醫(yī)院信息安全支撐體系建設(shè)思考

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了醫(yī)院信息安全支撐體系建設(shè)思考范文，希望能給你帶來靈感和參考，敬請閱讀。

［摘要］信息網(wǎng)絡(luò)安全是影響醫(yī)院醫(yī)療工作正常運轉(zhuǎn)的重要因素。為確保醫(yī)院信息網(wǎng)絡(luò)安全，文章從技術(shù)、人員、制度等方面分析醫(yī)院信息安全現(xiàn)狀，探討醫(yī)院信息安全支撐體系建設(shè)方案。在平臺安全、數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)防護、人力資源、規(guī)章制度等方面，提出了醫(yī)院信息安全支撐體系建設(shè)方法和體會。應(yīng)借助先進技術(shù)筑牢信息平臺和數(shù)據(jù)的安全，落實頂層設(shè)計發(fā)揮信息化建設(shè)應(yīng)有的作用，同時挖掘人才潛力推動行業(yè)建設(shè)安全持續(xù)發(fā)展，以確保醫(yī)院信息系統(tǒng)能安全、穩(wěn)定、高效地運行。

［關(guān)鍵詞］信息安全；體系；技術(shù)；人員；制度

0引言

醫(yī)院現(xiàn)代化建設(shè)離不開信息化的支撐，信息網(wǎng)絡(luò)的安全也就成了影響醫(yī)院醫(yī)療工作正常運轉(zhuǎn)的重要因素；但在醫(yī)院信息網(wǎng)絡(luò)建設(shè)的過程中，由于信息化總體規(guī)劃中的安全因素考慮不足，導(dǎo)致在信息網(wǎng)絡(luò)運行時還不時會出現(xiàn)或大或小的網(wǎng)絡(luò)故障［1］。因此，為確保醫(yī)院信息網(wǎng)絡(luò)安全，其支撐體系成了我們需要重點研究和思考的課題。

1醫(yī)院信息安全現(xiàn)狀

傳統(tǒng)的醫(yī)院信息基礎(chǔ)平臺是煙囪式架構(gòu)，應(yīng)用系統(tǒng)軟件是和硬件資源捆綁起來建設(shè)的，各自運行著醫(yī)院信息系統(tǒng)、檢驗信息系統(tǒng)、醫(yī)學影像存儲與傳輸系統(tǒng)等應(yīng)用系統(tǒng)［2］。由于每個應(yīng)用系統(tǒng)都由各自的服務(wù)器單獨提供服務(wù)，硬件資源利用率低，系統(tǒng)運行可用性不高，數(shù)據(jù)存放較為分散，數(shù)據(jù)保護可靠性差。網(wǎng)絡(luò)核心及匯聚層交換機往往采取的是主備模式，故障處理響應(yīng)時間較長。而網(wǎng)絡(luò)安全防護措施相對薄弱，容易受到病毒和惡意軟件的入侵，造成網(wǎng)絡(luò)局部或整體故障。有些醫(yī)院的容災(zāi)策略異常復(fù)雜，應(yīng)急計劃缺乏演練，往往不具有可執(zhí)行性。隨著信息技術(shù)的高速發(fā)展，技術(shù)分工越來越細，要求越來越高。但由于編制數(shù)量、用人制度、成本控制、人員待遇等原因，醫(yī)院往往缺乏高端信息人才，醫(yī)院信息專業(yè)人力資源普遍較為緊張［3］。并且在醫(yī)院這個并不專注于信息技術(shù)的相對封閉的環(huán)境內(nèi)，信息人員往往很難跟上行業(yè)發(fā)展的腳步。在信息網(wǎng)絡(luò)運行維護管理過程中，由于技術(shù)、人員和制度等跟不上，還存在問題得不到及時處理解決的現(xiàn)象。因此，為確保醫(yī)院信息網(wǎng)絡(luò)正常運行，我們必須對信息安全實行規(guī)范化、制度化管理，加強信息安全保障工作。應(yīng)從技術(shù)、人員、制度等方面進行安全體系建設(shè)［4-5］，建立完善的、多級的、體系的醫(yī)院信息網(wǎng)絡(luò)安全平臺，確保醫(yī)院信息網(wǎng)絡(luò)的安全，使醫(yī)院的運營和管理少受或不受非正常因素的干擾，按醫(yī)院既定目標和方式運營。

2信息安全支撐體系建設(shè)方法

醫(yī)院信息安全支撐體系涉及技術(shù)、人員、制度等多種因素。它們相互關(guān)聯(lián)，只有從整體上發(fā)揮共同作用，才能保證醫(yī)院信息系統(tǒng)長期處于一個較高的安全水平和穩(wěn)定的安全狀態(tài)，進而確保醫(yī)院各項工作的順利開展。

