信息安全的效應(yīng)是一個(gè)木桶效應(yīng)，信息安全建設(shè)不好就是醫(yī)院信息化建設(shè)的一個(gè)短板。其中，管理是信息安全的重中之重，是信息技術(shù)有效實(shí)施的關(guān)鍵。

信息安全是“短板”

信息安全是指信息系統(tǒng)受到保護(hù)，不會(huì)偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。

信息安全主要包括信息的保密性、完整性、可用性、可控性和可審查性五要素。這五要素也是我們信息安全的目的，主要?dú)w結(jié)為5點(diǎn)：進(jìn)不來(lái)，使用訪問(wèn)控制機(jī)制，阻止非授權(quán)用戶(hù)進(jìn)入網(wǎng)絡(luò)，保證網(wǎng)絡(luò)可用性；拿不走，使用授權(quán)機(jī)制，實(shí)現(xiàn)用戶(hù)權(quán)限控制，同時(shí)結(jié)合內(nèi)容審計(jì)機(jī)制，實(shí)現(xiàn)網(wǎng)絡(luò)資源與信息的可控性；看不懂，使用加密機(jī)制，確保信息不暴露給未授權(quán)的實(shí)體，實(shí)現(xiàn)信息的保密性；改不了，使用數(shù)據(jù)完整性鑒別機(jī)制，保證只有得到允許的人才能修改數(shù)據(jù)，確保信息完整性；走不脫，使用審計(jì)、監(jiān)控、防抵賴(lài)等安全機(jī)制，使得攻擊者、破壞者、抵賴(lài)者留有痕跡，實(shí)現(xiàn)信息的可審查性。

信息安全的效應(yīng)其實(shí)就是一個(gè)木桶效應(yīng)，信息安全建設(shè)不好就是醫(yī)院信息化建設(shè)的一個(gè)短板。信息系統(tǒng)安全等級(jí)保護(hù)是對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種工作，對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。

構(gòu)建安全可信的信息消費(fèi)環(huán)境基礎(chǔ)是大力推進(jìn)身份認(rèn)證、網(wǎng)站認(rèn)證和電子簽名等網(wǎng)絡(luò)信任服務(wù)，推進(jìn)國(guó)家基礎(chǔ)數(shù)據(jù)庫(kù)、金融信用信息基礎(chǔ)數(shù)據(jù)庫(kù)等數(shù)據(jù)庫(kù)的協(xié)同，支持社會(huì)信用體系建設(shè)。

提升信息安全保障能力，需要依法加強(qiáng)信息產(chǎn)品和服務(wù)的檢測(cè)和認(rèn)證，支持建立第三方安全評(píng)估與監(jiān)測(cè)機(jī)制。加強(qiáng)政府和涉密信息系統(tǒng)安全管理，保障重要信息系統(tǒng)互聯(lián)互通和部門(mén)間信息資源共享安全。落實(shí)信息安全等級(jí)保護(hù)制度，加強(qiáng)網(wǎng)絡(luò)與信息安全監(jiān)管，提升網(wǎng)絡(luò)與信息安全監(jiān)管能力和系統(tǒng)安全防護(hù)水平。

醫(yī)院信息安全存多重挑戰(zhàn)

如今，在縣醫(yī)院信息安全現(xiàn)狀方面，已全面建成全國(guó)傳染病和突發(fā)公共衛(wèi)生事件報(bào)告網(wǎng)絡(luò)。同時(shí)，以電子病歷為核心的醫(yī)院信息化建設(shè)在提高醫(yī)療服務(wù)效率和質(zhì)量方面發(fā)揮了越來(lái)越重要的作用。遠(yuǎn)程醫(yī)療系統(tǒng)也初具規(guī)模，促進(jìn)了優(yōu)質(zhì)醫(yī)療資源向基層延伸。而居民健康卡應(yīng)用穩(wěn)步推進(jìn)，覆蓋13億人口的人口信息資源庫(kù)。

