吴兵

摘要：针对我国医院信息化建设日益加快，而信息安全管理无法适应信息化建设发展的问题，该文首先分析了医院信息网络安全管理的概念及特点，其次对我国医院信息安全管理过程中出现的问题进行了分析和总结，最后根据当前安全管理方面的问题，给出了医院信息安全管理的维护策略。该文对于医院的信息技术工作人员和主抓信息安全的院级领导都有一定的积极作用。

关键词：医院;信息安全;维护策略

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2021）11-0051-03

Hospital Information Network Security Management and Maintenance Strategy

WU Bing

（Xuancheng Health Information Centre， Xuancheng 242000， China）

Abstract： In view of the problem that the hospital information construction is speeding up day by day in our country， and the information security management can not adapt to the development of the information construction， this paper first analyzes the concept and characteristics of the hospital information network security management， secondly， this paper analyzes and summarizes the problems in the process of hospital information security management， and finally， according to the problems of current security management， gives the maintenance strategy of hospital information security management. This article has a certain positive function for the hospital information technology staff and the hospital-level leadership which mainly grasps information security.

Key words： hospital; information security; maintenance strategy

1 背景

随着网络技术的不断发展，企事业单位对于网络的安全管理重视程度不断加大。医院作为医疗公益性服务行业，是人民提供高效的健康服务集中地。近年来，我国人民生活水平不断提高，人们对于医疗健康的重视程度日益提升，医院利用网络信息技术可以有效提升自身医疗水平和保障优质服务，但与此同时，医院的信息网络安全也受到了挑战，如何确保医院的核心成果、患者信息得到安全的保管，对当前的医院信息网络安全管理提出了更高的要求[1]。

2 医院信息网络安全管理理论

2.1 医院信息网络安全管理的概念

为了保证医疗系统的正常运转，加强医院外部和內部的信息安全管理成为重中之重。一直以来，对于信息安全管理都过于侧重于技术层面，购买昂贵的网络设备及相关的防护软件，但效果却不明显[2]。近十年来，我国的很多学者都对医院的信息网络安全管理进行了分析研究，设计研发了相关的医院信息管理系统，为医院的信息网络安全工作提供了支撑。随着我国医疗卫生事业的迅速进步，单独的管理系统或硬件设备已经不能满足医院信息网络安全的需求，需要从更深的层面去解读医院信息网络安全管理[3]。

结合国内外学者对医院信息网络安全管理的研究，本文将医院信息网络安全管理总结为：充分结合医院信息管理系统的软硬件资源，利用网络安全设备及保护软件对信息资源进行安全管理，有效地避免医院的网络信息不会被偶然或恶意地泄露、破坏和修改等一系列的动态过程[4]。

医院信息网络安全管理不是静态一成不变的，而是随着时间的推移而逐步发生变化的过程，而且参与人员不仅仅局限于系统管理维护人员，需要医院的全体共同参与的活动。

2.2 医院信息网络安全管理的特点

医院信息安全管理不同于一般的企事业，有其自己独有的特点。

1）动态性

医院是一个开放的、流动性极强的服务性部门，服务对象（患者、家属、护工等）、物流（药品、设备等）及信息流（医嘱、收据等）一直处于一个不断变化的动态过程，有效地实现资源共享，才能提高医院的工作效率及信息安全。

2）复杂性

当前医院的规模越来越大，设置的科室越来越多，医生、技师、护士及后勤人员等人员的分工越来越细，既要保障这些人员的信息有效共享，便于内部沟通和协调，同时又要保障信息的安全性，这使得安全管理工作更加复杂。

3）系统性

网络把医院的各个科室、后勤等众多的信息孤岛有机地联系在一起，使得医院的各部门彼此之间的协调配合更加紧密，形成一个系统化的运作模式。在安全管理上，各部门全部参与其中，信息安全管理不再是某个人或某个部门的问题，而是全体医院工作人员共同的系统工作。

3 医院信息网络安全管理的问题

我国近年来，大部分医院都采用了信息化办公，利用网络技术为医生和患者提供便利，在信息管理系统的运营上，也投入了相当的物力和财力。但对于网络安全管理方面，却出现了一些问题，主要有以下几个方面。

3.1 领导层对信息安全管理重视不足

医院是公益性的服务机构，提高医院的工作效率，更加快捷地为患者提供优质服务是当前医院关注的头等大事。很多医院为此，积极引进信息管理系统，使得医院内部信息的共享，极大地缩短了信息反馈时间，有效地推动了医院的信息化进程。但是，对于信息的安全管理，在相当一部分医院里，并没有得到相关领导的认可，对安全管理的重视程度严重不足，认为系统能够正常运行即可，无须进行安全防护。

3.2 安全管理责任落实不到位

当前，很多医院都成立了网络安全技术科或系统维护科，一般这种科室有几名专门的IT人员组成，当医院信息安全受到威胁或破坏时，主要由这几个人员进行维护和恢复。一般这种科室的主管领导和人员并没有具体的任务，医院的信息系统正常运行，这些人员可以处于空闲状态。对于评定、工作总结长期以来，基本上都是千篇一律，甚至维护日志都没有。当出现重大信息安全事故时，没有具体的责任人。

在医院内部，很多情况安全事故出现后，并没有具体的负责人或主管领导，都是直接打电话或通知技术科，检查问题，没有一个合理的问题反馈渠道，这使得医院里出现共性的安全问题特别多，但没有安全管理责任具体负责人。