2.1平臺安全

構(gòu)建優(yōu)質(zhì)、高效、安全的信息網(wǎng)絡(luò)平臺是一項基礎(chǔ)工程。我們引入云計算技術(shù)，建立了一個節(jié)能、環(huán)保、低碳、綠色的云計算技術(shù)架構(gòu)的動態(tài)數(shù)據(jù)中心，形成了虛擬化平臺和小型機共存的信息基礎(chǔ)平臺，搭建了生產(chǎn)云、測試云、容災(zāi)云、安全云等功能云，從而轉(zhuǎn)變醫(yī)院數(shù)據(jù)中心建設(shè)模式，從傳統(tǒng)粗放型轉(zhuǎn)變?yōu)楝F(xiàn)代集約型投入，從煙囪式轉(zhuǎn)變?yōu)樘摂M化應(yīng)用部署，實現(xiàn)平臺整體部署、資源按需配置、系統(tǒng)安全保障的新環(huán)境，以提高信息設(shè)備利用率和信息系統(tǒng)安全性，發(fā)揮信息資源的最大效能［6-7］。為更好地保障安全，我們采用虛擬網(wǎng)絡(luò)技術(shù)將網(wǎng)絡(luò)劃分多個虛擬局域網(wǎng)，有效提高交換機的數(shù)據(jù)交換效率，增強了網(wǎng)絡(luò)的安全性。并且從多種角度研究數(shù)據(jù)中心容災(zāi)系統(tǒng)的建設(shè)，提出3種容災(zāi)預(yù)案，旨在利用各種技術(shù)和管理手段將災(zāi)難的影響化解［8］。一是基于高可用性的本地接管預(yù)案，二是基于雙活數(shù)據(jù)中心的本異地互備預(yù)案，三是基于數(shù)據(jù)庫復(fù)制技術(shù)的主系統(tǒng)本異地切換預(yù)案。

2.2數(shù)據(jù)安全

數(shù)據(jù)安全涉及數(shù)據(jù)丟失和數(shù)據(jù)使用管理兩方面內(nèi)容。數(shù)據(jù)丟失包含兩個方面，一個是存儲系統(tǒng)硬件導(dǎo)致的數(shù)據(jù)丟失，稱之為數(shù)據(jù)的物理錯誤；另一個情況是應(yīng)用程序、病毒、人為誤操作導(dǎo)致的數(shù)據(jù)丟失，稱之為數(shù)據(jù)的邏輯錯誤［8］。我們針對這兩種情況，一是搭建存儲虛擬化平臺，對不同存儲系統(tǒng)平臺提供的物理卷進行鏡像，完全可以確保在出現(xiàn)物理錯誤時數(shù)據(jù)不丟失、應(yīng)用不中斷；并且對整個存儲池進行規(guī)劃，把存儲空間資源和性能資源整合，發(fā)揮存儲設(shè)備的最大效能［9］。二是建立數(shù)據(jù)備份恢復(fù)解決方案。數(shù)據(jù)備份是數(shù)據(jù)保護的最后一道屏障。基于備份恢復(fù)的數(shù)據(jù)保護預(yù)案就是通過建立高效的數(shù)據(jù)備份恢復(fù)系統(tǒng)，在數(shù)據(jù)的邏輯錯誤導(dǎo)致數(shù)據(jù)丟失的時候，用于應(yīng)急恢復(fù)工作，從而起到保護數(shù)據(jù)的作用。為數(shù)據(jù)使用得到有效地管理，建立相應(yīng)的數(shù)據(jù)庫使用管理制度和數(shù)據(jù)庫審計追蹤使用行為等技術(shù)防范措施，以防數(shù)據(jù)泄露，切實保護醫(yī)院權(quán)益和病人隱私。

2.3應(yīng)用安全

為保障應(yīng)用系統(tǒng)的使用安全，原國家衛(wèi)生部（現(xiàn)國家衛(wèi)生健康委員會）出臺了《衛(wèi)生系統(tǒng)電子認證服務(wù)管理辦法》。電子認證包括身份認證、電子簽名和電子驗簽。采用國家認可的數(shù)字證書，可以有效解決衛(wèi)生信息系統(tǒng)流程中的安全問題，確保用戶身份和信息的真實性、電子病歷的合法性以及網(wǎng)上數(shù)據(jù)信息存儲和傳輸?shù)陌踩裕瑥亩鴮崿F(xiàn)診療信息的安全共享。目前，我們在電子病歷及其歸檔系統(tǒng)中正在逐步開展安全、規(guī)范的電子認證服務(wù)應(yīng)用［10］。對于應(yīng)用系統(tǒng)的自身安全，我們對每一個系統(tǒng)的引進和開發(fā)都要進行反復(fù)的論證、調(diào)研，深入了解需求，結(jié)合醫(yī)院實際進行系統(tǒng)的二次改造優(yōu)化，使醫(yī)院信息體系安全對接、有機融合、充分共享。并且對用戶進行權(quán)限設(shè)置，嚴格賬戶管理，定期整理用戶。強化操作應(yīng)用和使用安全，使信息化技能成為工作人員必需技能，努力發(fā)揮系統(tǒng)的最大效益。

