公務(wù)員期刊網(wǎng) 論文中心 正文

醫(yī)院信息安全支撐體系建設(shè)思考

前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了醫(yī)院信息安全支撐體系建設(shè)思考范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。

醫(yī)院信息安全支撐體系建設(shè)思考

[摘要]信息網(wǎng)絡(luò)安全是影響醫(yī)院醫(yī)療工作正常運(yùn)轉(zhuǎn)的重要因素。為確保醫(yī)院信息網(wǎng)絡(luò)安全,文章從技術(shù)、人員、制度等方面分析醫(yī)院信息安全現(xiàn)狀,探討醫(yī)院信息安全支撐體系建設(shè)方案。在平臺(tái)安全、數(shù)據(jù)安全、應(yīng)用安全、網(wǎng)絡(luò)防護(hù)、人力資源、規(guī)章制度等方面,提出了醫(yī)院信息安全支撐體系建設(shè)方法和體會(huì)。應(yīng)借助先進(jìn)技術(shù)筑牢信息平臺(tái)和數(shù)據(jù)的安全,落實(shí)頂層設(shè)計(jì)發(fā)揮信息化建設(shè)應(yīng)有的作用,同時(shí)挖掘人才潛力推動(dòng)行業(yè)建設(shè)安全持續(xù)發(fā)展,以確保醫(yī)院信息系統(tǒng)能安全、穩(wěn)定、高效地運(yùn)行。

[關(guān)鍵詞]信息安全;體系;技術(shù);人員;制度

0引言

醫(yī)院現(xiàn)代化建設(shè)離不開(kāi)信息化的支撐,信息網(wǎng)絡(luò)的安全也就成了影響醫(yī)院醫(yī)療工作正常運(yùn)轉(zhuǎn)的重要因素;但在醫(yī)院信息網(wǎng)絡(luò)建設(shè)的過(guò)程中,由于信息化總體規(guī)劃中的安全因素考慮不足,導(dǎo)致在信息網(wǎng)絡(luò)運(yùn)行時(shí)還不時(shí)會(huì)出現(xiàn)或大或小的網(wǎng)絡(luò)故障[1]。因此,為確保醫(yī)院信息網(wǎng)絡(luò)安全,其支撐體系成了我們需要重點(diǎn)研究和思考的課題。

1醫(yī)院信息安全現(xiàn)狀

傳統(tǒng)的醫(yī)院信息基礎(chǔ)平臺(tái)是煙囪式架構(gòu),應(yīng)用系統(tǒng)軟件是和硬件資源捆綁起來(lái)建設(shè)的,各自運(yùn)行著醫(yī)院信息系統(tǒng)、檢驗(yàn)信息系統(tǒng)、醫(yī)學(xué)影像存儲(chǔ)與傳輸系統(tǒng)等應(yīng)用系統(tǒng)[2]。由于每個(gè)應(yīng)用系統(tǒng)都由各自的服務(wù)器單獨(dú)提供服務(wù),硬件資源利用率低,系統(tǒng)運(yùn)行可用性不高,數(shù)據(jù)存放較為分散,數(shù)據(jù)保護(hù)可靠性差。網(wǎng)絡(luò)核心及匯聚層交換機(jī)往往采取的是主備模式,故障處理響應(yīng)時(shí)間較長(zhǎng)。而網(wǎng)絡(luò)安全防護(hù)措施相對(duì)薄弱,容易受到病毒和惡意軟件的入侵,造成網(wǎng)絡(luò)局部或整體故障。有些醫(yī)院的容災(zāi)策略異常復(fù)雜,應(yīng)急計(jì)劃缺乏演練,往往不具有可執(zhí)行性。隨著信息技術(shù)的高速發(fā)展,技術(shù)分工越來(lái)越細(xì),要求越來(lái)越高。但由于編制數(shù)量、用人制度、成本控制、人員待遇等原因,醫(yī)院往往缺乏高端信息人才,醫(yī)院信息專業(yè)人力資源普遍較為緊張[3]。并且在醫(yī)院這個(gè)并不專注于信息技術(shù)的相對(duì)封閉的環(huán)境內(nèi),信息人員往往很難跟上行業(yè)發(fā)展的腳步。在信息網(wǎng)絡(luò)運(yùn)行維護(hù)管理過(guò)程中,由于技術(shù)、人員和制度等跟不上,還存在問(wèn)題得不到及時(shí)處理解決的現(xiàn)象。因此,為確保醫(yī)院信息網(wǎng)絡(luò)正常運(yùn)行,我們必須對(duì)信息安全實(shí)行規(guī)范化、制度化管理,加強(qiáng)信息安全保障工作。應(yīng)從技術(shù)、人員、制度等方面進(jìn)行安全體系建設(shè)[4-5],建立完善的、多級(jí)的、體系的醫(yī)院信息網(wǎng)絡(luò)安全平臺(tái),確保醫(yī)院信息網(wǎng)絡(luò)的安全,使醫(yī)院的運(yùn)營(yíng)和管理少受或不受非正常因素的干擾,按醫(yī)院既定目標(biāo)和方式運(yùn)營(yíng)。

