某市二級以上公立中醫醫院信息安全的現狀調查與分析

王松　張藝然　朱佳卿

[摘要] 目的 調查與分析某市二級以上公立中醫醫院信息安全現狀。 方法 采用普遍調查方法，對2016～2018年某市二級及以上39家公立中醫醫療機構（包括中醫醫院、中醫專科醫院、中西醫結合醫院和民族醫醫院，以下簡稱中醫醫院;其中二級醫院13家，三級醫院26家）信息安全現狀進行調查，調查數據來源于各醫院信息管理及信息技術等負責信息化建設的主要負責人填報。填報的主要內容包括信息安全的資金投入、網絡安全措施、操作系統及數據庫安全措施、信息安全人員及培訓、信息安全應急響應等5個方面，并對上述數據運用SPSS 14.0和Excel軟件進行統計分析研究，統計方法包括統計描述和χ2檢驗。 結果 經調查發現，某市二級以上公立中醫醫院仍存在信息安全資金投入不足、基礎設施建設不到位、信息安全人才匱乏、應急響應不完善等問題。 結論 針對某市存在的信息安全問題，提出加大信息安全資金投入力度，完善醫院基礎設施安全建設，大力引進和培養信息安全專業人才，制訂周密的應急預案等建議，提高中醫醫院信息安全水平。

[關鍵詞] 中醫醫院;信息安全;調查分析

[中圖分類號] R197.4 ? ? ? ? ?[文獻標識碼] A ? ? ? ? ?[文章編號] 1673-7210（2019）05（c）-0176-05

[Abstract] Objective To investigate and analyze the information security status of public Traditional Chinese medicine hospitals above grade Ⅱ in a city. Methods The general survey method was adopted to investigate 39 public Traditional Chinese medicine hospital institutions （including traditional Chinese medicine hospitals， traditional Chinese medicine hospital specialist hospitals， integrated traditional Chinese and western medicine hospitals and ethnic medicine hospitals） at level Ⅱ and above in a city from 2016 to 2018， hereinafter referred to as traditional Chinese medicine hospitals. The information security status of 13 secondary hospitals and 26 tertiary hospitals was investigated， and the survey data came from the information management and information technology of each hospital and other main persons in charge of informatization construction. Provided the main content of the funded include information security， network security， operating system and database security， information security personnel and training， from five aspects， such as information security emergency response and the data using SPSS 14.0 and Excel software for statistical analysis， statistical methods including statistical description and chi-square test. Results Through investigation， it is found that the public TCM hospitals above grade Ⅱ in a city still have problems such as insufficient investment in information security， inadequate infrastructure construction， lack of information security talents and imperfect emergency response. Conclusion In view of the existing information security problems in a city， this paper puts forward some suggestions， such as increasing the investment of information security funds， improving the safety construction of hospital infrastructure， vigorously introducing and cultivating information security professionals， and formulating elaborate emergency plans， so as to improve the information security level of TCM hospitals.

[Key words] Traditional Chinese medicine hospital; Information security; Survey analysis

隨著信息技術的不斷創新和廣泛應用，網絡信息安全（以下簡稱信息安全）是當前醫院信息化建設的關鍵問題。本文基于國家中醫藥管理局委托開展的政策研究項目《中醫藥行業信息安全督導檢查》課題，旨在了解中醫醫院信息安全現狀，掌握當前中醫醫院信息安全存在的主要問題及原因，并提出針對性的對策和建議，為中醫醫院信息安全建設提供借鑒和參考，推進中醫醫院信息化建設。

1 對象與方法

1.1 研究對象

本研究以某市二級以上公立中醫醫院為調查對象，包括中醫醫院、中醫專科醫院、中西醫結合醫院和民族醫醫院共39家，其中二級醫院13家，三級醫院26家。

1.2 研究內容

本次調查主要研究2016～2018年某市39家二級以上公立中醫醫院信息安全的資金投入、網絡安全措施、操作系統及數據庫安全措施、信息安全人員及培訓、信息安全應急響應等5個方面。