医院里，即使同级别的医生和护士，其待遇也是不尽相同的，这是由于医院的绩效和工作量是挂钩的。但大部分医院的技术人员的待遇都是固定的，这也使得安全维护人员的工作积极性不高，在医院的信息安全管理问题上，一般都是滞后的，很少在问题出现以前将问题有效防止。

3.3 信息安全管理投资力度小

在医院里，信息管理系统已经成为日常办公必不可少的工具，医院为信息管理系统配置了相应的软硬件资源。在投资上也花费了一定的资金。例如，在图1中，利用医院的局域网，通过一个核心交换机就可以把医院内部的各个科室有效地联系在一起，使得医院信息管理系统（HIS）有效地运行[5]。

上图中的医院信息管理系统网络拓扑虽然能够确保系统正常运行，但安全系数相对较低，可能出现IP地址冲突、计算机病毒、欺骗性攻击等。由于在局域网内部，服务器区域也没有独立的防护措施，这使得整个系统极易受到攻击。

如果提升安全系数，需要安装相应的软硬件资源，这使得医院信息化的投资加大，对于重视医疗效果的医院管理者来说，加大网络安全的投资是不必要的，让信息安全管理的经费相对较少。

3.4 信息安全管理考核机制不健全

医院的信息安全考核机制主要针对两类人群，一是医院信息技术部的人员，对于该类人群，要明确划分工作区域，制定完整的工作细则，不能让吃大锅饭。二是针对医院的全体工作人员，对于该类人群，很多的医生、护士及后勤人员认为信息安全管理与他们无关，這是一种极其严重的错误认识。特别是科室方面，主要强调的是医疗服务方面的事务，而对于信息的安全管理方面要么不提，或者无足轻重地说一下，对于员工的约束力严重不足。

很多医院从来没有举行过信息安全管理方面的考核，也没有出台相关的规章制度，对于电脑的使用，个人操作的随意性比较强，有些人为了工作上的便利，直接将个人用户名及密码告诉别人，使得安全管理混乱。

4 医院信息网络安全管理的维护策略

4.1 提升领导及全体员工对信息安全的重视

医院工作效率的提升离不开医院的信息化建设，信息的安全代表着医院的信息化进程处于健康的发展状态。医院的信息化建设是以信息安全为前提，所以医院的领导层一定要高度重视信息安全的管理工作，首先从医院的层面，结合本医院信息系统和网络拓扑结构，制定相关的规章制度，并下放到各个科室及具体每个员工手工，严格按照规章制度执行安全条例，只有院领导带头重视，员工才会重视。其次，在医院员工方面，定期进行信息安全管理知识竞赛，让员工平时时刻牢记信息安全的重要性。最后，组织进行相关的知识业务培训工作，不断提高一线安全维护人员的技术水平和理论水平，使这些人的专业素养不断得到提高。

4.2 安全责任到人

安全管理是全体所有员工的事情，不是某个技术科室或技术维护人员的事情。信息安全管理在平时要注重宣传，严格控制医院员工个人密码的安全性，规范医院信息管理系统的操作流程。当出现信息安全事故后，不仅要第一时间进行恢复工作，还要追究相关人员的责任，可以根据规章制度的规定进行处罚。只有责任到人，才能让每个员工从内心深处真正意识到安全管理的重要性。

4.3 加大信息安全管理的资金投入

医院的发展离不开信息化，对于信息化的建设和安全管理方面，每年医院在这方面必须做出预算。信息安全管理不能仅仅停留在让全体员工不违章操作上，一方面要对信息安全管理进行预防;另一方面，当出现信息安全问题时，如何能确保信息的安全性，如不丢失数据。无论是预防还是修复操作，不仅需要过硬的技术支持，还需要有专门软硬件设备。例如，数据的备份（双机备份如图2所示），两台服务器同时连接磁盘阵列，通过集群内部网来判断当前服务器是否正常运行，假如服务器（主机A）出现故障，这时通过网络侦测，服务器（主机B）接替主机A进行工作，保障了系统的无缝链接。

无论是侦测系统还是双服务器，都会加大安全管理的成本，这需要医院持续地投入资金来不断完善信息安全管理。

5 结束语

本文对医院信息网络安全管理进行了描述，当前医院的信息化进程发展迅速，医院的内外网环境不断发生变化，在医院的信息安全管理上，不能以老眼光、老思路去看待问题。要不断学习信息安全管理知识，以优化医疗服务流程为目的，加强医院的内涵建设，将医院的资源进行有效的整合，确保信息系统的安全运行。本文提出了加强人员重视的维护策略，但由于篇幅所限，规章制度的具体说明无法给出，希望读者根据医院的实际情况，有针对性地制定。

参考文献：

[1] 张明月，李江.我国医疗安全研究现状概述[J].中国科技信息，2009（10）：232-234.

[2] 林长喜.构建医院信息安全管理新体系[J].武警医学，2013（11）：5-6.

[3] 余震，张亮.全面质量管理及其在医院管理中的应用[J].中华医院管理杂志，2006，22（7）：467-470.

[4] 张立文.浅谈网络环境下的医院信息系统安全[J].医学信息，2004（9）：58-59.

[5] 孙巧燕.医院信息系统安全问题及对策[J].现代医学与临床，2014（12）：12-14.

【通联编辑：谢媛媛】