前言：本站為你精心整理了互聯(lián)網(wǎng)新形勢(shì)下醫(yī)院信息安全探究范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：信息安全是醫(yī)療機(jī)構(gòu)的頭等大事，近年來醫(yī)院信息化建設(shè)的發(fā)展出現(xiàn)了新形勢(shì)，新舉措，但也為醫(yī)院的信息安全工作帶來的新挑戰(zhàn)，本文將探討在當(dāng)今互聯(lián)網(wǎng)新形勢(shì)下，醫(yī)院的信息安全方面所面臨的風(fēng)險(xiǎn)以及相應(yīng)的應(yīng)對(duì)措施。關(guān)鍵詞：醫(yī)院信息化；互聯(lián)網(wǎng)醫(yī)療；信息安全近年來，醫(yī)療行業(yè)信息化建設(shè)迅猛發(fā)展，國(guó)家醫(yī)政管理部門在2018年到2021年發(fā)布了《醫(yī)院智慧服務(wù)分級(jí)評(píng)估標(biāo)準(zhǔn)體系》、《國(guó)家醫(yī)療健康信息區(qū)域全民健康信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測(cè)評(píng)方案》、《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法（試行）等3個(gè)文件的通知》、《關(guān)于進(jìn)一步推進(jìn)以電子病歷為核心的醫(yī)療機(jī)構(gòu)信息化建設(shè)工作的通知》等一系列相關(guān)評(píng)價(jià)標(biāo)準(zhǔn)與建設(shè)規(guī)范，指引醫(yī)院開展電子病歷信息化建設(shè)、以及互聯(lián)網(wǎng)醫(yī)院、智慧醫(yī)院、互聯(lián)互通等方面的建設(shè)，醫(yī)院在面對(duì)“互聯(lián)網(wǎng)+醫(yī)療”的環(huán)境下時(shí)，為了提高網(wǎng)絡(luò)安全意識(shí)，排除醫(yī)療信息安全隱患，必須采取有效的防護(hù)措施，建立安全的網(wǎng)絡(luò)架構(gòu)，進(jìn)行多層次，多方面的保護(hù)。本文將探討目前新形勢(shì)下的醫(yī)院信息安全所面臨的問題和網(wǎng)絡(luò)優(yōu)化的實(shí)施策略。

1目前“互聯(lián)網(wǎng)+醫(yī)療”環(huán)境給醫(yī)院的信息安全帶來的新問題

1.1網(wǎng)絡(luò)環(huán)境更加嚴(yán)峻、信息泄露風(fēng)險(xiǎn)加大

互聯(lián)網(wǎng)醫(yī)院、智慧醫(yī)院的建設(shè)將打通醫(yī)院內(nèi)網(wǎng)與互聯(lián)網(wǎng)的通道，通過網(wǎng)絡(luò)提供診療服務(wù)，涉及的患者數(shù)量眾多，需要傳輸許多涉及患者隱私的敏感信息，患者的個(gè)人信息、身份信息都需要通過互聯(lián)網(wǎng)進(jìn)行傳輸，同時(shí)診療過程中的病歷信息、診斷信息、檢驗(yàn)信息、隱私信息也都通過互聯(lián)網(wǎng)進(jìn)行傳輸，存在較大的信息安全和數(shù)據(jù)泄露隱患，給醫(yī)院的信息安全帶來了極大的挑戰(zhàn)。

1.2醫(yī)院信息系統(tǒng)復(fù)雜性增強(qiáng)

醫(yī)院的信息化建設(shè)發(fā)展到今天，信息技術(shù)已經(jīng)與醫(yī)療業(yè)務(wù)深度融合，醫(yī)院信息子系統(tǒng)的數(shù)量龐大，涉及醫(yī)院日常運(yùn)營(yíng)的方方面面。而建設(shè)互聯(lián)網(wǎng)醫(yī)院、智慧醫(yī)院信息系統(tǒng)將在傳統(tǒng)的將互聯(lián)網(wǎng)信息“接進(jìn)來”的模式，變?yōu)椤白叱鋈ァ?，增加了在線復(fù)診、在線處方、檢查預(yù)約、藥品配送等功能，智慧醫(yī)院建設(shè)還要將醫(yī)院的信息系統(tǒng)與物聯(lián)網(wǎng)，管理網(wǎng)等各方面的系統(tǒng)連接起來，這些功能的實(shí)現(xiàn)需要與醫(yī)院內(nèi)部的電子病歷、藥品管理、審方、檢驗(yàn)、檢查等核心業(yè)務(wù)系統(tǒng)進(jìn)行深度融合，導(dǎo)致醫(yī)院信息系統(tǒng)的復(fù)雜度大大增強(qiáng)。

