醫院信息安全支撐體系建設思考

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了醫院信息安全支撐體系建設思考范文，希望能給你帶來靈感和參考，敬請閱讀。

［摘要］信息網絡安全是影響醫院醫療工作正常運轉的重要因素。為確保醫院信息網絡安全，文章從技術、人員、制度等方面分析醫院信息安全現狀，探討醫院信息安全支撐體系建設方案。在平臺安全、數據安全、應用安全、網絡防護、人力資源、規章制度等方面，提出了醫院信息安全支撐體系建設方法和體會。應借助先進技術筑牢信息平臺和數據的安全，落實頂層設計發揮信息化建設應有的作用，同時挖掘人才潛力推動行業建設安全持續發展，以確保醫院信息系統能安全、穩定、高效地運行。

［關鍵詞］信息安全；體系；技術；人員；制度

0引言

醫院現代化建設離不開信息化的支撐，信息網絡的安全也就成了影響醫院醫療工作正常運轉的重要因素；但在醫院信息網絡建設的過程中，由于信息化總體規劃中的安全因素考慮不足，導致在信息網絡運行時還不時會出現或大或小的網絡故障［1］。因此，為確保醫院信息網絡安全，其支撐體系成了我們需要重點研究和思考的課題。

1醫院信息安全現狀

傳統的醫院信息基礎平臺是煙囪式架構，應用系統軟件是和硬件資源捆綁起來建設的，各自運行著醫院信息系統、檢驗信息系統、醫學影像存儲與傳輸系統等應用系統［2］。由于每個應用系統都由各自的服務器單獨提供服務，硬件資源利用率低，系統運行可用性不高，數據存放較為分散，數據保護可靠性差。網絡核心及匯聚層交換機往往采取的是主備模式，故障處理響應時間較長。而網絡安全防護措施相對薄弱，容易受到病毒和惡意軟件的入侵，造成網絡局部或整體故障。有些醫院的容災策略異常復雜，應急計劃缺乏演練，往往不具有可執行性。隨著信息技術的高速發展，技術分工越來越細，要求越來越高。但由于編制數量、用人制度、成本控制、人員待遇等原因，醫院往往缺乏高端信息人才，醫院信息專業人力資源普遍較為緊張［3］。并且在醫院這個并不專注于信息技術的相對封閉的環境內，信息人員往往很難跟上行業發展的腳步。在信息網絡運行維護管理過程中，由于技術、人員和制度等跟不上，還存在問題得不到及時處理解決的現象。因此，為確保醫院信息網絡正常運行，我們必須對信息安全實行規范化、制度化管理，加強信息安全保障工作。應從技術、人員、制度等方面進行安全體系建設［4-5］，建立完善的、多級的、體系的醫院信息網絡安全平臺，確保醫院信息網絡的安全，使醫院的運營和管理少受或不受非正常因素的干擾，按醫院既定目標和方式運營。

2信息安全支撐體系建設方法

醫院信息安全支撐體系涉及技術、人員、制度等多種因素。它們相互關聯，只有從整體上發揮共同作用，才能保證醫院信息系統長期處于一個較高的安全水平和穩定的安全狀態，進而確保醫院各項工作的順利開展。

2.1平臺安全

構建優質、高效、安全的信息網絡平臺是一項基礎工程。我們引入云計算技術，建立了一個節能、環保、低碳、綠色的云計算技術架構的動態數據中心，形成了虛擬化平臺和小型機共存的信息基礎平臺，搭建了生產云、測試云、容災云、安全云等功能云，從而轉變醫院數據中心建設模式，從傳統粗放型轉變為現代集約型投入，從煙囪式轉變為虛擬化應用部署，實現平臺整體部署、資源按需配置、系統安全保障的新環境，以提高信息設備利用率和信息系統安全性，發揮信息資源的最大效能［6-7］。為更好地保障安全，我們采用虛擬網絡技術將網絡劃分多個虛擬局域網，有效提高交換機的數據交換效率，增強了網絡的安全性。并且從多種角度研究數據中心容災系統的建設，提出3種容災預案，旨在利用各種技術和管理手段將災難的影響化解［8］。一是基于高可用性的本地接管預案，二是基于雙活數據中心的本異地互備預案，三是基于數據庫復制技術的主系統本異地切換預案。

