前言：本站為你精心整理了網(wǎng)絡(luò)信息安全面臨的主要問題探析范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢。

摘要：本文對(duì)新時(shí)代醫(yī)院網(wǎng)絡(luò)信息安全面臨的主要問題及其應(yīng)對(duì)策略進(jìn)行了研究，首先分析了新時(shí)代醫(yī)院網(wǎng)絡(luò)信息安全面臨的問題，然后分析了網(wǎng)絡(luò)信息安全的最終目標(biāo)，最后針對(duì)問題制定了醫(yī)院網(wǎng)絡(luò)信息安全的應(yīng)對(duì)策略。

關(guān)鍵詞：網(wǎng)絡(luò)信息；安全；問題和對(duì)策

1引言

現(xiàn)如今隨著網(wǎng)絡(luò)技術(shù)的日新月異，互聯(lián)網(wǎng)已經(jīng)深入到全國各個(gè)行業(yè)中去，基于網(wǎng)絡(luò)的新型發(fā)展模式已經(jīng)非常普遍[1]。從就醫(yī)階段來看，預(yù)約、掛號(hào)、就診和購藥等情況需要信息查詢和醫(yī)患互助，大部分治療工作都可以在網(wǎng)上開展[2]。從醫(yī)院自身發(fā)展的角度看，為了提升醫(yī)院救治患者的效率，優(yōu)化醫(yī)院的組織架構(gòu)，提升業(yè)務(wù)流轉(zhuǎn)的即時(shí)性，提升醫(yī)院的核心競爭力，已經(jīng)建立了大批量的信息化系統(tǒng)，涉及硬件和軟件的各個(gè)方面。在網(wǎng)絡(luò)安全方面，醫(yī)院往往是借助有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)并用的方式[3]。在發(fā)展醫(yī)院互聯(lián)網(wǎng)的過程中，要綜合考慮醫(yī)院的內(nèi)外部的綜合需求，從以上兩個(gè)方面統(tǒng)籌考慮，不論是醫(yī)院內(nèi)部還是外部，都需要對(duì)用戶的賬號(hào)和權(quán)限進(jìn)行管理，還需要對(duì)患者的診療流程及個(gè)人信息進(jìn)行管理，以上信息都是黑客等不法分子所關(guān)心的資源[4]。同時(shí)，有個(gè)別資源的竊取者借機(jī)通過各類不法行為破壞醫(yī)院的相關(guān)系統(tǒng)，導(dǎo)致系統(tǒng)癱瘓。近年來，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各類不法分子數(shù)量不斷增多，以勒索為目的的不法行為發(fā)生非常頻繁。由于醫(yī)院內(nèi)部人員存在管理上的疏忽，數(shù)據(jù)泄露或者丟失現(xiàn)象非常多，硬件和軟件癱瘓的現(xiàn)象非常多，也存在人為的主動(dòng)因素導(dǎo)致的各類安全事件[5]。因此，雖然網(wǎng)絡(luò)和信息技術(shù)為我們帶來了進(jìn)步，但是信息安全事件的發(fā)生，一直在警示我們，信息安全永遠(yuǎn)沒有止境[6]。

