摘要:“互联网+”作为互联网发展的新态势,是互联网与传统产业结构的产物,它重塑了大数据、云计算、物联网等多个信息技术,使得人们的生活与工作发生极大的改变。随着“互联网+”在医疗行业如雨后春笋般的开展,其安全问题愈加突出,如何在保证信息安全的情况下,快速地上线部署互联网+应用,已成为新的需要关注的问题。本文将从医院信息管理、医院制度建设、医院安全技术等方面探讨基于“互联网+”背景下医院网络的信息安全防护。
关键词:信息安全;新型模式;完善方法;互联网+
信挂号、缴费、技诊预约、报告查看、互联网病例复印、互联网医院等。但是“互联网+”如同一把双刃剑,在为人们带来更多便利与方便时,也衍生出较多安全问题,这就为医疗卫生系统运行埋下诸多隐患。因此本文主要围绕“互联网+”背景下,如何落实网络信息安全问题进行探讨。
1信息安全讨论
信息系统安全涉及多个问题,包括管理、制度、技术等。我国信息安全产品与技术已经从加密、防病毒、防火墙等方面,逐渐过渡到识别鉴别、入侵检测、漏洞扫描、身份认证等防护体系中,信息安全产业从原本技术与产品开发,逐渐朝着安全系统、技术开发、信息安全服务方向转变,因为医院背景特殊,所以对信息安全要求较高,我们应当主动创建与其相适应的管理平台,保证信息安全性。
2“互联网+”对于医院信息系统安全提出的挑战与对策
2.1挑战
互联网技术已经被广泛应用到医院当中,为APP、微信、网站等提供服务,使医院以往独立的网络环境被打开,医院信息安全不再是单一局域网安全,因此必须对互联网与局域网加强管理力度。医院信息系统与政务网、银行专网、医保网、远程会诊专网互联网等都存在一定关联,就会频繁面对着被黑客入侵或者遭受网络攻击的风险。如果网络瘫痪或者数据丢失,就会对医院业务开展造成极大的影响,同时也会造成医院的服务质量与服务效率低下,最终给医院带来极大的损失。如何才能有效利用互联网做好信息安全管理工作来避免或者把损失降到最小,这是需要深入讨论的内容[1]。
2.2对策
(1)提高医疗管理者认知随着新事物不断发展,人们需要更多时间去适应新情况。对于管理者而言,在对待每一项工作时必须谨慎小心,医疗事业与其他事业相比有着极大不同,直接关系到百姓各种隐私。作为医院领导人员,必须督促医院、医生、护士等都掌握扎实技术,为日后工作打下基础。(2)培养高技术人才在互联网工作模式下,需要更多的技术型人才,保证对医院进行全面化管理,一些医院也会开展线上、线下活动,保证线上线下相互连接。在这个过程中,需要技术型人才做好线上、线下对接工作。除此之外,我们应当保证患者在看病时的各种隐私信息不被泄露,保证患者账户安全,保证及时预防新型医疗纠纷。(3)制度建设应根据《中华人民共和国网络安全法》,《信息安全技术网络安全等级保护基本要求》(GBT22239-2019),《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)等相关法律法规,根据医院实际情况制定具有可行性安全管理制度。(4)顺应时展潮流面对全新的挑战与机遇,管理人员必须保持清晰的管理思路,避免作出的决策与实际情况相互脱轨。主动引进先进技术,使其便利人民、造福人民、服务人民,不可使违法犯罪分子有可钻的制度漏洞,主动保护患者隐私。采用因地制宜的方式,保证夯实业务基础,使得新模式可以高效稳定运行,不仅能够发挥“互联网+”模式快捷性,同时也能保证人民信息安全,由此为新模式带来更多服务。(5)安全可见、可控、有效在日益严峻和复杂的安全形势下,在新的医疗系统当中,如何做到可见性,可控性和有效的威胁防御,成为医疗行业网络安全建设的关键。采用最新的情景感知技术,做到对网络以及接入终端的全面可知,从而做出正确决策是控制和防御策略的前提[2]。
3在“互联网+”背景下医院所采用的安全防护措施
3.1医院外联网防护安全
目前较多医院已经提供了“互联网+医疗服务”,该类型的医院一般会与银行、区域卫生、农合、社保、政务,互联网等多个网络进行连接。这些外部网网络从服务调用情况来看,可以分成单向与双向两个方面。单方面与区域卫生、农合、社保、银行、政务进行连接的,被称作单向调用服务,通常是由医院端朝着外联网络服务器发出发送数据、做好结算等请求,并且在获得结果后就返回,这种方式主要是因医院的内部朝着外联部所发起的,利用双网卡前置机就能实现。但是因为前置机对于内部网络与外部网络不能做到严格控制,主要是将服务器作为其中的前置机时,服务器在操作过程中,可能会因为系统漏洞,导致被他人所入侵。所以这种单向访问外链网络,必须防止外联网络对医院内部网络所带来的入侵问题。