四川大学华西第二医院 信息管理部 四川 成都 610066
摘 要:随着我国医院信息化建设的不断推进,医院信息化建设在提升医院高效生产和管理的同时,也带来了新的网络安全风险和挑战。本文就当前医院信息化建设过程中的网络安全问题进行了全面的研究分析,并提出了有效的安全防护措施,希望能为医院的信息化建设提供相应的借鉴。
关键词:医院信息化建设;网络安全与防护;研究分析
随着我国互联网技术的日益发展,医院的信息化发展也在持续推进。而当前在“互联网+健康医疗”的发展趋势下,医院在进行信息化建设的过程中,如何做好网络安全规划,建立完善且高效的网络安全防护体系,以保障医院信息系统的稳定运行,实现医院更加高效的生产和管理,是医院信息化建设的重点内容。同时,要想真正做好医院信息化建设,还需要保证医院各个科室与部门之间协调沟通,提升院信息化的工作效率,在做好技术层面的安全防护的同时,也注重人员和管理层面的防护,从而发挥医院信息化建设在管理中的实效作用,建立更高安全等级的网络安全防护体系。
1 医院信息化建设中的网络安全问题
近些年来,随着我国各大医院的信息化建设进程日益加快,医院信息化管理水平也在不断提升。与此同时,国内大多数医院在医院信息化建设过程中存在资金投入不足、人员配置不充分、安全防范体系不健全等诸多问题,使得医院的信息化建设安全性难以得到有效保障。而医院的医疗数据如患者信息、实验数据、病历样本等具有极高的价值,所以越来越多的不法分子通过非法攻击和勒索病毒等方式中断公共卫生服务,向医疗机构索取高额赎金,给医院造成不良影响及巨大经济损失。在医院信息化建设的实践中,医院网络安全所面临的问题具体体现在以下几个方面:
1.1对数据备份不重视
医院信息系统的正常运行是医院业务正常开展的基石,做好数据备份能够保障即使在极端网络安全事故发生时也能最大限度地进行系统恢复,减少网络安全事故对医院生产造成的不利影响。然而当前医院信息系统常见的备份手段大多是基于应用系统本身的本地备份,很少有在系统之外的数据备份方式,但是仅仅靠这些方式来进行数据的备份仍然是不够的,不能更有效地提升医院信息系统的安全性。在面临系统故障或者地震、火灾、洪灾等不可抗的自然灾害时对医院生产运行造成的往往是不可逆转的损害。
1.2缺乏日常网络安全排查
网络安全事故的发生往往是有迹可循的,攻击者或者病毒往往需要经过一段时间的潜伏期,找到安全防护的薄弱点进行系统性地攻击,从而对医医院的信息系统造成损害。因此在医院信息化建设过程中,日常的网络安全排查就显得非常必要。然而医院信息化建设的实践中,运维管理人员往往忽视日常网络安全排查,认为只要系统运行平稳就没有问题,没有意识到随时可能出现的网络安全问题。
1.3安全防护体系不健全
当前互联网技术快速发展的大环境下,各类病毒和网络攻击手段也在不断地发展变化,医院需要做好有效的网络安全防护,建立更加完善的网络安全防护体系,以应对医院信息系统可能遭受的病毒和攻击,从而更好的提高医院的安全防护水平来保障医院生产安全。而大多数网络安全管理人员认为完善的网络安全防护体系是一个可以直接复制粘贴的模式或者架构,而没有结合医院具体实际的基础进行不断完善。
1.4网络安全意识不足
随着医院信息化建设的不断推进,医院信息系统面对的对象不仅局限于医院内部工作人员,也扩展到了医院局域网之外的区域。医院网络安全管理人员的工作重点往往是做好对外防护,而未能及时加强安全管理,存在管理上的意识疏忽和麻痹大意。与此同时,医院工作人员作为医院信息系统建设的参与者,其网络安全意识相较于其他互联网行业从业者,还具有很大的差距,密码弱口令、钓鱼邮件往往成为网络安全事件的重点突破口,相关人员的网络安全意识亟待提升。