2新時(shí)代醫(yī)院網(wǎng)絡(luò)信息安全面臨的主要問題

在醫(yī)院互聯(lián)網(wǎng)發(fā)展過程中，無線網(wǎng)絡(luò)容易對(duì)醫(yī)院的移動(dòng)醫(yī)療造成影響。在局域網(wǎng)內(nèi)部，如果存在無線網(wǎng)絡(luò)，則可能會(huì)導(dǎo)致醫(yī)院移動(dòng)互聯(lián)網(wǎng)不能及時(shí)介入。未經(jīng)可信認(rèn)證的非法接入用戶，不僅會(huì)對(duì)內(nèi)部數(shù)據(jù)的安全性造成危害，而且還會(huì)對(duì)網(wǎng)絡(luò)帶寬造成影響，為醫(yī)院網(wǎng)絡(luò)的安全造成危害。綜合不同的醫(yī)院網(wǎng)絡(luò)架構(gòu)情況可知，現(xiàn)如今主要的醫(yī)院網(wǎng)絡(luò)架構(gòu)示意圖如圖1所示。醫(yī)院內(nèi)部存在眾多移動(dòng)端系統(tǒng)，在醫(yī)護(hù)人員對(duì)移動(dòng)應(yīng)用進(jìn)行使用的過程中，存在植入軟件危害系統(tǒng)的風(fēng)險(xiǎn)。例如在相關(guān)門禁權(quán)限的使用過程中，時(shí)長會(huì)出現(xiàn)門卡被盜的問題，從而增加了風(fēng)險(xiǎn)發(fā)生的概率[8]。同時(shí)，在醫(yī)院內(nèi)部或者外部通過移動(dòng)終端在對(duì)數(shù)據(jù)進(jìn)行下載或者復(fù)制等流程時(shí)，均會(huì)增加病毒發(fā)生的風(fēng)險(xiǎn)，從而致使相關(guān)醫(yī)療數(shù)據(jù)會(huì)被公之于眾[9]。需要注意的是，隨著移動(dòng)應(yīng)用數(shù)量的不斷增多，在手機(jī)端運(yùn)行iOS或者安卓程序時(shí)，程序有可能被反編譯，進(jìn)而導(dǎo)致惡意代碼被攔截，增加了信息安全的風(fēng)險(xiǎn)?，F(xiàn)如今，在醫(yī)院內(nèi)部大多數(shù)操作系統(tǒng)均有一定的通用性，且大多數(shù)系統(tǒng)都是采用Windows方式進(jìn)行的，但是Windows系統(tǒng)作為最容易被攻破的系統(tǒng)，采用系統(tǒng)安全漏洞能夠?qū)崿F(xiàn)對(duì)醫(yī)院內(nèi)部資料的竊取和共計(jì)[10]。同時(shí)，大部分信息系統(tǒng)均是采用低級(jí)的數(shù)據(jù)庫管理系統(tǒng)來實(shí)現(xiàn)數(shù)據(jù)的管理，隨著系統(tǒng)使用年限的不斷增加，會(huì)產(chǎn)生數(shù)量級(jí)別非常大的數(shù)據(jù)和資料，如果對(duì)以上資料管理不善，則很可能會(huì)使得這些數(shù)據(jù)暴露在攻擊人面前，以上資料很可能會(huì)隨著系統(tǒng)的故障被非法竊取，最終被損壞或者丟失，從而出現(xiàn)信息安全方面的問題。在大數(shù)據(jù)技術(shù)發(fā)展的今天，互聯(lián)網(wǎng)和不同的行業(yè)深度融合是非常有必要的，醫(yī)療行業(yè)也不例外。在醫(yī)療行業(yè)引入信息技術(shù)，例如HIS或者EMR等系統(tǒng)，能夠很好實(shí)現(xiàn)醫(yī)院工作的效率提升，保障醫(yī)療改革朝著精準(zhǔn)的方向發(fā)展，醫(yī)療技術(shù)近年來也已經(jīng)開始出現(xiàn)信息化發(fā)展的方向和趨勢。尤其是在引入大數(shù)據(jù)技術(shù)之后，在醫(yī)療服務(wù)和患者的診斷等方面技術(shù)不斷迭代更新，這些信息都是患者的隱私信息，是醫(yī)院工作的機(jī)密信息，這些信息在信息化建設(shè)過程中，出現(xiàn)了各類漏洞，同時(shí)會(huì)使得醫(yī)療數(shù)據(jù)的傳輸和共享遭受影響。如果被使用到不良途徑中去，甚至?xí)?duì)于病人和醫(yī)院的切身利益造成影響。一旦醫(yī)務(wù)工作人員和病人對(duì)大數(shù)據(jù)醫(yī)療技術(shù)本身存在質(zhì)疑，并且對(duì)其安全性沒有充分的認(rèn)識(shí)，若此種現(xiàn)象存在此種問題，會(huì)使得現(xiàn)代醫(yī)療信息化技術(shù)不復(fù)存在，也很難推進(jìn)醫(yī)療改革朝著有利于自身情況下發(fā)展。從此種角度出發(fā)，在大數(shù)據(jù)時(shí)代信息化建設(shè)會(huì)在很大程度上推進(jìn)醫(yī)療信息化的改革，從醫(yī)院的管理層便需要高度重視醫(yī)院的網(wǎng)絡(luò)信息安全構(gòu)建問題，采取特殊的手段，為基于大數(shù)據(jù)技術(shù)的醫(yī)院網(wǎng)絡(luò)信息系統(tǒng)的運(yùn)行和維護(hù)保駕護(hù)航，促使醫(yī)院進(jìn)入到理想化的現(xiàn)代醫(yī)療服務(wù)水平。