1.3 研究方法

通過使用Excel將收集的數據建立數據庫，采用SPSS 14.0對調查的數據進行統計和處理，統計方法包括統計描述和χ2檢驗。

2 結果與分析

2.1 信息安全資金投入情況

通過對某市39家二級以上公立中醫醫院近三年用于信息安全設備方面投入情況進行調查，調查結果顯示36家被調查醫院對信息安全設備進行投入，3家（其中2家三級醫院，1家二級醫院）中醫醫院尚未投入。對39家中醫醫院近三年對信息安全設備投入具體金額進行統計，近3年用于信息安全設備資金少于50萬元的醫院有7家，占樣本總數的17.95%;投入（51～100）萬元的醫院有11家，占總數的28.21%;投入（101～200）萬元的醫院有8家，占20.51%;投入200萬元以上的醫院有10家，占總數的25.64%。根據醫院級別進行分析，二級中醫醫院與三級中醫醫院近三年對信息安全設備經費投入情況，見表1。結果顯示投入金額在100萬元以上三級醫院比例高于二級醫院，二級醫院與三級醫院均存在暫未對信息安全設備進行投入的情況，并進行χ2檢驗得出醫院級別的不同對信息安全設備投入差異有統計學意義（P < 0.05），被調查醫院對信息安全投入總體較少。

2.2 網絡安全措施情況

網絡是醫院的重要基礎設施之一。調查結果顯示，目前被調查39家中醫醫院均已采用網絡安全措施，其中防火墻和網絡版防病毒軟件應用情況較好，應用比例為94.87%（37家）和82.05%（32家）;抗DDOS設備、內容過濾產品、Web應用防護系統、郵件防病毒網關應用比例為10.26%（4家）、12.82%（5家）、12.82%（5家）和12.82%（5家），應用還不夠廣泛。根據醫院級別進行分析，二級中醫醫院與三級中醫醫院采取網絡安全措施情況見表2。二級醫院和三級醫院在各項網絡安全措施應用方面都具有明顯差異，如在防毒墻應用上，三級醫院應用比例為46.15%（12家），明顯高于二級醫院的15.38%（2家）。

2.3 操作系統及數據庫安全措施情況

操作系統安全措施是從操作系統層面防止病毒入侵等外部網絡安全隱患，從而保證系統安全運行[1]。對某市39家二級以上公立中醫醫院操作系統及數據庫安全措施應用情況進行調查，結果顯示，38家（97.4%）被調查醫院均已采用操作系統及數據庫安全措施，說明大部分被調查中醫醫院都已經認識到對操作系統及數據庫采取安全措施的重要性。被調查的39家中醫醫院中密碼管理、單機版或網絡版反病毒軟件、訪問控制等安全措施應用較高，應用比例分別為79.49%（31家）、74.36%（29家）和64.1%（25家）;入侵防范、安全審計、軟件防火墻也受到重視，比例分別為56.41%（22家）、53.85%（21家）、53.85%（21家）;資源控制、系統鏡像快速恢復等措施應用率較低，比例均為23.08%（9家）。按照醫院級別進行分析，二級中醫醫院與三級中醫醫院采取操作系統及數據庫安全措施情況見表3。在惡意代碼防范應用上三級醫院應用比例為53.85%（14家），二級醫院為15.38%（2家）;在桌面管理軟件應用上三級醫院應用比例為61.54%（16家），二級醫院為30.77%（4家）;二級醫院均未采取資源控制和系統鏡像快速恢復措施。

2.4 信息安全人員及培訓情況

人才是醫院信息安全建設最寶貴的資源。被調查中醫醫院信息安全人員情況。見表4。結果顯示33家（84.62%）中醫醫院均配備專職或兼職信息安全的人員，并且人數集中在0～3人，占樣本總體的76.93%。并且目前還有部分醫院未安排專職或兼職負責信息安全的人員，可見目前信息安全方面人才非常匱乏。

2.5 中醫醫院信息安全培訓次數情況

為更好地推進中醫醫院信息安全建設，開展人員培訓也是非常必要的。調查顯示25家（64.1%）醫院對全員進行信息安全意識培訓，并根據崗位要求有針對性進行培訓;14家（35.9%）醫院僅開展全員安全意識培訓，但沒有針對性。被調查中醫醫院開展信息安全培訓次數情況見表5。結果顯示33家（84.62%）中醫醫院每年開展信息安全培訓1～2次，占比例最高;僅有2家（5.13%）醫院每年開展信息安全培訓次數≥5次，可見目前信息安全培訓力度還不夠。

