關(guān)于智慧醫(yī)療中信息安全運(yùn)營的探討

沈為濂

作者單位：蘇州市中醫(yī)醫(yī)院信息科，江蘇 蘇州 215009

現(xiàn)階段，隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的發(fā)展，新興技術(shù)的出現(xiàn)為智慧醫(yī)療體系的建設(shè)提供了技術(shù)支撐，對智慧醫(yī)療體系建設(shè)的發(fā)展起到了推動作用。但是，伴隨著科學(xué)技術(shù)的應(yīng)用，對智慧醫(yī)療體系的信息安全帶來了一定的威脅，智慧醫(yī)療存在著數(shù)據(jù)質(zhì)量較低、敏感數(shù)據(jù)外泄以及外部惡意竊取等信息安全風(fēng)險[1]。由于智慧醫(yī)療對于數(shù)據(jù)提出了集中化以及高滲透等方面的要求和標(biāo)準(zhǔn)，因此，構(gòu)建有效的信息安全策略和安全運(yùn)營體系，促進(jìn)智慧醫(yī)療的發(fā)展已經(jīng)刻不容緩?；诖?，本文結(jié)合蘇州市中醫(yī)院的醫(yī)療業(yè)務(wù)集中建設(shè)管理情況，對于信息安全運(yùn)營進(jìn)行探討和分析。

1 智慧醫(yī)療面臨信息安全挑戰(zhàn)分析

現(xiàn)階段，隨著智慧醫(yī)療的普及，人們通過智慧醫(yī)療管理系統(tǒng)實(shí)現(xiàn)預(yù)約、遠(yuǎn)程讀取病例等功能，促進(jìn)醫(yī)院整體工作效率的提升。在智慧醫(yī)療頂層平臺建設(shè)中，涉及到網(wǎng)絡(luò)、通信設(shè)備、硬件、軟件以及信息資源等方面，面臨著所有領(lǐng)域的信息安全問題，主要由網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全以及綜合安全等構(gòu)成。

第一，網(wǎng)絡(luò)層安全主要是指避免出現(xiàn)“陷門”、病毒、非法存取以及非法控制等威脅，有效制止和防御網(wǎng)絡(luò)黑客的攻擊，保障網(wǎng)絡(luò)服務(wù)不會出現(xiàn)中斷的現(xiàn)象。目前，在智慧醫(yī)療網(wǎng)絡(luò)通信過程中存在著一定的信息安全隱患，主要包括木馬程序、拒絕服務(wù)攻擊以及蠕蟲病毒等方面的內(nèi)容。

第二，系統(tǒng)層安全主要是指通過有關(guān)措施保護(hù)網(wǎng)絡(luò)系統(tǒng)中的軟硬件以及系統(tǒng)，保障系統(tǒng)穩(wěn)定運(yùn)行，網(wǎng)絡(luò)服務(wù)不會出現(xiàn)中斷現(xiàn)象。

第三，數(shù)據(jù)層安全主要是指數(shù)據(jù)在采集、傳輸、存儲、交換過程中，非偶然或者惡意原因而遭到破壞、更改等問題。

2 信息安全運(yùn)營的新思路

2.1 把醫(yī)療服務(wù)做到“指尖上”——中醫(yī)院移動APP安全測試

蘇州市中醫(yī)院正式推出官方APP，提高患者就診的便利化程度。該官方APP主要包括預(yù)約掛號、簽到取號等功能。同時，醫(yī)院還聯(lián)合蘇州社保以及公積金管理中心開通了醫(yī)保移動支付功能。在支付API中存在著一定的安全隱患，為了能夠保障患者的利益，需要對官方APP進(jìn)行安全測試[2]。關(guān)于官方APP的安全方案主要包括軟件安全、網(wǎng)絡(luò)安全和管理安全三部分的內(nèi)容所構(gòu)成，全方位的對APP平臺進(jìn)行安全性測試，從根本上保障患者的數(shù)據(jù)安全。

2.2 將風(fēng)險扼殺在搖籃之中——安全風(fēng)險評估

醫(yī)院醫(yī)療系統(tǒng)的信息安全問題還涉及到政策法規(guī)、管理、標(biāo)準(zhǔn)等方面。因此，為了能夠為醫(yī)療系統(tǒng)提供全方位的信息安全，必須立足于系統(tǒng)工程的高度，為信息系統(tǒng)提供安全風(fēng)險評估。信息系統(tǒng)的安全風(fēng)險評估主要是指對于計算機(jī)系統(tǒng)中資源缺失或者遭到破壞對整個系統(tǒng)造成的預(yù)計損失數(shù)量進(jìn)行確定，對于威脅和風(fēng)險進(jìn)行評估[3]。通過對信息系統(tǒng)進(jìn)行安全風(fēng)險評估，在構(gòu)建安全策略過程中提供可靠依據(jù)，提高信息系統(tǒng)的競爭力水平。