1.3內(nèi)外網(wǎng)邊界模糊化

在傳統(tǒng)醫(yī)院模式下，醫(yī)院信息系統(tǒng)基本屬于信息孤島，內(nèi)部自成一體，與外部系統(tǒng)進(jìn)行物理隔離，信息安全主要依靠物理手段，但在互聯(lián)網(wǎng)新形勢(shì)下，醫(yī)院的信息系統(tǒng)必須要與外界進(jìn)行多方位的打通，包括與醫(yī)保網(wǎng)絡(luò)的互聯(lián)互通，與衛(wèi)健委網(wǎng)絡(luò)的互聯(lián)互通，以及將來要實(shí)現(xiàn)的互聯(lián)網(wǎng)醫(yī)院，智慧物聯(lián)網(wǎng)，智慧服務(wù)與管理網(wǎng)絡(luò)的互聯(lián)互通，這要求必須將信息系統(tǒng)內(nèi)外網(wǎng)的邊界進(jìn)行合理的劃定，在提高醫(yī)療服務(wù)與保障能力的同時(shí)，保障信息安全。

1.4安全管理人才的培育問題

在當(dāng)前互聯(lián)網(wǎng)新形勢(shì)下，醫(yī)院網(wǎng)絡(luò)安全已經(jīng)超越了初級(jí)的信息化、物理化管理，升級(jí)到了數(shù)據(jù)化管理階段。但醫(yī)院安全管理人員在數(shù)據(jù)庫(kù)建設(shè)、數(shù)據(jù)采集、數(shù)據(jù)獲取、數(shù)據(jù)分析、安全設(shè)備操作等方面仍然存在業(yè)務(wù)技能不熟悉的問題。醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)升級(jí)的實(shí)際需求方面看，安全管理人員的培育問題也十分突出。

2新形勢(shì)下醫(yī)院信息安全策略實(shí)施

當(dāng)醫(yī)院實(shí)現(xiàn)從實(shí)體醫(yī)院到“互聯(lián)網(wǎng)+醫(yī)療”的信息化的過渡時(shí)，醫(yī)院的信息安全應(yīng)當(dāng)引起更多的關(guān)注，需要切實(shí)加強(qiáng)各級(jí)醫(yī)療機(jī)構(gòu)的信息安全的頂層設(shè)計(jì)和全局規(guī)劃，努力完善與之配套的管理規(guī)定，共同促進(jìn)互聯(lián)網(wǎng)環(huán)境下醫(yī)院的信息安全防護(hù)工作有序開展，主要包括以下幾個(gè)方面：

2.1完善信息安全管理制度

2019年5月，《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱“等保2.0”）正式發(fā)布，給醫(yī)療行業(yè)帶來了全新的安全規(guī)范和要求。等保2.0新規(guī)相比較等保1.0而言，增加了顯著的新變化和建設(shè)要求，主要體現(xiàn)在以下3個(gè)方面：（1）覆蓋對(duì)象的變化。新規(guī)范中的對(duì)象不僅包含傳統(tǒng)對(duì)象，更與時(shí)俱進(jìn)地添加了新興事物主體，例如大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)等。（2）安全要求的改變，安全擴(kuò)展的邊界更側(cè)重于考慮如大數(shù)據(jù)技術(shù)、互聯(lián)網(wǎng)技術(shù)等便捷性技術(shù)所同步產(chǎn)生的安全隱患。分類結(jié)構(gòu)的變化。等保2.0定義了技術(shù)部分和管理部分兩塊內(nèi)容，技術(shù)部分側(cè)重于物理環(huán)境、通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、計(jì)算方面和整體框架；管理部分則包括管理制度、管理機(jī)構(gòu)、管理人員、建設(shè)跟蹤和持續(xù)運(yùn)維。（3）強(qiáng)調(diào)云端連接安全。醫(yī)院應(yīng)當(dāng)依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，以及等保2.0的新要求，建立完善的信息化安全管理制度，包括系統(tǒng)安全管理制度、信息安全崗位職責(zé)、終端設(shè)備準(zhǔn)入規(guī)范、機(jī)房安全管理制度，數(shù)據(jù)備份管理制度，信息安全管理員操作規(guī)范，操作員權(quán)限管理制度，信息系統(tǒng)安全巡檢制度，信息系統(tǒng)運(yùn)維管理制度，安全管理應(yīng)急預(yù)案等一系列行為規(guī)范，形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理制度，并定期對(duì)安全管理制度進(jìn)行完善。自上而下，管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。醫(yī)院的安全狀況始終維持在穩(wěn)定水平。

