吳兵

摘要：針對我國醫(yī)院信息化建設(shè)日益加快，而信息安全管理無法適應(yīng)信息化建設(shè)發(fā)展的問題，該文首先分析了醫(yī)院信息網(wǎng)絡(luò)安全管理的概念及特點，其次對我國醫(yī)院信息安全管理過程中出現(xiàn)的問題進行了分析和總結(jié)，最后根據(jù)當前安全管理方面的問題，給出了醫(yī)院信息安全管理的維護策略。該文對于醫(yī)院的信息技術(shù)工作人員和主抓信息安全的院級領(lǐng)導(dǎo)都有一定的積極作用。

關(guān)鍵詞：醫(yī)院;信息安全;維護策略

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）11-0051-03

Hospital Information Network Security Management and Maintenance Strategy

WU Bing

（Xuancheng Health Information Centre， Xuancheng 242000， China）

Abstract： In view of the problem that the hospital information construction is speeding up day by day in our country， and the information security management can not adapt to the development of the information construction， this paper first analyzes the concept and characteristics of the hospital information network security management， secondly， this paper analyzes and summarizes the problems in the process of hospital information security management， and finally， according to the problems of current security management， gives the maintenance strategy of hospital information security management. This article has a certain positive function for the hospital information technology staff and the hospital-level leadership which mainly grasps information security.

Key words： hospital; information security; maintenance strategy

1 背景

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，企事業(yè)單位對于網(wǎng)絡(luò)的安全管理重視程度不斷加大。醫(yī)院作為醫(yī)療公益性服務(wù)行業(yè)，是人民提供高效的健康服務(wù)集中地。近年來，我國人民生活水平不斷提高，人們對于醫(yī)療健康的重視程度日益提升，醫(yī)院利用網(wǎng)絡(luò)信息技術(shù)可以有效提升自身醫(yī)療水平和保障優(yōu)質(zhì)服務(wù)，但與此同時，醫(yī)院的信息網(wǎng)絡(luò)安全也受到了挑戰(zhàn)，如何確保醫(yī)院的核心成果、患者信息得到安全的保管，對當前的醫(yī)院信息網(wǎng)絡(luò)安全管理提出了更高的要求[1]。

2 醫(yī)院信息網(wǎng)絡(luò)安全管理理論

2.1 醫(yī)院信息網(wǎng)絡(luò)安全管理的概念

為了保證醫(yī)療系統(tǒng)的正常運轉(zhuǎn)，加強醫(yī)院外部和內(nèi)部的信息安全管理成為重中之重。一直以來，對于信息安全管理都過于側(cè)重于技術(shù)層面，購買昂貴的網(wǎng)絡(luò)設(shè)備及相關(guān)的防護軟件，但效果卻不明顯[2]。近十年來，我國的很多學(xué)者都對醫(yī)院的信息網(wǎng)絡(luò)安全管理進行了分析研究，設(shè)計研發(fā)了相關(guān)的醫(yī)院信息管理系統(tǒng)，為醫(yī)院的信息網(wǎng)絡(luò)安全工作提供了支撐。隨著我國醫(yī)療衛(wèi)生事業(yè)的迅速進步，單獨的管理系統(tǒng)或硬件設(shè)備已經(jīng)不能滿足醫(yī)院信息網(wǎng)絡(luò)安全的需求，需要從更深的層面去解讀醫(yī)院信息網(wǎng)絡(luò)安全管理[3]。

結(jié)合國內(nèi)外學(xué)者對醫(yī)院信息網(wǎng)絡(luò)安全管理的研究，本文將醫(yī)院信息網(wǎng)絡(luò)安全管理總結(jié)為：充分結(jié)合醫(yī)院信息管理系統(tǒng)的軟硬件資源，利用網(wǎng)絡(luò)安全設(shè)備及保護軟件對信息資源進行安全管理，有效地避免醫(yī)院的網(wǎng)絡(luò)信息不會被偶然或惡意地泄露、破壞和修改等一系列的動態(tài)過程[4]。

