医院网络安全防御体系的构建策略研究
摘 要:随着计算机网络技术的迅速发展,医院网络体系为广大就医患者提供了非常大的便利,医院网络体系在为医疗工作带来巨大便利的同时也对医院信息安全防御工作提出更高要求。文章从医院信息安全的角度出发,分析现代医院网络信息安全所面临的问题和现状,重点论述医院网络安全防御体系应该如何构建。
关键词:医院;网络信息安全;防御体系;构建策略
《信息网络》(月刊)创刊于2002年,是由信息产业部主管、中国电信集团公司主办的公开发行的综合性行业期刊。
1 医院网络信息化建设
医院网络信息化建设经过了很长时间的发展,信息化管理化系统包括医院信息系统(Hospital Information System, HIS)、实验室信息管理系统(Laboratory Information Management System,LIS)、影像归档和通信系统(Picture Archiving and Communication Systems,PACS)等,都日益成熟,“互联网+医疗”时代已经来临。信息化的发展使得医院信息安全越来越重要,如果网络出现安全问题,容易导致医院工作无法正常运转、医院就诊等信息泄露,使得病人隐私资料被外泄,影响社会的安定和团结,不利于和谐社会的建设。文章将从医院网络安全防御体系的构建策略角度来谈谈如何保障医院信息的安全。
2 医院网络信息安全概括
信息化管理是现代医院办公的重要手段,医院信息安全的建设势在必行。信息安全主要包括以下几种类型:(1)硬件安全。主要指的是医院的设备安全,如医院中心机房的交换机、存储器、服务器等。要保证这些硬件设备保持在一定的温度、湿度条件下,而且机房环境要求绝对干净、防尘,并按照相关要求安装防雷、防静电设备等。(2)网络安全。医院相关信息需要通过网络来进行传输,所以要保障信息安全就要保障医院的网络安全。要从医院的日常业务入手,保障网络24 h运行,加强对于医院网络设备的维护和维修、安装相关的监控,实行内网和外网分开等,阻止病毒、木马或人为入侵和攻击。(3)数据库安全。指的是系统运行不受非法入侵和威胁,同时保障数据资料的完整。要保证数据具有完整性、安全性和独立性,当出现数据安全受到威胁就会导致系统安全受到威胁,使得数据信息外泄。
3 医院网络信息安全所面临的挑战问题
医院网络信息安全面临着很多问题和挑战,具体包括以下几个方面。
3.1 医院网络信息安全管理不规范,工作人员认识不到位
现在很多医院對于网络安全防御的认识程度不够,导致很多医院工作人员没有形成信息安全防护意识。基于医院工作的特殊性,对于医院信息安全防御有着极高的要求,但是在实际的日常工作中,很多医院仅通过购买相关网络安全产品来实现医院网络安全的防御,缺乏中长期的网络安全防御规划和策略,没有制定完整的网络安全防御体系制度,或者制定后只是一纸空文没有督促执行,对于企业员工没有从根本上改变其安全意识和思维。网络安全的培训、咨询等手段的缺乏,使得医院工作人员操作不当,存在资源滥用和恶意传播的现象,不能严格遵守医院内部关于医院网络信息安全的相关规定,导致网络安全问题频出,而且在出现网络安全事故后没有因地制宜地及时采取相关的止损措施,使得网络安全事故所造成的损失更加严重。因此加强医院网络安全防御规划、加强对于医院员工的信息安全教育的意义十分重大,应该予以高度重视。
3.2 网络自身和医院硬件设备管理存在缺陷
网络本身的共享性和开放性使得网络信息在传递过程中存在一些安全隐患问题,再加上在传输和使用过程中缺乏相应的安全机制,如果不加限制,相关信息可以随时、随地被访问和预览。再加上互联网在设计时没有考虑自身的安全性,因此,给后期的实现和维护埋下了极大的安全隐患和漏洞。医院在硬件设备管理方面投入的人力和物力不足,对于医院工作环境的控制和后期维护不到位,较先进的医院网络信息维护设备的引入费用较高,维护管理工作量大,导致医院硬件设备有所损害,危害了医院网络安全,导致医院网络安全事故较多,影响了医院的正常工作。
3.3 医院网络信息安全防御技术有待完善
医院信息安全防御技术不成熟,使得医院在工作中引入的软件都存在设计上的漏洞或者“后门”的现象,各类病毒可以通过这些漏洞或后门来对医院数据信息进行窃取,使得医院信息安全处于无防御状态。即使在现代医院网络安全防御体系的构建中,引入了很多的信息安全措施和产品,但是相关的产品之间却不能“互通有无”,往往各自为战,使得不同的产品之间配合出现漏洞或者盲区,各大防御产品之间存在功能重复的现象,没有形成全面协调效应,导致信息安全孤岛现象出现,严重掣肘了医院网络安全防御体系的构建。因此应该加强医院信息安全防御,构建全面且动态的医院网络安全防御体系。
4 医院网络安全防御体系的构建策略
4.1 建立完善的网络信息安全制度,加强员工信息安全培训
要构建医院网络安全防御体系,就要建立一套完整的网络安全相关制度,加强对于医院内部的信息安全管理。首先,加强设备加密的管理和密钥管理,对于一些非法用户也就是黑客或间谍的入侵,通过设备的加密和密钥的管理等方式来提高主机系统自身的安全性。其次,对于一些合法用户包括企业员工可以采用授权访问的方式,使得每一位员工的访问权限和访问资源受到控制。加强对于相关密码和密钥的管理,明确不同职位员工的相关职责,采用动态密码的形式,提高密码的破解难度,并进行定期的修改。再次,加强对于医院员工的信息安全的培训,使得每一个普通员工都能够树立起安全防护的意识,真正将网络安全防御工作当成是每一位普通员工都应该遵守的职责,并积极参与到医院网络安全防御体系的构建中来。最后,还可以建立一个专门的信息安全管理小组,统一领导并指挥医院的网络安全防御体系的构建,一旦发生信息安全事故,就能够积极统一指挥,加强了各个部门之间的相互配合,将相关损失降低到最小。