2 医院信息化建设中的网络安全防护措施
2.1做好备份管理
一套完整的数据备份管理体系建立需要从网络层、系统层、存储层、应用层、数据层等诸多方面展开,具体包括网络设备配置数据定期备份、服务器操作系统的定期备份、底层存储的高可用与备份、应用系统的高可用与备份以及数据库的高可用与备份。此外,随着医院信息化的发展,异地备份的管理也越来越受重视,它能够减少医院在面临地震、火灾、洪灾等不可抗的自然灾害时对医院生产运行造成的不可逆转的损害。需要注意的是,备份管理并不是一劳永逸的,它还要求医院运维技术人员于与管理人员定期进行数据备份恢复,以验证备份数据的可用性,从而真正达到备份的作用。
2.2加强网络安全排查
在日常的网络安全排查过程中,网络安全排查的重点主要有前端防护设备、出口防护设备、内网流量分析设备等,排查的内容不仅包含设备的可用性检查,还应对设备相关的日志进行定期的分析。前端防护设备如WAF、DDOS等安全设备可以进行互联网业务系统流量筛查,通过安全排查能够及时发现入侵的流量及行为并进行初步对的阻断。出口防护设备如防火墙、网闸等设备,能够对不同安全区域的流量进行转发,通过排查能够对可能的攻击进行再次的拦截,减少安全风险的暴露面。内网流量分析设备如流量探针、态势感知分析平台,能够对内网中的业务流量进行深度分析,时刻关注内网系统间的流量交互并进行记录分析,真正做到业务流量有迹可循。
2.3完善网络安全防护体系
具体而言就是通过不断地进行“补短板”,来实现医院整体网络安全水平的提升。在医院信息化建设的具体实践中,通过构建多层级的网络安全防护体系并结合医院内网资源进行不断地优化,在做好分层防护的安全架构基础上,针对终端安全、服务器安全、数据安全等进行更有针对性的安全防护保障,如终端域控、终端杀毒、终端准入、服务器杀毒、数据库备份等。此外,随着网络安全设备及网络安全技术的更新迭代,新设备及新技术的及时引进也能为医院网络安全体系的建设提供有力的保障。
2.4提高网络安全管理意识
在医院信息化建设当中,网络安全的建设不仅仅体现在技术手段上,更应该体现在管理上。通过建立科学合理的网络安全管理制度,明确网络安全管理的工作流程,并不断培养医院工作人员的网络安全意识,从而切实提高医院的整体安全防护水平。具体来说,医院的管理人员需要根据医院的实际情况制定网络安全管理制度,从而达到制度上的合规和具体工作实践中的有法可依。网络安全运维人员可以根据医院的管理制度进行合理有效的安全运维工作,从而有序开展网络安全运维工作。医院的医护工作人员通过定期的培训和学习,尤其针对钓鱼邮件、恶意网页、弱密码设置等典型安全问题的学习和了解,能够对防护意识的提升和攻防能力培养有很大的作用。
4 结束语
我国互联网医疗模式的全面开展,给医院信息化水平带来了显著的提升,同时也提出了更多的网络安全防护要求。网络安全的防护是医院进行信息化建设的重中之重,只有保证信息安全,才能够真正实现信息技术的高效应用。对网络安全问题进行有效分析,并采取全面的改进措施,提升医院网络安全防护水平,方可有效保障医院进行卓有成效的信息化建设。
参考文献:
[1]吕英华.医院信息化建设中的网络安全防护方式[J].探索世界--最新医学信息文章,2018(35):27.
[2]施高瞻.医院信息网络安全与防范[J].中国现代医学杂志,2018(39):34.
[3]李梦悦,陈敏.基于零信任架构的医院网络安全防护研究[J].基础设施建设与网络安全,2019(01):44.