醫(yī)院計算機數(shù)據(jù)安全分析

陳慶華

（濱?？h人民醫(yī)院信息科，江蘇 濱海 224500）

醫(yī)院計算機數(shù)據(jù)安全分析

陳慶華

（濱?？h人民醫(yī)院信息科，江蘇 濱海 224500）

醫(yī)院作為信息量龐大的醫(yī)療機構(gòu)，計算機技術(shù)的應(yīng)用極大地簡化了其數(shù)據(jù)處理，但同時，在計算機網(wǎng)絡(luò)運行下也使得醫(yī)院數(shù)據(jù)安全受到威脅，對醫(yī)院及患者可能造成極大的危害。文章基于此對醫(yī)院計算機安全進(jìn)行研究，分析了當(dāng)前我國醫(yī)院數(shù)據(jù)安全的現(xiàn)狀，針對一系列安全隱患提出了相關(guān)措施，以期對醫(yī)院計算機數(shù)據(jù)安全研究與實踐有所助益。

醫(yī)院；計算機；數(shù)據(jù)安全

計算機技術(shù)不斷革新帶動著各行各業(yè)更迅猛便捷的發(fā)展，從教育機構(gòu)到街邊小店乃至醫(yī)院等都已經(jīng)應(yīng)用計算機進(jìn)行信息處理與交易，但計算機技術(shù)帶來便捷的同時卻也并非無往不利，近年來各行各業(yè)計算機數(shù)據(jù)泄露的事件層出不窮，盡管計算機數(shù)據(jù)安全保護(hù)技術(shù)日漸完善，但諸如銀行、醫(yī)院等機構(gòu)的計算機依然備受黑客的關(guān)注，成為數(shù)據(jù)安全隱患最多的地方。而醫(yī)院數(shù)據(jù)安全的威脅還不僅僅來自外部黑客攻擊，醫(yī)療從業(yè)人員的有意泄露以及計算機操作者的不當(dāng)操作都可能使醫(yī)院計算機數(shù)據(jù)出現(xiàn)錯漏。因此，當(dāng)前醫(yī)院計算機存在的數(shù)據(jù)安全隱患是多方面的，要提高其安全性也必須有一套系統(tǒng)而可行性的措施。

1 當(dāng)前我國醫(yī)院計算機數(shù)據(jù)安全的現(xiàn)狀

醫(yī)院計算機作為信息記錄詳細(xì)真實一個數(shù)據(jù)載體，其對病人工作單位、家庭住址、聯(lián)系方式乃至更隱秘的身份證號碼等都記錄在案，一旦出現(xiàn)泄漏將會對被泄漏信息者造成莫大的困擾。2014年的中國網(wǎng)站安全報告中指出，在同年27起影響較大數(shù)據(jù)安全泄漏事件中醫(yī)療機構(gòu)信息數(shù)據(jù)泄漏就占近26%，且該部分醫(yī)療衛(wèi)生機構(gòu)泄漏的用戶信息數(shù)量都在百萬以上。2015年，醫(yī)療衛(wèi)生機構(gòu)成為數(shù)據(jù)泄露的重災(zāi)區(qū)，重慶、貴州、山西等省出現(xiàn)了大量的高危漏洞，泄露了數(shù)千萬患者的敏感信息，僅社保一類中，以上省份就出現(xiàn)了5 000多處安全信息漏洞。2016年360發(fā)布的數(shù)據(jù)安全漏洞形勢報告中顯示，醫(yī)療衛(wèi)生行業(yè)產(chǎn)生的數(shù)據(jù)漏洞占所有行業(yè)總漏洞的4.1%，其中高危漏洞占14.3%，中危漏洞占36.6%，低危漏洞占49.1%，其中醫(yī)療衛(wèi)生機構(gòu)漏洞中44%是結(jié)構(gòu)化查詢語言（Structured Query Language，SQL）注入，信息泄露則占12%。從2014年醫(yī)療機構(gòu)影響較大的數(shù)據(jù)安全事件來看，其總量為7起，泄露的患者信息以百萬計，截至2015年，醫(yī)療衛(wèi)生行業(yè)的安全事件并未減少，甚至出現(xiàn)更大更多信息泄露事件?？梢?，我國當(dāng)前醫(yī)院計算機數(shù)據(jù)安全的現(xiàn)狀不容樂觀，盡管出現(xiàn)安全問題后及時得到了修補，但新型漏洞又紛至沓來，醫(yī)院安全性未得到切實提高。

