医院信息化建设中的安全隐患与对策

龙海

（菏泽市中医医院，山东 菏泽 274000）

近年来网络和信息化技术高速发展，相关技术和应用日益成熟，信息化深入各行各业，医院信息系统已经成为了一个现代化医院不可缺少的基础设施。医院信息化系统带来的便利越来越多，医院对信息化系统的依赖越来越重，于是，保证其能够安全正常运行、不间断服务已成为十分重要的任务。现就菏泽市中医医院在信息化建设中遇到的安全隐患及相关解决对策阐述如下。

1 安全隐患

目前，影响医院信息安全的因素有很多种，既有技术方面的因素，又有人为方面的因素。作为运行在医院错综复杂的环境中的信息化系统，可能导致其出现安全隐患的来源可以总结为以下几种:

1.1 机房及服务器 作为医院信息化系统的中枢，中心机房及其中放置的服务器的安全是至关重要的。医院信息化系统的核心数据全部保存于服务器中，机房位置选择不合适，内部温度、湿度不适宜，粉尘问题，供电不稳、设备老化等都会为服务器的正常工作带来安全隐患。

1.2 软件及网络 医院信息化系统的软件有操作系统软件、数据库软件和业务软件等。软件的稳定运行是保证整个信息化系统正常运做的前提。操作系统是管理和控制计算机硬件与软件资源的程序，作为软件程序，操作系统也不可避免地存在安全漏洞，因任何其他软件都必须在操作系统的支持下才能运行，所以当其毫无保护的置于复杂互联网中，这些漏洞就可能会被黑客利用并进行攻击，导致灾难性的后果。而医院信息化系统的数据软件中则存储着所有关于患者诊疗记录和医院经营管理等私密数据，一旦遭到篡改、丢失或泄露，不但可能使系统崩溃数据丢失，还会使医院管理混乱，患者隐私泄露，给患者、医院乃至社会带来难以估计的恶劣影响。在医院信息化系统中常见的HIS，LIS,PACS等软件都属于业务软件，其客户端通常安装在医务人员等非计算机专业人士的办公电脑上，它们同样存在着安全隐患，木马病毒不但可使业务工作站瘫痪，影响工作效率，还能通过被感染终端电脑上的业务软件进而感染服务器，给操作系统和数据库带来风险。

1.3 规章制度不健全及人为操作 信息安全相关规章制度的缺失或实施不到位[1]，使操作人员缺乏足够的信息安全知识和意识，会为医院信息化系统埋下安全隐患。缺乏足够安全意识的操作员往往会有不良的操作习惯，如随意下载安装来源不明的软件或使用来路不明的U盘、移动硬盘等外接设备，这样很容易使系统暴露在感染木马和病毒的风险中。在日常操作中，也经常会出现因人为操作失误而导致的不良后果，像信息管理人员操作数据库时粗心删除或覆盖了数据字段、更改重要配置的时候忘记前提做好备份并造成瘫痪等。此外，服务器操作系统、数据库，无线网络甚至是业务软件账号的弱密码或长期使用一种固定密码等都会给信息安全带来威胁。

2 对策

2.1 改善机房环境 良好的机房环境是保证信息化系统稳定运行的前提，首先机房应该尽量选择在相对独立的区域，避免在地下或者顶层，远离水源、强噪音源、强振动源和污染源；避开产生粉尘油烟、有害气体和强磁场的干扰源。要对机房内的温湿度有严格控制，空调能够做到恒温恒湿，如室内温度控制在20℃～25℃，相对湿度为45%～65%。机房内要实时保持清洁，进入机房需换专用拖鞋或配带鞋套，平时除专业人员必要的巡检维护外，尽可能减少人员进出，做好防虫防鼠工作，同时需安装避雷设备以防雷击；在机房供电上，应当采用两路供电系统，并配备两套至少可连续供电10小时的UPS电源，以防止因突发停电或其中一组UPS出现故障而导致服务中断[2]。

