医院信息系统安全探讨
——之网络安全
摘要：医院信息系统已经成为医院必不可少的条件之一，该系统的广泛应用，给医院带来了巨大的效益，同时也存在着一些安全隐患。

如软件故障，人为因素，自然灾害等，其中网络安全问题显得尤为重要，它包括没有设立网络安全机构、没有制定安全规范、没有监督机制、没有重视宣传活动等等。

针对这些问题我们计划出了一系列的应对方案：建立和健全管理体系，研究出一套行之有效的对抗病毒的方案，保障网络设备和网络d的安全。

关键词：医院信息系统安全网络安全
Summary: Hospital Information System has become one of the necessary conditions. Its worldwide application brings great profit for hospitals, meanwhile, there are also some security hidden danger, such as
Hardware fault, human being factors, natural disasters. Among all these net security seems especially important. It includes that people haven’t set the institute of net security, haven’t make security norms, haven’t had supervise system, haven’t take serious on propagation activities, and so on. Since we have these questions, we have a lot of plans: set up manage system; research a plan to fight virus; keep the safety of equipment and data.
Keyword: Hospital Information System safety network safety
医院信息管理系统（Hospital Information System），简称HIS，是指：利用电子计算机和网络通讯设备，为医院所属各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力，并满足所有授权用户的功能需求。

目前HIS的应用已成为医院深化改革、强化管理和发展内涵的重要保障，其运行数据对医院及患者起着举足轻重的作用。

在国内近17,000家医院中，31%的医院已经实施建立了HIS，然而调查显示HIS管理人员中参加过安全学习的不足30%，建立安全机制的医院仅占10%左右，而且其安全机制的安全度普遍不高，信息系统安全没有保障。

所谓信息系统安全是指采取技术和非技术的各种手段，通过对信息系统建设中的安全设计和运行中的安全管理，使运行在计算机网络中的信息系统有保护，没有危险，即组成信息系统的硬件、软件和数据资源受到妥善的保护，不因自然和人为因素而遭到破坏、更改或者泄露系统中的信息资源，信息系统能连续正常运行。

我认为产生系统安全问题一是由于硬件损坏导致系统瘫痪、数据丢失的概率在下降,但并非为零。

在医院信息系统中,也不乏服务器硬件故障、雷击损坏网络交换机的例子。

另外硬件的窃取也是一个不容忽视的问题，应引起高度重视的是偷窃造成的实际损失是硬件损失的好几倍，这是由于系统、数据和程序的重新更换需要很长的时间，会影响医院的正常运作。

软件产生故障也是原因之一。

许多商业软件在最初应用时，其程序编码中带有漏洞，而软件的不完善会造成数据的不完整性，所以对软件的程序漏洞要多加小心。

另外，人为因素对网络系统安全的影响同样不容忽视，它对系统的影响是多方面的,对医院信息系统会造成的破坏程度也不尽相同,较小的是造成数据错误、信息泄露或丢失，严重的会使网络瘫痪、系统崩溃等。

常见的人为因素有:医院内部人的因素、软件的非法复制、“黑客”、间谍等。

当然造成系统不安全的因素还有很多，但我个人认为应该引起重视的是信息系统的网络安全。

一旦网络出现故障将造成医院无法开展正常的业务活动，这将造成病人和家属情绪激动，容易发生过激行为，甚至出现恐怖行为；还可能造成数据丢失，给医院带来无法估量的损失。

根据对医院信息网络安全问题的调查结果分析..\资料\医院信息系统安全探讨网络.doc，我觉得目前的网络安全问题主要出现在以下几个方面：
一、没有设立网络安全、信息安全的专门管理机构，没有行政和技术上的安全管理；
二、没有制定、公布卫生系统的信息网络安全规范和安全标准；
三、没有实行强制性的安全监督、审查机制；
四、没有重视和执行对用户的安全知识、法规、标准的宣传、培训、考核；
五、没有规定和实行医院信息系统安全员持证上岗、身份认证制度。

可见问题还是很多，很严重的。

产生这些问题我认为卫生系统的管理人员有着不可推卸的责任。

目前卫生部门对医院的网络安全管理并没有一个统一的标准，各个地方的标准又有所不同，这就使管理上很容易出现漏洞。

此外国家对医院信息系统的重视程度还不够，投入的资金也不是十分充足，这自然加大了医院的负担，医院在考虑经济承受能力的同时，就可能对安全性考虑不周，这样出现问题也就不可避免了。

从另一个角度来看，社会环境的复杂性是网络安全的又一个隐患。

随着电脑的普及，越来越多的人成为了电脑高手，其中的一些人利用网络本身的安全问题和缺陷性，对其进行破坏，最明显也是最具杀伤力的就是病毒，它将给人类造成多大的危害我们都很难欲知。

威胁网络安全的因素还有网络设备的健全程度和数据的安全程度等。

针对以上问题我们应采取相应的措施加以解决。

首先，我们要建立和健全管理体系，通过借鉴国外的先进经验，并结合我国自身国情，制定出适合我国的法律法规，做到有法可依，同时要求地方性规章必须以国家的法律为依托，使全国有一个统一的标准，减少不法分子钻法律漏洞的可能性。

其次，要研究出一套行之有效的对抗病毒的方案。

为防范计算机病毒的入侵，可以将工作站的光驱、软驱全部删除，安装网络放毒软件对整个系统进行自动监控，还应严格的病毒防止工作制度和岗位责任制来防止新病毒的出现和传播。

同时还要使医院与信息化工作相关人员对信息安全有个全面、系统的了解，使他们认识到病毒的巨大危害性，增强危机感和自我防范意识。

同时还要做好医院信息系统应急预案，通过对信息系统应急预案主要内容及如何制定信息系统应急预案的讲解，帮助相关人员理解和执行应急预案，使得一旦出现病毒便可以及时发现，及时控制，及时解决，将损失减小到最低。

另外，我们还要保障网络设备和网络数据的安全。

一种有效的避免网络设备损坏的方法是设网络设备备份，即将网络中的关键设备和主要设备设置备份。

备份可采用整机备份，也可以采用部分备份；备份件可以采用热备份形式，也可以采用冷备份形式。

这样就可以保证非授权用户不能访问任何网络设备。

数据备份是保证数据的安全性和可靠性的一项重要措施。

数据备份要有多重备份，而且要有异地数据备份，并要对其进行检查，保证其有效性和完整性。

备份一定要定期做，至少要一天或两天做一次，一些大型的医院甚至需要几个小时就做一次，是数据备份工作制度化、科学化。

做数据备份可以采取许多不同的方式，如磁盘备份、磁带备份、关盘备份等，一般使用多种方式进行数据备份，力争做到万无一失。

医院信息系统在医院的运作和和管理中所起到的作用已经是不可替代的了。

HIS能否正常运行直接决定医院医疗业务能否正常开展，它的安全问题自然成为人们关注的焦点，努力提高技术水平，使HIS的安全有一个较大的飞跃，是我们目前最应该做的。

2005年9月20日。