【摘要】在医疗领域,医院信息化建设不断加强,医院工作整体效率大大提高,相应的病人体验得到优化。从医生到病人,医院的整体工作比以前更 加依赖信息系统,这种技术环境决定了一旦医疗信息系统发生故障或受到攻击,医院的整个工作可能陷入瘫痪,甚至给患者带来生命威胁。为此,医院信息安全体系建设尤为重要,本文对现代化医院信息安全体系构建进行分析,并探讨其具体应用。
【关键词】现代化;医院;信息安全体系
随着信息网络规模的不断扩大,医院在医疗和医疗管理中越来越依赖信息系统。自网络诞生以来,信息安全一直是困扰网络建设者和用户的难题, 随着网络的普及和新网络技术的发展,网络信息安全已成为网络社会的一个关键问题。医院信息系统一旦投入运行,其数据安全性就成为系统能否继续正常运行的关键,医院信息系统所承载的信息和服务安全越来越重要。
1.医院信息安全现状
传统的医院信息基础平台是烟囱式架构,应用系统软件是和硬件资源捆绑起来建设的,各自运行着医院信息系统、检验信息系统、医学影像存储与传输系统等应用系统。由于每个应用系统都由各自的服务器单独提供服务,硬件资源利用率低,系统运行可用性不高,数据存放较为分散,数据保护可靠性差。网络核心及汇聚层交换机往往采取的是主备模式,故障处理响应时间较长。而网络安全防护措施相对薄弱,容易受到病毒和恶意软件的入侵,造成网络局部或整体故障。有些医院的容灾策略异常复杂,应急计划缺乏演练,往往不具有可执行性。
随着信息技术的高速发展,技术分工越来越细,要求越来越高。但由于编制数量、用人制度、成本控制、人员待遇等原因,医院往往缺乏高端信息人才,医院信息专业人力资源普遍较为紧张。并且在医院这个并不专注于信息技术的相对封闭的环境内,信息人员往往很难跟上行业发展的脚步。在信息网络运行维护管理过程中,由于技术、人员和制度等跟不上,还存在问题得不到及时处理解决的现象。
因此,为确保医院信息网络正常运行,我们必须对信息安全实行规范化、制度化管理,加强信息安全保障工作。应从技术、人员、制度等方面进行安全体系建设,建立完善的、多级的、体系的医院信息网络安全平台,确保医院信息网络的安全,使医院的运营和管理少受或不受非正常因素的干扰,按医院既定目标和方式运营。
3.医院信息安全体系的构建与实现
3.1软硬件设施配置
3.1.1机房工作环境及设备管理
医院机房布局合理,工作环境满足防水、防火、防盗、防雷及防磁标准,室温及湿度符合机房合理工作标准,机房电源系统采用双电源并配备高性能UPS一台,保证机房在断电情况下,各硬件设备稳定工作4h,同时,将服务器价值进行分类管理,保证机房硬件设备安全。
3.1.2软件的安全管理
医院所有软件均使用正版软件,这不仅避免了常规知识产权的法律风险,也是系统安全的最基本的保障,医院信息部门建立补丁服务器,定期更新医院软件补丁,并为每工作站使用系统备份,保证信息系统软件的正常运行。
3.2信息系统网络安全
网络安全是整个信息系统安全的前提,它能保护系统不受到通过合法访问进行的攻击或通过网络实施的攻击。医院采用核心层、汇聚层、接入层的三层网络架构,以两台模块化三层交换机为数据通信交换核心,提供给各个位置稳定安全的网络接入能力(医院的网络拓扑如图2所示)。网络安全的重点是网络边界的安全防护,特别是医院内外网的交接处。
医院内外网采取物理隔离的策略,在网络边界采用高性能防火墙、IPS、安全网关及安全隔离网闸达到到物理隔离逻辑相连的效果,实现内外网数据交互,同时,采用融信网络安全管理卫士,断开各个客户端USB接口、光驱接口、网络接口的连接,从而保障了网络安全。
3.3数据库的安全管理
