王松　張藝然　朱佳卿

[摘要] 目的 調(diào)查與分析某市二級以上公立中醫(yī)醫(yī)院信息安全現(xiàn)狀。 方法 采用普遍調(diào)查方法，對2016～2018年某市二級及以上39家公立中醫(yī)醫(yī)療機構（包括中醫(yī)醫(yī)院、中醫(yī)?？漆t(yī)院、中西醫(yī)結合醫(yī)院和民族醫(yī)醫(yī)院，以下簡稱中醫(yī)醫(yī)院;其中二級醫(yī)院13家，三級醫(yī)院26家）信息安全現(xiàn)狀進行調(diào)查，調(diào)查數(shù)據(jù)來源于各醫(yī)院信息管理及信息技術等負責信息化建設的主要負責人填報。填報的主要內(nèi)容包括信息安全的資金投入、網(wǎng)絡安全措施、操作系統(tǒng)及數(shù)據(jù)庫安全措施、信息安全人員及培訓、信息安全應急響應等5個方面，并對上述數(shù)據(jù)運用SPSS 14.0和Excel軟件進行統(tǒng)計分析研究，統(tǒng)計方法包括統(tǒng)計描述和χ2檢驗。 結果 經(jīng)調(diào)查發(fā)現(xiàn)，某市二級以上公立中醫(yī)醫(yī)院仍存在信息安全資金投入不足、基礎設施建設不到位、信息安全人才匱乏、應急響應不完善等問題。 結論 針對某市存在的信息安全問題，提出加大信息安全資金投入力度，完善醫(yī)院基礎設施安全建設，大力引進和培養(yǎng)信息安全專業(yè)人才，制訂周密的應急預案等建議，提高中醫(yī)醫(yī)院信息安全水平。

[關鍵詞] 中醫(yī)醫(yī)院;信息安全;調(diào)查分析

[中圖分類號] R197.4 ? ? ? ? ?[文獻標識碼] A ? ? ? ? ?[文章編號] 1673-7210（2019）05（c）-0176-05

[Abstract] Objective To investigate and analyze the information security status of public Traditional Chinese medicine hospitals above grade Ⅱ in a city. Methods The general survey method was adopted to investigate 39 public Traditional Chinese medicine hospital institutions （including traditional Chinese medicine hospitals， traditional Chinese medicine hospital specialist hospitals， integrated traditional Chinese and western medicine hospitals and ethnic medicine hospitals） at level Ⅱ and above in a city from 2016 to 2018， hereinafter referred to as traditional Chinese medicine hospitals. The information security status of 13 secondary hospitals and 26 tertiary hospitals was investigated， and the survey data came from the information management and information technology of each hospital and other main persons in charge of informatization construction. Provided the main content of the funded include information security， network security， operating system and database security， information security personnel and training， from five aspects， such as information security emergency response and the data using SPSS 14.0 and Excel software for statistical analysis， statistical methods including statistical description and chi-square test. Results Through investigation， it is found that the public TCM hospitals above grade Ⅱ in a city still have problems such as insufficient investment in information security， inadequate infrastructure construction， lack of information security talents and imperfect emergency response. Conclusion In view of the existing information security problems in a city， this paper puts forward some suggestions， such as increasing the investment of information security funds， improving the safety construction of hospital infrastructure， vigorously introducing and cultivating information security professionals， and formulating elaborate emergency plans， so as to improve the information security level of TCM hospitals.

[Key words] Traditional Chinese medicine hospital; Information security; Survey analysis

隨著信息技術的不斷創(chuàng)新和廣泛應用，網(wǎng)絡信息安全（以下簡稱信息安全）是當前醫(yī)院信息化建設的關鍵問題。本文基于國家中醫(yī)藥管理局委托開展的政策研究項目《中醫(yī)藥行業(yè)信息安全督導檢查》課題，旨在了解中醫(yī)醫(yī)院信息安全現(xiàn)狀，掌握當前中醫(yī)醫(yī)院信息安全存在的主要問題及原因，并提出針對性的對策和建議，為中醫(yī)醫(yī)院信息安全建設提供借鑒和參考，推進中醫(yī)醫(yī)院信息化建設。

1 對象與方法

1.1 研究對象

本研究以某市二級以上公立中醫(yī)醫(yī)院為調(diào)查對象，包括中醫(yī)醫(yī)院、中醫(yī)?？漆t(yī)院、中西醫(yī)結合醫(yī)院和民族醫(yī)醫(yī)院共39家，其中二級醫(yī)院13家，三級醫(yī)院26家。