3醫(yī)院網(wǎng)絡(luò)信息安全的目標(biāo)分析

機(jī)密性是保障信息數(shù)據(jù)在有保密實(shí)現(xiàn)的情況下，不被泄露給非授權(quán)的用戶或者其他實(shí)體。數(shù)據(jù)的機(jī)密性是網(wǎng)絡(luò)信息安全建設(shè)中最為重要的目標(biāo)，也是實(shí)現(xiàn)醫(yī)院網(wǎng)絡(luò)信息化的重中之重。其次，在保障數(shù)據(jù)安全的情況下，還需要保障信息數(shù)據(jù)不被非授權(quán)用戶所偽造或者篡改，從而保障系統(tǒng)數(shù)據(jù)的完整性。在保障以上數(shù)據(jù)完整性的前提條件下，在數(shù)據(jù)的產(chǎn)生方或者發(fā)送方會(huì)對(duì)有關(guān)的事實(shí)進(jìn)行否認(rèn)，最大限度規(guī)避此種情況，是保證信息化建設(shè)的不可否認(rèn)性。同時(shí)，在開展網(wǎng)絡(luò)信息化建設(shè)時(shí)，還應(yīng)該統(tǒng)籌考慮通信實(shí)體的真實(shí)身份，在發(fā)生安全事件之后，可以通過各類不同的手段或者依據(jù)，實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的位置定位和追蹤，力求第一時(shí)間發(fā)現(xiàn)存在的問題。要另外，還要阻止已知的攻擊行為和病毒進(jìn)入網(wǎng)內(nèi)和系統(tǒng)；要限定不同實(shí)體對(duì)業(yè)務(wù)或信息資源訪問的范圍。

4醫(yī)院網(wǎng)絡(luò)信息安全對(duì)策

4.1體系化制定網(wǎng)絡(luò)信息安全管理制度

在醫(yī)院管理層級(jí)開展信息化項(xiàng)目建設(shè)的過程中，主要關(guān)注建設(shè)和系統(tǒng)的覆蓋范圍等問題，但是對(duì)于系統(tǒng)的維護(hù)工作并不重視。相關(guān)的信息化項(xiàng)目運(yùn)維機(jī)制和體系建設(shè)等相對(duì)比較確實(shí)，同時(shí)在管理方面缺乏相關(guān)的具有支撐價(jià)值的文件。因此，對(duì)于信息化項(xiàng)目在前期設(shè)計(jì)、規(guī)劃和實(shí)施過程中的組織架構(gòu)和職能定義并不明確，一旦出現(xiàn)異常事件則很難及時(shí)的出現(xiàn)應(yīng)急解決方案，因此管理制度和文件的定義是非常需要的。主要可以開展以下工作：（1）領(lǐng)導(dǎo)小組是非常重要的。在網(wǎng)絡(luò)安全信息化建設(shè)的過程中，醫(yī)療機(jī)構(gòu)的管理層面一定要引起足夠的重視，成立相關(guān)網(wǎng)絡(luò)安全及信息化方面的專家，出臺(tái)各類章程，發(fā)布相關(guān)的綱領(lǐng)性文件和管理規(guī)定，對(duì)網(wǎng)絡(luò)安全的工作背景、目的、性質(zhì)或者綱領(lǐng)性文件進(jìn)行定義，從而闡明醫(yī)院信息安全工作的重要性，明確不同部門對(duì)網(wǎng)絡(luò)信息安全的責(zé)任感和重視程度。（2）與各部門負(fù)責(zé)人和重點(diǎn)網(wǎng)絡(luò)信息安全崗位人員簽署網(wǎng)絡(luò)信息安全責(zé)任書，用以將責(zé)任和義務(wù)明確化、具體化，著力提高有關(guān)人員的責(zé)任感和重視度。另外，還應(yīng)該制定網(wǎng)絡(luò)安全方面的管理應(yīng)急預(yù)案，預(yù)案要對(duì)具體的問題制定具體有針對(duì)性的措施，同時(shí)將可能發(fā)生的安全事件進(jìn)行分類和分級(jí)，并對(duì)每類事件制定詳細(xì)預(yù)案。注意，預(yù)案中的方案要有可執(zhí)行性和可操作性，要在具體的實(shí)戰(zhàn)過程中，對(duì)經(jīng)常發(fā)生的各類突發(fā)事件以及其操作規(guī)程進(jìn)行預(yù)先演練，還應(yīng)該根據(jù)實(shí)際情況對(duì)應(yīng)急預(yù)案進(jìn)行完善。（3）從整體上提升數(shù)據(jù)安全級(jí)別。制定數(shù)據(jù)管理、信息技術(shù)規(guī)范、網(wǎng)站管理、新媒體管理、用戶、賬號(hào)和密碼管理等一系列相關(guān)制度。用以闡明各項(xiàng)信息化工作、各個(gè)環(huán)節(jié)具體可能面臨的網(wǎng)絡(luò)信息安全問題，指明避免或解決問題的方法和措施等。