医院各个数据信息不仅涉及患者的基本信息、病情诊断等,还涉及患者的身份信息、医疗保障卡信息等,一旦泄露,社会危害大。因此,对数据的安全性、机密性有着较高的要求。医院通过数据库逻辑映像为客户端提供安全、透明的数据服务。通过高效的虚拟化平台,实现与硬件的深度优化。医院通过SAN存储架构,采用存储热迁移技术,减少设备故障时间,保障医疗业务运行的连续性。对于数据库的访问控制则通过访问的策略设置,避免信息系统被非法使用与访问,医院信息系统为接入用户提供不同业务权限,包括医生、药师、医技人员、系统管理员等多种角色,相关人员必须通过权限认证才能访问数据库。对于开发运维人员,只允许其在指定IP的终端上通过个人授权账户登录数据库,不允许匿名操作数据库,对于核心数据库访问则采用双人双管模式,每个各记录一段密码,使用时必须双人在场,从而保证数据库访问安全。通过手机APP及第三方系统与医院信息系统进行交互时,则采用PKI数据加密机制保证数据传输的安全。病人就诊时,系统随机为患者分配独立的就诊号,提交内网系统处理后,再对就诊人员信息进行二次处理,移动端只展示同步诊信息及预约信息,确保患者信息的安全。容灾备份是医院信息系统的最后一道防线。
医院采用CDP数据保护和云存储备份方案。本地数据实时传输到异地容灾存储中,同时,通过网络专线,定期将高强度数据加密的医疗数据上传至云存储。服务器访问本地存储和容灾存储,从而实现服务器、数据链路和存储的冗余,当发生存储故障时可及时挂载容灾存储并进行系统切换,而云存储备份加强了保障。
3.4人员管理
人员管理是安全管理工作的重中之重。定人、定岗、定责是防范信息安全风险的有效手段,医院设计、建立并完善医院的安全管理制度及应急预案,加强培训教育及应急演练,在建立完善互联网医院安全责任制的同时,将安全策略制度化,对医院及时控制并最大程度减轻技术故障和突发事件的危害提供了准则,特别是网络阻塞、病毒感染、服务器宕机等,通过相应的技术应急预案,不仅检验了医院信息系统的安全可靠性,也提高了应急处置的能力。
3.5完善信息安全管理制度
目前我们主要完成以下几点:(1)加强用户密码管理系统建设。系统管理员和数据库管理员,分别有自己的密码,从而明确各自责任。对于普通密码要提醒用户定期进行修改。(2)数据备份和恢复。每日检查备份日志,确保本地和远程的数据备份顺利实施。信息系统要定期进行紧急锻炼,特殊情况要手动处理完成,确保医疗过程不中断。(3)针对医院的控制终端设备进行监控,根据医院现有的终端访问需求,做以下安全部门:a.内网终端:是指医院仅内部用户访问内部应用程序系统;b.外网终端:是指医院在几个用户只能访问互联网,可以通过身份验证和访问政策限制,不允许其访问内部网;c.终端内部和外部网络共享终端:主要针对医院领导和部门的信息用户,访问内部网和互联网应用系统,严格定义这样的用户终端的安全需求,需要由信息部门认证权限后才可以访问网络。
4.结束语
医院信息安全体系建设是一个庞大的复杂的系统工程,必须整体规划,分步实施,采用多种技术手段和现代管理手段才能全方位的抵御来自网络内外的威胁。南苑医院结合自身情况,制定并严格实施了一系列的安全策略,达到了预期的效果,显著提高了医院的信息安全水平;但是由于投入资金不足等问题,本文提及的策略并没有被完全实施。随着信息技术的发展,信息安全问题越来越突出;医院信息安全问题也将是一项长期的任务和工作,需要与时俱进,不断研究。
【参考文献】
[1]杨思宇.大数据背景下的信息管理与信息系统专业建设探讨[J].科技风,2020(12):111.
[2]袁波.大型医院网络安全防护体系的架构[J].网络安全技术与应用,2020(04):128-129.
[3]穆志英,袁丽峰.大数据背景下医院信息管理系统的建设问题研究[J].中国新通信,2020,22(05):85.