全國(guó)已有3700多家醫(yī)療機(jī)構(gòu)開(kāi)展以電子病歷為核心的醫(yī)院信息化建設(shè)，實(shí)現(xiàn)醫(yī)療機(jī)構(gòu)內(nèi)部信息共享。江蘇、浙江、河南、重慶等6省份建立全省電子病歷數(shù)據(jù)庫(kù)。天津、上海、江蘇、浙江、安徽、福建、山東、河南、湖南、重慶等10省份已建成省級(jí)信息平臺(tái)，實(shí)現(xiàn)部分人口健康信息實(shí)時(shí)采集與共享交換，支持跨區(qū)域業(yè)務(wù)協(xié)同，服務(wù)綜合管理與科學(xué)決策。上海、天津等17個(gè)省份采取依托政務(wù)外網(wǎng)，租用電信、聯(lián)通等虛擬專(zhuān)用網(wǎng)及獨(dú)立建設(shè)等多種方式，建立了省級(jí)人口健康信息專(zhuān)用網(wǎng)絡(luò)。

全國(guó)已有22家第三方電子認(rèn)證機(jī)構(gòu)通過(guò)國(guó)家衛(wèi)生計(jì)生委電子認(rèn)證監(jiān)管平臺(tái)的符合性測(cè)試，遵循統(tǒng)一的證書(shū)格式標(biāo)準(zhǔn)、接口標(biāo)準(zhǔn)，實(shí)現(xiàn)全行業(yè)跨地域、跨信息系統(tǒng)的一證通用、互認(rèn)互信。

醫(yī)院面對(duì)的安全挑戰(zhàn)，主要來(lái)自以下幾方面。行業(yè)應(yīng)用的要求，醫(yī)院信息系統(tǒng)承載著越來(lái)越多的管理和醫(yī)療業(yè)務(wù)，要求7×24小時(shí)不間斷運(yùn)行。醫(yī)院正常運(yùn)行對(duì)信息系統(tǒng)的高度依賴(lài)，要求醫(yī)院信息系統(tǒng)必須具有高度的穩(wěn)定性和安全性；區(qū)域醫(yī)療和系統(tǒng)整合的壓力，隨著信息化的發(fā)展，信息技術(shù)在各個(gè)領(lǐng)域的廣泛應(yīng)用，醫(yī)院信息系統(tǒng)面臨著要與區(qū)域醫(yī)療信息平臺(tái)、遠(yuǎn)程醫(yī)療系統(tǒng)、醫(yī)保系統(tǒng)、新農(nóng)合系統(tǒng)等眾多外部系統(tǒng)的信息共享和數(shù)據(jù)交換，完全無(wú)力隔離的醫(yī)院信息系統(tǒng)已經(jīng)不適應(yīng)當(dāng)前形勢(shì)下醫(yī)療信息化的發(fā)展。與外部系統(tǒng)的對(duì)接，將不可避免的帶來(lái)病毒、外部攻擊和信息泄露等安全挑戰(zhàn)；信息泄露的壓力，醫(yī)院信息系統(tǒng)涉及大量的醫(yī)院經(jīng)營(yíng)、緩則醫(yī)療等私密信息，信息泄露和傳播將會(huì)給醫(yī)院、社會(huì)和患者帶來(lái)安全風(fēng)險(xiǎn)；網(wǎng)絡(luò)安全漏洞，網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)以及應(yīng)用軟件都或多或少存在一些系統(tǒng)漏洞，與外界的醫(yī)保系統(tǒng)銜接也會(huì)出現(xiàn)漏洞；病毒、木馬的威脅。

據(jù)了解，目前，采用數(shù)據(jù)安全技術(shù)的醫(yī)院比例已經(jīng)達(dá)到40%，未來(lái)規(guī)劃中數(shù)據(jù)安全技術(shù)名列第二，說(shuō)明各醫(yī)院已經(jīng)開(kāi)始重視信息安全的保護(hù)，特別是病人數(shù)據(jù)也就是個(gè)人隱私信息的保護(hù)。數(shù)據(jù)庫(kù)鏡像備份和數(shù)據(jù)冷備份采用較多，電子簽名采用還較少。擁有1?2個(gè)獨(dú)立網(wǎng)絡(luò)，是當(dāng)前大多數(shù)醫(yī)院網(wǎng)絡(luò)建設(shè)的主體行為，是其面對(duì)信息安全的重要舉措。

