研究医院信息系统的网络安全管理与维护

于蒋筠

（江苏省靖江市中医院，江苏 靖江 214500）

0 引言

随着大数据时代的来临，医院管理工作中需要处理的信息越发丰富，因此各大医院都纷纷引进了管理信息系统。医院信息系统通过计算机及网络技术，对医院的物流、财务、人员等方面进行全面管理，将医院产生的各种信息数据收入数据库，为医院的整体运作提供现代化管理，可以显著提升医院的办公效率，提供高质量的医疗服务，并树立良好的医院形象[1]。但在实际操作使用医院信息系统过程中，其安全隐患也逐渐暴露出来，使患者信息、医院信息等核心资料的安全性无法得到合理保障[2]。

1 网络安全管理与维护的含义

网络安全管理与维护是指通过一定的技术手段保护网络系统的软件、硬件和系统数据，确保系统不会因为偶然或恶意攻击而被随意损坏、篡改和泄露，保障系统和网络服务可以持续有效地运行。

2 目前医院信息系统网络安全的实际现状

2.1 存在杀毒软件和系统补丁更新滞后的情况

在业务主机中安装杀毒软件是计算机管理人员的在配置医院信息系统时的常规操作。由于大多数医院规模较大和数据资源库庞大的特点，导致医院信息系统需要大量的主机来维持运行。面对极大的工作量和维护难度，计算机管理人员无法保证所有主机的杀毒软件和系统补丁都随时可以处在最新版本，导致系统网络安全存在漏洞。与此同时，由于计算机技术的限制，任何的系统和软件都无法做到完美无缺。网络随时都存在被攻击的可能，系统漏洞恰恰会被非法用户和黑客所利用，大肆对信息窃取和破坏。

2.2 存在IP、MAC 地址绑定不具有现实意义的情况

在接入层的交换机上将IP 地址和MAC 地址与端口绑定可以避免外来者随意连接院内网络。但此项操作容易导致出现两种安全隐患：一是IP、MAC 地址必须逐台设置，对于主机规模量巨大的医院系统而言，工作量过于庞大，不利于提高工作效率[3]。二是这种保护措施很容易被破解，进而使这种绑定形同虚设。

2.3 IDS 入侵检测系统作用不明显

IDS 入侵检测系统能够对网络传输进行即时监视，在发现可疑传输时发出警报，但无法实现其他功能，导致管理工作效率低下[4]。

2.4 数据库安全审计系统无法做到精准定位

对系统登录者进行访问权限设置可以有效避免数据被随意修改或盗取，但此项操作不能有效防止恶意者蓄意破坏。计算机病毒攻击是导致网络安全存在隐患的重要原因之一，病毒攻击一般分为主动攻击和被动攻击。主动攻击是不法分子有选择地通过技术手段破坏信息的有效性和完整性；而被动攻击是在不影响网络正常工作的情况下，对重要机密信息进行窃取破译。根据历史网络安全事件来看，机密数据的泄漏通常是由针对性的恶意攻击所造成的。数据库安全审计系统是为保护信息安全所设置的保障系统，能够详细记录数据库的各项操作。但在实际工作中可以发现，该系统仅能准确定位到IP 地址，但无法将人机对应，导致无法将责任追究到个人。

2.5 医院内部人员操作系统不专业

根据过往发生的网络安全事件可以得知，大部分安全事件都是由人为因素所导致的。在日常系统使用过程中，常发生医护人员在使用信息系统时因操作不当致使电脑突然断网断电或引发系统故障的情况[5]。当医院内部人员有意或无意地将携带了病毒的电脑设备接入院方网络也会造成对网络的安全造成隐患。此外，管理员违规操作、防火墙设置不当，使用用户网络安全意识缺乏等都是造成的网络安全漏洞的因素[6]。