1.2 研究內(nèi)容

本次調(diào)查主要研究2016～2018年某市39家二級以上公立中醫(yī)醫(yī)院信息安全的資金投入、網(wǎng)絡安全措施、操作系統(tǒng)及數(shù)據(jù)庫安全措施、信息安全人員及培訓、信息安全應急響應等5個方面。

1.3 研究方法

通過使用Excel將收集的數(shù)據(jù)建立數(shù)據(jù)庫，采用SPSS 14.0對調(diào)查的數(shù)據(jù)進行統(tǒng)計和處理，統(tǒng)計方法包括統(tǒng)計描述和χ2檢驗。

2 結果與分析

2.1 信息安全資金投入情況

通過對某市39家二級以上公立中醫(yī)醫(yī)院近三年用于信息安全設備方面投入情況進行調(diào)查，調(diào)查結果顯示36家被調(diào)查醫(yī)院對信息安全設備進行投入，3家（其中2家三級醫(yī)院，1家二級醫(yī)院）中醫(yī)醫(yī)院尚未投入。對39家中醫(yī)醫(yī)院近三年對信息安全設備投入具體金額進行統(tǒng)計，近3年用于信息安全設備資金少于50萬元的醫(yī)院有7家，占樣本總數(shù)的17.95%;投入（51～100）萬元的醫(yī)院有11家，占總數(shù)的28.21%;投入（101～200）萬元的醫(yī)院有8家，占20.51%;投入200萬元以上的醫(yī)院有10家，占總數(shù)的25.64%。根據(jù)醫(yī)院級別進行分析，二級中醫(yī)醫(yī)院與三級中醫(yī)醫(yī)院近三年對信息安全設備經(jīng)費投入情況，見表1。結果顯示投入金額在100萬元以上三級醫(yī)院比例高于二級醫(yī)院，二級醫(yī)院與三級醫(yī)院均存在暫未對信息安全設備進行投入的情況，并進行χ2檢驗得出醫(yī)院級別的不同對信息安全設備投入差異有統(tǒng)計學意義（P < 0.05），被調(diào)查醫(yī)院對信息安全投入總體較少。

2.2 網(wǎng)絡安全措施情況

網(wǎng)絡是醫(yī)院的重要基礎設施之一。調(diào)查結果顯示，目前被調(diào)查39家中醫(yī)醫(yī)院均已采用網(wǎng)絡安全措施，其中防火墻和網(wǎng)絡版防病毒軟件應用情況較好，應用比例為94.87%（37家）和82.05%（32家）;抗DDOS設備、內(nèi)容過濾產(chǎn)品、Web應用防護系統(tǒng)、郵件防病毒網(wǎng)關應用比例為10.26%（4家）、12.82%（5家）、12.82%（5家）和12.82%（5家），應用還不夠廣泛。根據(jù)醫(yī)院級別進行分析，二級中醫(yī)醫(yī)院與三級中醫(yī)醫(yī)院采取網(wǎng)絡安全措施情況見表2。二級醫(yī)院和三級醫(yī)院在各項網(wǎng)絡安全措施應用方面都具有明顯差異，如在防毒墻應用上，三級醫(yī)院應用比例為46.15%（12家），明顯高于二級醫(yī)院的15.38%（2家）。

2.3 操作系統(tǒng)及數(shù)據(jù)庫安全措施情況

操作系統(tǒng)安全措施是從操作系統(tǒng)層面防止病毒入侵等外部網(wǎng)絡安全隱患，從而保證系統(tǒng)安全運行[1]。對某市39家二級以上公立中醫(yī)醫(yī)院操作系統(tǒng)及數(shù)據(jù)庫安全措施應用情況進行調(diào)查，結果顯示，38家（97.4%）被調(diào)查醫(yī)院均已采用操作系統(tǒng)及數(shù)據(jù)庫安全措施，說明大部分被調(diào)查中醫(yī)醫(yī)院都已經(jīng)認識到對操作系統(tǒng)及數(shù)據(jù)庫采取安全措施的重要性。被調(diào)查的39家中醫(yī)醫(yī)院中密碼管理、單機版或網(wǎng)絡版反病毒軟件、訪問控制等安全措施應用較高，應用比例分別為79.49%（31家）、74.36%（29家）和64.1%（25家）;入侵防范、安全審計、軟件防火墻也受到重視，比例分別為56.41%（22家）、53.85%（21家）、53.85%（21家）;資源控制、系統(tǒng)鏡像快速恢復等措施應用率較低，比例均為23.08%（9家）。按照醫(yī)院級別進行分析，二級中醫(yī)醫(yī)院與三級中醫(yī)醫(yī)院采取操作系統(tǒng)及數(shù)據(jù)庫安全措施情況見表3。在惡意代碼防范應用上三級醫(yī)院應用比例為53.85%（14家），二級醫(yī)院為15.38%（2家）;在桌面管理軟件應用上三級醫(yī)院應用比例為61.54%（16家），二級醫(yī)院為30.77%（4家）;二級醫(yī)院均未采取資源控制和系統(tǒng)鏡像快速恢復措施。