2信息安全支撐體系建設(shè)方法

醫(yī)院信息安全支撐體系涉及技術(shù)、人員、制度等多種因素。它們相互關(guān)聯(lián),只有從整體上發(fā)揮共同作用,才能保證醫(yī)院信息系統(tǒng)長(zhǎng)期處于一個(gè)較高的安全水平和穩(wěn)定的安全狀態(tài),進(jìn)而確保醫(yī)院各項(xiàng)工作的順利開(kāi)展。

2.1平臺(tái)安全

構(gòu)建優(yōu)質(zhì)、高效、安全的信息網(wǎng)絡(luò)平臺(tái)是一項(xiàng)基礎(chǔ)工程。我們引入云計(jì)算技術(shù),建立了一個(gè)節(jié)能、環(huán)保、低碳、綠色的云計(jì)算技術(shù)架構(gòu)的動(dòng)態(tài)數(shù)據(jù)中心,形成了虛擬化平臺(tái)和小型機(jī)共存的信息基礎(chǔ)平臺(tái),搭建了生產(chǎn)云、測(cè)試云、容災(zāi)云、安全云等功能云,從而轉(zhuǎn)變醫(yī)院數(shù)據(jù)中心建設(shè)模式,從傳統(tǒng)粗放型轉(zhuǎn)變?yōu)楝F(xiàn)代集約型投入,從煙囪式轉(zhuǎn)變?yōu)樘摂M化應(yīng)用部署,實(shí)現(xiàn)平臺(tái)整體部署、資源按需配置、系統(tǒng)安全保障的新環(huán)境,以提高信息設(shè)備利用率和信息系統(tǒng)安全性,發(fā)揮信息資源的最大效能[6-7]。為更好地保障安全,我們采用虛擬網(wǎng)絡(luò)技術(shù)將網(wǎng)絡(luò)劃分多個(gè)虛擬局域網(wǎng),有效提高交換機(jī)的數(shù)據(jù)交換效率,增強(qiáng)了網(wǎng)絡(luò)的安全性。并且從多種角度研究數(shù)據(jù)中心容災(zāi)系統(tǒng)的建設(shè),提出3種容災(zāi)預(yù)案,旨在利用各種技術(shù)和管理手段將災(zāi)難的影響化解[8]。一是基于高可用性的本地接管預(yù)案,二是基于雙活數(shù)據(jù)中心的本異地互備預(yù)案,三是基于數(shù)據(jù)庫(kù)復(fù)制技術(shù)的主系統(tǒng)本異地切換預(yù)案。

2.2數(shù)據(jù)安全

數(shù)據(jù)安全涉及數(shù)據(jù)丟失和數(shù)據(jù)使用管理兩方面內(nèi)容。數(shù)據(jù)丟失包含兩個(gè)方面,一個(gè)是存儲(chǔ)系統(tǒng)硬件導(dǎo)致的數(shù)據(jù)丟失,稱之為數(shù)據(jù)的物理錯(cuò)誤;另一個(gè)情況是應(yīng)用程序、病毒、人為誤操作導(dǎo)致的數(shù)據(jù)丟失,稱之為數(shù)據(jù)的邏輯錯(cuò)誤[8]。我們針對(duì)這兩種情況,一是搭建存儲(chǔ)虛擬化平臺(tái),對(duì)不同存儲(chǔ)系統(tǒng)平臺(tái)提供的物理卷進(jìn)行鏡像,完全可以確保在出現(xiàn)物理錯(cuò)誤時(shí)數(shù)據(jù)不丟失、應(yīng)用不中斷;并且對(duì)整個(gè)存儲(chǔ)池進(jìn)行規(guī)劃,把存儲(chǔ)空間資源和性能資源整合,發(fā)揮存儲(chǔ)設(shè)備的最大效能[9]。二是建立數(shù)據(jù)備份恢復(fù)解決方案。數(shù)據(jù)備份是數(shù)據(jù)保護(hù)的最后一道屏障?;趥浞莼謴?fù)的數(shù)據(jù)保護(hù)預(yù)案就是通過(guò)建立高效的數(shù)據(jù)備份恢復(fù)系統(tǒng),在數(shù)據(jù)的邏輯錯(cuò)誤導(dǎo)致數(shù)據(jù)丟失的時(shí)候,用于應(yīng)急恢復(fù)工作,從而起到保護(hù)數(shù)據(jù)的作用。為數(shù)據(jù)使用得到有效地管理,建立相應(yīng)的數(shù)據(jù)庫(kù)使用管理制度和數(shù)據(jù)庫(kù)審計(jì)追蹤使用行為等技術(shù)防范措施,以防數(shù)據(jù)泄露,切實(shí)保護(hù)醫(yī)院權(quán)益和病人隱私。