2.2數據安全

數據安全涉及數據丟失和數據使用管理兩方面內容。數據丟失包含兩個方面，一個是存儲系統硬件導致的數據丟失，稱之為數據的物理錯誤；另一個情況是應用程序、病毒、人為誤操作導致的數據丟失，稱之為數據的邏輯錯誤［8］。我們針對這兩種情況，一是搭建存儲虛擬化平臺，對不同存儲系統平臺提供的物理卷進行鏡像，完全可以確保在出現物理錯誤時數據不丟失、應用不中斷；并且對整個存儲池進行規劃，把存儲空間資源和性能資源整合，發揮存儲設備的最大效能［9］。二是建立數據備份恢復解決方案。數據備份是數據保護的最后一道屏障。基于備份恢復的數據保護預案就是通過建立高效的數據備份恢復系統，在數據的邏輯錯誤導致數據丟失的時候，用于應急恢復工作，從而起到保護數據的作用。為數據使用得到有效地管理，建立相應的數據庫使用管理制度和數據庫審計追蹤使用行為等技術防范措施，以防數據泄露，切實保護醫院權益和病人隱私。

2.3應用安全

為保障應用系統的使用安全，原國家衛生部（現國家衛生健康委員會）出臺了《衛生系統電子認證服務管理辦法》。電子認證包括身份認證、電子簽名和電子驗簽。采用國家認可的數字證書，可以有效解決衛生信息系統流程中的安全問題，確保用戶身份和信息的真實性、電子病歷的合法性以及網上數據信息存儲和傳輸的安全性，從而實現診療信息的安全共享。目前，我們在電子病歷及其歸檔系統中正在逐步開展安全、規范的電子認證服務應用［10］。對于應用系統的自身安全，我們對每一個系統的引進和開發都要進行反復的論證、調研，深入了解需求，結合醫院實際進行系統的二次改造優化，使醫院信息體系安全對接、有機融合、充分共享。并且對用戶進行權限設置，嚴格賬戶管理，定期整理用戶。強化操作應用和使用安全，使信息化技能成為工作人員必需技能，努力發揮系統的最大效益。

2.4網絡防護

為對網絡終端設備和網絡邊界進行安全防護，我們采用以下安全保障方法：一是使用桌面管理軟件，對網絡終端設備進行遠程控制和管理，為用戶解決資產管理、網絡配置、桌面維護等日常工作。二是實現網絡準入控制，規范終端接入標準，加強網絡終端的主動防御能力，屏蔽一切不安全的設備接入醫院網絡［11］。三是采用防病毒技術，部署網絡版殺毒軟件和安全預警系統，對整個網絡實行全方位、多層次的病毒防護，對網絡中的病毒感染情況和病毒傳播情況進行實時監控和報警，從而起到提前預警和事前防范作用。四是采用防火墻建立安全網關，用IDS和IPS加以補充，并可使用網閘實現內外網隔離。做好安全策略、日志審計等工作，對進出的訪問行為進行有效管理，對防火墻的信息內容和活動進行記錄，對網絡攻擊進行檢測和報警，有效防止醫院內部網絡受到外部攻擊［12］。

2.5人力資源

正確分析人才隊伍和人才工作的現狀，加強人才隊伍建設，努力打造一支精干高效的信息人才隊伍［13-14］。針對醫院實際情況，我們在優化信息部門人員配備的同時，實行內部輪訓機制，強化能力培養；采用引進與培養相結合的方法，制定切實可行的措施吸引和培養人才；通過內部培訓和專業機構培訓等渠道，采取普通培訓與重點培訓相結合、理論培訓與現場培訓相結合、在職培訓與外出學習相結合的方式，切實達到實用有效的培訓目的，加快現有人才知識結構與專業能力的自我轉型和提升；加快調整人才隊伍建設和培養機制，推進人才隊伍由數量增長型向內涵建設型轉變，充分發揮人才的價值和作用，更好地為醫院信息網絡建設與運維服務，使信息安全服務管理風險降到最小。