2.4 信息安全人員及培訓情況

人才是醫(yī)院信息安全建設最寶貴的資源。被調(diào)查中醫(yī)醫(yī)院信息安全人員情況。見表4。結果顯示33家（84.62%）中醫(yī)醫(yī)院均配備專職或兼職信息安全的人員，并且人數(shù)集中在0～3人，占樣本總體的76.93%。并且目前還有部分醫(yī)院未安排專職或兼職負責信息安全的人員，可見目前信息安全方面人才非常匱乏。

2.5 中醫(yī)醫(yī)院信息安全培訓次數(shù)情況

為更好地推進中醫(yī)醫(yī)院信息安全建設，開展人員培訓也是非常必要的。調(diào)查顯示25家（64.1%）醫(yī)院對全員進行信息安全意識培訓，并根據(jù)崗位要求有針對性進行培訓;14家（35.9%）醫(yī)院僅開展全員安全意識培訓，但沒有針對性。被調(diào)查中醫(yī)醫(yī)院開展信息安全培訓次數(shù)情況見表5。結果顯示33家（84.62%）中醫(yī)醫(yī)院每年開展信息安全培訓1～2次，占比例最高;僅有2家（5.13%）醫(yī)院每年開展信息安全培訓次數(shù)≥5次，可見目前信息安全培訓力度還不夠。

2.5 信息安全應急響應情況

經(jīng)調(diào)查顯示，37家（94.87%）被調(diào)查中醫(yī)醫(yī)院建立應急響應組織，其中35家（89.74%）中醫(yī)醫(yī)院已明確組織內(nèi)成員的職責、分工和責任追究;2家（5.13%）雖建立應急響應組織，但人員職責與分工尚未明確。對于被調(diào)查中醫(yī)醫(yī)院應急預案制訂情況，38家（97.44%）被調(diào)查醫(yī)院制訂了信息安全應急預案，其中27家醫(yī)院應急預案比較完善，能夠根據(jù)事件的不同制訂不同的應急預案，11家醫(yī)院雖然有預案，但還不夠完善。按照醫(yī)院級別進行分析，二級中醫(yī)醫(yī)院與三級中醫(yī)醫(yī)院采應急響應情況見表6～7。由此可見，進行卡方檢驗得出二級醫(yī)院與三級醫(yī)院在信息安全管理應急響應組織設立和應急預案制訂兩方面均存在顯著差異（P < 0.05），三級醫(yī)院明顯優(yōu)于二級醫(yī)院。對39家中醫(yī)醫(yī)院應急安全管理采取措施情況進行調(diào)查，結果顯示37家（94.87%）被調(diào)查醫(yī)院開展應急演練，33家（84.62%）醫(yī)院有系統(tǒng)備份，32家（82.05%）醫(yī)院建立外部技術內(nèi)援，21家（53.85%）醫(yī)院建立內(nèi)部技術內(nèi)援。

3 討論

3.1 分析

通過對某市39家二級以上公立中醫(yī)醫(yī)院信息安全現(xiàn)狀調(diào)查分析，目前被調(diào)查中醫(yī)醫(yī)院仍然存在信息安全問題。

信息安全投入仍不足。資金投入是影響中醫(yī)醫(yī)院信息安全管理的關鍵性因素，目前中醫(yī)醫(yī)院在信息安全方面的投入對于保障中醫(yī)醫(yī)院信息安全是遠遠不夠的，并且中醫(yī)醫(yī)院信息安全建設是一項長期工作，并不是一次性的，需要持續(xù)的資金投入進行支撐和保障。由于我國經(jīng)濟社會發(fā)展，中醫(yī)醫(yī)院管理、運營成本也逐年增高，而在信息安全管理方面的投入很難直接獲得經(jīng)濟效益。因此，目前中醫(yī)醫(yī)院對信息安全仍不是十分重視，投入較少，難以滿足國家相關部門對信息安全的要求。

