【摘要】 目的 發(fā)現(xiàn)中醫(yī)醫(yī)院的信息安全問題，并提出解決方案。方法 對(duì)中醫(yī)醫(yī)院信息安全的現(xiàn)狀及重要性做全面的分析，并給出解決方案。結(jié)果 實(shí)施信息安全解決方案后，中醫(yī)醫(yī)院的信息安全程度大大加強(qiáng)，給醫(yī)院信息安全帶來了保障。結(jié)論 中醫(yī)醫(yī)院信息安全目前普遍存在巨大隱患，亟需加強(qiáng)。

doi:10.3969/j.issn.1674-9316.2015.04.003

工作單位：250200章丘市中醫(yī)醫(yī)院信息中心

Introduction to Basic TCM Hospitals Information Security Management

JIA Xicun LU Min Information center，Zhangqiu TCM hospital in Shandong，Zhangqiu 250200，China

【Abstract】

Objective To find the problems of information security of Chinese medicine hospitals，and puts forward the solution. Methods To do a comprehensive analysis of the status and importance of the traditional Chinese medicine hospitals’ information security，and gives the solution. Results With the implementation of information security solutions，the hospital of traditional Chinese medicine’s information security will greatly strengthen，and will bring security to the hospital information security. Conclusion At present，there is a huge hidden danger in the information security of traditional Chinese medicine hospital generally，and it needs to be strengthened.

【Key words】Chinese medicine information，Information security management

自國(guó)家中醫(yī)藥管理局《中醫(yī)醫(yī)院信息化建設(shè)基本規(guī)范》制定實(shí)施以來，中醫(yī)醫(yī)院的信息化建設(shè)有了突飛猛進(jìn)的發(fā)展，各種應(yīng)用系統(tǒng)的相繼實(shí)施，在提高中醫(yī)醫(yī)院工作效率和管理質(zhì)量，為廣大患者帶來極大方便的同時(shí)，也對(duì)中醫(yī)醫(yī)院信息安全工作帶來了更大的挑戰(zhàn)，如何建立安全、平穩(wěn)、高效的綜合安全防御機(jī)制，確保中醫(yī)醫(yī)院信息系統(tǒng)的安全正常運(yùn)行，成為醫(yī)院信息化建設(shè)中的首要任務(wù)。

1 中醫(yī)醫(yī)院的信息安全現(xiàn)狀分析

1.1 中醫(yī)醫(yī)院信息安全發(fā)展普遍滯后

傳統(tǒng)的中醫(yī)醫(yī)院因其區(qū)別于西醫(yī)醫(yī)院的辨證診療體系，在醫(yī)院信息化建設(shè)上普遍落后于綜合醫(yī)院，原來以財(cái)務(wù)應(yīng)用為主體的管理系統(tǒng)，與中醫(yī)臨床診療的脫節(jié)，嚴(yán)重制約了中醫(yī)醫(yī)院的信息化發(fā)展進(jìn)程。

1.2 傳統(tǒng)安全模式難以應(yīng)對(duì)新的安全挑戰(zhàn)

傳統(tǒng)的安全模式基于殺毒軟件加硬件防火墻的模式，主要運(yùn)行于封閉的內(nèi)部局域網(wǎng)環(huán)境，只要控制好系統(tǒng)終端的接入及操作，做好服務(wù)器端的數(shù)據(jù)備份就可以安枕無憂。新形勢(shì)下的網(wǎng)絡(luò)應(yīng)用，在很多的時(shí)候要求服務(wù)器通過互聯(lián)網(wǎng)對(duì)接上一級(jí)的信息系統(tǒng)，病毒泛濫，黑客攻擊，系統(tǒng)漏洞等情況已直接影響到醫(yī)院信息系統(tǒng)的安全運(yùn)行。

1.3 第三方信息安全控制策略模糊，幾近空白

醫(yī)院信息系統(tǒng)的多樣化，注定了諸多的軟件公司和人員參與到醫(yī)院信息化建設(shè)中來后各自為政的模式，決定了各供貨商在信息化建設(shè)中的以自我為中心，忽略了信息安全的內(nèi)容。同時(shí)，各系統(tǒng)的對(duì)接訪問，也造成了醫(yī)院敏感數(shù)據(jù)的不安全性，防止因第三方造成的信息數(shù)據(jù)泄露也成了新形勢(shì)下信息安全工作的一個(gè)重要內(nèi)容。

2 信息安全對(duì)中醫(yī)醫(yī)院的重要作用

2.1 保障正常醫(yī)療秩序的需要

信息安全貫穿于醫(yī)院診療活動(dòng)的每一個(gè)環(huán)節(jié)中，任何人為或者機(jī)械的事故或原因，都可能造成醫(yī)院信息系統(tǒng)運(yùn)行故障，甚至癱瘓，從而影響醫(yī)院正常的工作流程，甚至?xí)斐蓸O其不利的影響和局面，導(dǎo)致醫(yī)院工作混亂。

2.2 保障病人和醫(yī)護(hù)人員權(quán)益的需要

患者的診療記錄貫穿于患者從就診到出院的每一個(gè)環(huán)節(jié)中，不僅記錄了患者的隱私情況，還完善的記錄了醫(yī)生完整的診療過程和護(hù)士的全部護(hù)理工作，因此不但要防止患者醫(yī)療記錄的外泄，還要防止被惡意修改或刪除。