2.2 保障服务器的正常运行 服务器等硬件设备是信息化系统的核心部件，保证服务器的安全至关重要。为确保服务器的安全稳定可靠的运行，专业人员的日常巡检必不可少，检查各个设备的工作指示灯状态是否正常，电源数据线缆等插口是否有松动，内存占用、硬盘空间和CPU使用率等工作参数是否正常。通过对服务器、交换机和路由器的日常巡检，尽力做到防患于未然，即使出现问题，也会早发现早处理。同时医院应做好双机热备，在其中一台服务器出现故障的情况下，服务也可以在不影响医院信息系统正常运行的前提下瞬间切换至另一台，最大限度的降低硬件故障导致的医院信息化系统瘫痪。

2.3 保障操作系统与数据库的安全 医院信息系统的操作系统和数据库的安全是医院信息系统安全的核心，它们存储着医院多年积累下来的医疗数据，是医院宝贵的资料和财富，若任何一个操作系统内的数据库被篡改、窃取或丢失，后果都是灾难性的。保证其安全首先要加强对用户名和密码的管理，一旦用户名密码被泄露、窃取或破解，黑客就可以随意进入到数据库中进行增、查、删、改，其他任何防护措施都会失去保护作用。因此，服务器操作系统和数据库应定期更改密码，密码格式应为包含大小写、数字、特殊字符、长度最低不低于八位的复杂密码。其次应当建立完善的数据备份容灾体系，制定数据备份与恢复制度，重要数据实时备份，其他数据定期备份。定期利用带库等大容量存储设备对数据做备份并异地存放，已防中心机房出现灾难性事故，把可能出现的风险降至最低。

2.4 网络访问控制安全 随着互联网技术的成熟和大数据时代的到来，区域医疗和医联体成为目前发展的趋势，使医院信息化系统不仅仅只运行在内网中，这势必对信息安全有了更高的要求，为了保证数据的安全，必须强化计算机网络的安全防御体系。通过防火墙、堡垒机、IPS和防毒软件等多种安全策略，或保护网络设备不受外接攻击，或主动针对已知攻击行为检测，使用多种技术手段提高网络的安全性与可靠性。

2.5 严格控制业务计算机 通过物理隔离的方式，严格实施业务计算机的内外网隔离，对加入内网的计算机要进行严格的控制，为每一台计算机按MAC绑定固定IP并记录日志，通过网管软件使未经过管理人员认证的计算机无法联入内网，保证网络资源不被非法访问和使用。运行在内网上的计算机的软件必要由专业人员统一安装并配备杀毒软件，关闭所有内网计算机的软驱光驱，并采用行为管理软件对U盘，移动硬盘打标签，使来历不明的U盘硬盘等外接设备无法在内网计算机上运行[3]。内网计算机不得安装其他任何与工作无关的软件，需要拷贝不确定来源的文件或第一次安装的新程序一定要进行仔细的扫描查毒，并且定期更新杀毒软件，给操作系统打补丁，确保业务计算机安全稳定的运行。

2.6 健全医院信息化安全制度 健全医院信息化安全制度是很有必要性的，信息安全不仅仅是技术问题，也是医院管理问题，随着信息化进程的逐步深入，这个问题也愈加突出。医院信息化系统的主要用户是医院的医护人员，他们并非计算机方面的专业人士，对信息安全的理解程度较为欠缺，所以需要健全信息化安全制度来树立全员的安全意识。通过必要的信息安全相关的知识技能培训提高安全防护能力；加强培训制度建设，约束不规范操作行为，使安全隐患防患于未然[4]；并定期进行信息安全演练，以在出现各类安全事故时能够及时准确迅速的处理问题。

综上所述，随着信息化的进一步发展，我们在享受到信息化便利的同时，信息化建设中遇到的安全问题也越来越多。因此，加强网络安全防护，预防安全隐患的发生，使医院信息化稳定运行的根本保障。

[1]林伟权.浅析医院信息网络建设与安全[J].中国科技博览,2012,(14):152

[2]左慧.医院信息网络系统安全策略与维护[J].江苏科技信息,2011,(3):28-29

[3]韦春丽.论述医院信息网络建设与安全管理技术[J].网络安全技术与应用,2015,(2):142,144

[4]何磊.试论新环境下医院信息网络系统的安全管理策略[J].通讯世界,2015,(22):19-20