范晓宁
(河北医科大学第二医院 河北 石家庄 050000)
随着信息化管理的日趋成熟,各大医院引入了信息系统软件并将其广泛应用于日常工作。近年来,一些信息安全事件的发生引起了人们对信息系统安全性的思考,信息系统的安全性主要在于软件的安全。下面将对医院信息系统软件的安全管理与维护进行阐述。
目前,信息系统已成为医院开展医疗服务的主要途径,系统软件的安全管理越来越重要。一些医院的信息系统沿用以前的开放网络操作系统,有一定的安全风险。近年来,医院网络规模逐步扩大,信息系统覆盖了医院日常工作的方方面面,如病人看病就诊、账单结算、后勤物资、医护管理等。如果医院信息系统软件突然出现问题,那么将可能导致整个医院陷入混乱,甚至造成严重的医疗问题和巨大的经济损失。因为,病人的治疗记录都存在系统中,如果有关数据被无意破坏或恶意篡改、泄露,将会造成严重的后果。此外,一些侵害信息的行为(如病毒入侵、黑客攻击、网络垃圾增多、信息盗取等)使当前的网络环境变得错综复杂,信息系统的安全性降低。2016年,有不法分子窃取了275名艾滋病患者的个人资料并将其卖给诈骗人员。2018年,新加坡各医院遭到网络安全攻击,不法分子盗取了150万名病人的身份信息、家庭住址、工作单位等隐私资料,造成了严重的后果。诸如此类的案例还有很多。这些非法行为不但侵犯了患者的个人隐私权,而且严重威胁到医患关系。值得肯定的是,它给人们敲响了警钟,使越来越多的人关注医院信息系统软件的安全问题,从而促进医院信息系统软件安全管理和维护的加强。
一般来说,系统软件的使用寿命是比较短的。医院若想延长软件的寿命,就必须加强人员管理,做好信息系统软件的日常维护工作,从而保证医院数据的安全。具体来说,医院信息系统软件的安全管理与维护可以从以下两个方面来进行。
目前,医院信息系统软件还离不开人的操作,医院要想管理好信息系统软件,就要先加强对工作人员的管理,强化信息安全观念,规范操作手法,从而提高信息安全管理水平。
3.1.1 增强保密意识
目前,医院工作人员对信息的保密意识还有待提高。医院信息系统软件是由医院各部门人员共同操作的,由于操作人员较多且分散,他们在使用系统软件时很容易出现问题。为此,医院应该定期对工作人员进行相关培训,使其了解信息安全的重要性,提高思想觉悟,尽力避免人为的信息泄露、系统瘫痪等安全事故的发生。另外,医院还要完善奖惩制度,对于那些不利于信息安全管理甚至监守自盗的行为必须予以严厉的惩处,对于那些积极维护系统软件安全管理的行为必须给予充分的肯定和适当的奖励。只有这样,才能逐渐增强医院工作人员的保密意识,使之在潜移默化中自觉遵守信息系统的使用规则。
3.1.2 规范操作流程
随着社会发展,医院信息系统数据库的量越来越大,工作人员在使用软件时也会出现各种各样的问题,信息数据的安全受到了严重威胁。科学合理的操作流程对于提高信息数据的准确性具有重要作用,所以医院必须对即将操作信息系统的每一位工作人员都进行培训,并且要求他们考核过关以后才可以使用系统,这样可以有效地减少因操作失误而造成的损失。在培训时,医院要让操作人员充分理解并掌握信息软件的相关概念及具体操作流程,为他们分析和预测可能会出现的安全问题,并提供解决方案,以确保医院工作的稳定运行。例如,在培训过程中,医院信息系统软件的运维人员一边给工作人员讲解软件操作的相关理论知识,一边在电脑上操作,示范完成后,再让工作人员进行模拟操作,找到操作过程中不恰当的步骤或出现的问题,并耐心地指导他们进行正确的操作,从而解决相关问题。当然,在这一过程中,工作人员需要不断思考,反复实践,尽量找到更多问题,为后面的实际操作做好充分的准备[1-2]。
3.2.1 选用安全性能高的软件
医院是一个救死扶伤的地方,每天24h都在运营。作为医院必备的操作系统,信息系统软件必须一刻不停地运行,这样才能保证医院的正常运作。质量是软件工作的基本保障,所以医院在挑选信息系统软件时首先要考虑它的质量。另外,好的安全监控系统才能防止黑客的入侵,好的售后服务才能保证系统的有序运行。因此,医院在选用系统软件时还应考虑系统软件的安全稳定性和软件公司的售后服务质量,以确保后续工作不留隐患。例如,系统突然出现故障,软件公司的售后人员却联系不上或无法处理这个问题,这都将导致医院信息系统长时间处于瘫痪状态,从而影响医院工作的开展。
