现阶段医院电子信息系统所面临的安全问题及对策

摘 要 计算机、互联网技术促进了分布式管理信息系统在医疗卫生行业的普及和应用，许多医院已经开发了病历资料、病房、药品、手术等自动化管理系统，提高了医院信息化水平和诊断治疗效果。随着医院电子信息系统规模的增大，系统面临的安全风险越来越严重，阻碍了系统的拓展和使用。论文详细地分析了医院电子信息系统面临的安全问题，提出构建严格的安全防御系统，保证系统安全，以便能够进一步提高系统的应用效果。

【关键词】医院 信息系统 安全威胁 防御

1 引言

计算机技术、网络技术和数据库技术的快速发展促进了医院电子信息系统的普及和应用。目前，医院在行政管理、诊断治疗等方面已经开发了OA系统、财务管理系统、人事管理系统、住院病房管理系统、药品管理系统、医院影像拍摄与存储系统、患者病历档案管理系统等，为医院行政管理提供了信息化支撑，并且能够在诊断治疗过程中，采集患者信息，提高医护人员的工作效率和诊疗质量，更好地为患者提供临床咨询、辅助诊疗和临床决策服务，具有重要的作用和意义。为了提高患者、医院行政管理人员、医护人员使用的方便性，共享数据资源，医院信息系统集成规模越来越大，各种系统采用的开发技术多种多样，比如 JSP技术、ASP技术、技术等，隐藏的漏洞和风险也越来越多，因此需要采用严格的安全防御系统，保证医院信息系统的正常工作和运行。

2 医院电子信息系统面临的安全问题现状分析

2.1 医院信息系统安全风险评估处于初级阶段

目前，医院信息系统通常由医院自己招聘的网络管理团队进行维护，而信息系统安全风险评估技术涉及多学科知识，其不仅是一个技术性问题，也是一个管理学问题，而许多医院的信息系统没有进行过风险评估，因此无法及时、准确地获取医院信息系统存在的安全漏洞和攻击威胁风险，不能够及时地采取安全防范措施进行预防和保护。

另外，医院信息系统应用背景复杂，包括药品管理、医学诊断、医学治疗等方面的知识，在医院信息系统风险评估过程中，风险评估缺乏规范化的标准，导致风险评估主体和客体不清晰，无法明确划分参与者的工作内容，并且承担相关的角色，因此医院风险评估效果较差。

2.2 医院电子信息系统攻击技术逐渐增强

云计算、分布式移动和移蛹扑慵际蹩焖俜⒄梗其不但促进了电子信息系统在医院行业中的应用，同时也提高了网络黑客、木马和病毒攻击技术，网络安全威胁更加智能化，尤其是网络威胁更加隐蔽，潜伏的周期更长，给医院信息系统带来的安全威胁也更加严重，非常容易导致患者病历资料丢失，无法长期跟踪患者身体健康状况，不能够优化患者治疗方案，提供最佳的治疗服务。

2.3 医院电子信息系统操作人员安全意识薄弱

医院电子信息系统用户角色包括医生、护士、行政管理人员和普通的患者，用户通常为非计算机专业人员，在操作系统的过程中，不能够严格按照医院电子信息系统的操作规范进行，时常携带含有病毒的优盘、硬盘或网络传输文件，随意插拔，非常容易感染医院网络平台内的其他终端或系统，导致系统崩溃或数据资源被盗。

2.4 网络攻击和威胁形式呈现多样化

传统网络攻击和威胁多来源于黑客、病毒和木马，并且由于医院信息系统孤立存在，因此导致网络攻击威胁不能够达到目的。近年来，由于移动互联网、光纤网络的快速发展和进步，分布式管理系统基于互联网连接在一起，登录终端包括PC、iPad、iPhone等智能终端，因此网络病毒传播途径越来越多，呈现多样化。

2.5 电子信息系统网络漏洞数量居高不下

医院电子信息系统集成应用软件越来越多，各种软件在开发和实现过程中采用技术种类不同、采用的开发工具也不尽相同，因此在集成和融合过程中，无法避免将会产生各种漏洞。随着网络攻击技术的提高，电子信息系统的网络漏洞将会成为入侵攻击的选择点，为电子信息系统的应用带来困难。

3 医院电子信息系统安全防御技术探讨

3.1 应用层数据加密传输

医院电子信息系统关联的用户在操作过程中，通常位于网络的不同位置，比如内网核心位置、内网普通位置、外网位置等，因此为了保证应用层数据信息输入的安全性，可以采用 IPSec VPN和SSL VPN技术加密通信渠道，实现数据的加密传输。

3.2 数据传输控制

由于不同的用户分属于医院行政管理部门、业务科室等，因此为了不同角色的用户实现网络服务器的安全存取控制，可以将医院内部网络的IP地址进行分段、分类管理。

具体地，医院电子信息系统IP地址归属不同的子网、VLAN和VPN，并且与计算机的MAC地址、用户名等进行一一关联，形成良好的映射关系。不但可以有效地控制网络应用的访问和存取权限，同时也可以非常容易且方便地管理和监测网络中的所有用户。同时采用ROST技术实施强制访问控制，所有用户（包括最高权限用户）都无法访问受保护的网络资源。因此，医院网络设计过程中，IP地址划分、VLAN设计和ROST技术，将是一项非常重要的工作。

3.3 服务器安全防护

医院电子信息系统服务器在操作过程中，要构建严格的防病毒体系，采用防火墙、入侵检测控制、安全审计、访问控制列表等，控制服务器操作系统用户的权限和角色，使其能够按照规则进行操作，保证医院信息化系统服务器不会受到网络木马、病毒和黑客的攻击。

3.4 用户角色控制

医院电子信息系统用户数目多，各个系统用户具有不同的访问权限，因此为了控制医院电子信息系统的操作规程，系统在访问权限控制过程中，采用角色权限进行动态的调控，以便能够灵活管理用户，限制用户的系统操作功能和服务器访问权限，采用统一的访问认证系统和单点登录认证机制，保证用户获取系统服务器的授权，保证安全访问系统的服务资源。

4 结束语

随着云计算、移动计算、分布式计算技术的快速发展，医院电子信息系统的种类也越来越多，比如开发和实现了患者病床护理系统、呼叫系统、临床路径管理系统等，因此医院信息化安全防御也是一个重要的组成部分和关键环节，需要增加安全防御软件和安全防御设备，构建一个更加完善的、可靠的安全管理系统。医院电子信息化系统是一个动态的、复杂的安全防御工程，其需要随着网络黑客、木马和病毒技术的提高而增强，以便能够不断地适应现代化医院防御需求。

参考文献

[1]朱玉林.计算机网络安全现状与防御技术研究[J].信息安全与技术，2013，4（01）：27-28.

[2]吕剑，郭丽敏.基于网络安全技术的医院信息系统设计[J].信息与电脑：理论版，2010（09）.

[3]苏玉召，赵妍.计算机网络信息安全及其防护策略的研究[J].网络安全技术与应用，2006（05）：12-12.

[4]龚旭峰.医院管理信息系统的安全的现状与防御[J].信息与电脑：理论版，2010（11）.

作者单位

北京市顺义区李遂社区卫生服务中心 北京市 101300