浅谈医院信息系统与网络安全的管理与维护

杨华英 莫智亭

（1.西藏自治区人民医院；2拉萨市人民医院，西藏 拉萨 850000）

医院信息化是医院现代化管理的基础，它是指利用计算机、网络、通信和数据库等信息技术“对传统医院管理模式重新规划、定位和标准化、规范化过程”，是提高医院管理水平、医疗服务质量和社会经济效益的有效手段。[1]

1 医院信息系统与网络的关系

医院信息系统是指利用电子计算机和通讯设备，为医院所属各部门提供对病人诊疗信息和行政管理信息的收集、存储、处理、提取及数据交换的能力，并满足所有授权用户的功能需求，主要包含医院信息管理系统HIS、医学影像存档与通讯系统PACS、医学实验室信息系统LIS、电子病历系统EMRS 等系统，系统之间具有数据交互多、数据量大等特点。

当前，科学技术迅猛发展正逐步改变着人们对身体健康状态的认识，给人们生活带来便利的同时，人们对医院医疗服务质量也提出了较高要求。为适应社会发展需要，医院在提升自身管理的同时，加快了信息化与传统管理融合发展进程，大力推动了医疗网络信息系统应用的快速发展。网络信息系统以计算机平台为载体，在大数据、云计算、移动互联网等信息技术的融合下，实现了医院管理与现代信息技术的高度融合。[2]

2 医院信息系统与网络安全现状

医院在加快传统管理服务模式与现代网络信息系统融合发展过程中，虽然设置有信息管理部门，在网络运行管理中除了自身部署的防火墙、交换机、入侵检测系统和入侵防御系统等之外，也引入了网络安全厂商的安全产品，利用网络安全策略，一定程度上阻止了较大部分的网络攻击。但随着信息网络技术的高速发展，网络攻击手段繁复多样，敌对势力从未放弃对我国的发展和人民的福祉进行一系列的颠覆和破坏活动，医疗系统特别是公立医疗系统作为我国重要的公益事业组成部分，面临的黑客侵入、信息泄露等风险形式愈加严峻。医疗部门要高度重视网络安全面临的严峻形势，及时做好网络各方面安全保护工作，确保信息安全。

3 医院信息系统与网络安全存在的问题

3.1 设备老化更新换代不及时

一是电脑主机及相关配件普遍老化严重。在公立医院中，部分一线医护人员仍存在着只要干好自己本职就行的懈怠思想，很少主动考虑怎样改善自己的办公环境和工作环境。在电脑硬件和系统方面，不管什么原因造成电脑系统运行不畅或断网等问题，医护人员更多地想到请医院维护人员第一时间到场维修，往往容易影响工作的效率和质量。在实际运用过程中，使用者对于电脑系统使用知识缺乏，对电脑硬件影响电脑软件运行的相关知识不了解，不能在遇到问题时及时找出原因。资金保障不能及时到位，公立医院作为公益性事业，在有限的资金情况下，大部分资金用于采购医院紧缺的医疗设备（如CT、MR 等），用于采购电脑硬件的资金很有限，造成部分科室电脑不能及时更换，使用期限达7～8年。

二是网络运行设备更新换代不及时。网络运行设备作为医疗系统动脉血管，血管的容量及传输数据的速度决定了系统运行的速度和畅通，随着医院医疗系统的不断完善及更迭，网络运行设备在资金缺乏的情况下不能及时随着医院医疗系统的发展而同步换代，日积月累就会导致设备容量不够以及设备运行速率不高的问题。西藏作为祖国边陲，目前教育水平仍处于全国下游，设备维护方面存在缺乏技术人员及技术人员素质不高等客观问题，接受新技术速度较慢。在日常工作量大的情况下存在懒惰思想，认为只要不出问题即可，没有主动去预防问题的出现。培训力度不够，即使医院每年都有外出培训学习机会，但由于缺乏相关技术人员，为保障医院医疗系统正常维护工作，也只能安排少数技术人员参加培训学习，仍有部分技术人员的知识未能及时更新。

3.2 医院网络区域划分不合理，存在安全隐患

医院网络存在网络区域划分不合理的现象，医疗业务与医技业务没有区分开，没有充分利用网络资源，特别是PACS系统的图片数量多、存储空间需求大，怎样合理分配服务器资源及调取服务器路径等问题很大程度上影响着医技医生对整个系统使用的满意度。同时，网络区域划分不合理，会造成需重点保护的数据和普通数据无法区分开，存在数据泄密的风险。

3.3 服务器弱口令及补丁更新不及时

服务器的管理对网络安全特别重要，常常出现的网络攻击不只是针对单个电脑主机，而是针对性攻击医院网络的核心设备造成网络瘫痪，影响医院的医疗业务，进而给医院造成巨大的经济损失和不良的社会舆论。常见的服务器管理问题更多地体现在服务器弱口令及补丁更新不及时，给黑客的攻击提供了可乘之机。

3.4 网络安全管理不到位

网络安全管理的不到位，主要体现在没有标准的网络管理工作流程及管理标准文档，在平时的网络维护中是否建立网络管理维护文档，对于入网设备是否具备网络安全的标准，是否建立了网络安全档案，是否定期进行了网络安全风险检查。针对上级网络安全部门的检查是否做到及时整改，达到网络安全等级保护的标准等问题。

4 解决方案及建议

4.1 及时更新科室计算机及医院网络设备

针对计算机老化及网络设备更新换代不及时，建议医院将每年收入固定一部分用于医院医疗设备和业务科室计算机等设备的维护及更新，报废标准由财务科联合信息科根据《行政事业单位国有资产管理办法》计算机等设备实际使用情况制定《医院办公及网络设备报废标准》。

在考虑经济成本和使用性能的前提下，根据设备的使用需求、安全性及牢靠性等要求分批次、有计划地进行更新换代，以保障医疗业务日益增长对网络安全性、网络速率及接入设备数量增加等需求。

4.2 根据医疗业务规范划分医院网络区域

应根据医疗业务规划网络区域，进行网络资源分配及数据加密存储和解密提取。针对PACS 业务和LIS 业务，划分为高速率VLAN 区域；针对普通医疗区，划分为中速率VLAN 区域；针对普通办公区域，划分为普通网络速率VLAN 区域，并合理使用无线网络接入技术，解决医院的移动医疗设备和医务人员手机等设备的上网需求。

4.3 修改服务器密码，及时更新服务器补丁

针对服务器弱口令及补丁更新不及时问题，加强密码复杂度并定期更换密码，做到专人专用，确保密码不外泄；定期检查服务器系统版本、更新服务器补丁，防止黑客攻击有迹可循。

4.4 加强网络安全管理，建全网络安全管理机制和标准，加强网络安全人员培训

加强网络管理，需要制定行之有效的网络安全制度和标准，建立网络维护工作文档，做到工作有痕迹，维护有记录。定期对网络安全人员进行专业知识培训，并建立医院信息系统维护知识库，通过知识库的建立，实现知识的有序化，方便知识的检索，提高知识的传播和共享程度，提高工作人员的技术水平和维护效率。[3]

5 总结

在医院系统运行维护工作中，网络安全维护工作任务重、难度大，必须加强网络安全管理，落实网络安全责任制，合理运用网络安全厂商的安全防护产品做好医院网络安全维护工作，做好医院信息系统运行保障。