吳兵

摘要：針對(duì)我國(guó)醫(yī)院信息化建設(shè)日益加快，而信息安全管理無(wú)法適應(yīng)信息化建設(shè)發(fā)展的問(wèn)題，該文首先分析了醫(yī)院信息網(wǎng)絡(luò)安全管理的概念及特點(diǎn)，其次對(duì)我國(guó)醫(yī)院信息安全管理過(guò)程中出現(xiàn)的問(wèn)題進(jìn)行了分析和總結(jié)，最后根據(jù)當(dāng)前安全管理方面的問(wèn)題，給出了醫(yī)院信息安全管理的維護(hù)策略。該文對(duì)于醫(yī)院的信息技術(shù)工作人員和主抓信息安全的院級(jí)領(lǐng)導(dǎo)都有一定的積極作用。

關(guān)鍵詞：醫(yī)院;信息安全;維護(hù)策略

中圖分類號(hào)：TP393? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）11-0051-03

Hospital Information Network Security Management and Maintenance Strategy

WU Bing

（Xuancheng Health Information Centre， Xuancheng 242000， China）

Abstract： In view of the problem that the hospital information construction is speeding up day by day in our country， and the information security management can not adapt to the development of the information construction， this paper first analyzes the concept and characteristics of the hospital information network security management， secondly， this paper analyzes and summarizes the problems in the process of hospital information security management， and finally， according to the problems of current security management， gives the maintenance strategy of hospital information security management. This article has a certain positive function for the hospital information technology staff and the hospital-level leadership which mainly grasps information security.

Key words： hospital; information security; maintenance strategy

1 背景

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，企事業(yè)單位對(duì)于網(wǎng)絡(luò)的安全管理重視程度不斷加大。醫(yī)院作為醫(yī)療公益性服務(wù)行業(yè)，是人民提供高效的健康服務(wù)集中地。近年來(lái)，我國(guó)人民生活水平不斷提高，人們對(duì)于醫(yī)療健康的重視程度日益提升，醫(yī)院利用網(wǎng)絡(luò)信息技術(shù)可以有效提升自身醫(yī)療水平和保障優(yōu)質(zhì)服務(wù)，但與此同時(shí)，醫(yī)院的信息網(wǎng)絡(luò)安全也受到了挑戰(zhàn)，如何確保醫(yī)院的核心成果、患者信息得到安全的保管，對(duì)當(dāng)前的醫(yī)院信息網(wǎng)絡(luò)安全管理提出了更高的要求[1]。

2 醫(yī)院信息網(wǎng)絡(luò)安全管理理論

2.1 醫(yī)院信息網(wǎng)絡(luò)安全管理的概念

為了保證醫(yī)療系統(tǒng)的正常運(yùn)轉(zhuǎn)，加強(qiáng)醫(yī)院外部和內(nèi)部的信息安全管理成為重中之重。一直以來(lái)，對(duì)于信息安全管理都過(guò)于側(cè)重于技術(shù)層面，購(gòu)買昂貴的網(wǎng)絡(luò)設(shè)備及相關(guān)的防護(hù)軟件，但效果卻不明顯[2]。近十年來(lái)，我國(guó)的很多學(xué)者都對(duì)醫(yī)院的信息網(wǎng)絡(luò)安全管理進(jìn)行了分析研究，設(shè)計(jì)研發(fā)了相關(guān)的醫(yī)院信息管理系統(tǒng)，為醫(yī)院的信息網(wǎng)絡(luò)安全工作提供了支撐。隨著我國(guó)醫(yī)療衛(wèi)生事業(yè)的迅速進(jìn)步，單獨(dú)的管理系統(tǒng)或硬件設(shè)備已經(jīng)不能滿足醫(yī)院信息網(wǎng)絡(luò)安全的需求，需要從更深的層面去解讀醫(yī)院信息網(wǎng)絡(luò)安全管理[3]。

結(jié)合國(guó)內(nèi)外學(xué)者對(duì)醫(yī)院信息網(wǎng)絡(luò)安全管理的研究，本文將醫(yī)院信息網(wǎng)絡(luò)安全管理總結(jié)為：充分結(jié)合醫(yī)院信息管理系統(tǒng)的軟硬件資源，利用網(wǎng)絡(luò)安全設(shè)備及保護(hù)軟件對(duì)信息資源進(jìn)行安全管理，有效地避免醫(yī)院的網(wǎng)絡(luò)信息不會(huì)被偶然或惡意地泄露、破壞和修改等一系列的動(dòng)態(tài)過(guò)程[4]。