4.2提升網(wǎng)絡(luò)信息安全意識(shí)和信息化素養(yǎng)

在現(xiàn)如今醫(yī)院信息化建設(shè)過程中，往往注重信息化系統(tǒng)是否覆蓋了醫(yī)院的所有業(yè)務(wù)流程，系統(tǒng)運(yùn)行過程中的性能好不好，但是對(duì)系統(tǒng)的安全性卻并不關(guān)注，在系統(tǒng)投入使用之后，后期的運(yùn)營和維護(hù)也顯得比較缺失，更有許多管理層認(rèn)為，信息安全和網(wǎng)絡(luò)安全僅僅是醫(yī)院信息技術(shù)部門的責(zé)任。因此，提升網(wǎng)絡(luò)安全意識(shí)，提升信息化建設(shè)人員的整體水平是十分必要的。

4.3培養(yǎng)專業(yè)化網(wǎng)絡(luò)信息化安全人才

在眾多醫(yī)院來看，大部分系統(tǒng)的建設(shè)人員或者運(yùn)維人員都被認(rèn)為是網(wǎng)絡(luò)信息安全的管理人員。其日常精力主要聚焦于對(duì)日常問題的應(yīng)付上，根本沒有時(shí)間關(guān)注網(wǎng)絡(luò)安全相關(guān)的問題，更沒有精力應(yīng)付網(wǎng)絡(luò)信息安全的構(gòu)建。人力資源和專業(yè)化的人才是首要資源，醫(yī)院應(yīng)該對(duì)其設(shè)置專門的信息化網(wǎng)絡(luò)安全管理崗位，在日常過程中引進(jìn)并培養(yǎng)專業(yè)化的人才，使其肩負(fù)起網(wǎng)絡(luò)信息安全的基本責(zé)任?，F(xiàn)如今，國家已經(jīng)成立了許多專業(yè)化的安全培訓(xùn)機(jī)構(gòu)，可以為廣大信息系統(tǒng)建設(shè)人員提供更加專業(yè)化和系統(tǒng)化的培訓(xùn)，通過參加培訓(xùn)，信息化人員的基本技能便能夠得到大幅提升，同時(shí)對(duì)于考核人員還需要頒發(fā)CISP和CISAW等相關(guān)專業(yè)證書。