2.3 保障大數(shù)據(jù)安全存儲(chǔ)和合理運(yùn)用的需要

醫(yī)院信息化建設(shè)規(guī)模的不斷發(fā)展，使醫(yī)院的各項(xiàng)日常工作都納入了信息化的范疇，海量的數(shù)據(jù)信息不僅是醫(yī)院日常工作正常運(yùn)行的基礎(chǔ)所在，更成為醫(yī)院的一筆重要的財(cái)富，科學(xué)合理的管理、分析、運(yùn)用，將會(huì)對(duì)醫(yī)院的教學(xué)、科研、臨床、管理等工作帶來無可比擬的效果。

2.4 保障財(cái)務(wù)管理安全的需要

財(cái)務(wù)管理系統(tǒng)貫穿于醫(yī)院工作中收費(fèi)、結(jié)算，以及每一個(gè)財(cái)物管理的環(huán)節(jié)，財(cái)務(wù)數(shù)據(jù)的損壞或丟失，不僅會(huì)使醫(yī)院財(cái)產(chǎn)受到損失，甚至?xí)斐韶?cái)務(wù)管理及醫(yī)院管理工作的混亂。

3 中醫(yī)醫(yī)院加強(qiáng)信息安全管理的措施

“建立健全信息安全管理組織、規(guī)章制度、崗位職責(zé)以及檢查審核和風(fēng)險(xiǎn)評(píng)估機(jī)制，制定完備的系統(tǒng)恢復(fù)及應(yīng)急預(yù)案，完善信息技術(shù)安全措施，保障中醫(yī)醫(yī)院信息系統(tǒng)安全、平穩(wěn)和高效的運(yùn)行” ［1］。

3.1 建立健全安全風(fēng)險(xiǎn)評(píng)估機(jī)制

建立健全安全的風(fēng)險(xiǎn)評(píng)估機(jī)制，選取安全資質(zhì)高的專業(yè)服務(wù)機(jī)構(gòu)，并與兄弟單位建立良好的參觀考察學(xué)習(xí)機(jī)制，不斷在交流學(xué)習(xí)過程中發(fā)現(xiàn)系統(tǒng)中存在的問題和潛在威脅，力求防患于未然，消滅事故于萌芽之中。

3.2 加強(qiáng)信息安全管理制度建設(shè)并抓好落實(shí)

3.2.1 建立醫(yī)院信息安全管理組織 成立以院長(zhǎng)為首的信息安全領(lǐng)導(dǎo)小組，設(shè)立專職的信息安全管理員，對(duì)那些給醫(yī)院信息安全帶來嚴(yán)重隱患的行為和人員進(jìn)行重點(diǎn)的管理和監(jiān)督。

3.2.2 中心機(jī)房及服務(wù)器存儲(chǔ)、網(wǎng)絡(luò)安全建設(shè) （1）中心機(jī)房安全。中心機(jī)房是醫(yī)院信息系統(tǒng)設(shè)備運(yùn)行的核心，要有專業(yè)的裝修公司施工 ［2］。為此我院聘請(qǐng)專業(yè)的施工公司，選擇合適的樓層，按照《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》GB_50174-2008 對(duì)中心機(jī)房重新進(jìn)行了裝修。確保恒溫、恒濕、防雷防水，防塵防靜電，實(shí)現(xiàn)過壓保護(hù)、消防安全；（2）服務(wù)器、存儲(chǔ)設(shè)備的安全運(yùn)行。對(duì)服務(wù)器采購嚴(yán)格按照信息系統(tǒng)運(yùn)行環(huán)境要求，建立合理的雙機(jī)熱備體系，確保醫(yī)院信息系統(tǒng)的持續(xù)穩(wěn)定運(yùn)行；（3）網(wǎng)絡(luò)局域網(wǎng)安全運(yùn)行。

3.2.3 加強(qiáng)用戶管理 （1）本院用戶管理。建立嚴(yán)格的工作站使用及終端接入制度，禁止一切外部存儲(chǔ)設(shè)備及非法終端的接入，實(shí)現(xiàn)用戶登錄與工號(hào)綁定的措施，嚴(yán)格控制密碼管理，通過軟件對(duì)網(wǎng)絡(luò)使用狀態(tài)做出監(jiān)控，并定期形成完備的管理日志，為醫(yī)院信息系統(tǒng)安全預(yù)防工作提供實(shí)時(shí)合理的依據(jù)；（2）第三方用戶管理。對(duì)第三方軟件供應(yīng)商工作人員及其他人員實(shí)行嚴(yán)格的登記管理制度，進(jìn)入機(jī)房必須有本院信息科工作人員陪同，對(duì)接入的第三方存儲(chǔ)設(shè)備及終端實(shí)行嚴(yán)格的接入審核制度，確保醫(yī)院信息系統(tǒng)安全做到“進(jìn)不來、拿不走、看不懂、改不了、逃不掉”的安全程度 ［3］。

3.3 完善職工的信息安全培訓(xùn)及管控機(jī)制

制定詳細(xì)、完備的應(yīng)急預(yù)案，定期培訓(xùn)，定期演練，使每個(gè)人都熟悉應(yīng)急流程和應(yīng)急措施。重點(diǎn)部門的手工處方技能常抓不懈。

4 結(jié)語

醫(yī)院信息系統(tǒng)安全管理是維護(hù)醫(yī)院系統(tǒng)安全的非常重要的一環(huán)，隨著醫(yī)院信息內(nèi)容越來越豐富，價(jià)值越來越大，如果安全管理有漏洞，安全措施投入再大也無濟(jì)于事。因此應(yīng)當(dāng)強(qiáng)化信息安全人員管理，開展信息安全從業(yè)人員培訓(xùn)，加強(qiáng)人才隊(duì)伍建設(shè)提升網(wǎng)絡(luò)安全工作水平是重中之重。