醫(yī)院信息網(wǎng)絡(luò)安全管理不是靜態(tài)一成不變的，而是隨著時間的推移而逐步發(fā)生變化的過程，而且參與人員不僅僅局限于系統(tǒng)管理維護人員，需要醫(yī)院的全體共同參與的活動。

2.2 醫(yī)院信息網(wǎng)絡(luò)安全管理的特點

醫(yī)院信息安全管理不同于一般的企事業(yè)，有其自己獨有的特點。

1）動態(tài)性

醫(yī)院是一個開放的、流動性極強的服務(wù)性部門，服務(wù)對象（患者、家屬、護工等）、物流（藥品、設(shè)備等）及信息流（醫(yī)囑、收據(jù)等）一直處于一個不斷變化的動態(tài)過程，有效地實現(xiàn)資源共享，才能提高醫(yī)院的工作效率及信息安全。

2）復(fù)雜性

當前醫(yī)院的規(guī)模越來越大，設(shè)置的科室越來越多，醫(yī)生、技師、護士及后勤人員等人員的分工越來越細，既要保障這些人員的信息有效共享，便于內(nèi)部溝通和協(xié)調(diào)，同時又要保障信息的安全性，這使得安全管理工作更加復(fù)雜。

3）系統(tǒng)性

網(wǎng)絡(luò)把醫(yī)院的各個科室、后勤等眾多的信息孤島有機地聯(lián)系在一起，使得醫(yī)院的各部門彼此之間的協(xié)調(diào)配合更加緊密，形成一個系統(tǒng)化的運作模式。在安全管理上，各部門全部參與其中，信息安全管理不再是某個人或某個部門的問題，而是全體醫(yī)院工作人員共同的系統(tǒng)工作。

3 醫(yī)院信息網(wǎng)絡(luò)安全管理的問題

我國近年來，大部分醫(yī)院都采用了信息化辦公，利用網(wǎng)絡(luò)技術(shù)為醫(yī)生和患者提供便利，在信息管理系統(tǒng)的運營上，也投入了相當?shù)奈锪拓斄?。但對于網(wǎng)絡(luò)安全管理方面，卻出現(xiàn)了一些問題，主要有以下幾個方面。

3.1 領(lǐng)導(dǎo)層對信息安全管理重視不足

醫(yī)院是公益性的服務(wù)機構(gòu)，提高醫(yī)院的工作效率，更加快捷地為患者提供優(yōu)質(zhì)服務(wù)是當前醫(yī)院關(guān)注的頭等大事。很多醫(yī)院為此，積極引進信息管理系統(tǒng)，使得醫(yī)院內(nèi)部信息的共享，極大地縮短了信息反饋時間，有效地推動了醫(yī)院的信息化進程。但是，對于信息的安全管理，在相當一部分醫(yī)院里，并沒有得到相關(guān)領(lǐng)導(dǎo)的認可，對安全管理的重視程度嚴重不足，認為系統(tǒng)能夠正常運行即可，無須進行安全防護。

3.2 安全管理責任落實不到位

當前，很多醫(yī)院都成立了網(wǎng)絡(luò)安全技術(shù)科或系統(tǒng)維護科，一般這種科室有幾名專門的IT人員組成，當醫(yī)院信息安全受到威脅或破壞時，主要由這幾個人員進行維護和恢復(fù)。一般這種科室的主管領(lǐng)導(dǎo)和人員并沒有具體的任務(wù)，醫(yī)院的信息系統(tǒng)正常運行，這些人員可以處于空閑狀態(tài)。對于評定、工作總結(jié)長期以來，基本上都是千篇一律，甚至維護日志都沒有。當出現(xiàn)重大信息安全事故時，沒有具體的責任人。