2 醫(yī)院計算機主要安全隱患分析

醫(yī)院計算機數(shù)據(jù)的安全隱患來自各方各面，也存在于機構(gòu)運行的各個環(huán)節(jié)，并非固定的安全保密模式就可解決，同樣，并非在某一個環(huán)節(jié)嚴(yán)守把關(guān)即可杜絕?？偨Y(jié)當(dāng)前醫(yī)院出現(xiàn)較多的安全事件，其數(shù)據(jù)安全隱患大致分為以下4種。

2.1 數(shù)據(jù)交互

隨著國家對醫(yī)療衛(wèi)生行業(yè)的重視，近年來我國醫(yī)療事業(yè)的發(fā)展如火如荼，醫(yī)療信息也由原本的本單位儲存調(diào)用開始向行業(yè)共享發(fā)展，逐漸出現(xiàn)了數(shù)據(jù)交互。在政策的推動下，醫(yī)療數(shù)據(jù)層層上傳，這對于醫(yī)療監(jiān)管部門來說能夠?qū)崿F(xiàn)便捷統(tǒng)計與統(tǒng)一監(jiān)管，然而這種數(shù)據(jù)交互實際上卻很大程度增加了其安全風(fēng)險。這是由于醫(yī)療數(shù)據(jù)的交互與共享，使得各不同規(guī)模、不同區(qū)域、不同級別的醫(yī)療機構(gòu)都擁有了調(diào)取使用數(shù)據(jù)的權(quán)限，各端口都存在著泄露醫(yī)療數(shù)據(jù)的風(fēng)險，無論從計算機硬件、軟件應(yīng)用管理層面還是從數(shù)據(jù)使用者的管理層面看，其中不可控的因素太多，數(shù)據(jù)交互都給其數(shù)據(jù)安全造成更大威脅。此外，由于一般稍具規(guī)模的醫(yī)療機構(gòu)都有互聯(lián)網(wǎng)網(wǎng)站，在這一平臺上，醫(yī)療機構(gòu)的服務(wù)器也將更容易受到攻擊，信息與數(shù)據(jù)安全更難以得到保障。

2.2 移動終端

隨著計算機水平的提高，移動終端因其便攜與簡易操作成了當(dāng)前最受歡迎的一種應(yīng)用，其從娛樂性、社交性開始向服務(wù)性發(fā)展，近年來涌現(xiàn)了一大批醫(yī)療服務(wù)的移動終端APP，為用戶提供了極大的便捷服務(wù)。人們在移動終端上或通過APP，或通過網(wǎng)站都能夠直接進(jìn)行就醫(yī)咨詢甚至掛號排隊以及簡單巡診等，但在3G或WiFi下使用移動終端享受便捷醫(yī)療服務(wù)的同時，卻也使醫(yī)院計算機系統(tǒng)遭受木馬攻擊的危險增加，帶有病毒的APP或者開放式的WiFi環(huán)境都讓醫(yī)院計算機數(shù)據(jù)隨時有被竊取的可能，甚至被篡改與刪除。

2.3 云技術(shù)

