穆成欢

    (宁波市中医院信息科，浙江 宁波 315010)

    近些年，信息安全在医院信息化持续发展的今天显得格外重要。维护医疗秩序，确保医疗救治工作，提高医院工作效率，对于加强医院信息安全管理意义重大。根据国家信息安全等级保护制度，医院信息安全从5 个维度分析，主要涉及物理环境、网络安全、主机安全、数据安全、应用安全等方面[1]。经研究发现，现医院面临诸多信息安全问题，导致医院信息系统面临安全风险，若不重视医院网络信息的安全防护，那么医院的各项信息安全都无法得到保障，这对于医院的运行和管理有着很大的隐患[2]。本文以医疗信息系统存在的问题，通过基础设施、服务器、网络、数据存储、软件应用和管理方面进行分析，分别描述当前医院信息系统存在的风险和问题，并寻找采取相应的应对措施。

    1 医院信息安全问题分析

    1.1 基础设施安全 医院信息系统的基础设施安全包括了整体机房安全和信息设备安全，是承载医院信息系统的基础条件。首先医院难免会经历停电，如果停电时间过长，压力会集中在UPS 系统上，长期负载会导致UPS 故障[3]。另外中心机房的环境会很大程度影响设备的运行情况，机房的温度、湿度、尘埃、照明等因素影响机房内设备的使用寿命和运行状态。然而，信息安全人员一般常将重点关注在机房的信息设备上，机房的环境容易忽视，温度过高，湿度过大，粉尘过多，机房环境杂乱，将各种杂物堆放，设备的堆叠放置等因素都会对机房的安全产生巨大影响，也影响了机房设备的可靠性。

    1.2 服务器终端安全 服务器作为医院信息系统运行的环境，终端主机作为实现医院信息化平台的媒介，其重要性不言而喻。医院服务器和网络设备是承载业务系统的重要基础设施，服务器安全直接影响到全院业务安全[4]。当前医院服务器操作系统主要以linux 系统和windows 系统为主，终端主机的操作系统大部分均以windows 操作系统为主。在目前的网络环境下，服务器终端面临的安全问题也是多种多样的，主要包括身份鉴别、访问控制、安全审计、入侵防范和恶意代码防范[5]。黑客通过一般互联网、U 盘的形式利用蠕虫、病毒、木马等工具对现有的主机环境进行破坏，利用服务器操作系统的漏洞对其进行攻击。

    1.3 网络安全 随着医疗业务的拓展以及各个系统之间数据的不断交互，医疗系统的网络结构也变得越来越复杂，网络规模也逐渐扩大，趋于覆盖整个医疗环境。但还有部分医院的网络结构存在问题，网络设备和安全设备等已经使用较长时间，呈老化状态[6]，单链路的网络环境使医院的可靠性受到了影响，当出现某台设备故障时将直接对医院的业务产生影响；未做访问控制策略也会对医院的安全造成巨大的隐患 ......