3 医院信息系统网络安全管理与维护的需求

3.1 网络安全对身份验证和访问控制的需求

系统在进行身份验证设置时，应根据操作者的角色级别和用户类型等多方面考虑其是否需要验证，并根据不同的情况设置不同的验证方式。访问控制是网络安全管理的关键控制环节，需设置严格的条件约束，从源头上确保医院信息系统的登录安全[7]。

3.2 网络安全对信息资产的需求

对于医院信息资产的安全管理应包含两个层面，即硬件和软件。从硬件上，应保证存放信息资产的设备处于安全的环境中，并注意保证各种核心设备充足，随时可以更换。软件上，应保证操作系统和应用软件安全可用，使用户端的启动和运行都在安全的网络环境下进行。

3.3 网络安全对网络通信的需求

医院信息系统需要做到实时对网络数据流进行动态监控。屏蔽高风险的网络行为，做到监测到安全隐患后可以判断，安全问题出现后可以自动处理安全事件。及时对系统故障进行预警，提高防范网络风险事故的能力，保证网络通信的安全可靠性。

4 医院管理信息系统硬件设施的管理与维护要点

4.1 对中心机房的管理和维护

医院信息系统的核心重镇是中心机房，做好中心机房的维护需要确保的首要条件即是确保中心机房的环境。中心机房应时刻保持整洁干净，需要配备专业的检修人员检查控温控湿设备是否正常运行，对中心机房内的温度和湿度实施严格把控[8]。同时，天气及环境等客观因素也会对信息系统造成影响。机房要做好防雷防磁场干扰工作，加装避雷针等设施，并做到设施及时更新，以确保中心机房在恶劣雷雨天气下也正常运转。

4.2 对医院信息系统服务器的维护

对医院信息系统服务器的维护包括日常维护和重大事故的维护。在管理与维护工作中应高度关注日常维护工作。计算机管理人员应定期对集线器、交换器、路由器等网络输送设备进行维护。安排专人定期打扫主板灰尘，对主板接口进行抗氧化处理，确保各种硬件设备是在干净的状态下运行的，确保系统不会因为硬件问题而发生不必要的故障。

在系统的工作过程中，无论服务器的质量多好，在工作过程中还是会有重大事故出现。因此，医院需要配置两台服务器，一台设置为常用主机，一台设置为备用主机。备用主机应由计算机管理人员定期进行维护，确保服务器随时处于良好的备用状态。在发生重大事故时，使用备用机无缝接替主机进行工作，维持信息系统正常运作。由于医院工作的特殊性，需要24h 持续运转，应采取冗余设置，除了使用双服务器之外，还需要提高UPS 电源的性能。工作站是医院临床医师与护理人员的终端设备，对其进行网络安全管理时，应确保其工作环境的安全性。

5 医院管理信息系统软件设施的管理与维护要点

计算机管理人员应定期对安全访问权限进行更新和监控，将病毒的查杀和保持杀毒软件版本是最新状态作为工作的常规内容。在日常工作中养成对历史信息进行定期转存和备份的习惯。为医护人员提供一个流畅操作信息系统，同时还能够保护历史信息的安全。

6 医院管理信息系统网络安全的管理与维护要点

6.1 强化网络安全防护

随着医院网络信息化建设的逐渐推进，医院的各个科室开展工作与信息系统的联系越发紧密。病人的电子病历、院方的财务结算数据等核心信息都存放在信息系统中。通过信息系统可以有效提高医护工作者的工作效率，降低管理成本。但与此同时，也为非法人员对医院系统进行修改和盗窃提供了犯罪机会。在过往的信息安全事件中曾出现多起恶意病毒入侵而发生核心数据丢失、系统崩溃等恶性事件。为避免这种情况发生，应从身份认证及访问控制方案作为问题切入点，制定科学且操作性强的访问方案，对访问人员实施有效的筛选。可以在使用IDS 入侵检测设备的基础上增加安全策略服务器，达到自动预警网络攻击的同时，能自动修复攻击后果并学习安全策略，提高系统的安全性。

