“互联网+医疗”背景下的医院信息安全管理措施探析

冯雅娴　杨顺心

[摘要] 当下“互联网+”对人们的生活影响越来越大，在这种背景下的医院信息安全管理问题也开始被人们重视起来，目前的医院普遍存在着信息安全管理重视程度不足、医院信息安全管理责任不明确、医院信息安全管理考核体制不健全、医院信息安全应急预案制定不完善、医院信息安全技术保障不到位等问题。提出“互联网+医疗”背景下的医院信息安全管理中需要积极采取各种有效措施来应对外来攻击、从内部提升信息安全管理。

[关键词] “互联网+医疗”;医院;信息安全管理

[中图分类号] R19 [文献标识码] A [文章编号] 1672-5654（2019）02（c）-0167-03

Analysis of Hospital Information Security Management Measures under the Background of "Internet + Medical"

FENG Ya-xian， YANG Shun-xin

Peking Union Medical College Hospital， Beijing， 100730 China

[Abstract] The current "Internet +" has a greater impact on people's lives. In this context， the issue of hospital information security management has begun to be paid attention to. At present， hospitals generally have insufficient attention to information security management and hospitals， the responsibility for information security management is not clear， the hospital information security management assessment system is not perfect， the hospital information security emergency plan is not perfect， and the hospital information security technology guarantee is not in place. Therefore， in the context of "Internet + medical"， hospital information security management needs to actively take various effective measures to deal with external attacks and improve information security management from within.

[Key words] "Internet + medical"; Hospital; Information security management

隨着时代的发展，在新闻媒体和社会经济生活中，“互联网+”逐渐成为一个时髦的名词，“互联网+”主要是传统行业与互联网相结合的一种有效方式。在这种背景下，人们的生活发生了很大的变化，也改变着医学领域，利用互联网技术服务于传统的医院挂号、缴费、取报告单、预约检查、处方查询、费用查询、远程医疗等医疗活动，实现线上线下的有效结合。“互联网+医疗”模式带来方便的同时也带来了很多的问题，尤其是医疗信息和数据的安全问题显得越来越重要[1]。医疗机构和企业的数据库中，从病人的病史、治疗记录，到消费信息、医院资产量等极为重要的数据都具有商业价值，外部人员通过入侵盗取信息资料能够获得勒索赎金，一些内部人员也可以贩卖信息从中获益，所以在“互联网+医疗”模式下，特别需要注意医院信息安全管理问题。

1  互联网+医疗背景下医院信息安全管理面临的形势

1.1  信息管理系统性增强

互联网是一场服务革命，“互联网+医疗”的目的就是要让用户享受到最便捷的服务，在这种背景下传统的医院信息和服务资源会被重新整合，出现一个一体化的服务平台成为必然。随着互联网信息化、智能化的发展趋势，在一些医院系统内部，往往会集合诸多科室和管理部门成为一个整体平台，系统性是当前很多医院内部信息处理的重要特征。在这种背景下一些医院的信息安全管理系统化运作越来越普遍，信息的传递和管理中的安全问题越来越凸显，往往一个环节出现问题就可能连带整个系统走向崩溃。

1.2  信息管理的复杂性增强

信息管理的复杂性主要是现代医学的精细化导致的，医院的各子系统需要不断接受外部的信息，并不断进行信息交流和交换，加上医院内部的信息传递的层级要求、设备的不断更新升级，在这种情况下，系统面临着日益复杂的内部和外部环境。随着医院内部科室的细化，医院就诊人数的增加，其信息安全管理复杂程度日益变高，没有良好的信息管理技术和制度，是难以保证系统的有效运转。

1.3  信息安全动态性凸显

信息时代很大的特征在于变动性，信息流、人流、物流等是如此[2]，对于医院信息而言更是如此。医院每天都会产生诸多的信息，医院信息管理系统的流动性比较大，一些诊疗信息、个人身份等信息因为个人就医情况的变化、各种失误更正和信息升级在不断地处于变动中，医院的内部的各个科处室也需要不断地对信息进行调配，内部产生各种信息，这些都会导致信息安全动态性凸显。

1.4  信息安全涉及范围变广

以往很多医疗系统也有自己的数据库，但是这些数据库的涉及面比较窄，安全性也比较差，很多数据库建立之初并没有考虑到会联结到互联网，在“互联网+医疗”时代到来之后，一个医疗机构不可能关起门来进行服务，需要在医疗机构、市民和政府社保局之间共享各种信息，一些相应的信息和记录都可以通过物联网设备和网络云服务查阅，而且信息和数据越来越精细化，信息安全的涉及面开始骤然加大，如何在这种背景下保护信息安全开始成为一个问题。

