái)說(shuō),我國(guó)醫(yī)院網(wǎng)絡(luò)信息安全現(xiàn)狀并不很理想,與醫(yī)院信息化系統(tǒng)建設(shè)的發(fā)展速度相比較,網(wǎng)絡(luò)信息安全管理與防護(hù)工作明顯滯后,整體上亟待加強(qiáng)。

2互聯(lián)網(wǎng)時(shí)代醫(yī)院網(wǎng)絡(luò)安全面臨的挑戰(zhàn)

2.1安全防護(hù)體系變革

我國(guó)醫(yī)院的信息化系統(tǒng)建設(shè),多數(shù)采用的封閉式的物理隔離、內(nèi)部獨(dú)立的網(wǎng)絡(luò)架構(gòu),這種傳統(tǒng)的信息體系架構(gòu),有利于醫(yī)院信息化系統(tǒng)的穩(wěn)定運(yùn)行,能夠有效降低醫(yī)院信息化系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),在數(shù)據(jù)安全方面也具有較強(qiáng)的優(yōu)勢(shì),可以確保關(guān)鍵醫(yī)療數(shù)據(jù)如電子病歷等的產(chǎn)生、傳輸、存儲(chǔ)、運(yùn)用等均被限制在醫(yī)院內(nèi)網(wǎng),網(wǎng)絡(luò)安全管理與防護(hù)的重點(diǎn)也是在醫(yī)院內(nèi)部網(wǎng)絡(luò),較少涉及外網(wǎng)的安全管理與防護(hù)。近年來(lái),隨著互聯(lián)網(wǎng)技術(shù)在醫(yī)院信息化系統(tǒng)建設(shè)中的應(yīng)用,尤其是移動(dòng)醫(yī)療、遠(yuǎn)程會(huì)診等醫(yī)療新業(yè)務(wù)的快速發(fā)展,醫(yī)療數(shù)據(jù)的互聯(lián)互通正逐步推動(dòng)醫(yī)院信息化系統(tǒng)從封閉的網(wǎng)絡(luò)架構(gòu)向開(kāi)放式的網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)變,醫(yī)院內(nèi)網(wǎng)、外網(wǎng)的邊界正日益模糊,傳統(tǒng)的基于封閉式網(wǎng)絡(luò)的安全管理與防護(hù)手段已經(jīng)難以適應(yīng)新的網(wǎng)絡(luò)安全形勢(shì)。

2.2醫(yī)療數(shù)據(jù)安全保護(hù)

我國(guó)醫(yī)院信息化建設(shè)經(jīng)過(guò)十幾年的發(fā)展,目前已經(jīng)從單一的收費(fèi)系統(tǒng)拓展到了醫(yī)院各個(gè)業(yè)務(wù)部門,數(shù)據(jù)中心建設(shè)正成為現(xiàn)階段我國(guó)醫(yī)院信息化建設(shè)的重要方向。在此形式下,醫(yī)療數(shù)據(jù)的安全保護(hù)成為醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)的重要工作內(nèi)容,尤其是患者醫(yī)療數(shù)據(jù)隱私性保護(hù)的重要程度日益突顯,對(duì)醫(yī)院網(wǎng)絡(luò)信息安全管理和防護(hù)工作提出了挑戰(zhàn)。患者醫(yī)療數(shù)據(jù)覆蓋門診、住院、檢驗(yàn)、檢查等各個(gè)環(huán)節(jié),日趨立體化,特別是隨著互聯(lián)網(wǎng)技術(shù)在醫(yī)療行業(yè)的逐步滲透,移動(dòng)醫(yī)療、可穿戴設(shè)備在醫(yī)院的大量應(yīng)用,醫(yī)院的醫(yī)療數(shù)據(jù)傳輸已經(jīng)遠(yuǎn)遠(yuǎn)超出了醫(yī)院內(nèi)部范圍,傳輸方式、路徑更為多樣,這無(wú)疑對(duì)醫(yī)院患者醫(yī)療數(shù)據(jù)的保護(hù)形成了新的挑戰(zhàn),增加了保護(hù)的難度。而鑒于患者醫(yī)療數(shù)據(jù)的私密性,一旦發(fā)生數(shù)據(jù)泄露,往往會(huì)對(duì)醫(yī)院及患者本人造成難以預(yù)料的后果,其嚴(yán)重性難以忽視。

