醫院信息網絡安全管理與維護策略

吳兵

摘要：針對我國醫院信息化建設日益加快，而信息安全管理無法適應信息化建設發展的問題，該文首先分析了醫院信息網絡安全管理的概念及特點，其次對我國醫院信息安全管理過程中出現的問題進行了分析和總結，最后根據當前安全管理方面的問題，給出了醫院信息安全管理的維護策略。該文對于醫院的信息技術工作人員和主抓信息安全的院級領導都有一定的積極作用。

關鍵詞：醫院;信息安全;維護策略

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2021）11-0051-03

Hospital Information Network Security Management and Maintenance Strategy

WU Bing

（Xuancheng Health Information Centre， Xuancheng 242000， China）

Abstract： In view of the problem that the hospital information construction is speeding up day by day in our country， and the information security management can not adapt to the development of the information construction， this paper first analyzes the concept and characteristics of the hospital information network security management， secondly， this paper analyzes and summarizes the problems in the process of hospital information security management， and finally， according to the problems of current security management， gives the maintenance strategy of hospital information security management. This article has a certain positive function for the hospital information technology staff and the hospital-level leadership which mainly grasps information security.

Key words： hospital; information security; maintenance strategy

1 背景

隨著網絡技術的不斷發展，企事業單位對于網絡的安全管理重視程度不斷加大。醫院作為醫療公益性服務行業，是人民提供高效的健康服務集中地。近年來，我國人民生活水平不斷提高，人們對于醫療健康的重視程度日益提升，醫院利用網絡信息技術可以有效提升自身醫療水平和保障優質服務，但與此同時，醫院的信息網絡安全也受到了挑戰，如何確保醫院的核心成果、患者信息得到安全的保管，對當前的醫院信息網絡安全管理提出了更高的要求[1]。

2 醫院信息網絡安全管理理論

2.1 醫院信息網絡安全管理的概念

為了保證醫療系統的正常運轉，加強醫院外部和內部的信息安全管理成為重中之重。一直以來，對于信息安全管理都過于側重于技術層面，購買昂貴的網絡設備及相關的防護軟件，但效果卻不明顯[2]。近十年來，我國的很多學者都對醫院的信息網絡安全管理進行了分析研究，設計研發了相關的醫院信息管理系統，為醫院的信息網絡安全工作提供了支撐。隨著我國醫療衛生事業的迅速進步，單獨的管理系統或硬件設備已經不能滿足醫院信息網絡安全的需求，需要從更深的層面去解讀醫院信息網絡安全管理[3]。

結合國內外學者對醫院信息網絡安全管理的研究，本文將醫院信息網絡安全管理總結為：充分結合醫院信息管理系統的軟硬件資源，利用網絡安全設備及保護軟件對信息資源進行安全管理，有效地避免醫院的網絡信息不會被偶然或惡意地泄露、破壞和修改等一系列的動態過程[4]。

醫院信息網絡安全管理不是靜態一成不變的，而是隨著時間的推移而逐步發生變化的過程，而且參與人員不僅僅局限于系統管理維護人員，需要醫院的全體共同參與的活動。

2.2 醫院信息網絡安全管理的特點

醫院信息安全管理不同于一般的企事業，有其自己獨有的特點。

1）動態性

醫院是一個開放的、流動性極強的服務性部門，服務對象（患者、家屬、護工等）、物流（藥品、設備等）及信息流（醫囑、收據等）一直處于一個不斷變化的動態過程，有效地實現資源共享，才能提高醫院的工作效率及信息安全。

2）復雜性

當前醫院的規模越來越大，設置的科室越來越多，醫生、技師、護士及后勤人員等人員的分工越來越細，既要保障這些人員的信息有效共享，便于內部溝通和協調，同時又要保障信息的安全性，這使得安全管理工作更加復雜。

3）系統性

網絡把醫院的各個科室、后勤等眾多的信息孤島有機地聯系在一起，使得醫院的各部門彼此之間的協調配合更加緊密，形成一個系統化的運作模式。在安全管理上，各部門全部參與其中，信息安全管理不再是某個人或某個部門的問題，而是全體醫院工作人員共同的系統工作。

3 醫院信息網絡安全管理的問題

我國近年來，大部分醫院都采用了信息化辦公，利用網絡技術為醫生和患者提供便利，在信息管理系統的運營上，也投入了相當的物力和財力。但對于網絡安全管理方面，卻出現了一些問題，主要有以下幾個方面。

3.1 領導層對信息安全管理重視不足

醫院是公益性的服務機構，提高醫院的工作效率，更加快捷地為患者提供優質服務是當前醫院關注的頭等大事。很多醫院為此，積極引進信息管理系統，使得醫院內部信息的共享，極大地縮短了信息反饋時間，有效地推動了醫院的信息化進程。但是，對于信息的安全管理，在相當一部分醫院里，并沒有得到相關領導的認可，對安全管理的重視程度嚴重不足，認為系統能夠正常運行即可，無須進行安全防護。

3.2 安全管理責任落實不到位

當前，很多醫院都成立了網絡安全技術科或系統維護科，一般這種科室有幾名專門的IT人員組成，當醫院信息安全受到威脅或破壞時，主要由這幾個人員進行維護和恢復。一般這種科室的主管領導和人員并沒有具體的任務，醫院的信息系統正常運行，這些人員可以處于空閑狀態。對于評定、工作總結長期以來，基本上都是千篇一律，甚至維護日志都沒有。當出現重大信息安全事故時，沒有具體的責任人。

在醫院內部，很多情況安全事故出現后，并沒有具體的負責人或主管領導，都是直接打電話或通知技術科，檢查問題，沒有一個合理的問題反饋渠道，這使得醫院里出現共性的安全問題特別多，但沒有安全管理責任具體負責人。

