引:近十年来,我国医院信息化建设取得了明显的进步,与此同时,对于信息安全建设也不能放松
近十年来,我国医院信息化建设取得了明显的进步,与此同时,对于信息安全建设也不能放松。而利用“望、闻、问、切、控”的手段会诊医院信息系统安全问题已迫在眉睫。
呼唤安全
近十年来,我国医院信息化建设取得了明显的进步,在提高医疗服务质量与效率、改善就医环境、配合医疗保障制度实施、促进医院科学管理方面发挥了积极而重要的作用,并涌现出一批全国医院信息化建设的先进单位和示范工程。
如今,随着医疗信息系统HMIS应用范围的不断推广扩大,我国许多医院建立了以院长为中心的医院信息网络化管理决策机制,并将门诊管理、住院管理、医技管理、职能科室管理等各部门通过计算机网络有机集成在一起的医院信息化管理系统。信息网络覆盖医院的每个部门,渗透到病人来院就诊的各个环节。
以病人为中心的临床信息系统,如医生工作站系统、电子病历系统、LIS、PACS等的开发应用正在逐步加深,基于网络环境下的其他应用,如办公自动化系统、数字图书馆等也相继展开。在此情况下,建设高安全、高可靠、高性能的数字化医院信息化网络已显得迫在眉睫。
与发达国家相比,我国的医院信息化建设尚处于初级阶段,信息化普遍起步晚,不同地区、不同等级、甚至是同一地区不同医院的信息化建设水平仍存在不同程度的差距。国内医院IT投入少,IT部门地位不高,尤其是中小医院在IT软硬件环境的建设力度上普遍薄弱。而在信息安全的认识、投入上更是淡漠,重投入轻防护,信息系统安全问题频频告急,已严重影响到医院的正常运行。
内外“病因”
医院信息系统安全涉及网络安全、服务器群组安全、存储设备安全、操作系统安全、备份方案可靠性、群集技术可靠性、供电安全、计算机工作环境、计算机病毒问题、防止非法访问、系统管理等内容。
目前,大中城市里的医院每天成百上千台计算机同时运行,支持各方面的管理运作,成为医院开展医疗服务的业务平台,系统安全防护管理日益凸显重要。
现如今,对医疗行业提供的网络安全技术解决方案中,仍以“防火墙+防病毒”为主流选择,但是随着医院网络整体应用规模的不断扩大,网络安全环境的日益恶化,大规模的DoS侵入、黑客攻击、蠕虫病毒、垃圾邮件等的大量泛滥,加之火灾等自然灾害引起的灾难增多,这些安全技术手段逐渐暴漏出某些“先天不足”的问题,导致医疗系统的“安全门”一次次“洞开”,引发重要数据的丢失、破坏,造成了难以弥补的损失。不仅严重影响到医院网络的正常运行,还直接威胁到患者的隐私,甚至是生命安全。
虽然这里面有安全环境变化的原因,但更重要的是医院对于安全产品的部署和认识存在着误区,认为防火墙是“万能”的,有了防火墙就可高枕无忧,其他配套建设就不需要了。其实防火墙产品本身就有技术上的不足,被动式的防御措施不能防范不经过防火墙的攻击(包括来自网络内部和网络旁路的攻击),不能防范新的威胁和攻击,不能防范基于内容的攻击等。
目前影响并威胁着国内医院信息网络安全问题的主要人为因素有四个方面:第一,没有设立信息安全的专门管理机构,没有行政和技术上的有效安全管理,网络设计缺陷威胁网络安全,比如过于依赖防火墙;第二,没有制定、公布卫生系统的信息网络安全规范和安全标准;第三,没有实行强制性的安全监督、审查、验收机制,特别是没有第三方介入的监督、审查、验收机制;第四,没有重视和执行对用户的安全知识、法规、标准的宣传、培训、考核,没有规定和实行医院信息系统安全员配备和持证上岗制度。只有认识到影响和威胁医院信息网络安全问题的内外因素,才能“对症下药,药到病除”。 |