2.2配備必要的物理安全設(shè)備

2018年6月，原國(guó)家衛(wèi)生部發(fā)布《關(guān)于進(jìn)一步推進(jìn)以電子病歷為核心的醫(yī)療機(jī)構(gòu)信息化建設(shè)工作的通知》[國(guó)衛(wèi)辦醫(yī)發(fā)〔2018〕20號(hào)]，旨在不斷加強(qiáng)電子病歷信息化建設(shè)，確保電子病歷信息化建設(shè)運(yùn)行安全與安全管控的要求，其中四級(jí)要求具備獨(dú)立的信息機(jī)房，局域網(wǎng)全院聯(lián)通，服務(wù)器部署在獨(dú)立的安全保護(hù)區(qū)域內(nèi)，有相關(guān)的網(wǎng)絡(luò)管理制度。五級(jí)要求樓層機(jī)房、網(wǎng)絡(luò)設(shè)備和配線架要有清晰且正確的標(biāo)識(shí)；根據(jù)不同業(yè)務(wù)劃分獨(dú)立的網(wǎng)絡(luò)區(qū)域，全院重點(diǎn)區(qū)域應(yīng)覆蓋無線局域網(wǎng)，部分醫(yī)療設(shè)備接入院內(nèi)局域網(wǎng)；有配套的安全運(yùn)維管理制度；具有保障信息系統(tǒng)服務(wù)器時(shí)間一致的機(jī)制；建立數(shù)據(jù)使用的審查機(jī)制物理安全包括數(shù)據(jù)中心機(jī)房安全與信息系統(tǒng)安全，醫(yī)院應(yīng)當(dāng)按照以上要求以及等保標(biāo)準(zhǔn)對(duì)機(jī)房進(jìn)行建設(shè)，要配備包括門禁、監(jiān)控、視頻監(jiān)控、消防、災(zāi)備等物理設(shè)施，在設(shè)備上要著重于邊界防護(hù)與安全。在各區(qū)域邊界處合理配置防火墻、網(wǎng)閘、入侵防御、入侵檢測(cè)、日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)等安全設(shè)備。