2.3應(yīng)用安全

為保障應(yīng)用系統(tǒng)的使用安全,原國(guó)家衛(wèi)生部(現(xiàn)國(guó)家衛(wèi)生健康委員會(huì))出臺(tái)了《衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理辦法》。電子認(rèn)證包括身份認(rèn)證、電子簽名和電子驗(yàn)簽。采用國(guó)家認(rèn)可的數(shù)字證書(shū),可以有效解決衛(wèi)生信息系統(tǒng)流程中的安全問(wèn)題,確保用戶身份和信息的真實(shí)性、電子病歷的合法性以及網(wǎng)上數(shù)據(jù)信息存儲(chǔ)和傳輸?shù)陌踩裕瑥亩鴮?shí)現(xiàn)診療信息的安全共享。目前,我們?cè)陔娮硬v及其歸檔系統(tǒng)中正在逐步開(kāi)展安全、規(guī)范的電子認(rèn)證服務(wù)應(yīng)用[10]。對(duì)于應(yīng)用系統(tǒng)的自身安全,我們對(duì)每一個(gè)系統(tǒng)的引進(jìn)和開(kāi)發(fā)都要進(jìn)行反復(fù)的論證、調(diào)研,深入了解需求,結(jié)合醫(yī)院實(shí)際進(jìn)行系統(tǒng)的二次改造優(yōu)化,使醫(yī)院信息體系安全對(duì)接、有機(jī)融合、充分共享。并且對(duì)用戶進(jìn)行權(quán)限設(shè)置,嚴(yán)格賬戶管理,定期整理用戶。強(qiáng)化操作應(yīng)用和使用安全,使信息化技能成為工作人員必需技能,努力發(fā)揮系統(tǒng)的最大效益。

2.4網(wǎng)絡(luò)防護(hù)

為對(duì)網(wǎng)絡(luò)終端設(shè)備和網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù),我們采用以下安全保障方法:一是使用桌面管理軟件,對(duì)網(wǎng)絡(luò)終端設(shè)備進(jìn)行遠(yuǎn)程控制和管理,為用戶解決資產(chǎn)管理、網(wǎng)絡(luò)配置、桌面維護(hù)等日常工作。二是實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制,規(guī)范終端接入標(biāo)準(zhǔn),加強(qiáng)網(wǎng)絡(luò)終端的主動(dòng)防御能力,屏蔽一切不安全的設(shè)備接入醫(yī)院網(wǎng)絡(luò)[11]。三是采用防病毒技術(shù),部署網(wǎng)絡(luò)版殺毒軟件和安全預(yù)警系統(tǒng),對(duì)整個(gè)網(wǎng)絡(luò)實(shí)行全方位、多層次的病毒防護(hù),對(duì)網(wǎng)絡(luò)中的病毒感染情況和病毒傳播情況進(jìn)行實(shí)時(shí)監(jiān)控和報(bào)警,從而起到提前預(yù)警和事前防范作用。四是采用防火墻建立安全網(wǎng)關(guān),用IDS和IPS加以補(bǔ)充,并可使用網(wǎng)閘實(shí)現(xiàn)內(nèi)外網(wǎng)隔離。做好安全策略、日志審計(jì)等工作,對(duì)進(jìn)出的訪問(wèn)行為進(jìn)行有效管理,對(duì)防火墻的信息內(nèi)容和活動(dòng)進(jìn)行記錄,對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和報(bào)警,有效防止醫(yī)院內(nèi)部網(wǎng)絡(luò)受到外部攻擊[12]。

