网络工作模式下医院信息系统面临的风险与防范

网络工作模式下医院信息系统面临的风险与防范齐卫东 解放军第九四医院信息科,江西省南昌市井冈山大道1028号关键词 网络 医院信息系统 风险 防范摘 要 当前医院工作模式已由传统的手工抄写转向在计算机网络环境下应用医院信息系统工作。医院信息系统具有数据分散输入,信息实时表达,高度共享的特点,在这种工作模式下,既给医院工作带来高效率,提升医疗服务质量,但也带来了一些传统手工作业条件下所没有的风险,针对所面临的风险,就如何防范提出了相应的论述。1网络工作模式下医院信息系统面临的主要风险1.1客观风险1.1.1网络硬件选配不当 网络硬件的质量、性能和和配置有否冗余是关系到整个网络可否稳定、安全运行的基本保障。医院网络建设时,往往有些领导认为投资医院网络不如投资医疗设备见效快,网络硬件选型时考虑价格因素多,而对硬件的质量、性能关心较少,更谈不上冗余,从而制约网络稳定、安全运行。1.1.2传输介质不安全 网络传输介质有光缆、电缆和无线技术等,各种介质在安全方面都有其优缺点:电缆易遭雷击,传输信号容易通过非法连接或利用非接触方式窃听。光缆虽说传输过程中不易被窃取,但其转换器、分路器或其他接口是个薄弱环节。无线网络已经被越来越多的企业所接受,它不但提供了极大的便利性,并且其成本也在不断下降。但由于国际WIFI组织在制定IEEE802.11标准时对安全性问题考虑过少,在目前的IEEE802.11a/b/g无线网络标准中,安全性存在着一些先天性缺陷,因此一直被受非议4。1.1.3软件系统安全问题 常见的问题有操作系统、数据库系统漏洞与应用系统的缺陷。其主要原因是盗版软件的应用,系统得不到及时升级,安全配置参数不规则等,致使软件系统运行中出现差错,易受到攻击破坏。1.1.4网络病毒入侵和黑客攻击 这是最常见、最普遍的网络安全的隐患。目前所见到的安全事件绝大多数属于这两种类型。同时,这两种安全隐患爆发的概率是最大的,因为它们几乎是无孔不入、无处不在的,防不胜防,一不小心就会中招2。1.2主观风险1.2.1网络管理制度不健全 医院信息系统应用存在“三分技术七分管理”。随着医院工作模式的转变,医院的管理不跟上,操作规程、数据备份、灾难恢复、杀毒软件定期升级等规章制度不健全,同样造成网络软硬件运行不正常,影响工作效率,甚至导致数据错误、数据丢失、系统瘫痪等。1.2.2非法访问 带教实习生、进修生时随意将系统登陆密码泄露、用户权限不合理分配均可带来他人非正常登入,特别是非法分子非授权访问篡改或窃取数据,将会危机网络安全。1.2.3合法用户不按规范操作 新用户对系统操作的好奇心,在网络上随意练习数据库的操作、操作错误后不按规定做数据修改等均会导致数据丢失或被破坏。2网络环境下医院信息系统的风险防范2.1加强宣传更新观念 要树立医院网络安全也是医疗安全的观念,要教育全体员工充分认识医院网络与当前医疗工作的关系,一旦网络故障必将直接造成医疗工作中断,带来医疗质量等一系列问题。在网络工作模式下要严格遵守信息安全等级管理办法3确定医院信息系统安全等级,按照信息系统安全等级保护实施指南4做好医院网络安全需求分析和总体安全设计,制定安全保护技术措施。2.2重视网络数据管理 原始数据主要是由本单位医务人员将医疗工作有关数据输入系统中,这是主要的人机接口,也是出现差错的主要环节,是决定医疗信息是否客观的关键控制点。只有输入正确有效的原始数据,才能保证处理的最终结果是正确的、客观的。在网络工作模式下,纸质医嘱和病程记录不见了,取而代之的是电子处方和电子病历,其输入错误可轻易更改,而是必须遵循其系统存入的规则,由系统管理员从数据库中修改。但需要强调的是,对这类数据修改,一定要取得上级主管部门的批复,并备案,若措施不当和监督不力,容易造成管理漏洞,也可能发生违法乱纪案件。对在用数据要做好及时归档,建立数据异地备份和数据灾难恢复方案,同时要做到定时对备份数据做恢复试验,避免数据恢复时的问题发生。2.3严格用户身份验证 启用医院信息系统后,传统的人员签字消失了,取而代之的是系统用户密码来替代书写签名,它反映的是用户的职能和合法权益,代表了用户的身份。在当前电子政务环境下,2004年8月28日第十届全国代表大会常务委员会第十一次会议通过的中华人民共和国电子签名法其目的就是为规范电子签名行为,确立电子签名的法律效力,维护有关各方的合法利益5。但电子签名在医院由于缺乏权威的第三方认证机构,所以它在医院的应用尚未得到推广,通用的还是数字密码。为此,合理分配用户权限,严格用户密码的安全性管理尤其重要。一是在密码的设置上要注意破解问题,可采用数字和汉字混合、指纹、手写体作为密钥,增大破解难度。二是用户使用中要注意密码泄露,经常更换密码。三是数据输入、数据保存、数据调阅、数据修改、数据删除、数据输出等各个环节要严格身份验证,以确保操作人员合法。2.4做好网络硬件保护 机房是服务器、存储器、核心交换机、不间断电源等设备的存放处,这是网络的核心部分,一旦发生故障将影响全网的运行,为此,需严格保护。一是在管理措施上,设备建档造册,指定专人保管;二是建立网络硬件定期保养和故障检修登记制度;三是加装防火墙、入侵检测、网闸等安全设备监测网络活动,防止网络遭受非法入侵和攻击;四是严格机房建设规范,防止网络硬件受到外部不良因素影响,如温度不正常、湿度过大、电压不稳和防雷、防磁、防火等;五是要加强对无线网络的监管,对WLAN AP安全特性正确设置,加装无线入侵检测设备。2.5建立软件安全监控 一要积极推广应用正版软件。非正版软件在应用中得不到软件开发商的支持,其漏洞常常是病毒/黑客攻击的对象。二要定期对应用系统,尤其是对操作系统和数据库做漏洞检测,及时修补。三要对网络杀毒软件做到及时升级,更新病毒库。随着“数字化医院”建设的推进,网络已成为医院工作运行的“生命线”,医院的大量日常管理工作或业务操作都在计算机网络平台上,故对HIS的依赖性很强。但是,许多医院并没有制定各个科室的业务岗位在HIS出现故障时的应急应变措施,而医疗工作有不可停顿,这样,HIS出现故障时导致医疗事故或医疗差错的概率非常大6。为此,要求医院领导、医院信息工作者和全体医务工作者共同努力,建立网络安全反应系统和风险防范机制,树立医院网络安全也是医疗安全观念7。参考文献1 /network/wireless/2008-01-18/.html2 王达.网管员必读网络安全M.,北京:电子工业出版社,2005.3 国家公安部.信息安全等级保护管理办法 Z.,公通字200743号.4 国家公安部.关于印发信息系统安