2.5 信息安全應急響應情況

經調查顯示，37家（94.87%）被調查中醫醫院建立應急響應組織，其中35家（89.74%）中醫醫院已明確組織內成員的職責、分工和責任追究;2家（5.13%）雖建立應急響應組織，但人員職責與分工尚未明確。對于被調查中醫醫院應急預案制訂情況，38家（97.44%）被調查醫院制訂了信息安全應急預案，其中27家醫院應急預案比較完善，能夠根據事件的不同制訂不同的應急預案，11家醫院雖然有預案，但還不夠完善。按照醫院級別進行分析，二級中醫醫院與三級中醫醫院采應急響應情況見表6～7。由此可見，進行卡方檢驗得出二級醫院與三級醫院在信息安全管理應急響應組織設立和應急預案制訂兩方面均存在顯著差異（P < 0.05），三級醫院明顯優于二級醫院。對39家中醫醫院應急安全管理采取措施情況進行調查，結果顯示37家（94.87%）被調查醫院開展應急演練，33家（84.62%）醫院有系統備份，32家（82.05%）醫院建立外部技術內援，21家（53.85%）醫院建立內部技術內援。

3 討論

3.1 分析

通過對某市39家二級以上公立中醫醫院信息安全現狀調查分析，目前被調查中醫醫院仍然存在信息安全問題。

信息安全投入仍不足。資金投入是影響中醫醫院信息安全管理的關鍵性因素，目前中醫醫院在信息安全方面的投入對于保障中醫醫院信息安全是遠遠不夠的，并且中醫醫院信息安全建設是一項長期工作，并不是一次性的，需要持續的資金投入進行支撐和保障。由于我國經濟社會發展，中醫醫院管理、運營成本也逐年增高，而在信息安全管理方面的投入很難直接獲得經濟效益。因此，目前中醫醫院對信息安全仍不是十分重視，投入較少，難以滿足國家相關部門對信息安全的要求。

中醫醫院信息基礎設施安全建設不到位。醫院信息基礎設施建設是醫院高效平穩運行不可或缺的條件。本調查結果顯示，在網絡安全方面，雖然參與調查的中醫醫院均已采取一些安全措施，但在抗DDOS設備、身份鑒別等安全措施應用率仍然較低;在操作系統和數據庫安全方面，系統鏡像快速恢復、資源控制、身份鑒別等措施應用率也較低。由此可見，各中醫醫院信息基礎設施建設安全雖采取諸多安全措施，但目前信息基礎設施建設安全仍不到位，需進一步完善。

中醫醫院信息安全人才缺乏。目前中醫醫院對于信息安全人才的需求越來越迫切，信息安全人才的短缺在一定程度上制約了醫院信息安全建設的進程。造成人才缺乏的原因一是中醫醫院對信息安全人才要求比較高，不僅要求其掌握信息技術，還要掌握信息安全管理知識和中醫學相關知識[3];二是繼續教育有待加強，本調查顯示還有部分醫院未開展信息安全崗位培訓，而在崗安全培訓是保證信息安全人才素質提升、確保系統正常運行的重要措施;三是信息安全現有的人才在數量和質量上都與國家相關規定和要求有一定差距，不足不能滿足醫院信息安全需求。

中醫醫院應急響應機制不完善。隨著信息化設備及軟件的大量應用，醫院網絡或信息系統可能會由于各種因素而遭到破壞，需要醫院高度重視應急響應組織的設立和應急預案制訂[4]。本調查顯示，該市目前中醫醫院信息安全應急響應機制還不完善;并且部分中醫醫院尚未制訂應急預案，在信息安全應急反應方面存在不足和短板，有較大的提升空間。

3.2 建議

結合該市中醫醫院信息安全現狀的調查分析及存在問題，提出以下幾點建議，為中醫醫院信息安全建設提供參考。

重視中醫醫院信息安全投入。中醫醫院的信息安全管理是一項耗資巨大的工程，雖不能直接得到收益，但也不可或缺。一是建議政府管理部門要從對中醫醫院信息化建設經費中適當安排用于信息安全的專項經費;二是建議中醫醫院根據自身情況制訂科學合理的經費預算，規范各項支出的標準，從而保證信息安全管理經費都能夠發揮出最大效用[4];三是建議各中醫醫院積極擴大資金來源，開辟多種渠道，確保穩定的用于保障醫院信息安全資金來源[5-6]。