2.5人力資源

正確分析人才隊(duì)伍和人才工作的現(xiàn)狀,加強(qiáng)人才隊(duì)伍建設(shè),努力打造一支精干高效的信息人才隊(duì)伍[13-14]。針對(duì)醫(yī)院實(shí)際情況,我們?cè)趦?yōu)化信息部門人員配備的同時(shí),實(shí)行內(nèi)部輪訓(xùn)機(jī)制,強(qiáng)化能力培養(yǎng);采用引進(jìn)與培養(yǎng)相結(jié)合的方法,制定切實(shí)可行的措施吸引和培養(yǎng)人才;通過(guò)內(nèi)部培訓(xùn)和專業(yè)機(jī)構(gòu)培訓(xùn)等渠道,采取普通培訓(xùn)與重點(diǎn)培訓(xùn)相結(jié)合、理論培訓(xùn)與現(xiàn)場(chǎng)培訓(xùn)相結(jié)合、在職培訓(xùn)與外出學(xué)習(xí)相結(jié)合的方式,切實(shí)達(dá)到實(shí)用有效的培訓(xùn)目的,加快現(xiàn)有人才知識(shí)結(jié)構(gòu)與專業(yè)能力的自我轉(zhuǎn)型和提升;加快調(diào)整人才隊(duì)伍建設(shè)和培養(yǎng)機(jī)制,推進(jìn)人才隊(duì)伍由數(shù)量增長(zhǎng)型向內(nèi)涵建設(shè)型轉(zhuǎn)變,充分發(fā)揮人才的價(jià)值和作用,更好地為醫(yī)院信息網(wǎng)絡(luò)建設(shè)與運(yùn)維服務(wù),使信息安全服務(wù)管理風(fēng)險(xiǎn)降到最小。

2.6規(guī)章制度

醫(yī)院信息安全制度為保證信息網(wǎng)絡(luò)的正常運(yùn)行和健康發(fā)展起到了關(guān)鍵作用。遵循信息安全等級(jí)保護(hù)制度,有利于突出重點(diǎn),加強(qiáng)對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全保護(hù)和管理監(jiān)督;有利于明確安全責(zé)任,強(qiáng)化監(jiān)管職能,落實(shí)各項(xiàng)安全建設(shè)和安全管理措施;有利于采取系統(tǒng)規(guī)范、經(jīng)濟(jì)有效、科學(xué)合理的管理和技術(shù)保障措施,提高整體安全保護(hù)水平。我們根據(jù)國(guó)家和軍隊(duì)的相關(guān)要求,逐步建立和完善了信息網(wǎng)絡(luò)系統(tǒng)管理、安全保護(hù)、運(yùn)行維護(hù)、人員培訓(xùn)等一系列制度;建立醫(yī)院、職能科室、應(yīng)用科室三級(jí)信息管理網(wǎng)絡(luò)體系,分職責(zé)、分層次、分重點(diǎn)進(jìn)行管理,并且制訂了網(wǎng)絡(luò)故障應(yīng)急處置預(yù)案[15]。在完善制度規(guī)范的同時(shí),抓制度的執(zhí)行和落實(shí),使制度作用得到充分發(fā)揮,保障信息安全和信息系統(tǒng)安全正常運(yùn)行,進(jìn)而保障各部門的職能與業(yè)務(wù)工作能夠有條不紊地開(kāi)展。

3信息安全支撐體系建設(shè)體會(huì)

3.1借助先進(jìn)技術(shù)筑牢信息平臺(tái)和數(shù)據(jù)的安全

面對(duì)信息技術(shù)的高速發(fā)展,數(shù)字化醫(yī)院建設(shè)和管理模式應(yīng)與時(shí)展要求相適應(yīng)。我們應(yīng)緊盯信息前沿技術(shù),拓展其在醫(yī)療技術(shù)、服務(wù)模式、安全保障中的應(yīng)用和創(chuàng)新轉(zhuǎn)化,筑牢信息平臺(tái)和數(shù)據(jù)的安全,有效提升醫(yī)院信息化內(nèi)涵建設(shè)[16]。利用技術(shù)創(chuàng)新、模式創(chuàng)新,實(shí)現(xiàn)數(shù)字化醫(yī)院建設(shè)轉(zhuǎn)型轉(zhuǎn)變,把數(shù)字化醫(yī)院建設(shè)變成為安全放心工程,助力醫(yī)療服務(wù)質(zhì)量、管理決策水平的全方位提升,以及數(shù)字化醫(yī)院建設(shè)健康持續(xù)發(fā)展。

