关于医院信息系统数据安全问题及应对策略

◆李海青

（上海市宝山区中西医结合医院 上海 200941）

医院的信息系统包括HⅠS、LⅠS、RⅠS 等涉及不同领域的业务系统。在这里，我们讨论的医院信息系统只包括HⅠS。医院信息系统的飞速发展也对医院的整体管理水平以及医疗水平的提升有很大的帮助。在医院信息系统中存储的数据包含有患者的隐私信息，病患的诊断信息数据和医院的各类医疗设备使用数据、财务数据以及对病患用药的数据等等，这些数据是医院工作的基础，并且也是非常敏感的数据，若数据遭到泄露，那么对医院和患者都会造成不可估量的后果。

1 信息安全管理中计算机数据库技术应用的意义

（1）可以有效构建数据模型

医院信息系统拥有大量的病历数据以及药品使用的数据，这些海量的数据能够帮助医院构建大量的数据模型，帮助医生更好地对病人进行诊断以及对于用药的掌控。例如对于某一慢性疾病，通过大量的病人的数据来构建疾病模型，病人的数据越多那么对于疾病模型的构建越加精准，这些模型能够对医生诊断病人以及根据病人情况进行准确科学的用药[1]。

（2）可以确保数据信息的安全

当前在一般的数据存储方面，大多采取的磁盘阵列和双机热备技术，但都会使得数据非常冗余并且没有办法替代离线备份。医院可以构建数据信息存储的备份磁盘以及数据备份文件之中，这种方式可以有效防止因为硬盘的物理损害、黑客的入侵以及病毒的攻击和人为失误的因素造成的数据损坏或丢失，使得医院信息系统内的各项数据面对任何意外的情况都能够保持其数据的完整。应用计算机数据库技术能够将大量的信息系统的数据安全地存储在数据库之中，有效保证数据信息的安全，避免因各种意外情况所导致的数据安全问题。

（3）可以有效保障个人隐私

在医院的信息安全管理中，所有进入到医院信息系统的人员都必须用其本人的身份账户进入，并且根据不同的人群会有不同的权限设置。例如登录信息系统后被识别为医生用户，那么信息系统就会授权用户下医嘱的权限，而若是识别为药房人员，那么信息系统就会授权其具有对于药品库存的增减权限[2]。对登录到医院信息系统的不同人群授权不同的操作权限，可以有效保护医院信息数据的安全，避免用户越权操作。针对不同的登录用户授权不同的权限，确保数据库的数据不会被全部访问，保证病人的隐私以及各项敏感数据的安全。

2 优化信息安全管理中计算机数据库技术应用的建议

（1）加强系统的安全性

为确保医院信息系统的安全性，可以为系统提供多路的备份电源以解决临时的断电问题。在机房内可以采用两条或多条供电线路，并将每条线路的电源都接在不同的地方。这样即使其中某条线路电源出现问题，备用电源线路也能够保证服务器与系统的正常运作，避免因断电而对系统产生的危害。采取异地备份的措施来确保数据库中的数据遭受到各种可能的破坏，可以利用光纤或者以太网络定期将数据库里大量的数据传输到异地进行备份。异地备份的数据应当存放在不同的楼栋之间，可以使数据长期存放此处，并且定期对其进行查验，以确保数据的安全准确，保证系统的安全稳定运行。

（2）提升技术的安全性

利用数据库权限控制技术提升信息系统的安全，可从以下两点来提升。一是利用不同的权限管理，用户需首先利用公用的网络连接登录到权限管理数据库中，通过验证后再得到可以登录数据库的登录名与密码，登录后可以自动连接到用户数据库之中。对于所有的权限信息都需要进行数据的加密，对于用户数据库的登录密码必须使用八位数以上且同时含有数字与特殊字符的长密码并定期对登录密码进行更改。采取权限动态分配的方式，对所有登录到数据库中的用户进行严格的身份认证，限制其权限，仅授权其需要的相关业务的权限即可，其他非必要的业务权限全部禁止。并且时刻对所有用户的登录权限进行认证，对于已经辞职或退休的相关工作人员应当立刻收回其对于数据库访问和操作的权限。在动态权限分配中，对于用户权限的授权都是一次性的，仅登录当次有效，退出即刻收回权限。用户的每次登录都应当进行身份认证，通过身份认证后再授予其相应的权限。

（3）提升数据的完整性

对于医院信息系统来说，每天都会收到大量有关病人与药品的相关数据，这些数据在网络中传输时都是小的数据包，并且都是用明码进行网络传输才最后传输到数据库之中。这种传输方式使得黑客可以在传输过程中截取数据，获取数据的所有内容并对其进行修改或删除，造成数据完整性被破坏，也会得到错误的数据。目前市面上有很多商业化的数据库加密的软件，比如Oracle 的应用，它采取了透明数据加密的技术，简称为TDE[3]。这种数据加密的技术能够实现自动化的管理，基本不需要人工的干预操作，全都由数据库自动加密完成，这种加密技术也不需要将其嵌套入已有的数据库与程序之中，能够大幅降低对数据加密的成本。如需加密只需要使用一些比较简单的命令即可对需要加密的数据进行加密，但是也有一些缺陷，对于数据库的加密和解密的过程频繁可能会导致加密列失效，无法正常工作，因此在使用加密前也应当做好对于数据库的测试工作，避免问题的出现。如此才能够真正有效地确保数据的完整性，提升医院信息系统数据安全。

（4）加强技术理论与实践的融合

无论采取何种技术，实践才能够检验技术对于医院信息系统安全的保障是否能够发挥真正的作用。而加强技术理论与实践的结合离不开一支高素质的人才队伍，建设一支高素质高技术的人才队伍不是一蹴而就的，需要掌握大量的技术理论以及经验积累，在培养的过程之中就可以将技术理论与实践进行深度的融合，这样既可以检验技术理论是否可行，同时也可以为技术人员积累大量的实践经验，培养人员的技术实力。对于人才队伍的培养，不仅需要的是技术过硬的操作人员，还需要优秀的主管来对队伍进行培养。这样才能够使得技术理论得到检验，也让人员得到培养，使得医院信息系统安全得到全方位的有效保障。

3 结束语

综上所述，医院的信息系统有别于其他信息系统，存储着大量的敏感隐私数据。随着计算机网络的发展以及数字化医院的建设不断扩大发展，医院数据库所容纳的数据越来越多也越来越重要。要确保医院信息系统中的数据安全，需要从多方面来对医院的数据库进行安全防护工作，构建数据库备份系统以容灾系统和恢复计划，多种手段相互配合，各有侧重，就能够为医院的信息系统构建一个科学合理强大的保护网。并且对于医院信息系统安全的维护更为重要的是人才，有了技术的保障更要有人才的储备，建设高素质高技术的人才队伍对于医院信息系统安全的作用不言而喻。两者缺一不可，才能使得医院信息系统安全稳定正常的运行。