中醫(yī)醫(yī)院信息基礎設施安全建設不到位。醫(yī)院信息基礎設施建設是醫(yī)院高效平穩(wěn)運行不可或缺的條件。本調(diào)查結果顯示，在網(wǎng)絡安全方面，雖然參與調(diào)查的中醫(yī)醫(yī)院均已采取一些安全措施，但在抗DDOS設備、身份鑒別等安全措施應用率仍然較低;在操作系統(tǒng)和數(shù)據(jù)庫安全方面，系統(tǒng)鏡像快速恢復、資源控制、身份鑒別等措施應用率也較低。由此可見，各中醫(yī)醫(yī)院信息基礎設施建設安全雖采取諸多安全措施，但目前信息基礎設施建設安全仍不到位，需進一步完善。

中醫(yī)醫(yī)院信息安全人才缺乏。目前中醫(yī)醫(yī)院對于信息安全人才的需求越來越迫切，信息安全人才的短缺在一定程度上制約了醫(yī)院信息安全建設的進程。造成人才缺乏的原因一是中醫(yī)醫(yī)院對信息安全人才要求比較高，不僅要求其掌握信息技術，還要掌握信息安全管理知識和中醫(yī)學相關知識[3];二是繼續(xù)教育有待加強，本調(diào)查顯示還有部分醫(yī)院未開展信息安全崗位培訓，而在崗安全培訓是保證信息安全人才素質(zhì)提升、確保系統(tǒng)正常運行的重要措施;三是信息安全現(xiàn)有的人才在數(shù)量和質(zhì)量上都與國家相關規(guī)定和要求有一定差距，不足不能滿足醫(yī)院信息安全需求。

中醫(yī)醫(yī)院應急響應機制不完善。隨著信息化設備及軟件的大量應用，醫(yī)院網(wǎng)絡或信息系統(tǒng)可能會由于各種因素而遭到破壞，需要醫(yī)院高度重視應急響應組織的設立和應急預案制訂[4]。本調(diào)查顯示，該市目前中醫(yī)醫(yī)院信息安全應急響應機制還不完善;并且部分中醫(yī)醫(yī)院尚未制訂應急預案，在信息安全應急反應方面存在不足和短板，有較大的提升空間。

3.2 建議

結合該市中醫(yī)醫(yī)院信息安全現(xiàn)狀的調(diào)查分析及存在問題，提出以下幾點建議，為中醫(yī)醫(yī)院信息安全建設提供參考。

重視中醫(yī)醫(yī)院信息安全投入。中醫(yī)醫(yī)院的信息安全管理是一項耗資巨大的工程，雖不能直接得到收益，但也不可或缺。一是建議政府管理部門要從對中醫(yī)醫(yī)院信息化建設經(jīng)費中適當安排用于信息安全的專項經(jīng)費;二是建議中醫(yī)醫(yī)院根據(jù)自身情況制訂科學合理的經(jīng)費預算，規(guī)范各項支出的標準，從而保證信息安全管理經(jīng)費都能夠發(fā)揮出最大效用[4];三是建議各中醫(yī)醫(yī)院積極擴大資金來源，開辟多種渠道，確保穩(wěn)定的用于保障醫(yī)院信息安全資金來源[5-6]。

完善中醫(yī)醫(yī)院信息基礎設施安全建設。信息基礎設施的安全是保證中醫(yī)醫(yī)院信息化建設、防止受到網(wǎng)絡攻擊、保護信息數(shù)據(jù)的前提。建議各中醫(yī)醫(yī)院根據(jù)本院的安全需求建立一套有針對性的信息基礎設施安全策略體系，包含物理機房安全策略、服務器安全策略、網(wǎng)絡安全策略、操作系統(tǒng)及數(shù)據(jù)庫安全策略以及終端安全策略等，從技術角度對中醫(yī)醫(yī)院信息基礎設施安全進行實時保護，并且對安全策略進行管理[7-8]。

加強引進和培養(yǎng)信息安全人才力度。人才是信息技術的載體，加強信息安全人才培養(yǎng)是十分必要的。建議中醫(yī)醫(yī)院重視信息安全人才培養(yǎng)和人才引進，一是為其提供盡可能多的繼續(xù)教育和學術交流的機會，并根據(jù)信息人才崗位需求有針對性地實行技術培訓和考核[9];二是要采取多渠道吸引既懂醫(yī)學知識又了解信息領域的人才，將引進人才與現(xiàn)有人才相結合，從而形成結構合理的人才隊伍[10];三是健全信息安全人員的績效考核機制，獎罰分明，充分調(diào)動信息安全人才的工作積極性。