3.2.2 重视系统数据的管理
随着信息化技术的普及,医院信息系统每天产生的数据量越来越多,这就要求医院对这些数据进行科学合理的管理。系统数据管理可以分为数据的备份和恢复,这两者在系统运行过程中是不容忽视的。无论系统软件的安全性能有多高,都不能百分之百保证不会出现任何问题。例如,电脑死机、突然停电、自然灾害、黑客攻击等,这些都有可能导致系统出故障,造成医疗数据的丢失。为此,医院必须做好数据备份和恢复工作。具体来说,医院可以购置两台带有自动存储和修复功能的服务器,一台用作信息系统日常运行的主服务器;另一台作为备用机,一旦出现紧急情况,备用机就迅速启动,接替主服务器的工作,以避免数据丢失。并且,这两台服务器在运行时还需不断备份系统数据,在需要时恢复即可。比如,工作人员在异地或需要统计医疗数据时,可以调取已备份数据,快速查询相关信息,从而提高工作效率。总之,医院必须重视系统数据的备份和恢复。
3.2.3 防范各类病毒的入侵
随着科技的进步,计算机病毒越来越多,这些病毒对软件系统的破坏性很强,可能导致软件系统瘫痪,使医院管理陷入困境。所以医院必须高度重视计算机病毒的危害性,强化对各类病毒的防范措施。首先,医院可以构建仅供工作人员使用的局域网,并根据实际需求安装正版、专业的防火墙软件和高效的杀毒软件,如卡巴斯基(Kaspersky Lab)、科摩多(Comodo)、诺顿(Norton)、大蜘蛛(Dr.Web)等。这些软件具有自动防护和查杀普通电脑病毒的功能,对信息系统软件具有一定的保护作用。除此之外,医院必须定期检查、升级或更新软件,以增强信息系统的自我防护能力[3]。医院还可以利用网络处理器来提高防火墙的性能,尽量采用更先进的科技手段,防范各类病毒的入侵,有效确保医院信息的安全。其次,医院要制定严格的病毒防范制度,尽量减少病毒来源。例如,医院必须禁止工作人员随意浏览垃圾网站或下载不知名的插件,禁止非工作人员进入工作区使用医院的电子设备,以避免出现主动接近病毒的情况。一旦发现有人违反规定,就要严格按照制度来实施惩罚。最后,医院可以安装一套用于监管流量情况的入侵检测系统设备。当遇到非正常访问时,该设备会发出警报,此时网络运维人员就可以及时处理,而且可以利用入侵检测系统追踪到攻击者的具体IP地址,甚至找到攻击者,从而彻底解决信息系统软件的安全危机。当然,仅靠防御是不够的,经济宽裕的医院还可以配置具有自动反攻病毒功能的软件。
3.2.4 加强用户的身份认证和权限控制
医院人多繁杂,增加了信息泄露的可能。这就要求医院加强对用户的身份认证和访问控制。身份认证一般采用“用户名+口令”的方式,但这种单一的方式已经不能满足医院信息系统软件的安全性需求,所以医院可以采用身份认证和权限控制并用的方式来加强对信息系统软件的安全管理。例如,在身份认证方面,医院工作人员在填写授权表并获得部门批准盖章以后才能被授权操作信息系统,用户密码必须经常更换,以防止账户被盗用,离职人员的账户必须及时撤销。在权限控制方面,医院可以根据工作人员的职位等级及其需求设置不同的操作权限。数据库是重中之重,所以数据库的使用权限只能由信息系统的核心运维人员和医院高层掌握,但不允许他们对数据库的相关数据做任何改动,数据库的密码设置一定要复杂多变。另外,数据库查询需要获得医院领导层的同意后才能进行操作。当然,医院也可以结合本院实际对这些系统访问控制方法进行适当的调整,使医院信息系统软件更加安全可靠[4-6]。
随着科技的进步,医院信息安全建设取得了一定的成效,但威胁信息安全的因素在逐渐增多,医院信息系统仍存在许多安全问题。对此,医院信息系统软件的安全管理和维护必须得到强化。也就是说,医院必须加强对安全隐患的分析,重视对工作人员的管理和监督,及时发现安全问题并加以解决,采取有效的措施进行防护和反攻,最大限度保证患者的个人信息安全,并确保医院工作能够正常开展。