医院信息网络与信息系统的风险管理

前言：想要写出一篇引人入胜的文章？我们特意为您整理了医院信息网络与信息系统的风险管理范文，希望能给你带来灵感和参考，敬请阅读。

摘要：随着计算机及互联网技术的飞速发展，医院管理已离不开网络和信息系统，医院管理信息系统是支撑医疗业务、医疗质量和医院全面管理的重要保障，涉及医院业务活动的方方面面，信息安全尤为重要。本文就医院的信息网络与信息系统的安全风险进行初步的分析，以期与医院同行共同探讨交流一些常用的安全技术。

关键词：网络安全；医院；信息安全；风险管理

0引言

医疗行业是一个比较特殊且管理复杂度相对较高的领域，信息化是现代医院管理的重要基础和技术手段，医院信息化是多种网络硬件与庞大的医疗业务管理应用模块所构成的技术综合体，任何一个细小的软硬件故障或细微的安全疏忽都可能造成全院临床业务和医疗服务的中断。为此，在医院管理信息化的建设过程中，我们多花费一些时间来思考信息安全、多花费一些投入去保障信息安全则是一件十分必要且富有现实意义的工作。

1医院网络安全及信息系统安全风险的识别

信息系统安全的概念实际上已包含了硬件和软件的安全。其中的硬件即常说的网络安全，其中的软件是指满足管理要求的软件应用模块、系统、平台以及实现安全指标的各类硬件设备中所固化的程序指令代码。在学术界，一般只用信息安全这一概念，而在实际工作中经常会混淆这两个名称，口语化常用网络安全代指硬件安全，信息安全代指软件安全，均属于信息安全的学术范畴。

1.1信息安全是医院可持续发展的重要保障

医院信息化是多种网络硬件与庞大的医疗业务管理应用模块所构成的高技术综合体，医院信息化管理系统涉及临床管理、药耗品与物资管理、财务管理、行政管理、后勤管理、绩效管理等众多应用管理。近年来，远程医疗、自助服务、医保结算等网上医疗或云医疗服务的不断延伸，网络的健壮性与安全性需求已提升到一个重要的位置，任何一个细小的软硬件故障或细微的安全疏忽都可能造成全院临床业务和医疗服务的中断，这就涉及财务风险和医疗服务纠纷风险。医疗信息涉及公民个人隐私，涉及公民隐私保护的法律风险，因此医疗信息必须采取多重安全措施、备份措施。这三大风险是一家医院正常经营和持续发展的重大隐患，务必要采取相应的技术措施和管理措施予以防范。

1.2信息安全是推动医疗行业向现代化医院发展的重要基础

随着区域医疗资源的大整合、分级诊疗制度的落地实施以及全国医保跨区结算体系的建立，医院管理的信息化已不再是一家医院自己内部的事情了，所有的信息必须走出医院、走出地市、走向全国，实现全国范围内医疗信息的互联互通，这是一个大趋势，所以，在信息安全方面达不到相应安全等级保护（等保）的医院，则没有资格接入这一全国范围内的互联互通医疗信息网络，不跨过这一门槛，医院的发展以及向现代化医院推进的理想就只能是一朵浮云。

2医院网络及信息系统的安全管理

医院信息系统中的医疗信息数据、财务信息数据等内容众多，运用病毒查杀软件、建立防火墙等网络技术，加强软硬件双重管理，保证内部业务交流、数据信心安全以及对入侵监测的管理，强化用户的层级管理，对用户的认证与业务处理范围进行管控，强化内部管控的提升，从容应对外部黑客、病毒等问题对系统及网络的攻击，保障医院信息系统可靠运行，促进医院现代化管理水平不断提升。