在醫(yī)院內(nèi)部，很多情況安全事故出現(xiàn)后，并沒有具體的負責人或主管領(lǐng)導(dǎo)，都是直接打電話或通知技術(shù)科，檢查問題，沒有一個合理的問題反饋渠道，這使得醫(yī)院里出現(xiàn)共性的安全問題特別多，但沒有安全管理責任具體負責人。

醫(yī)院里，即使同級別的醫(yī)生和護士，其待遇也是不盡相同的，這是由于醫(yī)院的績效和工作量是掛鉤的。但大部分醫(yī)院的技術(shù)人員的待遇都是固定的，這也使得安全維護人員的工作積極性不高，在醫(yī)院的信息安全管理問題上，一般都是滯后的，很少在問題出現(xiàn)以前將問題有效防止。

3.3 信息安全管理投資力度小

在醫(yī)院里，信息管理系統(tǒng)已經(jīng)成為日常辦公必不可少的工具，醫(yī)院為信息管理系統(tǒng)配置了相應(yīng)的軟硬件資源。在投資上也花費了一定的資金。例如，在圖1中，利用醫(yī)院的局域網(wǎng)，通過一個核心交換機就可以把醫(yī)院內(nèi)部的各個科室有效地聯(lián)系在一起，使得醫(yī)院信息管理系統(tǒng)（HIS）有效地運行[5]。

上圖中的醫(yī)院信息管理系統(tǒng)網(wǎng)絡(luò)拓撲雖然能夠確保系統(tǒng)正常運行，但安全系數(shù)相對較低，可能出現(xiàn)IP地址沖突、計算機病毒、欺騙性攻擊等。由于在局域網(wǎng)內(nèi)部，服務(wù)器區(qū)域也沒有獨立的防護措施，這使得整個系統(tǒng)極易受到攻擊。

如果提升安全系數(shù)，需要安裝相應(yīng)的軟硬件資源，這使得醫(yī)院信息化的投資加大，對于重視醫(yī)療效果的醫(yī)院管理者來說，加大網(wǎng)絡(luò)安全的投資是不必要的，讓信息安全管理的經(jīng)費相對較少。

3.4 信息安全管理考核機制不健全

醫(yī)院的信息安全考核機制主要針對兩類人群，一是醫(yī)院信息技術(shù)部的人員，對于該類人群，要明確劃分工作區(qū)域，制定完整的工作細則，不能讓吃大鍋飯。二是針對醫(yī)院的全體工作人員，對于該類人群，很多的醫(yī)生、護士及后勤人員認為信息安全管理與他們無關(guān)，這是一種極其嚴重的錯誤認識。特別是科室方面，主要強調(diào)的是醫(yī)療服務(wù)方面的事務(wù)，而對于信息的安全管理方面要么不提，或者無足輕重地說一下，對于員工的約束力嚴重不足。

很多醫(yī)院從來沒有舉行過信息安全管理方面的考核，也沒有出臺相關(guān)的規(guī)章制度，對于電腦的使用，個人操作的隨意性比較強，有些人為了工作上的便利，直接將個人用戶名及密碼告訴別人，使得安全管理混亂。

4 醫(yī)院信息網(wǎng)絡(luò)安全管理的維護策略

4.1 提升領(lǐng)導(dǎo)及全體員工對信息安全的重視

醫(yī)院工作效率的提升離不開醫(yī)院的信息化建設(shè)，信息的安全代表著醫(yī)院的信息化進程處于健康的發(fā)展狀態(tài)。醫(yī)院的信息化建設(shè)是以信息安全為前提，所以醫(yī)院的領(lǐng)導(dǎo)層一定要高度重視信息安全的管理工作，首先從醫(yī)院的層面，結(jié)合本醫(yī)院信息系統(tǒng)和網(wǎng)絡(luò)拓撲結(jié)構(gòu)，制定相關(guān)的規(guī)章制度，并下放到各個科室及具體每個員工手工，嚴格按照規(guī)章制度執(zhí)行安全條例，只有院領(lǐng)導(dǎo)帶頭重視，員工才會重視。其次，在醫(yī)院員工方面，定期進行信息安全管理知識競賽，讓員工平時時刻牢記信息安全的重要性。最后，組織進行相關(guān)的知識業(yè)務(wù)培訓(xùn)工作，不斷提高一線安全維護人員的技術(shù)水平和理論水平，使這些人的專業(yè)素養(yǎng)不斷得到提高。

