医院信息系统数据安全问题及其应对策略

沈 洁

（江苏省金湖县人民医院 信息科，江苏 淮安 211600）

1 保障医院信息系统数据安全的意义

1.1 建立有效数据模型

医院信息系统里有许多病例和使用药物的数据，大量数据有助于医院建立数据模型，有利于医生有效诊断病人，并且对用药进行掌控。例如针对某慢性疾病，通过大量病例来建立疾病模型，病例数据越多越详细，那么建立的疾病模型就越精准[1]。这些数据模型有利于医生对病人进行诊断，并依据诊断结果科学用药。

1.2 使个人隐私得到保障

为了保障医院信息系统数据的安全，所有进入信息系统人员，都必须利用本人身份账户才能顺利进入，同时对于不同人群会设置不同权限。例如当登录系统后被识别成医生，就会赋予用户关于医嘱方面的权力；当登录系统后被识别为药房，则会赋予用户关于增减药品库存的权力。对不同人群设置不同权限，不仅可以有效保障医院信息系统的安全，防止用户越权进行操作，还可以避免数据库全部展示在用户面前，防止病人隐私被泄露，同时保障各类敏感数据的有效性与安全性。

2 维护医院信息系统数据安全过程中遇到的问题

2.1 医院信息系统内部隐患

医院信息系统内部隐患是指无任何预谋地由于偶然因素导致的破坏信息系统安全的问题[2]。主要包含三方面内容：第一，由于系统研发存在不足，或者使用不恰当导致了系统漏洞，使信息完整与保密性遭到破坏。第二，医院信息非常繁多并且庞杂，但是数据存储必须保持精确性，而当前医院的数据库无法满足此要求，医院数据库很脆弱，一旦破坏就很难恢复。第三，计算机技术发展非常迅速，病毒也随之不断发展，而医院的杀毒软件有其局限性，无法及时杀毒，使信息系统安全得到维护。

2.2 医院信息系统外部隐患

医院信息系统外部隐患则是指由于人为因素（个人或组织）或意外导致的破坏信息系统数据的安全性。主要包含三点内容：第一，一些不法分子出于某些不可告人原因，比如工业、商业目的或军事情报等，入侵与破坏医院信息系统，以获取这些信息。这种入侵与破坏导致了系统瘫痪，或是泄露信息的情况发生，这种人为的破坏已经触犯了法律。第二，由于医院信息系统没有对使用人员进行限制，医务人员大多都可以进入医院信息系统，他们的电脑的安全与否也影响了信息系统是否安全。同时，医务人员并没有经过系统训练，并不熟悉医院的信息系统，他们的某些失误也会导致破坏信息系统安全的后果。第三，自然灾害与电路障碍等外部因素，也会导致医院信息系统的外部隐患情况发生。例如，雷击、地震等可能会破坏计算机信息系统，导致信息丢失和被破坏；使用计算机过程中电路出现障碍也可能导致数据丢失。

3 维护医院信息系统数据安全的应对策略

3.1 对系统安全进行保护

对系统安全进行保护，可以提供备份电源，来应对临时断电。机房安装两条甚至更多供电线路，且将各线路电源设置在不同区域。这样，即使线路的电源出现问题，还有备用电源可以选择，使服务器和系统可以正常运行，防止断电导致的危害系统的状况发生。除此之外，对数据进行异地备份，利用光纤定期传送数据到异地存储[3]。异地备份数据最好是放置在不同楼栋，可以长期存放，并定期查验，保障数据的准确及安全，从而使系统稳定运行得到保障。

3.2 提高管理技术

提高管理技术可以从以下两点来实施：一方面，运用不同权限进行管理。用户需要先利用公用网络，登录权限管理的数据库，待通过验证，才能获取登录数据库的用户名和密码，输入之后才能进入用户数据库里。另一方面，对所有权限信息，都应该加密数据，所有使用数据库的用户，登陆密码应该采用8位数以上，且是含有特殊字符的复杂密码，并且定期更改登录密码。采用动态分配权限方式，严格认证登录到数据库的用户身份，对其权限进行限制，仅授权其相关业务权限，禁止其他一切不必要业务权限。保持对所有用户时刻进行登录权限认证，对已辞职或已退休的人员，应立刻收回其访问与操作数据库的权限。在分配动态权限时，将授权设置为一次性，仅当次登录时有效，一旦退出即可失效，权限就被收回。每次登录时用户都应该认证身份信息，通过后，再授予其权限。

3.3 确保信息系统数据能够完整有效

每天医院信息系统都会收到大量病人和药品相关数据，在网络传输过程中，这些数据都是小数据包，且是采用明码进行的网络传输，最后输入数据库。这种方式便利了黑客在传输时截取数据，得到数据内容并进行修改、删除，导致破坏了数据的完整性，也只会获取错误数据[4]。目前存在许多对数据库进行加密的相关软件，加密技术可以自动化管理数据，基本无需人工操作，全部都是采用数据库的自动加密，在加密时也无需嵌套已有数据库或程序，降低了加密成本。加密时只需要输入简单口令即可实现数据加密。但也有缺陷，过于频繁的加密与解密，可能造成加密列失效，不能正常开展工作。因此在加密前应对数据库进行测试，防止出现问题。这样才能确保医院信息系统数据完整有效，进一步提升数据的安全性。

3.4 加强融合技术的理论和实践活动

实践是检验技术能否保障医院信息数据安全的标准，而加强融合技术的理论和实践活动，就需要建立高素质人才团队，这就需要大量技术理论的掌握和相关经验的积累。在前期培养中应该深度融合技术理论和实践，这样既检验了理论的可行性，也使技术人员进行了经验的积累，提升了人员技术实力[5]。培养人才队伍，既要求有技术纯熟的操作工，也要求有优秀领导进行带领和指导。只有坚持做到这些，才能全方位保障医院的信息系统安全。

综上所述，有序开展医院的日常工作，就需要依赖于医院信息系统的正常运转。为使医院服务能力得到提高，使患者医疗信息安全得到保障，医院就必须对医院信息系统数据安全重视起来。在管理医院信息系统安全过程中，应该以人为本，运用高新技术，采用各种手段对信息系统安全和高效运转进行保障。