2.3網(wǎng)絡(luò)安全防護(hù)能力

醫(yī)院網(wǎng)絡(luò)安全防護(hù)能力的挑戰(zhàn)主要表現(xiàn)為醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)專業(yè)人才的匱乏,這已經(jīng)成為當(dāng)前我國(guó)醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)工作開(kāi)展的關(guān)鍵問(wèn)題、瓶頸問(wèn)題。專業(yè)的醫(yī)院網(wǎng)絡(luò)安全管理人才屬于復(fù)合型人才,不僅要熟練掌握信息安全技術(shù)、網(wǎng)絡(luò)安全技術(shù),還要具備一定的醫(yī)療行業(yè)知識(shí)與經(jīng)驗(yàn)。我國(guó)目前醫(yī)院的網(wǎng)絡(luò)信息安全人員,專業(yè)背景大多為計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)信息安全技術(shù),真正兼具醫(yī)療行業(yè)專業(yè)知識(shí)的鳳毛麟角。但即便是這種單一的技術(shù)人才,在整個(gè)醫(yī)療行業(yè)也十分匱乏,尤其是網(wǎng)絡(luò)安全管理人才,是目前各行各業(yè)都在爭(zhēng)奪的熱門人才,市場(chǎng)需求極為旺盛,人才缺口巨大,這無(wú)疑為醫(yī)院網(wǎng)絡(luò)信息安全管理人才的引進(jìn)、吸收帶來(lái)了巨大的挑戰(zhàn)。

2.4網(wǎng)絡(luò)安全事件應(yīng)對(duì)

隨著我國(guó)醫(yī)院信息化建設(shè)的快速發(fā)展,醫(yī)院各項(xiàng)業(yè)務(wù)的開(kāi)展日趨網(wǎng)絡(luò)化、數(shù)字化,這使得網(wǎng)絡(luò)安全事件發(fā)生的概率急增。而一旦發(fā)生網(wǎng)絡(luò)安全事件,一般醫(yī)護(hù)人員往往會(huì)措手不及,網(wǎng)絡(luò)安全事件應(yīng)對(duì)能力的提高正成為醫(yī)院信息化建設(shè)亟待解決的問(wèn)題之一。

3新形勢(shì)下醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)措施

3.1延伸醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)的范圍

隨著醫(yī)院信息化系統(tǒng)建設(shè)逐步從封閉的內(nèi)網(wǎng)向開(kāi)放的外網(wǎng)發(fā)展,醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)工作的重點(diǎn)也應(yīng)從內(nèi)網(wǎng)向互聯(lián)網(wǎng)拓展,即延伸醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)的范圍。具體來(lái)說(shuō),應(yīng)通過(guò)防病毒、網(wǎng)絡(luò)入侵監(jiān)控、建立DMZ區(qū)等手段加強(qiáng)醫(yī)院內(nèi)外網(wǎng)邊界的網(wǎng)絡(luò)安全防護(hù),在網(wǎng)絡(luò)出口和重要的安全域出口加強(qiáng)網(wǎng)絡(luò)隔離和控制,保證外部黑客或非法人員不能通過(guò)安全防御系統(tǒng)的“大門”。

3.2規(guī)范醫(yī)療數(shù)據(jù)管理

從管理層面來(lái)說(shuō),規(guī)范醫(yī)院的醫(yī)療數(shù)據(jù)管理,首先應(yīng)明確醫(yī)院各業(yè)務(wù)部門的職責(zé),根據(jù)各業(yè)務(wù)部門職責(zé)范圍來(lái)確定其對(duì)醫(yī)療數(shù)據(jù)訪問(wèn)、使用的權(quán)限,進(jìn)而建立完善的符合醫(yī)院工作實(shí)際的醫(yī)療數(shù)據(jù)管理規(guī)范。從技術(shù)層面來(lái)說(shuō),數(shù)據(jù)中心建設(shè)是當(dāng)前醫(yī)院信息化建設(shè)的主要內(nèi)容,醫(yī)院應(yīng)根據(jù)數(shù)據(jù)中心建設(shè)整體規(guī)劃,從醫(yī)院科研、臨床醫(yī)療、患者服務(wù)等業(yè)務(wù)系統(tǒng)中將數(shù)據(jù)信息的收集、整理、存儲(chǔ)等工作分離出來(lái)進(jìn)行集中統(tǒng)一管理,多級(jí)數(shù)據(jù)中心的建立可以有效實(shí)現(xiàn)醫(yī)療數(shù)據(jù)信息的高等級(jí)統(tǒng)一防護(hù),既可以保障數(shù)據(jù)信息的安全,同時(shí)也可以有效減少安全保障經(jīng)費(fèi)的投入。此外,對(duì)醫(yī)療數(shù)據(jù)進(jìn)行統(tǒng)一集中管理,運(yùn)用大數(shù)據(jù)技術(shù),可以對(duì)大量結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)信息進(jìn)行分析處理,從中挖掘、提取有價(jià)值的醫(yī)療信息,使醫(yī)療數(shù)據(jù)真正成為醫(yī)院的信息資產(chǎn)。