2.4網(wǎng)絡(luò)防護

為對網(wǎng)絡(luò)終端設(shè)備和網(wǎng)絡(luò)邊界進行安全防護，我們采用以下安全保障方法：一是使用桌面管理軟件，對網(wǎng)絡(luò)終端設(shè)備進行遠程控制和管理，為用戶解決資產(chǎn)管理、網(wǎng)絡(luò)配置、桌面維護等日常工作。二是實現(xiàn)網(wǎng)絡(luò)準入控制，規(guī)范終端接入標準，加強網(wǎng)絡(luò)終端的主動防御能力，屏蔽一切不安全的設(shè)備接入醫(yī)院網(wǎng)絡(luò)［11］。三是采用防病毒技術(shù)，部署網(wǎng)絡(luò)版殺毒軟件和安全預(yù)警系統(tǒng)，對整個網(wǎng)絡(luò)實行全方位、多層次的病毒防護，對網(wǎng)絡(luò)中的病毒感染情況和病毒傳播情況進行實時監(jiān)控和報警，從而起到提前預(yù)警和事前防范作用。四是采用防火墻建立安全網(wǎng)關(guān)，用IDS和IPS加以補充，并可使用網(wǎng)閘實現(xiàn)內(nèi)外網(wǎng)隔離。做好安全策略、日志審計等工作，對進出的訪問行為進行有效管理，對防火墻的信息內(nèi)容和活動進行記錄，對網(wǎng)絡(luò)攻擊進行檢測和報警，有效防止醫(yī)院內(nèi)部網(wǎng)絡(luò)受到外部攻擊［12］。

2.5人力資源

正確分析人才隊伍和人才工作的現(xiàn)狀，加強人才隊伍建設(shè)，努力打造一支精干高效的信息人才隊伍［13-14］。針對醫(yī)院實際情況，我們在優(yōu)化信息部門人員配備的同時，實行內(nèi)部輪訓(xùn)機制，強化能力培養(yǎng)；采用引進與培養(yǎng)相結(jié)合的方法，制定切實可行的措施吸引和培養(yǎng)人才；通過內(nèi)部培訓(xùn)和專業(yè)機構(gòu)培訓(xùn)等渠道，采取普通培訓(xùn)與重點培訓(xùn)相結(jié)合、理論培訓(xùn)與現(xiàn)場培訓(xùn)相結(jié)合、在職培訓(xùn)與外出學習相結(jié)合的方式，切實達到實用有效的培訓(xùn)目的，加快現(xiàn)有人才知識結(jié)構(gòu)與專業(yè)能力的自我轉(zhuǎn)型和提升；加快調(diào)整人才隊伍建設(shè)和培養(yǎng)機制，推進人才隊伍由數(shù)量增長型向內(nèi)涵建設(shè)型轉(zhuǎn)變，充分發(fā)揮人才的價值和作用，更好地為醫(yī)院信息網(wǎng)絡(luò)建設(shè)與運維服務(wù)，使信息安全服務(wù)管理風險降到最小。

2.6規(guī)章制度

醫(yī)院信息安全制度為保證信息網(wǎng)絡(luò)的正常運行和健康發(fā)展起到了關(guān)鍵作用。遵循信息安全等級保護制度，有利于突出重點，加強對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護和管理監(jiān)督；有利于明確安全責任，強化監(jiān)管職能，落實各項安全建設(shè)和安全管理措施；有利于采取系統(tǒng)規(guī)范、經(jīng)濟有效、科學合理的管理和技術(shù)保障措施，提高整體安全保護水平。我們根據(jù)國家和軍隊的相關(guān)要求，逐步建立和完善了信息網(wǎng)絡(luò)系統(tǒng)管理、安全保護、運行維護、人員培訓(xùn)等一系列制度；建立醫(yī)院、職能科室、應(yīng)用科室三級信息管理網(wǎng)絡(luò)體系，分職責、分層次、分重點進行管理，并且制訂了網(wǎng)絡(luò)故障應(yīng)急處置預(yù)案［15］。在完善制度規(guī)范的同時，抓制度的執(zhí)行和落實，使制度作用得到充分發(fā)揮，保障信息安全和信息系統(tǒng)安全正常運行，進而保障各部門的職能與業(yè)務(wù)工作能夠有條不紊地開展。