3.2落實(shí)頂層設(shè)計(jì)發(fā)揮信息化建設(shè)應(yīng)有的作用

醫(yī)院往往希望通過(guò)推進(jìn)信息化建設(shè)來(lái)提升自身的競(jìng)爭(zhēng)能力,但在實(shí)際建設(shè)過(guò)程中卻常常忽略了信息化建設(shè)的總體規(guī)劃。切忌把“頂層設(shè)計(jì)”當(dāng)作一種口號(hào),把“整體規(guī)劃”流于形式,缺少思考和探索,人為主觀因素較多、隨意性較大,從而導(dǎo)致在信息網(wǎng)絡(luò)運(yùn)行過(guò)程中出現(xiàn)這樣那樣的問(wèn)題,使信息化建設(shè)發(fā)揮不了應(yīng)有的作用[16]。我們應(yīng)從醫(yī)院的現(xiàn)狀和發(fā)展出發(fā),求真務(wù)實(shí),讓總體規(guī)劃、頂層設(shè)計(jì)落到實(shí)處,確保信息安全無(wú)死角。

3.3挖掘人才潛力推動(dòng)行業(yè)建設(shè)安全持續(xù)發(fā)展

醫(yī)院信息化30年的發(fā)展實(shí)踐表明,人才是實(shí)現(xiàn)行業(yè)持續(xù)發(fā)展的關(guān)鍵要素,是推動(dòng)信息技術(shù)創(chuàng)新的重要源泉,是保障信息網(wǎng)絡(luò)安全運(yùn)行的根本力量。沒(méi)有高水平人才,數(shù)字化醫(yī)院建設(shè)站不高、看不遠(yuǎn)、理不清;沒(méi)有專業(yè)化人才,信息安全保障將出現(xiàn)被動(dòng)局面,將滋生依賴性。而建立健全各項(xiàng)培養(yǎng)制度和考核評(píng)價(jià)激勵(lì)機(jī)制,才能使得人才培養(yǎng)制度化,才能保證人才培養(yǎng)長(zhǎng)效化[14]。因此要緊緊抓住培養(yǎng)人才、吸引人才、用好人才等環(huán)節(jié),以優(yōu)秀人才推動(dòng)信息化建設(shè),同時(shí)為醫(yī)院信息網(wǎng)絡(luò)安全運(yùn)行起到保駕護(hù)航的作用。

4結(jié)語(yǔ)

隨著社會(huì)的進(jìn)步和發(fā)展,醫(yī)院由原先相對(duì)封閉的環(huán)境逐步變化為開(kāi)放的環(huán)境,由此給信息安全也帶來(lái)了新的課題,而進(jìn)行信息安全體系化建設(shè)管理正是實(shí)現(xiàn)信息安全保障的有效手段[17]。在實(shí)施各項(xiàng)安全保障措施時(shí),應(yīng)根據(jù)醫(yī)院的實(shí)際情況,從建、管、用3個(gè)方面入手,有目的、有計(jì)劃、有步驟地展開(kāi),搭建事前防范、事中處理、事后評(píng)估的全流程安全服務(wù)體系,規(guī)范信息質(zhì)量管理,提高信息保障水平,確保醫(yī)院信息網(wǎng)絡(luò)平臺(tái)及其承載的業(yè)務(wù)系統(tǒng)能安全高效運(yùn)行。

【參考文獻(xiàn)】

[1]許強(qiáng).淺析醫(yī)院信息安全管理實(shí)踐[J].中國(guó)管理信息化,2018,21(16):168-169.

[2]趙伯誠(chéng),朱元元,馬錫坤,等.南京軍區(qū)“醫(yī)云工程”實(shí)踐與效果分析[J].中國(guó)數(shù)字醫(yī)學(xué),2013,8(5):16-19.

[3]張曙光,顧懷敏,徐旭東.醫(yī)學(xué)信息工程技術(shù)人員隊(duì)伍建設(shè)存在問(wèn)題及對(duì)策[J].醫(yī)學(xué)研究生學(xué)報(bào),2010,23(12):1295-1298.

作者:馬錫坤 單位:東部戰(zhàn)區(qū)總醫(yī)院