4.2 安全責任到人

安全管理是全體所有員工的事情，不是某個技術(shù)科室或技術(shù)維護人員的事情。信息安全管理在平時要注重宣傳，嚴格控制醫(yī)院員工個人密碼的安全性，規(guī)范醫(yī)院信息管理系統(tǒng)的操作流程。當出現(xiàn)信息安全事故后，不僅要第一時間進行恢復(fù)工作，還要追究相關(guān)人員的責任，可以根據(jù)規(guī)章制度的規(guī)定進行處罰。只有責任到人，才能讓每個員工從內(nèi)心深處真正意識到安全管理的重要性。

4.3 加大信息安全管理的資金投入

醫(yī)院的發(fā)展離不開信息化，對于信息化的建設(shè)和安全管理方面，每年醫(yī)院在這方面必須做出預(yù)算。信息安全管理不能僅僅停留在讓全體員工不違章操作上，一方面要對信息安全管理進行預(yù)防;另一方面，當出現(xiàn)信息安全問題時，如何能確保信息的安全性，如不丟失數(shù)據(jù)。無論是預(yù)防還是修復(fù)操作，不僅需要過硬的技術(shù)支持，還需要有專門軟硬件設(shè)備。例如，數(shù)據(jù)的備份（雙機備份如圖2所示），兩臺服務(wù)器同時連接磁盤陣列，通過集群內(nèi)部網(wǎng)來判斷當前服務(wù)器是否正常運行，假如服務(wù)器（主機A）出現(xiàn)故障，這時通過網(wǎng)絡(luò)偵測，服務(wù)器（主機B）接替主機A進行工作，保障了系統(tǒng)的無縫鏈接。

無論是偵測系統(tǒng)還是雙服務(wù)器，都會加大安全管理的成本，這需要醫(yī)院持續(xù)地投入資金來不斷完善信息安全管理。

5 結(jié)束語

本文對醫(yī)院信息網(wǎng)絡(luò)安全管理進行了描述，當前醫(yī)院的信息化進程發(fā)展迅速，醫(yī)院的內(nèi)外網(wǎng)環(huán)境不斷發(fā)生變化，在醫(yī)院的信息安全管理上，不能以老眼光、老思路去看待問題。要不斷學(xué)習信息安全管理知識，以優(yōu)化醫(yī)療服務(wù)流程為目的，加強醫(yī)院的內(nèi)涵建設(shè)，將醫(yī)院的資源進行有效的整合，確保信息系統(tǒng)的安全運行。本文提出了加強人員重視的維護策略，但由于篇幅所限，規(guī)章制度的具體說明無法給出，希望讀者根據(jù)醫(yī)院的實際情況，有針對性地制定。

參考文獻：

[1] 張明月，李江.我國醫(yī)療安全研究現(xiàn)狀概述[J].中國科技信息，2009（10）：232-234.

[2] 林長喜.構(gòu)建醫(yī)院信息安全管理新體系[J].武警醫(yī)學(xué)，2013（11）：5-6.

[3] 余震，張亮.全面質(zhì)量管理及其在醫(yī)院管理中的應(yīng)用[J].中華醫(yī)院管理雜志，2006，22（7）：467-470.

[4] 張立文.淺談網(wǎng)絡(luò)環(huán)境下的醫(yī)院信息系統(tǒng)安全[J].醫(yī)學(xué)信息，2004（9）：58-59.

[5] 孫巧燕.醫(yī)院信息系統(tǒng)安全問題及對策[J].現(xiàn)代醫(yī)學(xué)與臨床，2014（12）：12-14.

【通聯(lián)編輯：謝媛媛】