3.3加強(qiáng)安全防護(hù)能力

加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全防護(hù)能力,至為關(guān)鍵的工作是要加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)。網(wǎng)絡(luò)安全人員作為醫(yī)院網(wǎng)絡(luò)安全防護(hù)工作的責(zé)任主體,其工作能力、專業(yè)素質(zhì)、責(zé)任意識(shí)等對(duì)醫(yī)院網(wǎng)絡(luò)安全防護(hù)工作的成效至關(guān)重要。加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè),應(yīng)從引進(jìn)吸收高素質(zhì)人才和培養(yǎng)具有醫(yī)療行業(yè)信息安全管理特點(diǎn)的人員兩方面著手。在網(wǎng)絡(luò)安全管理人才市場(chǎng)競(jìng)爭(zhēng)激烈的背景下,醫(yī)院應(yīng)在崗位設(shè)置、福利待遇、職位晉升等方面提高對(duì)人才的吸引力,盡可能吸納高素質(zhì)優(yōu)秀人才進(jìn)入;在人員培養(yǎng)方面,可以加強(qiáng)與專業(yè)網(wǎng)絡(luò)安全機(jī)構(gòu)的合作,一方面可以借助網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)的技術(shù)積淀來(lái)培養(yǎng)醫(yī)院網(wǎng)絡(luò)安全管理人才,另一方面也可以增強(qiáng)醫(yī)院網(wǎng)絡(luò)安全防護(hù)的外部救援力量,如此一舉兩得,可以有效加強(qiáng)醫(yī)院的網(wǎng)絡(luò)安全防護(hù)能力。

3.4制定切實(shí)可行的應(yīng)急預(yù)案

網(wǎng)絡(luò)安全事件具有突發(fā)性、難以有效預(yù)測(cè)的特點(diǎn),一旦發(fā)生,往往會(huì)在短時(shí)間內(nèi)對(duì)醫(yī)院的正常工作造成重要影響。因此,制定切實(shí)可行的應(yīng)急預(yù)案,是醫(yī)院網(wǎng)絡(luò)安全管理的重要內(nèi)容。應(yīng)急預(yù)案的制定需要根據(jù)醫(yī)院網(wǎng)絡(luò)安全事件發(fā)生的可能性、影響范圍、造成的后果等因素來(lái)進(jìn)行,預(yù)案應(yīng)明確醫(yī)院各業(yè)務(wù)部門在安全事件發(fā)生時(shí)的具體應(yīng)對(duì)策略、措施以及指揮人員,尤其是臨床醫(yī)療與患者服務(wù)部門,應(yīng)根據(jù)實(shí)際情況進(jìn)行針對(duì)性的應(yīng)急流程設(shè)計(jì),確保在安全事件發(fā)生時(shí)能夠?yàn)榫唧w的應(yīng)對(duì)提供依據(jù)。

參考文獻(xiàn):

[1]韋力,段沁,劉志偉.互聯(lián)網(wǎng)時(shí)代醫(yī)院網(wǎng)絡(luò)安全管理綜述[J].信息網(wǎng)絡(luò)安全,2019(12):88-92.

[2]盧長(zhǎng)偉,趙浩宇,李景波.醫(yī)院網(wǎng)絡(luò)安全管理方案與措施[J].中國(guó)醫(yī)院管理,2017,37(02):56-57.

[3]王麗.新形勢(shì)下醫(yī)院信息安全所面臨的挑戰(zhàn)與對(duì)策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(01):192-193.

作者:周凱 單位:江蘇省人民醫(yī)院浦口分院