醫院網絡安全防御體系的構建策略研究

　　摘 要：隨著計算機網絡技術的迅速發展，醫院網絡體系為廣大就醫患者提供了非常大的便利，醫院網絡體系在為醫療工作帶來巨大便利的同時也對醫院信息安全防御工作提出更高要求。文章從醫院信息安全的角度出發，分析現代醫院網絡信息安全所面臨的問題和現狀，重點論述醫院網絡安全防御體系應該如何構建。

　　關鍵詞：醫院;網絡信息安全;防御體系;構建策略

　　《信息網絡》(月刊)創刊于2002年，是由信息產業部主管、中國電信集團公司主辦的公開發行的綜合性行業期刊。

　　1 醫院網絡信息化建設

　　醫院網絡信息化建設經過了很長時間的發展，信息化管理化系統包括醫院信息系統(Hospital Information System， HIS)、實驗室信息管理系統(Laboratory Information Management System，LIS)、影像歸檔和通信系統(Picture Archiving and Communication Systems，PACS)等，都日益成熟，“互聯網+醫療”時代已經來臨。信息化的發展使得醫院信息安全越來越重要，如果網絡出現安全問題，容易導致醫院工作無法正常運轉、醫院就診等信息泄露，使得病人隱私資料被外泄，影響社會的安定和團結，不利于和諧社會的建設。文章將從醫院網絡安全防御體系的構建策略角度來談談如何保障醫院信息的安全。

　　2 醫院網絡信息安全概括

　　信息化管理是現代醫院辦公的重要手段，醫院信息安全的建設勢在必行。信息安全主要包括以下幾種類型：(1)硬件安全。主要指的是醫院的設備安全，如醫院中心機房的交換機、存儲器、服務器等。要保證這些硬件設備保持在一定的溫度、濕度條件下，而且機房環境要求絕對干凈、防塵，并按照相關要求安裝防雷、防靜電設備等。(2)網絡安全。醫院相關信息需要通過網絡來進行傳輸，所以要保障信息安全就要保障醫院的網絡安全。要從醫院的日常業務入手，保障網絡24 h運行，加強對于醫院網絡設備的維護和維修、安裝相關的監控，實行內網和外網分開等，阻止病毒、木馬或人為入侵和攻擊。(3)數據庫安全。指的是系統運行不受非法入侵和威脅，同時保障數據資料的完整。要保證數據具有完整性、安全性和獨立性，當出現數據安全受到威脅就會導致系統安全受到威脅，使得數據信息外泄。

　　3 醫院網絡信息安全所面臨的挑戰問題

　　醫院網絡信息安全面臨著很多問題和挑戰，具體包括以下幾個方面。

　　3.1 醫院網絡信息安全管理不規范，工作人員認識不到位

　　現在很多醫院對于網絡安全防御的認識程度不夠，導致很多醫院工作人員沒有形成信息安全防護意識。基于醫院工作的特殊性，對于醫院信息安全防御有著極高的要求，但是在實際的日常工作中，很多醫院僅通過購買相關網絡安全產品來實現醫院網絡安全的防御，缺乏中長期的網絡安全防御規劃和策略，沒有制定完整的網絡安全防御體系制度，或者制定后只是一紙空文沒有督促執行，對于企業員工沒有從根本上改變其安全意識和思維。網絡安全的培訓、咨詢等手段的缺乏，使得醫院工作人員操作不當，存在資源濫用和惡意傳播的現象，不能嚴格遵守醫院內部關于醫院網絡信息安全的相關規定，導致網絡安全問題頻出，而且在出現網絡安全事故后沒有因地制宜地及時采取相關的止損措施，使得網絡安全事故所造成的損失更加嚴重。因此加強醫院網絡安全防御規劃、加強對于醫院員工的信息安全教育的意義十分重大，應該予以高度重視。

　　3.2 網絡自身和醫院硬件設備管理存在缺陷

　　網絡本身的共享性和開放性使得網絡信息在傳遞過程中存在一些安全隱患問題，再加上在傳輸和使用過程中缺乏相應的安全機制，如果不加限制，相關信息可以隨時、隨地被訪問和預覽。再加上互聯網在設計時沒有考慮自身的安全性，因此，給后期的實現和維護埋下了極大的安全隱患和漏洞。醫院在硬件設備管理方面投入的人力和物力不足，對于醫院工作環境的控制和后期維護不到位，較先進的醫院網絡信息維護設備的引入費用較高，維護管理工作量大，導致醫院硬件設備有所損害，危害了醫院網絡安全，導致醫院網絡安全事故較多，影響了醫院的正常工作。

　　3.3 醫院網絡信息安全防御技術有待完善

　　醫院信息安全防御技術不成熟，使得醫院在工作中引入的軟件都存在設計上的漏洞或者“后門”的現象，各類病毒可以通過這些漏洞或后門來對醫院數據信息進行竊取，使得醫院信息安全處于無防御狀態。即使在現代醫院網絡安全防御體系的構建中，引入了很多的信息安全措施和產品，但是相關的產品之間卻不能“互通有無”，往往各自為戰，使得不同的產品之間配合出現漏洞或者盲區，各大防御產品之間存在功能重復的現象，沒有形成全面協調效應，導致信息安全孤島現象出現，嚴重掣肘了醫院網絡安全防御體系的構建。因此應該加強醫院信息安全防御，構建全面且動態的醫院網絡安全防御體系。

　　4 醫院網絡安全防御體系的構建策略

　　4.1 建立完善的網絡信息安全制度，加強員工信息安全培訓

　　要構建醫院網絡安全防御體系，就要建立一套完整的網絡安全相關制度，加強對于醫院內部的信息安全管理。首先，加強設備加密的管理和密鑰管理，對于一些非法用戶也就是黑客或間諜的入侵，通過設備的加密和密鑰的管理等方式來提高主機系統自身的安全性。其次，對于一些合法用戶包括企業員工可以采用授權訪問的方式，使得每一位員工的訪問權限和訪問資源受到控制。加強對于相關密碼和密鑰的管理，明確不同職位員工的相關職責，采用動態密碼的形式，提高密碼的破解難度，并進行定期的修改。再次，加強對于醫院員工的信息安全的培訓，使得每一個普通員工都能夠樹立起安全防護的意識，真正將網絡安全防御工作當成是每一位普通員工都應該遵守的職責，并積極參與到醫院網絡安全防御體系的構建中來。最后，還可以建立一個專門的信息安全管理小組，統一領導并指揮醫院的網絡安全防御體系的構建，一旦發生信息安全事故，就能夠積極統一指揮，加強了各個部門之間的相互配合，將相關損失降低到最小。