2017年3月，李克强总理在政府工作报告中首次提出，要制定“互联网+”行动计划，推动移动云计算、大数据、物联网等与传统行业相结合。2017年6月1日《网络安全法》实施后，“互联网+医疗”的信息安全越发重要处在风口浪尖。

泸州市中医院属于三级甲等中医医院，医院信息化建设已运行多年，目前为四川省二星数字化医院。医院建设有医院信息管理系统（HIS）、临床信息系统（CIS）、检验信息管理系统（LIS）、医学影像存储与管理系统（PACS）、重症临床信息系统、手术麻醉信息系统、合理用药、供应中心追溯系统、传染病监测系统、掌上智慧医院等40余个子系统。信息系统覆盖全院各个部门，涵盖患者就诊的各个环节。医院信息系统的安全性直接关系到医疗工作的正常运行，一旦网络瘫痪或数据丢失，将会给医院带来巨大的灾难和难以弥补的损失。因此，为保证医院信息系统安全正常工作，必须采用必要的安全管理措施来保障医院信息网络系统持久、稳定、安全地运行。

1.医院信息安全概况

当前，信息系统已成为医院各部门业务开展的必备工具，是实现医院现代化运营的重要手段。但若信息安全出现问题，小则影响医院业务开展甚至停摆，大则影响社会安定。加强医院信息安全建设与提升职工信息安全意识势在必行。

1.1信息安全保护范围

医院信息安全主要包括设备安全、网络安全、数据安全及行为安全。如中心机房服务器、存储器、交换机等设备安全，医院内部网络及互联网接入安全，各科室终端安全（如开机密码保护、文档资料、USB接入等安全）信息系统中患者病历数据、个人隐私安全等，甚至包括个人的科研成果、项目文档、银行及支付账户安全等。

1.2信息安全主要威胁

威胁信息安全的主要方式包括病毒、木马及人为的特定攻击等。攻击者（黑客）通过篡改网页源代码、利用系统漏洞加入木马程序等，对用户进行攻击，盗取用户重要数据，迫使用户满足其提出的要求。比如前段时间全球出现的勒索病毒、无敌舰队等。

1.3感染途径

通过网络浏览、电子邮件、移动存储介质、网络下载等途径，可使终端设备感染上病毒，一传十、十传百，甚至会导致整个内部网络设备瘫痪。

2医院信息安全分类

根据医院实际工作情况，信息安全一般可分为硬件安全、网络安全及数据库安全。

（1）硬件安全。医院中心机房核心设备主要包括服务器、交换机及存储控制器。其工作环境要求严格，一般要求将温度置于22℃左右，相对湿度为45%～65%，且机房内要无人员流动、防尘、半封闭，并安装静电地板、防雷设施等。

（2）网络安全。医院信息系统中的数据依靠网络传输，由于医院日常业务的特殊性，必须保证网络7×24小时无故障运行，所以网络设备的维护至关重要。中心机房安装有温湿度监控系统，漏水预警提醒，有异常将短信报警。信息中心人员24小时值班，每天查看路由器、交换机、光纤收发器、光模块等设备的指示灯状态是否正常，各种插头是否松动等。根据医院实际情况，将内外网物理隔离、分开访问，内网数据不能被外网访问，这样保证信息访问的安全性。同时在网络结构上采用总线型拓扑方式，采用双机均衡模式，实现了关键业务的链路冗余及网络冗余，保障网络稳定运行。另外，配置网络访问权限防止非法用户入侵网络，确保网络运行安全。

（3）数据库安全。数据库是医院信息安全的核心，在整个医院信息安全方面的地位举足轻重。为了保障医院数据信息的安全，应重点制定维护制度和管理制度，如数据库管理权限、操作员角色管理、关键数据监控、外部对接授权等。

3信息安全保障方式

当前开展诊疗服务对信息系统的依赖程度越来越高，医院信息系统中存储着大量医疗数据和患者个人信息，因此必须确保其安全性才能保障医院正常运作和持续发展。

3.1强化信息安全技术

信息安全技术是保障信息的完整性、保密性和可控性而采用的技术手段及安全产品。医院信息系统安全主要包括以下两方面：