醫(yī)院信息網(wǎng)絡(luò)安全管理不是靜態(tài)一成不變的，而是隨著時(shí)間的推移而逐步發(fā)生變化的過(guò)程，而且參與人員不僅僅局限于系統(tǒng)管理維護(hù)人員，需要醫(yī)院的全體共同參與的活動(dòng)。

2.2 醫(yī)院信息網(wǎng)絡(luò)安全管理的特點(diǎn)

醫(yī)院信息安全管理不同于一般的企事業(yè)，有其自己獨(dú)有的特點(diǎn)。

1）動(dòng)態(tài)性

醫(yī)院是一個(gè)開(kāi)放的、流動(dòng)性極強(qiáng)的服務(wù)性部門，服務(wù)對(duì)象（患者、家屬、護(hù)工等）、物流（藥品、設(shè)備等）及信息流（醫(yī)囑、收據(jù)等）一直處于一個(gè)不斷變化的動(dòng)態(tài)過(guò)程，有效地實(shí)現(xiàn)資源共享，才能提高醫(yī)院的工作效率及信息安全。

2）復(fù)雜性

當(dāng)前醫(yī)院的規(guī)模越來(lái)越大，設(shè)置的科室越來(lái)越多，醫(yī)生、技師、護(hù)士及后勤人員等人員的分工越來(lái)越細(xì)，既要保障這些人員的信息有效共享，便于內(nèi)部溝通和協(xié)調(diào)，同時(shí)又要保障信息的安全性，這使得安全管理工作更加復(fù)雜。

3）系統(tǒng)性

網(wǎng)絡(luò)把醫(yī)院的各個(gè)科室、后勤等眾多的信息孤島有機(jī)地聯(lián)系在一起，使得醫(yī)院的各部門彼此之間的協(xié)調(diào)配合更加緊密，形成一個(gè)系統(tǒng)化的運(yùn)作模式。在安全管理上，各部門全部參與其中，信息安全管理不再是某個(gè)人或某個(gè)部門的問(wèn)題，而是全體醫(yī)院工作人員共同的系統(tǒng)工作。

3 醫(yī)院信息網(wǎng)絡(luò)安全管理的問(wèn)題

我國(guó)近年來(lái)，大部分醫(yī)院都采用了信息化辦公，利用網(wǎng)絡(luò)技術(shù)為醫(yī)生和患者提供便利，在信息管理系統(tǒng)的運(yùn)營(yíng)上，也投入了相當(dāng)?shù)奈锪拓?cái)力。但對(duì)于網(wǎng)絡(luò)安全管理方面，卻出現(xiàn)了一些問(wèn)題，主要有以下幾個(gè)方面。

3.1 領(lǐng)導(dǎo)層對(duì)信息安全管理重視不足

醫(yī)院是公益性的服務(wù)機(jī)構(gòu)，提高醫(yī)院的工作效率，更加快捷地為患者提供優(yōu)質(zhì)服務(wù)是當(dāng)前醫(yī)院關(guān)注的頭等大事。很多醫(yī)院為此，積極引進(jìn)信息管理系統(tǒng)，使得醫(yī)院內(nèi)部信息的共享，極大地縮短了信息反饋時(shí)間，有效地推動(dòng)了醫(yī)院的信息化進(jìn)程。但是，對(duì)于信息的安全管理，在相當(dāng)一部分醫(yī)院里，并沒(méi)有得到相關(guān)領(lǐng)導(dǎo)的認(rèn)可，對(duì)安全管理的重視程度嚴(yán)重不足，認(rèn)為系統(tǒng)能夠正常運(yùn)行即可，無(wú)須進(jìn)行安全防護(hù)。

3.2 安全管理責(zé)任落實(shí)不到位

當(dāng)前，很多醫(yī)院都成立了網(wǎng)絡(luò)安全技術(shù)科或系統(tǒng)維護(hù)科，一般這種科室有幾名專門的IT人員組成，當(dāng)醫(yī)院信息安全受到威脅或破壞時(shí)，主要由這幾個(gè)人員進(jìn)行維護(hù)和恢復(fù)。一般這種科室的主管領(lǐng)導(dǎo)和人員并沒(méi)有具體的任務(wù)，醫(yī)院的信息系統(tǒng)正常運(yùn)行，這些人員可以處于空閑狀態(tài)。對(duì)于評(píng)定、工作總結(jié)長(zhǎng)期以來(lái)，基本上都是千篇一律，甚至維護(hù)日志都沒(méi)有。當(dāng)出現(xiàn)重大信息安全事故時(shí)，沒(méi)有具體的責(zé)任人。

在醫(yī)院內(nèi)部，很多情況安全事故出現(xiàn)后，并沒(méi)有具體的負(fù)責(zé)人或主管領(lǐng)導(dǎo)，都是直接打電話或通知技術(shù)科，檢查問(wèn)題，沒(méi)有一個(gè)合理的問(wèn)題反饋渠道，這使得醫(yī)院里出現(xiàn)共性的安全問(wèn)題特別多，但沒(méi)有安全管理責(zé)任具體負(fù)責(zé)人。