2.6規章制度

醫院信息安全制度為保證信息網絡的正常運行和健康發展起到了關鍵作用。遵循信息安全等級保護制度，有利于突出重點，加強對基礎信息網絡和重要信息系統的安全保護和管理監督；有利于明確安全責任，強化監管職能，落實各項安全建設和安全管理措施；有利于采取系統規范、經濟有效、科學合理的管理和技術保障措施，提高整體安全保護水平。我們根據國家和軍隊的相關要求，逐步建立和完善了信息網絡系統管理、安全保護、運行維護、人員培訓等一系列制度；建立醫院、職能科室、應用科室三級信息管理網絡體系，分職責、分層次、分重點進行管理，并且制訂了網絡故障應急處置預案［15］。在完善制度規范的同時，抓制度的執行和落實，使制度作用得到充分發揮，保障信息安全和信息系統安全正常運行，進而保障各部門的職能與業務工作能夠有條不紊地開展。

3信息安全支撐體系建設體會

3.1借助先進技術筑牢信息平臺和數據的安全

面對信息技術的高速發展，數字化醫院建設和管理模式應與時展要求相適應。我們應緊盯信息前沿技術，拓展其在醫療技術、服務模式、安全保障中的應用和創新轉化，筑牢信息平臺和數據的安全，有效提升醫院信息化內涵建設［16］。利用技術創新、模式創新，實現數字化醫院建設轉型轉變，把數字化醫院建設變成為安全放心工程，助力醫療服務質量、管理決策水平的全方位提升，以及數字化醫院建設健康持續發展。

3.2落實頂層設計發揮信息化建設應有的作用

醫院往往希望通過推進信息化建設來提升自身的競爭能力，但在實際建設過程中卻常常忽略了信息化建設的總體規劃。切忌把“頂層設計”當作一種口號，把“整體規劃”流于形式，缺少思考和探索，人為主觀因素較多、隨意性較大，從而導致在信息網絡運行過程中出現這樣那樣的問題，使信息化建設發揮不了應有的作用［16］。我們應從醫院的現狀和發展出發，求真務實，讓總體規劃、頂層設計落到實處，確保信息安全無死角。

3.3挖掘人才潛力推動行業建設安全持續發展

醫院信息化30年的發展實踐表明，人才是實現行業持續發展的關鍵要素，是推動信息技術創新的重要源泉，是保障信息網絡安全運行的根本力量。沒有高水平人才，數字化醫院建設站不高、看不遠、理不清；沒有專業化人才，信息安全保障將出現被動局面，將滋生依賴性。而建立健全各項培養制度和考核評價激勵機制，才能使得人才培養制度化，才能保證人才培養長效化［14］。因此要緊緊抓住培養人才、吸引人才、用好人才等環節，以優秀人才推動信息化建設，同時為醫院信息網絡安全運行起到保駕護航的作用。

4結語

隨著社會的進步和發展，醫院由原先相對封閉的環境逐步變化為開放的環境，由此給信息安全也帶來了新的課題，而進行信息安全體系化建設管理正是實現信息安全保障的有效手段［17］。在實施各項安全保障措施時，應根據醫院的實際情況，從建、管、用3個方面入手，有目的、有計劃、有步驟地展開，搭建事前防范、事中處理、事后評估的全流程安全服務體系，規范信息質量管理，提高信息保障水平，確保醫院信息網絡平臺及其承載的業務系統能安全高效運行。

【參考文獻】

［1］許強.淺析醫院信息安全管理實踐［J］.中國管理信息化，2018，21（16）：168-169.

［2］趙伯誠，朱元元，馬錫坤，等.南京軍區“醫云工程”實踐與效果分析［J］.中國數字醫學，2013，8（5）：16-19.

［3］張曙光，顧懷敏，徐旭東.醫學信息工程技術人員隊伍建設存在問題及對策［J］.醫學研究生學報，2010，23（12）：1295-1298.

作者：馬錫坤 單位：東部戰區總醫院