2  互联网+医疗背景下信息安全管理存在的问题

2.1  医院信息安全管理重视程度不足

信息安全管理事关医院的经营命脉，但是与医疗器械采购、提高服务患者的满意度等问题相比，受重视程度仍然不够。信息安全管理的效果相对隐性，短期内不会有明显的效果，不能引起管理者的足够重视。

2.2  医院信息安全管理责任不明确

信息建设和安全管理事关医院机密，涉及医院运行、相关个人资料等信息都可能被存储在信息系统中。医院方面往往认为信息安全是医院信息管理部门的职责，缺乏对一般的医师、护士、管理人员等人员的信息安全教育、管理和责任划分，对于安全信息记录、安全知识掌握等方面的规定不详细，千篇一律。

2.3  医院信息安全管理考核体制不健全

长期以来信息安全管理没有得到足够的重视，一些信息的制度得不到有效的遵守，对有信息查询权限的人员没有严格履行登记制度和监督制度。很多医院的服务器在机房托管，机房进出人员较多，内外网混用，一些制度成为了摆设。信息安全管理考核体制不健全，没有有效的惩罚机制和监督机制。

2.4  医院信息安全应急预案制定不完善

在互联网背景下，智能化的设备运转及软件管理成为常态[3]，任何组织都不能够保证自己不会出现信息泄露的事故，设置信息安全管理应急预案成为必需，但是大多数医院对此还没有制定有针对性的预案，或者只是为了进行检查，有关设备采购、资金拨付等问题也没有落到实处，这样容易在突发信息安全故障时难以有效地配合。

2.5  医院信息安全技术保障不到位

医院信息安全不仅仅是一些人为的泄密或者盗窃等，还有可能是一些其他的偶然性因素或者外在自然因素造成的信息失效等，比如一些医院信息平台或者机房部分电池组没有报废，仍在混合使用，没有单独的机房发电设备，机房防雷电等安全措施缺乏，造成信息安全保护的保障性不足，也没有组织相关的人员进行完备的网络安全管理制度的学习，提升信息安全使用者的应用能力，都会对网络安全造成隐患。

3  互联网+医疗背景下的医院信息安全管理策略

3.1  应对医院外来攻击的防控举措

3.1.1 控制医院信息安全访问  医院方面必须重视信息安全程度的建设，通过分析和扫描的方式进行病毒的检测和清除，安装一些保密级别比较高的杀毒软件，注重网络病毒的防范。医院还应该加大网络设备安全强度，防止网络硬件设施受到损害，建立一个安全的管理环境，控制内部和外部用户对医院网络的损害，对用户的身份进行验证，防止用户进行不当操作，如果用户不具备操作权限，则应该限制用户的行为。还要具备基本的防止黑客入侵的安全防护设备，实时查杀病毒及阻止病毒侵入，阻断有可能涉及到网络安全的异常行为。

3.1.2 完善风险评估机制  信息安全风险评估是对信息系统中不安全因素进行预判，可以及时发现系统存在的缺陷、漏洞，目前医院信息安全风险主要集中在技术层面与人为因素两大方面，医院要成立专门的考核小组，积极制定安全监测计划和方案，加大人员信息安全管理力度，细化行为规范，对系统的硬件基础设施、网络结构与网络环境、信息存储备份、网络安全监测以及信息应急预案等方面进行认真测试排查与考核，由于医院主要是医疗机构，信息技术层面相对较弱，可以与专业的安全服务公司合作。

3.1.3 建立分级保障应急预案  在医院日常地运行中必须对信息安全管理应急预案建立分级制度，发现保存数据失败、不能访问数据库等问题就要立即汇报，根据故障严重程度进行处理。同时还要结合临床科室情况制定应急预案，根据自身科室特點进行详细登记，对启动应急预案的时间、相应的替代方案、故障恢复后的补录环节等等进行规定并保证每一个员工都熟悉。为了防止可能发生的信息安全事故，在不影响医院正常业务的情况下组织应急演练，确保落到实处。