制訂周密的應急預案。由于中醫(yī)醫(yī)院本身具有的特殊性質(zhì)，在運行的過程中每時每刻都會產(chǎn)生海量數(shù)據(jù)，也會導致信息系統(tǒng)等遭到不同的攻擊和破壞等。因此，需要在攻擊、破壞到來之前采取相應的防范及應對措施，并制訂有周密的應急預案。應急預案要涵蓋針對硬件設備、軟件設備、網(wǎng)絡等方面的應急措施、協(xié)調(diào)的部門和常用的應急電話[11]。建議醫(yī)院應通過對信息系統(tǒng)安全風險進行評估和預測，建立分級保障應急預案，明確安全事件的分級和應急流程，根據(jù)突發(fā)事件的嚴重程度采取不同措施。此外，還應定期開展應急演練，及時發(fā)現(xiàn)問題并解決問題，使醫(yī)院能夠從容應對突發(fā)安全事件，將損失最小化，保證醫(yī)療進程有條不紊進行。

4 結語

隨著現(xiàn)代信息技術廣泛應用于中醫(yī)藥醫(yī)療機構，中醫(yī)醫(yī)院信息化建設已經(jīng)成為進一步加強醫(yī)院管理的重要方法和手段。因此，對中醫(yī)醫(yī)院信息安全也提出更高的要求。據(jù)國家衛(wèi)健委和國家中醫(yī)藥管理局相關統(tǒng)計數(shù)據(jù)顯示，近年來無論是中醫(yī)醫(yī)院和西醫(yī)綜合醫(yī)院，就醫(yī)的患者數(shù)量急速上升，這些大量的醫(yī)療數(shù)據(jù)、信息給醫(yī)院的信息安全管理工作帶來了嚴峻的挑戰(zhàn)。目前各地中醫(yī)醫(yī)院都在加快信息化建設的步伐，但信息安全建設還相對滯后，在未來醫(yī)院信息化建設中，中醫(yī)醫(yī)院進一步加大對信息安全投入，完善信息基礎設施安全建設，制訂全面且嚴謹?shù)膽鳖A案，加強信息安全專業(yè)人才培養(yǎng)力度，不斷提高中醫(yī)醫(yī)院信息安全水平，是中醫(yī)醫(yī)院信息化建設工作的重要方面，只有這樣，才能推進中醫(yī)醫(yī)院信息化建設的發(fā)展進程。

[參考文獻]

[1] ?陳敏，鄭見立.湖北省醫(yī)院信息安全狀況調(diào)查與分析[J].中國醫(yī)院管理，2011，31（5）：20-21.

[2] ?謝言.國家扶貧開發(fā)工作重點縣中醫(yī)醫(yī)院信息化建設現(xiàn)狀調(diào)查及影響因素分析[D].武漢：湖北中醫(yī)藥大學，2013.

[3] ?吳金憲.濟南市衛(wèi)生系統(tǒng)二級以上公立醫(yī)院信息化建設現(xiàn)況研究[D].濟南：山東大學，2009.

[4] ?曹亞寧.c碩士醫(yī)院信息安全管理問題研究——基于T醫(yī)院的調(diào)查研究[J].2016.

[5] ?王麗娜，張東軍，張午光.對37所醫(yī)院信息系統(tǒng)信息安全現(xiàn)狀的調(diào)查及對策探討[J].醫(yī)療衛(wèi)生裝備，2014，35（7）：111-113.

[6] ?梁娜.中醫(yī)院信息化發(fā)展現(xiàn)狀分析及思考[J].醫(yī)學信息學雜志，2016（4）：70-73.

[7] ?曹文杰.醫(yī)院信息系統(tǒng)安全策略研究[D].西安：陜西師范大學，2010.

[8] ?黃碧香.醫(yī)院信息系統(tǒng)的安全策略體系[J].企業(yè)科技與發(fā)展，2013（24）：43-44.

[9] ?王躍忠.四平地區(qū)醫(yī)院信息安全保障問題分析及對策研究[D].長春：吉林大學，2015.

[10] ?許歡.安徽省中醫(yī)院信息化建設的現(xiàn)狀及對策[D].合肥：安徽大學，2015.

[11] ?祝敬萍.醫(yī)院信息系統(tǒng)安全風險規(guī)避管理策略研究[D].武漢：華中科技大學，2008.

[12] ?王宏宇，劉春秀.醫(yī)院信息系統(tǒng)項目風險管理研究[J].中國醫(yī)藥導報，2017，14（28）：155-158.

（收稿日期：2018-05-05 ?本文編輯：封 ? 華）