【摘要】 目的 發(fā)現(xiàn)中醫(yī)醫(yī)院的信息安全問題，并提出解決方案。方法 對中醫(yī)醫(yī)院信息安全的現(xiàn)狀及重要性做全面的分析，并給出解決方案。結(jié)果 實施信息安全解決方案后，中醫(yī)醫(yī)院的信息安全程度大大加強，給醫(yī)院信息安全帶來了保障。結(jié)論 中醫(yī)醫(yī)院信息安全目前普遍存在巨大隱患，亟需加強。

doi:10.3969/j.issn.1674-9316.2015.04.003

工作單位：250200章丘市中醫(yī)醫(yī)院信息中心

Introduction to Basic TCM Hospitals Information Security Management

JIA Xicun LU Min Information center，Zhangqiu TCM hospital in Shandong，Zhangqiu 250200，China

【Abstract】

Objective To find the problems of information security of Chinese medicine hospitals，and puts forward the solution. Methods To do a comprehensive analysis of the status and importance of the traditional Chinese medicine hospitals’ information security，and gives the solution. Results With the implementation of information security solutions，the hospital of traditional Chinese medicine’s information security will greatly strengthen，and will bring security to the hospital information security. Conclusion At present，there is a huge hidden danger in the information security of traditional Chinese medicine hospital generally，and it needs to be strengthened.

【Key words】Chinese medicine information，Information security management

自國家中醫(yī)藥管理局《中醫(yī)醫(yī)院信息化建設基本規(guī)范》制定實施以來，中醫(yī)醫(yī)院的信息化建設有了突飛猛進的發(fā)展，各種應用系統(tǒng)的相繼實施，在提高中醫(yī)醫(yī)院工作效率和管理質(zhì)量，為廣大患者帶來極大方便的同時，也對中醫(yī)醫(yī)院信息安全工作帶來了更大的挑戰(zhàn)，如何建立安全、平穩(wěn)、高效的綜合安全防御機制，確保中醫(yī)醫(yī)院信息系統(tǒng)的安全正常運行，成為醫(yī)院信息化建設中的首要任務。

1 中醫(yī)醫(yī)院的信息安全現(xiàn)狀分析

1.1 中醫(yī)醫(yī)院信息安全發(fā)展普遍滯后

傳統(tǒng)的中醫(yī)醫(yī)院因其區(qū)別于西醫(yī)醫(yī)院的辨證診療體系，在醫(yī)院信息化建設上普遍落后于綜合醫(yī)院，原來以財務應用為主體的管理系統(tǒng)，與中醫(yī)臨床診療的脫節(jié)，嚴重制約了中醫(yī)醫(yī)院的信息化發(fā)展進程。

1.2 傳統(tǒng)安全模式難以應對新的安全挑戰(zhàn)

傳統(tǒng)的安全模式基于殺毒軟件加硬件防火墻的模式，主要運行于封閉的內(nèi)部局域網(wǎng)環(huán)境，只要控制好系統(tǒng)終端的接入及操作，做好服務器端的數(shù)據(jù)備份就可以安枕無憂。新形勢下的網(wǎng)絡應用，在很多的時候要求服務器通過互聯(lián)網(wǎng)對接上一級的信息系統(tǒng)，病毒泛濫，黑客攻擊，系統(tǒng)漏洞等情況已直接影響到醫(yī)院信息系統(tǒng)的安全運行。

1.3 第三方信息安全控制策略模糊，幾近空白

醫(yī)院信息系統(tǒng)的多樣化，注定了諸多的軟件公司和人員參與到醫(yī)院信息化建設中來后各自為政的模式，決定了各供貨商在信息化建設中的以自我為中心，忽略了信息安全的內(nèi)容。同時，各系統(tǒng)的對接訪問，也造成了醫(yī)院敏感數(shù)據(jù)的不安全性，防止因第三方造成的信息數(shù)據(jù)泄露也成了新形勢下信息安全工作的一個重要內(nèi)容。

2 信息安全對中醫(yī)醫(yī)院的重要作用

2.1 保障正常醫(yī)療秩序的需要

信息安全貫穿于醫(yī)院診療活動的每一個環(huán)節(jié)中，任何人為或者機械的事故或原因，都可能造成醫(yī)院信息系統(tǒng)運行故障，甚至癱瘓，從而影響醫(yī)院正常的工作流程，甚至會造成極其不利的影響和局面，導致醫(yī)院工作混亂。