3.1.4 做好信息安全监测  医院应该加强用户对软件、硬件设备的监控，科学安排，分析设计中出现的拓扑结构、数据通信服务、结构化布线系统、网络软件，实现最佳组合，节约资源，减少安全风险。在信息安全的管理中，要积极的严格按照标准化机房进行建设，如基于系统安全的防护设备，采用双电路供电线路，增设发电设备和防雷电装置，拒绝使用无线路由器，杜绝内外网混用。同时对影响信息系统安全的脆弱性因素进行深入检查，实时发现并记录各种敏感信息和违规网络行为，为信息整体安全策略的落实提供权威可靠的支持。

3.2  从内部提升信息安全管理措施

3.2.1 强化组织和制度建设  医院要建立信息安全管理制度，保证机构统一、规划统一，增强系统的集中整合力度，健全信息管理工作的各项规章制度，使信息工作有章可循。不断完善机房、软硬件设施、安全设备，打破各部门界限，通过管理规定、技术运用等各种方式、方法，实现内部的一体化工作和重视，改进管理模式中的信息彼此独立和业务完全分离的现状，努力提高系统的防御安全能力和系统的制度管理水平，为民众需求提供一体化的信息服务，通过创新引导管理和服务。

3.2.2  加强信息安全监控考核机制  医院必须严禁内部职工擅自修改计算机网络配置，盗用他人密码和IP地址上网，严禁计算机使用者擅自安装非办公软件，信息部门做好每天的信息巡查比如网络攻击的监测、预防，网络计算机病毒的预防和清除，有害信息的清理、记录、备份以及上报。应该积极落实好各种保密措施，比如信息网络系统须按要求备份;凡涉密的公文须使用涉密计算机进行文字处理;处理涉密计算机故障时，必须由专人监控;涉密信息不得存储在非涉密存储介质内等，严禁私自外借文档。医院要制定信息工作发展规划，备好信息管理工作所需的软、硬件，经常性地进行督促检查，检查内部的隐患，完善内部管控，防止一些重要的信息资料泄露。

3.2.3 加強安全知识业务培训工作  医院必须从可持续发展的角度来推动信息安全培训，医院人力资源部门应制定信息安全培训计划和人才招聘计划，应精心安排培训内容，整合与信息安全管理有关的专业知识。培训内容也要结合员工的实际，多听听他们的要求，同时也要循序渐进，对员工信息安全知识水平定期进行考试，其结果与奖金等挂钩等策略都是比较有效的方式。

总之，随着当下人们对于健康问题的关注，医疗行业正在快速发展的时代，为广大群众提供更为便捷的医疗服务，这是互联网时代的使命，也是“互联网+医疗”成功的重要原因。互联网+医疗并不是完美的，其在快速发展的同时也会遭遇很多的安全问题，通过增强信息系统安全性，保护好企业和个人的信息，让群众对互联网医疗建立信心，是一个刻不容缓的问题，也应该成为未来“互联网+医疗”的发展方向，有关这方面的研究也希望更多的研究者参与进来。

[参考文献]

[1]  朱劲松.互联网+医疗模式：内涵与系统架构[J].中国医院管理，2016，36（1）：38-40.

[2]  任俊方，江杨岗.发展“互联网+”医疗的思考[J].医学争鸣，2018，9（2）：57-59，63.

[3]  赵大仁，何思长，孙渤星，等.我国“互联网+医疗”的实施现状与思考[J].卫生经济研究，2016（7）：14-17.

[4]  Hossein Ahmadi，MehrbakhshNilashi，LeilaShahmoradi，et al. Hospital Information System adoption： Expert perspectives on an adoption framework for Malaysian public hospitals[J].Computers in Human Behavior，2017，67.

[5]  Kathryn Parsons，Dragana Calic，Malcolm Pattinson，et al.The human aspects of information security questionnaire（HAIS-Q）： two further validation studies[J].Computers & Security，2017.

[6]  Adéle da Veiga，Nico Martins. Defining and identifying dominant information security cultures and subcultures[J].Computers & Security，2017，70.

[7]  Duy Dang-Pham，Siddhi Pittayachawan，Vince Bruno. Applications of social network analysis in behavioural information security research： Concepts and empirical analysis[J].Computers & Security，2017，68.

[8]  Duy Dang-Pham，Siddhi Pittayachawan，Vince Bruno. Investigation into the formation of information security influence： Network analysis of an emerging organisation[J].Computers & Security，2017，70.

[9]  Kathryn Parsons，Dragana Calic，Malcolm Pattinson，et al.The Human Aspects of Information Security Questionnaire（HAIS-Q）： Two further validation studies[J].Computers & Security，2017，66.