2.1建立完善的防火墙及安全检测策略

防火墙技术和安全策略是医院信息系统安全的可靠保障，通过多层安全策略的保护机制，为医院医疗数据及资源、财务相关数据提供有效保证，并能够提升工作效率，和谐医患关系，保证业务流程的顺利，实现医疗和医院信息管理系统的健康运行。（1）防火墙能够将内网与外网进行有效分隔，建立可靠的网络互联关卡，提升网络用户的访问、认证及有效数据过滤，防范外来数据的攻击，是安全的重要边界，同时也是保护敏感的可靠数据服务应用。尤其针对外来入侵及病毒的监测，加强地址、及身份认证进行深化管理。重视将内外网络的监控及隔离，医院的数据库内含有大量病患资料、研究资料及财务数据等众多内容，众多的信息及数据资源访问及流通，需要具有深入拦截及管控能力的防火墙，对关键、敏感及热点访问连接进行多层设置，防止因出现网络安全出现攻击等问题对全局造成停止影响。对内外部连接区域的数据交换尤为重要，加强运行保障，提升安全区域的等级划分，实施网络访问等级划分，对不同业务的需求进行权限管理，对内部人员进一步进行管理，运用过滤技术的防火墙，为医院信息系统建立安全管理的第一道防线。（2）医院信息系统的安全管控第二个关键门卡是入侵检测，对防火墙薄弱的内部攻击及未知攻击进行防范，加强网络的监测力度，建立共同的系统网络防范有效措施，对系统管理员员监控、识别等响应能力进行关注，提升安全管理的能力。运用入侵检测对系统内网络、用户活动情况进行关注，对不同网段的传感器、日志、流量及文件和软件的非正常改变进行控制，信息与程序执行情况及时进行对比，迅速分析，合理运用检测引擎对各项信息及数据进行检测，对出现网络入侵情况及系统非正常变化进行匹配模式分析，关注重点及热点区域文件数据信息是否完整，对统计对象的属性阙值进行统计分析，加强入侵监测设备的参数定义，及时进行内部权限多层管理模式，可采用二到七层分级管理方式，保障信息的有效性及可控性，为不同权限人员提供不同的系统服务。

2.2加强信息安全管理的综合管控

医院对信息通建设具有明确的管理制度，加强安全管理的系统性，加大信息安全等保投入，提升网络安全的管理及建设标准，强化用户的日志及权限管理，医院信息系统运行是24小时无停息，重视对防火墙、入侵检测等多重管控，提升整体管控意识，合理进行多终端系统管理，实现操作运行的规范及标准性，运用杀毒软件、防火墙及入侵检测等多个防范措施进行防范，还可以利用黑盾等软件接入认证，提升主机通信加密管理，防范地址欺骗，实现信息网络的管理安全，保证医院系统平稳运行。注重软硬件共同的安全管理，强化软件管控及技术提升，注重硬件使用的审批手续及可靠管理，满足系统安全管理整体管控需求。

2.3加强无线网络安全管理管控

随着近年来无线终端设备的迅速普及，医院信息系统中无线应用迅速普及，提供日常检查、咨询及反馈等多种信息交流，重视对网络秘钥的管控，对非法访问或黑客入侵从源头上进行把握，防止因SSID广播的应用造成不必要的信息泄露与安全管控问题，强化病患隐私与医疗数据的管理，提升用户信息处理能力，分层级进行身份验证，对局域网内人员行为进行可靠的约束，加强巡视及比对，对出现非法越权及数据波动加大用户进行管控，实现无线网络的安全管控。

2.4提升信息系统网络硬件的安全等级

网络安全及医院信息系统需要大量的硬件，且医院科室众多并与都医患信息、财务信息相联系，加强多终端硬件的管理，对外来U盘、移动硬盘等硬件应用需要加强，防止从内部侵害网络安全，健全规章管理制度及审批手续，完善硬件设备、文件利用及机房环境、线路连接等管控，并加强相关管理制度的。尤其是医疗文件、财务文件的读取与拷贝，必须经过层层审批，在拷贝过程中要进行监督及检查，对外来硬件进行查杀、筛选后进行应用，从源头进行安全管理，实行可靠运行，为信息系统软件与硬件管理形成可靠保障。

3结语

医院信息系统及网络安全管理是医院业务运行的重要保障，加强网络安全管理，为医院营造稳定、健康的网络环境，提供更为优质的服务，降低重复、枯燥的工作，提升医院服务效率，满足患者不同需求。加强医院内外网的管控，强化防火墙、杀毒软件、入侵检测等环节的能力及水平，防范黑客、病毒等多方面的攻击，强化无线网络的服务与管理，提升安全性，妥善保障医院内部信息，为更多患者提供个性服务，促进我国网络系统安全运行与维护能力提升，推动我国医疗行业信息化管理的整体大发展。

参考文献：

[1]王玉珍，贺滢，马婧等.医院信息系统安全保障体系存在的风险分析[J].医疗卫生装备，2007.

[2]郑西川，张汉雄，胡燕峰等.医院信息系统安全架构及实施策略[J].中国医疗设备，2006.

[3]李明龙.基于网络安全角度分析医院计算机信息系统技术的应用[J].网络安全技术与应用，2016.

作者：薛瑶 单位：南京医科大学附属常州第二人民医院