2.3 智慧醫(yī)療的核心——安全運(yùn)營

現(xiàn)階段，隨著攻防的理念和技術(shù)不斷發(fā)展，需對傳統(tǒng)的攻防理念進(jìn)行創(chuàng)新。同時，充分考慮醫(yī)療信息系統(tǒng)的運(yùn)行狀況以及系統(tǒng)未來的發(fā)展規(guī)劃，構(gòu)建全新的安全運(yùn)營體系，具有智能、敏捷以及可運(yùn)營等鮮明的特點(diǎn)[4]。智慧醫(yī)療信息安全運(yùn)營管理框架主要由安全開發(fā)/測試、業(yè)務(wù)安全上限、安全運(yùn)行維護(hù)以及監(jiān)督檢查構(gòu)成。第一，在安全開發(fā)/測試階段，系統(tǒng)的設(shè)計與開發(fā)是信息系統(tǒng)安全性實(shí)現(xiàn)的前提。所以，充分考慮系統(tǒng)安全性問題，落實(shí)所采取的控制措施，保證所有安全措施能夠正確識別、確認(rèn)、準(zhǔn)入以及批準(zhǔn)。第二，在業(yè)務(wù)安全上線階段，合法采購產(chǎn)品、合理部署以及合規(guī)配置是提升智慧醫(yī)療安全性的前提。所以，對于系統(tǒng)上線的可行性以及存在的風(fēng)險應(yīng)確定[5]。第三，安全運(yùn)行維護(hù)階段，日常運(yùn)維是信息系統(tǒng)生命周期管理中重要環(huán)節(jié)，實(shí)施規(guī)范化的管理促進(jìn)運(yùn)維質(zhì)量的提升。

2.4 網(wǎng)絡(luò)中的“攝像頭”——全網(wǎng)安全審計

全網(wǎng)安全審是網(wǎng)絡(luò)安全的重要工作內(nèi)容，為保障網(wǎng)絡(luò)安全提供了有力手段。全網(wǎng)安全審計由全網(wǎng)數(shù)據(jù)庫審計、審計過程的還原和完善的報警和響應(yīng)機(jī)制構(gòu)成。第一，全網(wǎng)數(shù)據(jù)庫審計指構(gòu)建網(wǎng)絡(luò)監(jiān)測平臺，實(shí)現(xiàn)對全網(wǎng)的數(shù)據(jù)庫的實(shí)時審計操作、對數(shù)據(jù)庫服務(wù)器的訪問行為實(shí)時監(jiān)測、記錄系統(tǒng)操作和數(shù)據(jù)操作、對數(shù)據(jù)庫中的越權(quán)和違規(guī)行為進(jìn)行監(jiān)測和報警、對重要數(shù)據(jù)庫的操作細(xì)節(jié)進(jìn)行審計等[6]。第二，審計過程還原，從數(shù)據(jù)庫中提取相關(guān)的審計數(shù)據(jù)，回放當(dāng)時整個通信過程，可以分析和查找系統(tǒng)中所存在的安全問題。同時，以此為依據(jù)制定安全規(guī)則和安全策略[7]。第三，完善的報警和響應(yīng)機(jī)制。通過對日志的實(shí)時審計，系統(tǒng)自動匹配響應(yīng)規(guī)則，對網(wǎng)絡(luò)中所發(fā)生安全問題進(jìn)行實(shí)時報警，通過短信和郵件等報警方式將信息發(fā)送至相關(guān)人員，可以快速定位并分析事件的來源[8]。

2.5 從“要我安全”到“我要安全”的變化——安全培訓(xùn)

醫(yī)院信息系統(tǒng)是否能夠穩(wěn)定運(yùn)行，面臨的安全性問題是否能夠得以解決等與技術(shù)人員的整體素質(zhì)有著密切的聯(lián)系。醫(yī)院應(yīng)加大對醫(yī)院信息科技術(shù)人員的培訓(xùn)力度，采取現(xiàn)場培訓(xùn)與集中培訓(xùn)相結(jié)合的形式對技術(shù)人員開展培訓(xùn)，強(qiáng)化技術(shù)人員的安全意識，讓醫(yī)院內(nèi)部人員對于安全服務(wù)形成清晰的認(rèn)識，掌握醫(yī)院網(wǎng)絡(luò)安全的架構(gòu)和服務(wù)體系，全面促進(jìn)技術(shù)人員整體綜合素質(zhì)水平的提升，為智慧醫(yī)療保駕護(hù)航。

3 結(jié)束語

綜上所述，在當(dāng)前“互聯(lián)網(wǎng)+”的時代背景下，智慧醫(yī)療是實(shí)現(xiàn)醫(yī)療信息化的最終目標(biāo)。安全運(yùn)營是智慧醫(yī)療的重要保障。因此，應(yīng)該將安全運(yùn)營納入到醫(yī)院管理中，保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，使得醫(yī)療服務(wù)真正走向智能化，推動醫(yī)療事業(yè)朝著更加繁榮的方向發(fā)展。