因为互联网的微信公众号、小程序、官方APP、官方网站服务对象都是互联网用户,收费结算、挂号、预约挂号等关键业务,需要与医院信息系统保持同步,如果信息系统被不法分子所攻击,那么必然对医院业务正常运行带来影响。一是要对互联网+应用程序做好安全测试工作,随后利用专业漏洞扫描测试方式,及时发现与修复出现的漏洞情况,有效避免因为应用程序漏洞所带来的安全隐患;二是如果使用单一防火墙,已经无法满足对互联网防护所提出的各种需求,同时也需要其他防护设备,包括DDoS防护设备、IPS防护设备、防毒墙、WEB防护设备、数据库审计、网闸等,但是互联网安全与否,并不仅依靠简单的安全设备堆积与串联就可以保证,需要在接入设备之前,根据医院实际业务需要,设计完善且严格的规章制度,有效预防除了业务规则之外的访问行为,由此保证数据、服务安全性。三是对于直接使用互联网就能访问的数据库,做好数据加密处理工作,在需要展示与使用时,对其做好解密处理,由此避免其他信息被盗取[3]。
3.2医院网络接入安全
“互联网+医疗”的出现,在为病人提供服务的同时,也为广大医务人员提供服务,更多医院同意且允许医生自带的平板电脑、手机,可以直接使用医院信息系统。如果医生不在医院中,也可以利用平板电脑或者手机,直接查看与掌握病人病情变化。(1)SSLVPNSSLVPN指的就是利用SSL协议,来完成远程接入工作的一项全新技术,在医院互联网中加入SSLVPN设备,该设备可以做好客户端的访问控制与接入认证。利用SSLVPN拨入功能,设定拨入用户组可访问列表,不仅限制拨入用户对医院服务器的访问,同时也限制客户端相互访问,避免出现非授权访问情况。如果登录医院内部网络,就好比在医院内的局域网中一般顺利地使用信息系统。(2)数字证书认证数字证书就是在互联网通讯中,对通讯方身份进行标注的一组数字,该方式的出现提供全新的身份认证方式,在网络中可以用对应设备去访问想要访问的系统。到2014年六月,国家卫生部已经通过多家数字证书认证服务机构,通过医生的平板电脑或者手机,能够获得受到医院认可的数字证书,在使用上述终端与医院网络进行接入时,可以有效验证终端合法性,为了保证数字证书有效期,需要定期的更换数字证书,最终能提高准入安全性。(3)短信认证近些年来,短信认证成为当前最为流行的认证方法,医生可以将自己的手机号码登录到院内认证系统中,当医生想要利用互联网访问院内系统时,可以利用短信认证方式,在成功校验认证后,方可登录医院信息系统中。
3.3医院官方APP、微信数据安全性
“互联网+医疗”的出现,带有浓厚的互联网色彩,免费、便捷、共享作为互联网思维中的核心。无论是医疗信息公司、银行,还是新型的互联网公司,都会打着免费旗号,与医院洽谈开发医院微信或者APP。但是有一个问题需要人们注意,病人所有的检验报告、处方信息、身份信息、医疗文书、结算信息等,都会保存在医院的信息系统中,这些信息作为医院信息资产,存在庞大商业价值,如果这些信息被盗用,将对病人隐私带来极大的影响。所以医院在实施微信或者APP方案时,不能被免费模式所干扰,由此蒙蔽自己的双眼,而是需要在合同中做出声明,包括医疗数据只能由被认证病人自己所查询,所有与病人有关的结算信息、检验报告、处方信息、身份信息、医疗文书等,均不可被第三方公司或者开发公司所获取,通过这种方式,不仅是在保护病人隐私,同时也能避免医院核心资产流失[4]。
4结束语
综上所述,2015年总理在全国人民代表大会中提出了“互联网+”计划,随后“互联网+”就好比雨后春笋一般,在各行各业当中快速发展。“互联网+”的出现,对于医院信息系统而言,不仅是机遇,更是一种挑战。“互联网+”应用到医院当中,将互联网作为载体,将信息技术作为手段,包括大数据、云计算、移动信息等,保证与传统的医疗服务相结合,随后形成全新的业务状态。除此之外,“互联网+”的出现,能够实现医疗协同、感控防御、互联互通等优势,在医疗保障、卫生管理、医疗服务等多个方面,有着良好的发展前景,同时保证我国医院网络信息安全性。
参考文献:
[1]张莲萍,陈琦.基于动态网络安全模型的中国数字化医院信息安全体系建设[J].中国科技论坛,2015(03):48-53.
[2]郎漫芝,王晖,邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件,2013,30(01):206-208.
[3]韦力,段沁,刘志伟.互联网时代医院网络安全管理综述[J].信息网络安全,2019(12):88-92.
[4]舒展羽,陈芳,吕强,廖生武.互联网医疗面对社会服务的困境与对策[J].中国全科医学,2017,20(02):247-250.
作者:肖行 单位:广州市第一人民医院
微信扫一扫打赏
支付宝扫一扫打赏