云技術(shù)是當(dāng)前最受追捧的計算機技術(shù)，其能夠很大程度地提高數(shù)據(jù)處理的效率和資源利用率，數(shù)據(jù)能夠方便地從計算機中心機房傳至用戶終端。然而計算機云技術(shù)的應(yīng)用也使得醫(yī)院數(shù)據(jù)處于暴露的情境下，難以對用戶信息、隱私進(jìn)行有效保護(hù)。此外，云技術(shù)使得數(shù)據(jù)傳輸量增加，一旦出現(xiàn)故障就會造成運行癱瘓，安全隱患較大。當(dāng)前，云技術(shù)已經(jīng)被應(yīng)用至醫(yī)療衛(wèi)生行業(yè)當(dāng)中，但其災(zāi)備措施與技術(shù)都未完善，使用需謹(jǐn)慎。

2.4 操作失當(dāng)

盡管醫(yī)療機構(gòu)從業(yè)人員大多受過較高的教育，其專業(yè)水平不低，但一些年齡較大、思維較呆板的從業(yè)者習(xí)慣了傳統(tǒng)的筆錄形式，難以適應(yīng)計算機操作，因此在實際操作過程中可能出現(xiàn)各種失當(dāng)?shù)男袨椋斐捎嬎銠C故障導(dǎo)致數(shù)據(jù)丟失。尤其是一些操作者一旦發(fā)現(xiàn)計算機處于不熟悉的界面就采取關(guān)機、猛擊鼠標(biāo)、拍打鍵盤和計算機的暴力方式，對計算機造成零件松動，很可能使當(dāng)前錄入信息丟失，或者造成誤操作，使大量數(shù)據(jù)丟失且永久丟失。

3 保障醫(yī)院計算機數(shù)據(jù)安全的建議

3.1 提高計算機操作系統(tǒng)安全級別

醫(yī)院計算機操作系統(tǒng)的安全級別不宜過高，否則不便于醫(yī)生便捷調(diào)用，降低了醫(yī)生作業(yè)效率。但基于醫(yī)院數(shù)據(jù)泄露的事件屢有發(fā)生，多數(shù)醫(yī)院應(yīng)當(dāng)適當(dāng)提高計算機操作系統(tǒng)安全級別，選擇合適的安全硬件和網(wǎng)絡(luò)系統(tǒng)，并限制醫(yī)院系統(tǒng)內(nèi)計算機身份認(rèn)證與授權(quán)，以提高其防御能力。對于患者信息應(yīng)當(dāng)采取不同等級的加密處理，一些較為敏感、私密的患者信息應(yīng)當(dāng)另行加密，提高保密程度。

3.2 落實監(jiān)管制度

醫(yī)院計算機數(shù)據(jù)的泄露還有一大部分人為造成的，這是一部分不良醫(yī)生為謀取私利而擅自出賣患者信息。而由于多數(shù)醫(yī)生都有調(diào)取數(shù)據(jù)的權(quán)限，因此，一旦醫(yī)生竊取醫(yī)院數(shù)據(jù)較難精準(zhǔn)揪出始作俑者，這就需要從計算機技術(shù)到醫(yī)生操作等層面加大對計算機數(shù)據(jù)的監(jiān)管力度。對于不同保密級別的患者信息，應(yīng)當(dāng)建立起不同的調(diào)用權(quán)限，當(dāng)醫(yī)生需要使用數(shù)據(jù)時，應(yīng)當(dāng)做出申請。此外，還可設(shè)定監(jiān)管部門，專門對醫(yī)生的計算機操作進(jìn)行監(jiān)管，一旦發(fā)現(xiàn)違規(guī)操作即刻做出反應(yīng)，并對醫(yī)生進(jìn)行處罰。