2.2 保障病人和醫(yī)護人員權益的需要

患者的診療記錄貫穿于患者從就診到出院的每一個環(huán)節(jié)中，不僅記錄了患者的隱私情況，還完善的記錄了醫(yī)生完整的診療過程和護士的全部護理工作，因此不但要防止患者醫(yī)療記錄的外泄，還要防止被惡意修改或刪除。

2.3 保障大數(shù)據(jù)安全存儲和合理運用的需要

醫(yī)院信息化建設規(guī)模的不斷發(fā)展，使醫(yī)院的各項日常工作都納入了信息化的范疇，海量的數(shù)據(jù)信息不僅是醫(yī)院日常工作正常運行的基礎所在，更成為醫(yī)院的一筆重要的財富，科學合理的管理、分析、運用，將會對醫(yī)院的教學、科研、臨床、管理等工作帶來無可比擬的效果。

2.4 保障財務管理安全的需要

財務管理系統(tǒng)貫穿于醫(yī)院工作中收費、結(jié)算，以及每一個財物管理的環(huán)節(jié)，財務數(shù)據(jù)的損壞或丟失，不僅會使醫(yī)院財產(chǎn)受到損失，甚至會造成財務管理及醫(yī)院管理工作的混亂。

3 中醫(yī)醫(yī)院加強信息安全管理的措施

“建立健全信息安全管理組織、規(guī)章制度、崗位職責以及檢查審核和風險評估機制，制定完備的系統(tǒng)恢復及應急預案，完善信息技術安全措施，保障中醫(yī)醫(yī)院信息系統(tǒng)安全、平穩(wěn)和高效的運行” ［1］。

3.1 建立健全安全風險評估機制

建立健全安全的風險評估機制，選取安全資質(zhì)高的專業(yè)服務機構(gòu)，并與兄弟單位建立良好的參觀考察學習機制，不斷在交流學習過程中發(fā)現(xiàn)系統(tǒng)中存在的問題和潛在威脅，力求防患于未然，消滅事故于萌芽之中。

3.2 加強信息安全管理制度建設并抓好落實

3.2.1 建立醫(yī)院信息安全管理組織 成立以院長為首的信息安全領導小組，設立專職的信息安全管理員，對那些給醫(yī)院信息安全帶來嚴重隱患的行為和人員進行重點的管理和監(jiān)督。

3.2.2 中心機房及服務器存儲、網(wǎng)絡安全建設 （1）中心機房安全。中心機房是醫(yī)院信息系統(tǒng)設備運行的核心，要有專業(yè)的裝修公司施工 ［2］。為此我院聘請專業(yè)的施工公司，選擇合適的樓層，按照《電子信息系統(tǒng)機房設計規(guī)范》GB_50174-2008 對中心機房重新進行了裝修。確保恒溫、恒濕、防雷防水，防塵防靜電，實現(xiàn)過壓保護、消防安全；（2）服務器、存儲設備的安全運行。對服務器采購嚴格按照信息系統(tǒng)運行環(huán)境要求，建立合理的雙機熱備體系，確保醫(yī)院信息系統(tǒng)的持續(xù)穩(wěn)定運行；（3）網(wǎng)絡局域網(wǎng)安全運行。

3.2.3 加強用戶管理 （1）本院用戶管理。建立嚴格的工作站使用及終端接入制度，禁止一切外部存儲設備及非法終端的接入，實現(xiàn)用戶登錄與工號綁定的措施，嚴格控制密碼管理，通過軟件對網(wǎng)絡使用狀態(tài)做出監(jiān)控，并定期形成完備的管理日志，為醫(yī)院信息系統(tǒng)安全預防工作提供實時合理的依據(jù)；（2）第三方用戶管理。對第三方軟件供應商工作人員及其他人員實行嚴格的登記管理制度，進入機房必須有本院信息科工作人員陪同，對接入的第三方存儲設備及終端實行嚴格的接入審核制度，確保醫(yī)院信息系統(tǒng)安全做到“進不來、拿不走、看不懂、改不了、逃不掉”的安全程度 ［3］。

3.3 完善職工的信息安全培訓及管控機制

制定詳細、完備的應急預案，定期培訓，定期演練，使每個人都熟悉應急流程和應急措施。重點部門的手工處方技能常抓不懈。

4 結(jié)語

醫(yī)院信息系統(tǒng)安全管理是維護醫(yī)院系統(tǒng)安全的非常重要的一環(huán)，隨著醫(yī)院信息內(nèi)容越來越豐富，價值越來越大，如果安全管理有漏洞，安全措施投入再大也無濟于事。因此應當強化信息安全人員管理，開展信息安全從業(yè)人員培訓，加強人才隊伍建設提升網(wǎng)絡安全工作水平是重中之重。