2.3整合信息化資源、合理劃分信息化區(qū)域

醫(yī)院一方面要借助技術(shù)手段整合現(xiàn)有的網(wǎng)絡(luò)信息系統(tǒng)，將冗余的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行取消，減少網(wǎng)絡(luò)信息系統(tǒng)多所可能造成的網(wǎng)絡(luò)安全問題，合理劃分各個(gè)安全區(qū)域，涉及醫(yī)院核心的業(yè)務(wù)系統(tǒng)、敏感的數(shù)據(jù)資源都應(yīng)部署在內(nèi)網(wǎng)中，需要對(duì)外服務(wù)的系統(tǒng)、防護(hù)要求較低的設(shè)備部署在外網(wǎng)，內(nèi)、外網(wǎng)的數(shù)據(jù)互通是由安全隔離網(wǎng)閘唯一實(shí)現(xiàn)，基本可按照以下的網(wǎng)絡(luò)拓?fù)鋱D來進(jìn)行安全區(qū)域劃分：（1）內(nèi)網(wǎng)業(yè)務(wù)區(qū)：該區(qū)域支撐醫(yī)院核心業(yè)務(wù)系統(tǒng)的運(yùn)行，存儲(chǔ)著大量患者醫(yī)療信息和醫(yī)學(xué)影像信息。（2）安全管理區(qū)：將安全設(shè)備、安全組件的管理接口和數(shù)據(jù)單獨(dú)劃分到一個(gè)區(qū)域，與生產(chǎn)網(wǎng)分離，實(shí)現(xiàn)獨(dú)立且集中的管理，在該區(qū)域部署審計(jì)設(shè)備，由系統(tǒng)安全管理人員進(jìn)行日常的操作。（3）DMZ區(qū)：該區(qū)域的安全性介于內(nèi)網(wǎng)與外網(wǎng)之間，作為對(duì)外連接互聯(lián)網(wǎng)的緩沖區(qū)，一些需要對(duì)外提供線上服務(wù)的業(yè)務(wù)系統(tǒng)主機(jī)（門戶網(wǎng)站、預(yù)約掛號(hào)、郵箱、第三方支付等）部署于此，增設(shè)WAF來提高應(yīng)用層的安全防護(hù)，作為代理數(shù)據(jù)訪問且不涉及敏感信息，可以在對(duì)外提供良好服務(wù)的同時(shí)，極大地保護(hù)內(nèi)部網(wǎng)絡(luò)和數(shù)據(jù)資產(chǎn)由于直接暴露而遭受網(wǎng)絡(luò)攻擊。（4）互聯(lián)網(wǎng)區(qū)：該區(qū)域是對(duì)接外部職能專網(wǎng)的統(tǒng)一區(qū)域，區(qū)域邊界要對(duì)訪問終端和用戶進(jìn)行限制，并對(duì)信息內(nèi)容進(jìn)行過濾。因此，各區(qū)域均至少設(shè)有防火墻進(jìn)行邊界隔離，配置訪問控制策略以及檢測(cè)數(shù)據(jù)信息對(duì)網(wǎng)絡(luò)行為進(jìn)行限制，并將日志信息回送安全管理區(qū)中進(jìn)行審計(jì)，防范網(wǎng)絡(luò)攻擊。（5）災(zāi)備區(qū)：該區(qū)域是作為核心業(yè)務(wù)系統(tǒng)的容災(zāi)備份節(jié)點(diǎn)，在核心業(yè)務(wù)區(qū)的主用業(yè)務(wù)數(shù)據(jù)丟失或相關(guān)設(shè)備故障時(shí)，能夠在最大業(yè)務(wù)故障容忍時(shí)間內(nèi)完成業(yè)務(wù)數(shù)據(jù)切換，保障關(guān)鍵業(yè)務(wù)可用性和可恢復(fù)性。

2.4配置合理的安全策略

根據(jù)醫(yī)院網(wǎng)絡(luò)區(qū)域的劃分情況，在不同的區(qū)域中配備不同的安全策略，在內(nèi)網(wǎng)核心業(yè)務(wù)區(qū)要做好邊界防護(hù)、訪問控制、入侵檢測(cè)和安全審計(jì)，在安全管理區(qū)要布置最為嚴(yán)格的訪問控制策略和入侵檢測(cè)手段，在區(qū)域內(nèi)部也要配置合理的安全策略，例如在內(nèi)網(wǎng)要配置合理的VLAN劃分策略，合理的IP地址劃分，與訪問策略，以及密碼安全性策略。在軟件方面，要在全網(wǎng)絡(luò)中安裝殺毒軟件與終端準(zhǔn)入控制軟件，并及時(shí)進(jìn)行病毒庫(kù)的更新。在保證業(yè)務(wù)不中斷、數(shù)據(jù)不丟失和隱私不泄露的情況下將安全風(fēng)險(xiǎn)降到最低。

2.5配置數(shù)據(jù)傳輸加密管理，加強(qiáng)邊界防護(hù)

信息化建設(shè)進(jìn)入互聯(lián)網(wǎng)時(shí)代后，移動(dòng)端的應(yīng)用變得非常廣泛，信息安全應(yīng)在移動(dòng)產(chǎn)品設(shè)計(jì)之初就融入整體技術(shù)架構(gòu)之中，減少產(chǎn)品安全漏洞，加強(qiáng)移動(dòng)終端的安全防護(hù)。在移動(dòng)終端應(yīng)用層面運(yùn)用沙箱等技術(shù)，將醫(yī)療移動(dòng)應(yīng)用與移動(dòng)終端的其他應(yīng)用進(jìn)行隔離，開辟移動(dòng)終端的安全工作空間。加強(qiáng)對(duì)移動(dòng)終端準(zhǔn)入管理，在硬件層面通過預(yù)先的檢測(cè)確保接入環(huán)境的安全，在用戶接入層面對(duì)接入無線網(wǎng)絡(luò)的用戶身份進(jìn)行識(shí)別，防范非法用戶進(jìn)入網(wǎng)絡(luò)。在通信鏈路層面，在移動(dòng)終端和服務(wù)器之間建立VPN安全接入通道，在用戶打開移動(dòng)應(yīng)用的同時(shí)系統(tǒng)后臺(tái)直接建立VPN加密通道，保障數(shù)據(jù)通信安全。