3.3 對數(shù)據(jù)進(jìn)行備份

醫(yī)院每天有數(shù)以萬計的患者信息被儲存，一旦面臨黑客攻擊或者機械故障損毀等，這些信息很可能出現(xiàn)丟失和難以修復(fù)的情況，這就需要醫(yī)院重視數(shù)據(jù)的正確存儲以及及時備份。當(dāng)醫(yī)院計算機數(shù)據(jù)丟失時，利用備份可以迅速還原現(xiàn)場，保障醫(yī)院正常工作。無論是患者信息還是醫(yī)院藥品管理系統(tǒng)、診療系統(tǒng)，其數(shù)據(jù)都需要有備份，一旦黑客惡意攻擊，很可能造成無法購買藥品，加大就醫(yī)難度，這就需要數(shù)據(jù)庫管理人員不斷提高知識儲備和安全認(rèn)識以及危機敏感，不能等事情發(fā)生后再去修補，積極做好備份，做到有備無患才能確保醫(yī)院正常運營。

3.4 提高操作者計算機應(yīng)用水平

醫(yī)療機構(gòu)中一些年紀(jì)大的醫(yī)生往往擁有豐富的醫(yī)療經(jīng)驗，他們是醫(yī)院最重要的醫(yī)療資源，具有不可替代性。然而這些老醫(yī)生因為年紀(jì)、身體、記憶力等原因往往對計算機操作不敏感，醫(yī)院全面應(yīng)用計算機進(jìn)行工作給他們造成了很大的困擾，一生未接觸過鍵盤的老醫(yī)生需要從打字學(xué)起、甚至拼音、字根學(xué)起，這無疑是對老醫(yī)生強大的考驗。針對這部分醫(yī)生，醫(yī)院可以配套添置手寫裝置和大屏幕顯示屏，縮減其學(xué)習(xí)強度，使之迅速適應(yīng)計算機診療方式。另一方面，應(yīng)當(dāng)定期進(jìn)行計算機應(yīng)用培訓(xùn)，針對學(xué)習(xí)難度較大的醫(yī)生，可以采取一對一實踐培訓(xùn)的方式，切實提高操作者的操作水平，防止各種誤操作，導(dǎo)致計算機數(shù)據(jù)丟失。

4 結(jié)語

處于信息時代，醫(yī)院計算機數(shù)據(jù)的安全牽涉到醫(yī)院的正常運營和患者的隱私乃至信息安全，一旦醫(yī)院數(shù)據(jù)泄露，都可能對醫(yī)療行業(yè)造成不良影響，給患者造成莫大的損失。保障醫(yī)院計算機數(shù)據(jù)安全才能保障醫(yī)院正常運行，才能保障醫(yī)療衛(wèi)生行業(yè)健康發(fā)展，才能確?；颊叩男畔踩?，醫(yī)院應(yīng)該提高對計算機數(shù)據(jù)安全防護(hù)的認(rèn)識，不斷提高計算機處理技術(shù)，采用合適的安全系統(tǒng)，提高操作者職業(yè)操守與操作水平，才可能使醫(yī)院計算機數(shù)據(jù)的安全切實提高。

[1]阿孜古麗.醫(yī)院數(shù)據(jù)庫數(shù)據(jù)安全維護(hù)的分析及策略[J].中國醫(yī)療設(shè)備，2011（6）：87.

[2]馮福領(lǐng).醫(yī)院圖書館計算機數(shù)據(jù)安全保護(hù)技術(shù)[J].電子技術(shù)與軟件工程，2017（10）：202.

[3]張孝成.醫(yī)院計算機數(shù)據(jù)存儲與安全之我見[J].計算機光盤軟件與應(yīng)用，2014（23）：198-200.

Analysis of computer data security in hospital

Chen Qinghua
（Information Department of Binhai People’s Hospital, Binhai 224500, China）

The hospital as the huge amount of information medical institution, the application of computer technology greatly simpli fi es the data processing. At the same time, the computer network operation also makes the hospital data security is threatened, harming to the hospital and patients. Based on this, the paper studies the computer security in hospital, analyzes the current situation of hospital data security in our country. According to a series of safety risks, the paper and puts forward the relevant measures, in order to bene fi t the research and practice of computer data security in hospital.

hospital; computer; data security

陳慶華（1975— ），男，江蘇濱海人，本科，高級工程師；研究方向：電子信息工程。