戴宸枭
摘要: 随着“互联网+”概念的提出,互联网思维已经成功渗入到了人们生活的方方面面,甚至连医院系统也被囊括其中。本文以某医院系统为例,详细分析了医院移动接入的应用需求,并对各种移动接入手段的安全风险进行了分析思考,旨在为互联网时代的医院移动接入工作提供帮助。
关键词: 互联网;医院系统;移动接入;安全风险;等级保护
【中图分类号】 R197.3 【文献标识码】 A 【文章编号】2107-2306(2022)10--01
引言
在“互联网+”的时代背景下,基于互联网技术的移动接入使用频率越来越高,并呈现出使用目的多样化、接入线路多样化、接入终端多样化等特征[1]。根据上述移动接入的使用特点,国家在等级保护2.0系统中特别提出了一系列针对性的标准和要求。与金融机构、跨国公司相比,医院系统的规模相对较小、资金投入相对较少,但从系统管理、访问需求、服务对象等方面来看,却是有过之而无不及[2]。故而,本文以某医院系统为例,从接入需求、用户群体、接入方式等方面入手,重点分析了接入方法、接入地点以及安全风险等内容,同时还参照《信息安全技术网络安全等级保护基本要求》开展了对比分析。
1 医院移动接入的应用需求
对大多数医院来说,其接入需求是多种多样的,再加上医院系统具有一定的特殊性,故而可将具有移动接入需求的人员主要划分为以下几类:
(1)患者群体:此类群体在访问医院系统时通常只有两种需求:一是获取医疗信息的需求;二是进行预约、挂号的需求。
(2)医院管理人员:为了处理相关公文,随时了解医院的相关信息,此类群体往往会对医院的信息系统(Hospital Information System,HIS)进行远程访问。
(3)医护人员群体:伴随着现代医疗技术的持续发展,小型化、移动化的医疗设备越来越多,为了向患者提供更加优质、有效的临床干预服务,需要将这些医疗设备与院内相关系统进行有效连接。此外,电子病历、电子巡房等技术在临床中的应用范围持续扩大,意味着临床工作对平板电脑(Portable Android Device,PAD)等移动电子设备的依赖性也越来越高。
(4)远程维护管理人员群体:与发达国家相比,我国的医院信息化研究和实践起步较晚,院内人员数量、技术水平均不能满足实际要求,为确保医院系统的正常运行,需要数据库技术人员、HIS系统开发人员进行远程维护。
2 各种移动接入手段的安全风险评估
2.1 患者群体:
患者群体的移动接入需求主要为医疗信息查询,由于这种操作多通过公众号、网站等渠道,故而本文不做深入讨论。但是针对患者群体的另一移动接入需求——预约挂号,部分医院选择了互联网直接接入的方式,部分医院则选择了本院接入的方式,还有部分医院则是二者兼备[3]。上述移动接入多通过手机终端,并将手机短信作为主要的认证手段,从而降低了分布式拒绝服务攻击(Distributed Denial Of Service Attack,DDOS)的可能性。但是,为防止无线网络干扰或劫持,部分医院在院内接入时还会采用无线网络屏蔽系统。
2.2 医院管理人员:
由于受工作需要、工作特殊性等因素的影响,以院长为代表的医院管理人员常常需要利用HIS系统对相关文件进行审批操作或远程查看医院的运行情况。这种访问方式往往需要借助互联网,再加上地点非固定等因素的影响,常常通过虚拟专用网络(Virtual Private Network,VPN)等方式进行。目前常用的VPN主要包括PPTP、L2TP、IPSec以及SSL VPN等类型。基于PPTP、L2TP技术建立的VPN客户端通常具有认证和加密算法相对薄弱的特征,比较适合安全性要求较低的远程接入用户;基于IPSec或SSL VPN技术建立VPN客户时需要运用有效的认证和加密算法,比较适合安全性要求较高的远程接入[4]。
2.3 医护人员群体:
实现医护人员群体移动接入需求的地点通常是在医院内,为了保证部分移动医疗设备、PAD的正常使用,通常需要接入院内的无线网络。目前,大部分医院在布置网络时会将无线接入内网,虽然这个内网能够与医院的整个内网相互连接,但却不能为患者提供上网服务。由于这种技术手段较为新奇,故而存在较大的安全风险。《信息安全技术网络安全等级保护基本要求》明确指出,无线网关设备作为边界防护基本都有购置。如果通过无线网络接入不受控的移动终端,不但能够实现全网与互联网通信,而且还会严重威胁医院系统的安全。
2.4 远程维护管理人员
由于医疗行业的信息化研究和实践起步相对较晚,再加上人员不足、技术水平较低等因素的影响,难免会在医院系统中使用外来的技术服务。研究指出,外来技术服务公司较多,且存在地点不固定、费用较高等问题,很难通过专线技术手段进行维护[5]。为了便于远程维护人员进行系统操作,很多医院会改掉防火墙,直接在服务器上安装远程服务客户端。如果不能对此采取有效的安全防护手段,所造成的后果无法想象。因此,在开展远程维护服务时,应注意规避远程接入本地位置、验证信息丢失、用户数据被窃听以及无操作记录风险等事件的发生。
3 结语
作为当前的一项技术热点,移动接入会随着接入终端、接入业务的变化持续进步,在互联网时代背景下,医院移动接入形式、业务也会呈现出明显的多样化趋势,为了保证移动互联的安全性,我们应根据《信息安全技术 网络安全等级保护基本要求》提出的新要求、新课堂进行有效改进。
参考文献:
[1] 刘阳,俞准. 网络安全等级保护2.0时代医院管理的方法与对策[J]. 海南医学,2022,33(4):535-537.
[2] 王雪琴,张静,汪卓赟,等. 医院信息共享的伦理风险及对策研究[J]. 中國医学伦理学,2021,34(5):551-554.
[3] 魏帅岭,闫国涛,李星,等. 等级保护2.0下医院网络安全体系的建设与探索[J]. 中国数字医学,2021,16(4):101-105.
[4] 熊志刚,单杰,尚浩. 大型医院互联网业务标准化接入管理应用实践[J]. 中华医院管理杂志,2021,37(8):678-681.
[5] 曾可,朱卫国,张锋. 医院门诊移动电子签名技术的推广实践[J]. 中国卫生信息管理杂志,2021,18(5):665-668,674.