2.6制定切實(shí)可行的應(yīng)急預(yù)案

各醫(yī)院傳統(tǒng)意義上的應(yīng)急預(yù)案多針對(duì)內(nèi)網(wǎng)制定，應(yīng)急處理措施也多以處理內(nèi)網(wǎng)故障設(shè)立，但近年來各個(gè)醫(yī)院對(duì)互聯(lián)網(wǎng)工具的廣泛運(yùn)用，掛號(hào)、繳費(fèi)、預(yù)約、復(fù)診、報(bào)告、圖像獲取等醫(yī)療環(huán)節(jié)逐漸從醫(yī)院內(nèi)向患者端轉(zhuǎn)移，各醫(yī)院應(yīng)急預(yù)案應(yīng)有針對(duì)性地制定互聯(lián)網(wǎng)業(yè)務(wù)方面的內(nèi)容，互聯(lián)網(wǎng)業(yè)務(wù)中斷對(duì)于患者的影響也是多方面的，出現(xiàn)緊急情況時(shí)，應(yīng)有專門部門針對(duì)患者做好解釋溝通工作，降低安全風(fēng)險(xiǎn)。

2.7加強(qiáng)人員的教育與培訓(xùn)

對(duì)醫(yī)院網(wǎng)絡(luò)安全的教育和培訓(xùn)分為兩個(gè)方面，一方面要對(duì)醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)管理人員進(jìn)行數(shù)據(jù)庫(kù)技術(shù)、數(shù)據(jù)分析技術(shù)、新型安全設(shè)備操作技術(shù)培訓(xùn)，尤其在數(shù)據(jù)采集、數(shù)據(jù)分析技術(shù)方面，應(yīng)該加快安全人才的培養(yǎng)，為后續(xù)網(wǎng)絡(luò)安全系統(tǒng)的智能化升級(jí)做好技術(shù)準(zhǔn)備。另一方面，應(yīng)提高醫(yī)院醫(yī)務(wù)人員的網(wǎng)絡(luò)安全防護(hù)意識(shí)，醫(yī)務(wù)人員對(duì)于網(wǎng)絡(luò)安全培訓(xùn)有著極大的需求和熱情，可通過講座、知識(shí)競(jìng)賽等多種形式定期進(jìn)行網(wǎng)絡(luò)安全相關(guān)知識(shí)培訓(xùn)。

3結(jié)語

在國(guó)家政策及制度的指引下，醫(yī)院的信息化建設(shè)促使醫(yī)療數(shù)據(jù)向患者端、移動(dòng)端進(jìn)行分享和利用，為便民工作的開展提供了有效工具，也為醫(yī)院的網(wǎng)絡(luò)安全工作帶來了前所未有的挑戰(zhàn)，醫(yī)療信息安全是醫(yī)療機(jī)構(gòu)的頭等大事，如何在投入有限的資源下，為醫(yī)院的網(wǎng)絡(luò)安全做好保障，是醫(yī)院管理者的一道難題，而信息安全保護(hù)工作是一個(gè)在實(shí)踐過程中不斷發(fā)現(xiàn)問題、解決問題，循序漸進(jìn)的過程，所有的法律法規(guī)、制度規(guī)范都需要通過管理來落實(shí)，這就要求醫(yī)院管理者與網(wǎng)絡(luò)安全工作者牢牢抓住“三分技術(shù)，七分管理的”的主線，持續(xù)推進(jìn)醫(yī)院安全管理體系建設(shè)，將網(wǎng)絡(luò)安全工作制度化、規(guī)范化，動(dòng)用醫(yī)療機(jī)構(gòu)所有人員的力量共同建設(shè)好醫(yī)院的網(wǎng)絡(luò)安全工作，為醫(yī)療業(yè)務(wù)的連續(xù)開展、醫(yī)療數(shù)據(jù)的完整保護(hù)提供技術(shù)支撐。

作者:劉虎則 李二梅 ?，| 單位:山西省中西醫(yī)結(jié)合醫(yī)院