信息安全關(guān)鍵在管理

醫(yī)院信息化應(yīng)用特點(diǎn)是，信息集中訪問(wèn)，門(mén)診業(yè)務(wù)在上午10點(diǎn)之后業(yè)務(wù)量最大，網(wǎng)絡(luò)流量也隨之增加；響應(yīng)要及時(shí)，調(diào)閱PACS、lis、藥房信息要能及時(shí)；多業(yè)務(wù)融合，臨床信息系統(tǒng)、管理信息系統(tǒng)、服務(wù)信息系統(tǒng)等多業(yè)務(wù)融合，對(duì)外互聯(lián)、區(qū)域融合、網(wǎng)上預(yù)約掛號(hào)等等。這些均需要在信息安全防護(hù)措施下完成，一旦信息安全出現(xiàn)問(wèn)題，所有應(yīng)用都將會(huì)瞬間破潰，醫(yī)院業(yè)務(wù)無(wú)法正常開(kāi)展。

2008年6月，我國(guó)某市保健醫(yī)院一名內(nèi)部人員利用職務(wù)之便將該院信息系統(tǒng)所有孕婦和嬰兒信息，以每條0.3元銷(xiāo)售4W萬(wàn)多條數(shù)據(jù)；2011年福州某上哪家醫(yī)院每隔一個(gè)月某醫(yī)院信息系統(tǒng)的數(shù)據(jù)庫(kù)就會(huì)留下統(tǒng)方痕跡，被醫(yī)院外部人員獲取。

信息安全保護(hù)工作是一個(gè)循序漸進(jìn)的，不是一蹴而就的工作，需要不斷發(fā)現(xiàn)問(wèn)題、解決問(wèn)題，不斷改進(jìn)。業(yè)務(wù)信息安全等級(jí)方面，電子病歷數(shù)據(jù)一旦遭到破壞，會(huì)影響到公民利益、社會(huì)秩序、公共利益。系統(tǒng)服務(wù)安全等級(jí)方面，醫(yī)院系統(tǒng)一旦服務(wù)不可用，又會(huì)造成極大程度的影響。系統(tǒng)安全等級(jí)方面，安全等級(jí)從信息和服務(wù)的等級(jí)較高者確定。

開(kāi)展建設(shè)整改，在這之前，對(duì)已經(jīng)建設(shè)的系統(tǒng)，可以采用自評(píng)和邀請(qǐng)第三方測(cè)評(píng)機(jī)構(gòu)對(duì)系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行評(píng)測(cè)，查找問(wèn)題，然后對(duì)發(fā)現(xiàn)的問(wèn)題和漏洞進(jìn)行整改。《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》是我們開(kāi)展信息安全保護(hù)的一個(gè)基本“標(biāo)尺”、達(dá)標(biāo)線(xiàn)，只是我們的出發(fā)點(diǎn)，而不是終點(diǎn)。

保障醫(yī)院信息系統(tǒng)安全穩(wěn)定運(yùn)行，必須在遵守國(guó)家信息安全基本要求的前提下，突出醫(yī)院自身特點(diǎn)，實(shí)現(xiàn)集中安全管理，特別是醫(yī)院電子病歷的廣泛應(yīng)用，CA認(rèn)證體系的應(yīng)用將會(huì)更大促進(jìn)醫(yī)院信息的安全。信息安全風(fēng)險(xiǎn)評(píng)估將會(huì)進(jìn)一步促進(jìn)醫(yī)院信息安全體系的建設(shè)。

信息安全“三分技術(shù)、七分管理”。足以見(jiàn)得管理是我們信息安全的重中之重，是信息技術(shù)有效實(shí)施的關(guān)鍵。

信息安全保護(hù)工作是一個(gè)循序漸進(jìn)的，不是一蹴而就的工作，需要不斷發(fā)現(xiàn)問(wèn)題、解決問(wèn)題，不斷改進(jìn)。