6.2 强化访问控制

在实际操作医院信息系统时存在着系统使用人员滥用权力、越权操作、使用人员离岗后静态授权方式未能及时更新等情况。医院管理制度的不健全加重了人为因素对网络安全的不良影响。需要有效识别用户，对访问人员性质进行区分，杜绝外来人员对系统网络造成威胁。

首先，访问控制需要着重设置时间模块，正确录入员工的职位、工作状态和工时安排。同时医院信息系统还需要针对员工的工作性质来动态调整，当职位、工作内容发生变化时，就要及时做出权限变化。其次，还可以根据员工角色的不同来选择不同的认证方式，利用动态口令、UK 认证及生物识别技术识别身份。此外，还需要重视入网控制策略，谨防员工或别有用心人士将携带了病毒的电脑连入医院网络，可利用角色访问控制模型来解决入网控制问题。角色访问控制模型是一种能够满足医院信息系统的安全管理需求的新型访问控制模式。用户通过特定角色身份登录医院信息系统，在其登录前需受访问时间和空间条件限制，以达到精准管理用户访问行为的效果。入网控制有三个关键环节：用户名的识别验证、用户口令的识别验证及用户权限检查，这三个环节缺一不可。避免出现角色权限滥用是设置用户权限的基本目的，对用户的入网时间、入网位置实施监控是实现这一目的有效方法。

6.3 强化授权工作

目前国内许多医院已经基本实现了信息化和自动化，信息系统的各项功能也日渐完善，过往的集中授权方式已无法应对日渐复杂的医院信息系统安全需求。医院需要通过科学合理的授权策略来保证信息系统的安全，以达到医院信息系统网络安全的稳定。可以通过分布式授权与层次化授权相结合的方式，保证授权工作的合法性和动态性，从而降低出现网络安全问题的风险。院方管理层可以设立最高授权管理部门，实现信息资产的自动识别。制定最高的权限管理策略，并严格落实执行。管理部门应组织下属部门认真学习授权方案，提高授权方案的可操作性，从高到低逐级授权，可有效避免统一授权的局限性和重复性。

6.4 强化身份验证

当前，大多数医院所选用的医院信息系统都是基于“B/S”结构与“用户名+密码”的方式验证身份，这种方式较为老套，密码容易泄露和被破解，安全性难以得到保障也难以满足医院信息系统的升级需求。建议在常用的传统身份验证方式的基础上，由医院信息系统网络管理人员统一设置，灵活绑定用户名相关信息，再统一下发至接入层交换机，以增加对用户身份验证的严谨性[9]。通过安装网络安全管理软件，评测主机的接入是否符合相关的安全要求，提升网络安全管理的效果，以此确保用户身份的合法性[10]。

7 结语

如今计算机技术日新月异，信息网络推动着社会飞速发展。在人们享受网络信息技术带来便利的同时也不能忽视网络安全问题带来的影响。随着医院日常工作和网络的相结合，医院的信息化水平逐渐提高，医院管理者对信息安全的重视程度也应相应提高。目前医院的信息系统安全管理与维护工作中还尚存一些缺陷，杀毒软件和系统补丁更新不及时、医院内部人员操作系统不专业等。本研究从医院管理信息系统硬件设施、软件设施、网络安全等方面对管理与维护工作提出了建议。医院管理信息系统的维护与网络安全管理为医院日常运营提供重要后方支撑，可以避免重大网络安全事件的发生。网络安全事件不仅会直接影响信息系统的日常运行，还会导致医院公信力、声誉、财产等方面受损。因此，医院应高度重视对信息系统的网络安全管理与维护工作，将网络安全意识渗透到日常信息系统操作的方方面面。应加强对医院管理信息系统维护与网络安全的研究，根据医院的实际情况，采取科学合理的策略解决网络安全问题，以此来确保医院信息系统安全稳定运行，为医护人员提供更好的工作条件，为患者提供更好的就医体验。