醫院里，即使同級別的醫生和護士，其待遇也是不盡相同的，這是由于醫院的績效和工作量是掛鉤的。但大部分醫院的技術人員的待遇都是固定的，這也使得安全維護人員的工作積極性不高，在醫院的信息安全管理問題上，一般都是滯后的，很少在問題出現以前將問題有效防止。

3.3 信息安全管理投資力度小

在醫院里，信息管理系統已經成為日常辦公必不可少的工具，醫院為信息管理系統配置了相應的軟硬件資源。在投資上也花費了一定的資金。例如，在圖1中，利用醫院的局域網，通過一個核心交換機就可以把醫院內部的各個科室有效地聯系在一起，使得醫院信息管理系統（HIS）有效地運行[5]。

上圖中的醫院信息管理系統網絡拓撲雖然能夠確保系統正常運行，但安全系數相對較低，可能出現IP地址沖突、計算機病毒、欺騙性攻擊等。由于在局域網內部，服務器區域也沒有獨立的防護措施，這使得整個系統極易受到攻擊。

如果提升安全系數，需要安裝相應的軟硬件資源，這使得醫院信息化的投資加大，對于重視醫療效果的醫院管理者來說，加大網絡安全的投資是不必要的，讓信息安全管理的經費相對較少。

3.4 信息安全管理考核機制不健全

醫院的信息安全考核機制主要針對兩類人群，一是醫院信息技術部的人員，對于該類人群，要明確劃分工作區域，制定完整的工作細則，不能讓吃大鍋飯。二是針對醫院的全體工作人員，對于該類人群，很多的醫生、護士及后勤人員認為信息安全管理與他們無關，這是一種極其嚴重的錯誤認識。特別是科室方面，主要強調的是醫療服務方面的事務，而對于信息的安全管理方面要么不提，或者無足輕重地說一下，對于員工的約束力嚴重不足。

很多醫院從來沒有舉行過信息安全管理方面的考核，也沒有出臺相關的規章制度，對于電腦的使用，個人操作的隨意性比較強，有些人為了工作上的便利，直接將個人用戶名及密碼告訴別人，使得安全管理混亂。

4 醫院信息網絡安全管理的維護策略

4.1 提升領導及全體員工對信息安全的重視

醫院工作效率的提升離不開醫院的信息化建設，信息的安全代表著醫院的信息化進程處于健康的發展狀態。醫院的信息化建設是以信息安全為前提，所以醫院的領導層一定要高度重視信息安全的管理工作，首先從醫院的層面，結合本醫院信息系統和網絡拓撲結構，制定相關的規章制度，并下放到各個科室及具體每個員工手工，嚴格按照規章制度執行安全條例，只有院領導帶頭重視，員工才會重視。其次，在醫院員工方面，定期進行信息安全管理知識競賽，讓員工平時時刻牢記信息安全的重要性。最后，組織進行相關的知識業務培訓工作，不斷提高一線安全維護人員的技術水平和理論水平，使這些人的專業素養不斷得到提高。

4.2 安全責任到人

安全管理是全體所有員工的事情，不是某個技術科室或技術維護人員的事情。信息安全管理在平時要注重宣傳，嚴格控制醫院員工個人密碼的安全性，規范醫院信息管理系統的操作流程。當出現信息安全事故后，不僅要第一時間進行恢復工作，還要追究相關人員的責任，可以根據規章制度的規定進行處罰。只有責任到人，才能讓每個員工從內心深處真正意識到安全管理的重要性。

4.3 加大信息安全管理的資金投入

醫院的發展離不開信息化，對于信息化的建設和安全管理方面，每年醫院在這方面必須做出預算。信息安全管理不能僅僅停留在讓全體員工不違章操作上，一方面要對信息安全管理進行預防;另一方面，當出現信息安全問題時，如何能確保信息的安全性，如不丟失數據。無論是預防還是修復操作，不僅需要過硬的技術支持，還需要有專門軟硬件設備。例如，數據的備份（雙機備份如圖2所示），兩臺服務器同時連接磁盤陣列，通過集群內部網來判斷當前服務器是否正常運行，假如服務器（主機A）出現故障，這時通過網絡偵測，服務器（主機B）接替主機A進行工作，保障了系統的無縫鏈接。

無論是偵測系統還是雙服務器，都會加大安全管理的成本，這需要醫院持續地投入資金來不斷完善信息安全管理。

5 結束語

本文對醫院信息網絡安全管理進行了描述，當前醫院的信息化進程發展迅速，醫院的內外網環境不斷發生變化，在醫院的信息安全管理上，不能以老眼光、老思路去看待問題。要不斷學習信息安全管理知識，以優化醫療服務流程為目的，加強醫院的內涵建設，將醫院的資源進行有效的整合，確保信息系統的安全運行。本文提出了加強人員重視的維護策略，但由于篇幅所限，規章制度的具體說明無法給出，希望讀者根據醫院的實際情況，有針對性地制定。

參考文獻：

[1] 張明月，李江.我國醫療安全研究現狀概述[J].中國科技信息，2009（10）：232-234.

[2] 林長喜.構建醫院信息安全管理新體系[J].武警醫學，2013（11）：5-6.

[3] 余震，張亮.全面質量管理及其在醫院管理中的應用[J].中華醫院管理雜志，2006，22（7）：467-470.

[4] 張立文.淺談網絡環境下的醫院信息系統安全[J].醫學信息，2004（9）：58-59.

[5] 孫巧燕.醫院信息系統安全問題及對策[J].現代醫學與臨床，2014（12）：12-14.

【通聯編輯：謝媛媛】