完善中醫醫院信息基礎設施安全建設。信息基礎設施的安全是保證中醫醫院信息化建設、防止受到網絡攻擊、保護信息數據的前提。建議各中醫醫院根據本院的安全需求建立一套有針對性的信息基礎設施安全策略體系，包含物理機房安全策略、服務器安全策略、網絡安全策略、操作系統及數據庫安全策略以及終端安全策略等，從技術角度對中醫醫院信息基礎設施安全進行實時保護，并且對安全策略進行管理[7-8]。

加強引進和培養信息安全人才力度。人才是信息技術的載體，加強信息安全人才培養是十分必要的。建議中醫醫院重視信息安全人才培養和人才引進，一是為其提供盡可能多的繼續教育和學術交流的機會，并根據信息人才崗位需求有針對性地實行技術培訓和考核[9];二是要采取多渠道吸引既懂醫學知識又了解信息領域的人才，將引進人才與現有人才相結合，從而形成結構合理的人才隊伍[10];三是健全信息安全人員的績效考核機制，獎罰分明，充分調動信息安全人才的工作積極性。

制訂周密的應急預案。由于中醫醫院本身具有的特殊性質，在運行的過程中每時每刻都會產生海量數據，也會導致信息系統等遭到不同的攻擊和破壞等。因此，需要在攻擊、破壞到來之前采取相應的防范及應對措施，并制訂有周密的應急預案。應急預案要涵蓋針對硬件設備、軟件設備、網絡等方面的應急措施、協調的部門和常用的應急電話[11]。建議醫院應通過對信息系統安全風險進行評估和預測，建立分級保障應急預案，明確安全事件的分級和應急流程，根據突發事件的嚴重程度采取不同措施。此外，還應定期開展應急演練，及時發現問題并解決問題，使醫院能夠從容應對突發安全事件，將損失最小化，保證醫療進程有條不紊進行。

4 結語

隨著現代信息技術廣泛應用于中醫藥醫療機構，中醫醫院信息化建設已經成為進一步加強醫院管理的重要方法和手段。因此，對中醫醫院信息安全也提出更高的要求。據國家衛健委和國家中醫藥管理局相關統計數據顯示，近年來無論是中醫醫院和西醫綜合醫院，就醫的患者數量急速上升，這些大量的醫療數據、信息給醫院的信息安全管理工作帶來了嚴峻的挑戰。目前各地中醫醫院都在加快信息化建設的步伐，但信息安全建設還相對滯后，在未來醫院信息化建設中，中醫醫院進一步加大對信息安全投入，完善信息基礎設施安全建設，制訂全面且嚴謹的應急預案，加強信息安全專業人才培養力度，不斷提高中醫醫院信息安全水平，是中醫醫院信息化建設工作的重要方面，只有這樣，才能推進中醫醫院信息化建設的發展進程。

[參考文獻]

[1] ?陳敏，鄭見立.湖北省醫院信息安全狀況調查與分析[J].中國醫院管理，2011，31（5）：20-21.

[2] ?謝言.國家扶貧開發工作重點縣中醫醫院信息化建設現狀調查及影響因素分析[D].武漢：湖北中醫藥大學，2013.

[3] ?吳金憲.濟南市衛生系統二級以上公立醫院信息化建設現況研究[D].濟南：山東大學，2009.

[4] ?曹亞寧.c碩士醫院信息安全管理問題研究——基于T醫院的調查研究[J].2016.

[5] ?王麗娜，張東軍，張午光.對37所醫院信息系統信息安全現狀的調查及對策探討[J].醫療衛生裝備，2014，35（7）：111-113.

[6] ?梁娜.中醫院信息化發展現狀分析及思考[J].醫學信息學雜志，2016（4）：70-73.

[7] ?曹文杰.醫院信息系統安全策略研究[D].西安：陜西師范大學，2010.

[8] ?黃碧香.醫院信息系統的安全策略體系[J].企業科技與發展，2013（24）：43-44.

[9] ?王躍忠.四平地區醫院信息安全保障問題分析及對策研究[D].長春：吉林大學，2015.

[10] ?許歡.安徽省中醫院信息化建設的現狀及對策[D].合肥：安徽大學，2015.

[11] ?祝敬萍.醫院信息系統安全風險規避管理策略研究[D].武漢：華中科技大學，2008.

[12] ?王宏宇，劉春秀.醫院信息系統項目風險管理研究[J].中國醫藥導報，2017，14（28）：155-158.

（收稿日期：2018-05-05 ?本文編輯：封 ? 華）