醫(yī)院里，即使同級(jí)別的醫(yī)生和護(hù)士，其待遇也是不盡相同的，這是由于醫(yī)院的績(jī)效和工作量是掛鉤的。但大部分醫(yī)院的技術(shù)人員的待遇都是固定的，這也使得安全維護(hù)人員的工作積極性不高，在醫(yī)院的信息安全管理問(wèn)題上，一般都是滯后的，很少在問(wèn)題出現(xiàn)以前將問(wèn)題有效防止。

3.3 信息安全管理投資力度小

在醫(yī)院里，信息管理系統(tǒng)已經(jīng)成為日常辦公必不可少的工具，醫(yī)院為信息管理系統(tǒng)配置了相應(yīng)的軟硬件資源。在投資上也花費(fèi)了一定的資金。例如，在圖1中，利用醫(yī)院的局域網(wǎng)，通過(guò)一個(gè)核心交換機(jī)就可以把醫(yī)院內(nèi)部的各個(gè)科室有效地聯(lián)系在一起，使得醫(yī)院信息管理系統(tǒng)（HIS）有效地運(yùn)行[5]。

上圖中的醫(yī)院信息管理系統(tǒng)網(wǎng)絡(luò)拓?fù)潆m然能夠確保系統(tǒng)正常運(yùn)行，但安全系數(shù)相對(duì)較低，可能出現(xiàn)IP地址沖突、計(jì)算機(jī)病毒、欺騙性攻擊等。由于在局域網(wǎng)內(nèi)部，服務(wù)器區(qū)域也沒(méi)有獨(dú)立的防護(hù)措施，這使得整個(gè)系統(tǒng)極易受到攻擊。

如果提升安全系數(shù)，需要安裝相應(yīng)的軟硬件資源，這使得醫(yī)院信息化的投資加大，對(duì)于重視醫(yī)療效果的醫(yī)院管理者來(lái)說(shuō)，加大網(wǎng)絡(luò)安全的投資是不必要的，讓信息安全管理的經(jīng)費(fèi)相對(duì)較少。

3.4 信息安全管理考核機(jī)制不健全

醫(yī)院的信息安全考核機(jī)制主要針對(duì)兩類人群，一是醫(yī)院信息技術(shù)部的人員，對(duì)于該類人群，要明確劃分工作區(qū)域，制定完整的工作細(xì)則，不能讓吃大鍋飯。二是針對(duì)醫(yī)院的全體工作人員，對(duì)于該類人群，很多的醫(yī)生、護(hù)士及后勤人員認(rèn)為信息安全管理與他們無(wú)關(guān)，這是一種極其嚴(yán)重的錯(cuò)誤認(rèn)識(shí)。特別是科室方面，主要強(qiáng)調(diào)的是醫(yī)療服務(wù)方面的事務(wù)，而對(duì)于信息的安全管理方面要么不提，或者無(wú)足輕重地說(shuō)一下，對(duì)于員工的約束力嚴(yán)重不足。

很多醫(yī)院從來(lái)沒(méi)有舉行過(guò)信息安全管理方面的考核，也沒(méi)有出臺(tái)相關(guān)的規(guī)章制度，對(duì)于電腦的使用，個(gè)人操作的隨意性比較強(qiáng)，有些人為了工作上的便利，直接將個(gè)人用戶名及密碼告訴別人，使得安全管理混亂。

4 醫(yī)院信息網(wǎng)絡(luò)安全管理的維護(hù)策略

4.1 提升領(lǐng)導(dǎo)及全體員工對(duì)信息安全的重視

醫(yī)院工作效率的提升離不開(kāi)醫(yī)院的信息化建設(shè)，信息的安全代表著醫(yī)院的信息化進(jìn)程處于健康的發(fā)展?fàn)顟B(tài)。醫(yī)院的信息化建設(shè)是以信息安全為前提，所以醫(yī)院的領(lǐng)導(dǎo)層一定要高度重視信息安全的管理工作，首先從醫(yī)院的層面，結(jié)合本醫(yī)院信息系統(tǒng)和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，制定相關(guān)的規(guī)章制度，并下放到各個(gè)科室及具體每個(gè)員工手工，嚴(yán)格按照規(guī)章制度執(zhí)行安全條例，只有院領(lǐng)導(dǎo)帶頭重視，員工才會(huì)重視。其次，在醫(yī)院?jiǎn)T工方面，定期進(jìn)行信息安全管理知識(shí)競(jìng)賽，讓員工平時(shí)時(shí)刻牢記信息安全的重要性。最后，組織進(jìn)行相關(guān)的知識(shí)業(yè)務(wù)培訓(xùn)工作，不斷提高一線安全維護(hù)人員的技術(shù)水平和理論水平，使這些人的專業(yè)素養(yǎng)不斷得到提高。