4.4構(gòu)建專業(yè)化的安全防護(hù)體系

（1）提升物理安全級(jí)別物理服務(wù)器對(duì)于信息化項(xiàng)目是基礎(chǔ)支撐工具，系統(tǒng)能否運(yùn)行穩(wěn)定是依靠基礎(chǔ)設(shè)施支撐的。但是在現(xiàn)如今的醫(yī)院信息化建設(shè)過程中，基礎(chǔ)物理截止的管理仍然存在的問題較多。大多數(shù)機(jī)房在安全級(jí)別方面均不符合相關(guān)的標(biāo)準(zhǔn)要求，大部分醫(yī)院僅僅建設(shè)了一個(gè)中心機(jī)房，缺乏備份機(jī)制。主要的機(jī)配備了UPS電源，也建設(shè)了相關(guān)的監(jiān)視器以及門禁系統(tǒng)，配備了相關(guān)的監(jiān)控平臺(tái)。但是對(duì)于大多數(shù)醫(yī)院機(jī)房來講，還不具備以上基礎(chǔ)管理設(shè)施，對(duì)于重要設(shè)備的集中管理機(jī)制也比較缺乏。因此，在未來針對(duì)機(jī)房提升其物理安全級(jí)別是非常有必要的。應(yīng)該從硬件升級(jí)、網(wǎng)絡(luò)視頻監(jiān)控和軟件實(shí)時(shí)預(yù)警等方面下功夫。（2）夯實(shí)網(wǎng)絡(luò)通信安全信息安全面臨的要素很多，如圖2所示。如計(jì)算機(jī)木馬病毒、蠕蟲、邏輯炸彈等都是需要防備的要素。網(wǎng)絡(luò)是各個(gè)應(yīng)用系統(tǒng)之間通信的媒介之一，在數(shù)據(jù)傳輸過程中，需要采用加密措施。另外，可以通過監(jiān)控平臺(tái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)運(yùn)行情況的監(jiān)視和處理，盡快發(fā)現(xiàn)問題并對(duì)異常問題進(jìn)行處理。現(xiàn)如今，眾多醫(yī)院已經(jīng)將其網(wǎng)絡(luò)劃分為內(nèi)部和外部網(wǎng)絡(luò)，同時(shí)還設(shè)置了5G專用網(wǎng)絡(luò)。在進(jìn)行網(wǎng)絡(luò)劃分時(shí)，要確定好不同網(wǎng)絡(luò)之間的安全邊界，不同區(qū)域之間要進(jìn)行界限的劃清，通過網(wǎng)閘或者其他網(wǎng)絡(luò)設(shè)備對(duì)網(wǎng)絡(luò)安全級(jí)別進(jìn)行提升。在內(nèi)網(wǎng)區(qū)域內(nèi)，服務(wù)器應(yīng)該盡量采用虛擬化的策略進(jìn)行優(yōu)化，防止非授權(quán)情況下的接入，部署虛擬機(jī)防火墻（VAF）防止病毒越界蔓延。要盡快對(duì)平臺(tái)的漏洞進(jìn)行掃描，對(duì)網(wǎng)絡(luò)以及重要的應(yīng)用進(jìn)行安全端口檢測，盡快發(fā)現(xiàn)網(wǎng)絡(luò)方面的漏洞，第一時(shí)間對(duì)漏洞進(jìn)行修復(fù)。監(jiān)理狀態(tài)監(jiān)控平臺(tái)，盡快分析預(yù)判安全事件會(huì)造成的威脅，快速識(shí)別安全事件，制定有效的處置方法，并提供有力的保障。（3）提升安全終端的安全級(jí)別現(xiàn)場終端是用戶和網(wǎng)絡(luò)之間的主要交互界面，其安全十分重要。在日常分析中發(fā)現(xiàn)，大多數(shù)安全攻擊均是以終端作為入口開展的，因此提升終端的安全級(jí)別是十分重要的。終端的安全級(jí)別劃分主要分為個(gè)人主機(jī)的防護(hù)以及服務(wù)器的防護(hù)兩個(gè)方面。個(gè)人主機(jī)的防護(hù)，必須要明確其主機(jī)是哪個(gè)網(wǎng)絡(luò)，并將歸屬不同的網(wǎng)絡(luò)之間的物理邏輯進(jìn)行分離。其主機(jī)應(yīng)該采用正版的操作系統(tǒng)，對(duì)于服務(wù)器的管理密碼要設(shè)置一定復(fù)雜度要求的密碼，在服務(wù)器中安裝防火墻以及相關(guān)的殺毒軟件，定期對(duì)軟件進(jìn)行查殺。在服務(wù)器的防護(hù)方面，首先應(yīng)該保障服務(wù)器主機(jī)所使用的是正版操作系統(tǒng)，并對(duì)其服務(wù)器中的軟件進(jìn)行定期及時(shí)的更新。其次，要強(qiáng)化服務(wù)器在使用過程中的身份簡便，安全必要的殺毒軟件，對(duì)其進(jìn)行定期查殺。最后，應(yīng)該對(duì)不使用的服務(wù)器端口進(jìn)行關(guān)閉，防止不必要的安全漏洞發(fā)生。對(duì)服務(wù)器的用戶進(jìn)行權(quán)限細(xì)分，授予不同用戶最小的服務(wù)器使用權(quán)限，將服務(wù)器發(fā)生安全事故的概率降低到最小。對(duì)于密碼要定期維護(hù)并且密碼的設(shè)置要符合相關(guān)規(guī)則的基本要求，在用戶登錄過程中，只能采用遠(yuǎn)程方式進(jìn)行登錄，并且啟用相關(guān)的加密措施。用戶的接入服務(wù)器應(yīng)該避免使用U盤或者其他外界設(shè)備，對(duì)于重要的服務(wù)器，訪問應(yīng)該考慮引入CA認(rèn)證系統(tǒng)，對(duì)其準(zhǔn)入做好控制管理。

5結(jié)論

隨著網(wǎng)絡(luò)和信息技術(shù)的不斷發(fā)展，醫(yī)院+互聯(lián)網(wǎng)的發(fā)展模式必將是未來的方向。盡管近年來醫(yī)院信息化建設(shè)取得了非常大的進(jìn)步，但是在信息化安全建設(shè)方面仍然存在很大的差距，在未來仍然有很長的路要走。醫(yī)院應(yīng)該從管理體系制定、制度優(yōu)化、安全防護(hù)體系建設(shè)等方面，提升自身的整體水平，從而推進(jìn)醫(yī)療信息化的不斷發(fā)展。

作者:魏傳宇 單位:聊城市第四人民醫(yī)院