3信息安全支撐體系建設(shè)體會

3.1借助先進技術(shù)筑牢信息平臺和數(shù)據(jù)的安全

面對信息技術(shù)的高速發(fā)展，數(shù)字化醫(yī)院建設(shè)和管理模式應(yīng)與時展要求相適應(yīng)。我們應(yīng)緊盯信息前沿技術(shù)，拓展其在醫(yī)療技術(shù)、服務(wù)模式、安全保障中的應(yīng)用和創(chuàng)新轉(zhuǎn)化，筑牢信息平臺和數(shù)據(jù)的安全，有效提升醫(yī)院信息化內(nèi)涵建設(shè)［16］。利用技術(shù)創(chuàng)新、模式創(chuàng)新，實現(xiàn)數(shù)字化醫(yī)院建設(shè)轉(zhuǎn)型轉(zhuǎn)變，把數(shù)字化醫(yī)院建設(shè)變成為安全放心工程，助力醫(yī)療服務(wù)質(zhì)量、管理決策水平的全方位提升，以及數(shù)字化醫(yī)院建設(shè)健康持續(xù)發(fā)展。

3.2落實頂層設(shè)計發(fā)揮信息化建設(shè)應(yīng)有的作用

醫(yī)院往往希望通過推進信息化建設(shè)來提升自身的競爭能力，但在實際建設(shè)過程中卻常常忽略了信息化建設(shè)的總體規(guī)劃。切忌把“頂層設(shè)計”當作一種口號，把“整體規(guī)劃”流于形式，缺少思考和探索，人為主觀因素較多、隨意性較大，從而導(dǎo)致在信息網(wǎng)絡(luò)運行過程中出現(xiàn)這樣那樣的問題，使信息化建設(shè)發(fā)揮不了應(yīng)有的作用［16］。我們應(yīng)從醫(yī)院的現(xiàn)狀和發(fā)展出發(fā)，求真務(wù)實，讓總體規(guī)劃、頂層設(shè)計落到實處，確保信息安全無死角。

3.3挖掘人才潛力推動行業(yè)建設(shè)安全持續(xù)發(fā)展

醫(yī)院信息化30年的發(fā)展實踐表明，人才是實現(xiàn)行業(yè)持續(xù)發(fā)展的關(guān)鍵要素，是推動信息技術(shù)創(chuàng)新的重要源泉，是保障信息網(wǎng)絡(luò)安全運行的根本力量。沒有高水平人才，數(shù)字化醫(yī)院建設(shè)站不高、看不遠、理不清；沒有專業(yè)化人才，信息安全保障將出現(xiàn)被動局面，將滋生依賴性。而建立健全各項培養(yǎng)制度和考核評價激勵機制，才能使得人才培養(yǎng)制度化，才能保證人才培養(yǎng)長效化［14］。因此要緊緊抓住培養(yǎng)人才、吸引人才、用好人才等環(huán)節(jié)，以優(yōu)秀人才推動信息化建設(shè)，同時為醫(yī)院信息網(wǎng)絡(luò)安全運行起到保駕護航的作用。

4結(jié)語

隨著社會的進步和發(fā)展，醫(yī)院由原先相對封閉的環(huán)境逐步變化為開放的環(huán)境，由此給信息安全也帶來了新的課題，而進行信息安全體系化建設(shè)管理正是實現(xiàn)信息安全保障的有效手段［17］。在實施各項安全保障措施時，應(yīng)根據(jù)醫(yī)院的實際情況，從建、管、用3個方面入手，有目的、有計劃、有步驟地展開，搭建事前防范、事中處理、事后評估的全流程安全服務(wù)體系，規(guī)范信息質(zhì)量管理，提高信息保障水平，確保醫(yī)院信息網(wǎng)絡(luò)平臺及其承載的業(yè)務(wù)系統(tǒng)能安全高效運行。

【參考文獻】

［1］許強.淺析醫(yī)院信息安全管理實踐［J］.中國管理信息化，2018，21（16）：168-169.

［2］趙伯誠，朱元元，馬錫坤，等.南京軍區(qū)“醫(yī)云工程”實踐與效果分析［J］.中國數(shù)字醫(yī)學，2013，8（5）：16-19.

［3］張曙光，顧懷敏，徐旭東.醫(yī)學信息工程技術(shù)人員隊伍建設(shè)存在問題及對策［J］.醫(yī)學研究生學報，2010，23（12）：1295-1298.

作者：馬錫坤 單位：東部戰(zhàn)區(qū)總醫(yī)院