当前,医院的应用,从以往传统的单机用户医疗发展到数字化系统医疗,医院的信息化建设提供了重要支撑。医院普遍对如何解决信息化安全认知、信息安全的重要性、安全系统建设的经费、信息技术人员等问题没有形成完整的解决方案,然而随着互联网信息化的快速发展,医院诊疗环境的改变,医院的信息化发展产生了影响。因此,如何保证患者的医疗信息安全,医院的高度重视。
医院医疗信息安全问题分析
问题一:互联网医疗信息安全
随着医院应用的不断普及,各种医疗信息软件大量开发和应用,但软件上线的审核和监管不严格,以及网络系统本身存在的不够稳定等问题,导致医疗数据在移动网络传输过程中极可能出现信息泄密或被篡改的风险,医院安全技术手段落后、安全防护力度不够等会影响数据的完整性、机密性、防漏性等。
问题二:医疗信息系统安全
有的医疗信息系统存在互联网接入设备不规范,内外网之间缺乏相关隔离,网络信息系统管理权限混乱,网络系统设计与协议的不足,应用程序存在漏洞以及管理不规范等问题,加上患者注册信息隐患,如患者信息录入、信息采集、身份鉴别不严格,造成信息不完整、内容不准确,以及更新不及时等,均会造成医疗系统后台暴露,存在被木马病毒攻击、黑客攻击、信息篡改、信息泄露、拒绝服务等风险。
问题三:医疗数据信息安全
医院医疗数据库具有信息覆盖面广、信息数据量大、信息种类繁多等特点。但不少医疗机构存在对医疗数据安全监管不严,管理责任分工不明,防护措施不力,数据信息安全技术标准不健全,安全防护与规范管理不规范,敏感数据和非敏感数据未分开等问题,容易出现数据信息接受错误、电子信息未加密,或纸质记录文档处理不正确,泄露患者信息等。
问题四:应用系统医疗信息安全
我国信息安全采用的是等级保护制度,按照应用系统的安全等级进行划分。如果主机、数据库、网络传输和处理等均处在同一IT环境下,客观上会增加应用系统的安全风险,而系统自身架构中的数据采集、数据处理与汇总分析、人机界面以及各层之间的API接口,也会加剧应用系统本身的安全风险。
医院医疗信息安全防范措施
措施一:注重人员安全培训
人是信息安全环节中最重要的因素。因此,医院应强化信息专业人员树立安全风险意识,增强其遵纪守法观念,全面提高其保密防范意识,保证其具备主动判断和提前其防范意识,在医疗信息安全防护过程中使员工形成主动查对信息系统及基础设施安全隐患的行为规范,严格规范安全操作规程,确保工作人员不违规操作,保证涉密信息安全。
措施二:强化网络信息安全
医院实际工作需要,应建立一条安全系数高、处理能力强的安全网络,该安全网络可以对客户端及中心服务器进行路由器控制,并能实现不同网段重要等级的安全区域划分,可对网络系统的设备状态、流量以及用户进行定期访问,做好数据整理分析。对于医疗信息相关网络设备的操作管理,应对操作人员进行实名登记和实时视频记录,安排信息安全人员定期检查操作日志和记录,杜绝违规操作,及时发现安全隐患。
措施三:加强医疗信息系统安全防护
医院信息系统登录以及数据库操作时,必须有效遏制信息安全隐患,强化数据信息加密处理技术管理,注意对用户进行身份标识和鉴别,提高抵御黑客入侵和病毒感染的能力,防止伪装和假冒行为。例如对登录系统失败用户,设置验证码。对非法登录的用户以及多次重复登录的用户要进行限制。对所录入患者基本病历信息内容进行分类处置和加密,统一信息传输,设置不同用户权限和强制性关闭等功能。
措施四:健全医疗信息保障制度
建立一套完善健全的多层级医疗信息安全防护管理制度,明确相关人员责任,完善考核机制,形成了管理制度与管理人员、专业技术与信息防护相结合,实现了多部门、多机构相互配合,做到了以防范为主,全面监督与监管,以及患者个人信息隐私权的全面保护。
讨论
提高系统安全性能是信息安全的关键
构建良好的“互联网+医疗”安全服务体系,保护应用系统和数据安全,应为“互联网+医疗”平台提供高水平高标准技术支撑。在医院部署数据库审计设备,通过采集分析实时网络数据、监控数据库访问活动,及时识别发现安全威胁和违规行为。在院内部署日志审计设备,对各设备、系统、应用产生的运行日志进行分析,可及时发现系统安全隐患,同时部署漏洞扫描设备,对服务器定期进行漏洞扫描,主动对系统进行细致深入的漏洞检测与分析,有效评估各系统的安全状况,依据扫描报告,实施相应的安全检查与安全加固工作。
健全管理机制度是保障信息安全的基础
安全管理是保障信息安全的基础。一是控制相关人员查看相关数据信息的权限。严禁系统计算机使用者擅自安装非办公软件,采取数据分割的方法,降低查看数据过程中数据信息泄露的风险;二是健全责任追究制度。对于泄露信息的个人根据情况的严重程度进行追究,提高医疗数据库的使用频率和规范化水平;三是提高医疗数据库的安全,对所有技术人员进行安全理论和应急技能培训,增强技术人员的安全防范意识,制定应急防范措施,一旦出现安全隐患要能及时处理。
制度监管是信息安全的保障
重视工作人员学习互联网医疗信息安全的法律法规,以提高医疗信息的监管力度。如通过签订互联网服务协议,有针对性的对网络管理单位及各级网络从业人员进行监管。定期和不定期的分析查找系统安全风险,督导检查管理工作中存在的不足和薄弱环节,及时下发整改通知书,严肃责令按期对照协议要求,及时将威胁安全隐患消灭在萌芽状态,切实保障医疗信息安全,从根本上提高医疗信息系统和数据库的安全。不得在服务器专用电路上加载其他用电设备,对服务器配件进行调整或更换,医院信息部门负责人批准,管理人员应严格填写工作日志,定期对医疗信息系统开展安全隐患大排查,对各级网络从业人员进行技术技能培训及考核。
当前社会各界对医疗信息安全的
转载请注明:http://www.0431gb208.com/sjsbszl/5685.html
