基层医院信息安全存在的问题及对策

基层医院信息安全存在的问题及对策

白华国

白华国

（临朐县中医院山东临朐262600）

摘要：本文主要分析当前基层医院信息化发展存在的问题，并提出了相应的解决措施。

关键词：医院网络；信息安全；安全管理；问题；对策

随着信息技术的快速发展与融合创新，基层医院的业务功能，管理水平、服务质量都得到了极大的提升，对医院和患者，都带来了极大的便利。但同时，在基层医院一些敏感信息被传播、病毒入侵、网络攻击、业务中断等安全威胁日益增多，成为医院信息管理部门面对的一个严峻问题，作为基层医院来说，如何保障应用系统整体的安全、营造健康的网络环境是一个迫切和重大的现实问题。

一、基层医院信息安全建设中存在的主要问题

（一）网络安全问题

一是来自外部网络安全威胁。网络外部安全是通过暴力破解或字典破解等破坏方式，干扰业务网络正常运行，甚至使通信服务中断、瘫痪或者被非法控制，采用密码盗用攻击、恶意端口和IP地址扫描、抗拒绝服务攻击DDos、木马、传播计算机病毒等手段，并不断更新恶意攻击方法，以威胁基层医院的信息系统安全。二是来自内部网络安全威胁。非法用户的入侵、合法用户对系统资源的非法占用、非法用户对业务数据进行恶意篡改等；三是多网融合发展所带来的网络安全问题。目前多数基层医院的网络分为内网、外网、银联专网、医保专网等，但随着网络、通信以及安全等技术发展，以及数据互联互通、数据有效利用的需求不断增加，在构建IT网络架构时，更多医院已经采用多网融合技术，在物理层面打通网络壁垒，通过选择适宜的安全策略，提高数据传输、共享效率和安全性。

（二）应用安全问题

医院信息系统在运行时存在以下几种隐患：一是各应用系统资源分配时，没有进行审慎的资源规划，导致资源分配不合理或资源利用率不足，这均会给系统运行带来隐患；二是启动、运行各应用系统时，需做身份识别和访问控制，如口令简单、管理混乱也会对应用系统安全运行带来威胁；三是没有完备的容灾系统支撑，预案准备不足，医院HIS、电子病历等核心业务系统需要7×24小时运行，当支撑应用系统的某个环节和子系统出现故障，无法通过启用容灾系统来恢复业务服务，导致数据丢失或数据恢复时间过长等问题。

（三）安全管理问题

一是信息管理部门组织管理安全；医院安全管理体系建设均有信息主管部门牵头设计、制定，如果没有统一领导、技管并重，建立以预防为主、责权分明、重点防护、适度安全的管理体系，必然会出现管理混乱、漏洞百出等现象。二是缺乏信息安全管理制度、系统权限管理制度、数据库管理制度、机房管理制度等基础安全管理制度；没有基本制度，就无法规范信息管理过程中的各种操作、行为，必然会存在更多的安全隐患，因此建章立制是信息主管部门重要工作，除此之外，还需严格执行，强化有法可依、有法必依、执法必严、违法必究，在管理层面上杜绝安全隐患和威胁。三是离职人员管理不细、不严；四是信息部门工作人员技术素质和安全知识储备不足，在危机出现时面临更大的考验，而难以获得有效的信息安全技术培训，而缺乏处理安全事故的实战经验，也成为影响医院信息安全的不利因素。

（四）计算机病毒问题

计算机病毒严重制约着医院网络与信息的安全，它主要来源于使用盗版软件与光盘感染病毒、安装配发计算机时感染病毒、计算机使用者采用移动介质引入病毒、内网外联感染病毒等等。计算机病毒破坏性极强，作用范围广，在网络日益发达的今天其传播的渠道更加的多样化，速度也更快，对医院网络安全的危害性也更大。希望医院相关专业的负责人采取科学合理的措施来消除计算机病毒，进而把医院的网络与信息安全隐患降低到最小化，发挥出医院网络与信息的最大效能，实现医院综合能力与经济实力的显著增强，更好的造福于广大人民群众。

二、加强基层医院信息安全的对策

（一）加大对基层医院的资金投入，完善医院的系统功能

基层医院的网络与信息安全存在着许多的问题就在于缺乏足够的资金，未能完善、弥补这些不足。因此，加大对医院的资金投入，配备功能健全的杀毒软件是必不可少的，不仅能够有效的防范系统面临的病毒危害，还有助于确保医院网络与医疗信息的准确性与严谨性；另外，选择质量过硬且有严格保障的设备，切忌因硬件的缺陷而造成医院正常系统功能的无法运转；还要对医院的网络中心机房设置防雷电装置，保护医院的网络服务器，安装防火墙以严防外来病毒的入侵。

（二）加强安全管理体系建设，确保医院信息安全

首先是确定人员责任，培养安全意识与习惯，灌输安全理念，进行相关信息安全培训，尤其是提高信息中心网络管理与技术人员的安全管理技术，使用先进网络管理软件与安全软件，对网络和安全设备进行合理有效的配置与管理，确保整个系统的安全。

其次是建章立制，医院安全管理体系建设由医院信息主管部门牵头设计、制定。要健全信息安全管理制度、系统权限管理制度、数据库管理制度、机房管理制度等基础安全管理制度；没有基本制度，就无法规范信息管理过程中的各种操作、行为，必然会存在更多的安全隐患，有了制度关键是执行，强化有法可依、有法必依、执法必严、违法必究，在管理层面上杜绝安全隐患和威胁。

（三）实行网络访问控制和网络区域分离

一是实行网络准入控制，部署统一的管控平台，实现各类安全产品的管理，其实现的功能包括安全域内的身份认证、权限控制、病毒防护和补丁升级，各类安全事件信息的收集、整理、关联分析，安全审计、入侵检测和漏洞扫描等；二是网络的区域分离，对各子域之间互联可通过边界防火墙或者ACL访问控制列表方式实现访问控制，核心业务区的各个业务子系统之间采用VLAN、防火墙等方式进行隔离，VLAN间应通过ACL进行访问控制；网络连接控制，汇聚交换机上配置ACL访问列表，实现针对内部系统的访问行为进行控制。

加强病毒防范

（四）对于病毒的防范，仍以杀毒软件为基础对防治病毒采取以下解决方案：对内部局域网中的医疗网络系统与外部网络系统进行物理分割，封闭医疗网络系统中所有对外接口，防止黑客、外部攻击，避免病毒的侵入;检查病毒出现的科室，对违规使用U盘或其它介质的科室进行登记并进行相应处分;分析出现的病毒，已知的并可以控制的则进行杀毒，未知病毒通过上网查询等方式找到解决方案;对于危害较大又暂无有效手段消灭的病毒，将其送修理室格式化并重装;拟引进一套内网安全防范软件，对各客户端进行实时监控，帮助分析和解决网络的安全隐患。

作者简介：白华国，男，1976年12月生，临朐人。现于临朐县中医院工作。