4.2 安全責(zé)任到人

安全管理是全體所有員工的事情，不是某個(gè)技術(shù)科室或技術(shù)維護(hù)人員的事情。信息安全管理在平時(shí)要注重宣傳，嚴(yán)格控制醫(yī)院?jiǎn)T工個(gè)人密碼的安全性，規(guī)范醫(yī)院信息管理系統(tǒng)的操作流程。當(dāng)出現(xiàn)信息安全事故后，不僅要第一時(shí)間進(jìn)行恢復(fù)工作，還要追究相關(guān)人員的責(zé)任，可以根據(jù)規(guī)章制度的規(guī)定進(jìn)行處罰。只有責(zé)任到人，才能讓每個(gè)員工從內(nèi)心深處真正意識(shí)到安全管理的重要性。

4.3 加大信息安全管理的資金投入

醫(yī)院的發(fā)展離不開(kāi)信息化，對(duì)于信息化的建設(shè)和安全管理方面，每年醫(yī)院在這方面必須做出預(yù)算。信息安全管理不能僅僅停留在讓全體員工不違章操作上，一方面要對(duì)信息安全管理進(jìn)行預(yù)防;另一方面，當(dāng)出現(xiàn)信息安全問(wèn)題時(shí)，如何能確保信息的安全性，如不丟失數(shù)據(jù)。無(wú)論是預(yù)防還是修復(fù)操作，不僅需要過(guò)硬的技術(shù)支持，還需要有專門軟硬件設(shè)備。例如，數(shù)據(jù)的備份（雙機(jī)備份如圖2所示），兩臺(tái)服務(wù)器同時(shí)連接磁盤陣列，通過(guò)集群內(nèi)部網(wǎng)來(lái)判斷當(dāng)前服務(wù)器是否正常運(yùn)行，假如服務(wù)器（主機(jī)A）出現(xiàn)故障，這時(shí)通過(guò)網(wǎng)絡(luò)偵測(cè)，服務(wù)器（主機(jī)B）接替主機(jī)A進(jìn)行工作，保障了系統(tǒng)的無(wú)縫鏈接。

無(wú)論是偵測(cè)系統(tǒng)還是雙服務(wù)器，都會(huì)加大安全管理的成本，這需要醫(yī)院持續(xù)地投入資金來(lái)不斷完善信息安全管理。

5 結(jié)束語(yǔ)

本文對(duì)醫(yī)院信息網(wǎng)絡(luò)安全管理進(jìn)行了描述，當(dāng)前醫(yī)院的信息化進(jìn)程發(fā)展迅速，醫(yī)院的內(nèi)外網(wǎng)環(huán)境不斷發(fā)生變化，在醫(yī)院的信息安全管理上，不能以老眼光、老思路去看待問(wèn)題。要不斷學(xué)習(xí)信息安全管理知識(shí)，以優(yōu)化醫(yī)療服務(wù)流程為目的，加強(qiáng)醫(yī)院的內(nèi)涵建設(shè)，將醫(yī)院的資源進(jìn)行有效的整合，確保信息系統(tǒng)的安全運(yùn)行。本文提出了加強(qiáng)人員重視的維護(hù)策略，但由于篇幅所限，規(guī)章制度的具體說(shuō)明無(wú)法給出，希望讀者根據(jù)醫(yī)院的實(shí)際情況，有針對(duì)性地制定。

參考文獻(xiàn)：

[1] 張明月，李江.我國(guó)醫(yī)療安全研究現(xiàn)狀概述[J].中國(guó)科技信息，2009（10）：232-234.

[2] 林長(zhǎng)喜.構(gòu)建醫(yī)院信息安全管理新體系[J].武警醫(yī)學(xué)，2013（11）：5-6.

[3] 余震，張亮.全面質(zhì)量管理及其在醫(yī)院管理中的應(yīng)用[J].中華醫(yī)院管理雜志，2006，22（7）：467-470.

[4] 張立文.淺談網(wǎng)絡(luò)環(huán)境下的醫(yī)院信息系統(tǒng)安全[J].醫(yī)學(xué)信息，2004（9）：58-59.

[5] 孫巧燕.醫(yī)院信息系統(tǒng)安全問(wèn)題及對(duì)策[J].現(xiàn)代醫(yī)學(xué)與臨床，2014（12）：12-14.

【通聯(lián)編輯：謝媛媛】