加強軍隊醫院信息安全管理實踐與體會

張 穩，袁 波

醫院信息系統的安全性直接關系到醫院醫療工作的正常運行，網絡癱瘓或數據丟失、失密將會給醫院和患者帶來巨大的損失。隨著改革開放的不斷深入、高科技的迅猛發展及廣泛應用，軍隊醫院信息化水平的不斷提高，臨床、醫技、管理等各個部門的日常工作已經越來越依賴醫院的網絡和信息系統，但也同時為醫院信息安全帶來了許多新的問題和挑戰［1］。如何在新形勢下，根據信息傳播本身的特點，加強軍隊醫院信息安全管理，確保信息保密安全，已成為醫院管理的新課題。筆者結合本院信息安全管理實踐，從技術策略與制度管理兩方面談點粗淺體會。

1 技術策略

醫院信息安全的維護需要專業技術保證。信息系統安全防護技術的研發與應用是保證醫院信息系統的穩定性、可靠性、安全性、可用性的利器［2］。為保障醫院信息系統安全穩定，我院采取如下技術策略以提升安全性。

1.1 異地備份策略 異地備份的目的是在數據信息丟失與損害的情況下保證數據的恢復使用。我院在保證日常操作的主數據中心正常運轉的基礎上，設立異地的災難備份中心，采用冗余備份技術、雙機熱備技術、集群和負載均衡技術等以保持與主數據中心運行系統的數據完全同步，保證數據的安全性［3］。對于介質故障所引起的信息數據丟失可對數據庫完全恢復;對于導致系統不能正常使用的人為錯誤可通過不完全恢復將數據恢復到誤操作前的時間點。

1.2 物理安全策略 物理安全策略的目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞。我院對醫院所使用的“軍字一號”系統、院內政工網、辦公自動化網互聯網等網絡之間嚴格實行物理隔離;通過Nokia防火墻硬設備防止外部入侵，確保各種信息安全;同時，對中心機房進行改造，配備了機房動力設備及環境集中監控系統，可對機房內專用空調、配電系統進線與系統主要支路、UPS、防漏水檢測、門禁、溫濕度等進行監控。通過遙測、遙信、遙控和遙調等功能實時監控機房內各類設備的運行狀態，并在被監控設備出現故障后實時通過發送手機短信的方式通知值班人員［4-5］，確保機房設備安全。

1.3 訪問控制策略 訪問控制是網絡安全防范和保護的主要策略，它的主要任務是避免網絡資源被非法使用與訪問。醫院網絡用戶分散處理、高度共享，用戶涉及醫生、護士、醫療技師、管理人員等。為此，我院網絡中心取消網絡中的共享資源，對必須共享的資源設置為只讀或加訪問密碼以控制訪問權限。通過設定權限控制用戶對特定數據的使用，使每個用戶在整個系統中只具有唯一賬號，既方便靈活地操作自己的程序和調用數據，又禁止用戶對無關目錄進行讀寫。由網絡管理員進行網絡安全配置，包括入網訪問控制、網絡權限控制、網絡監測和鎖定控制、網絡服務器安全控制和防火墻控制等網絡屬性安全控制，從而保證了數據信息安全，避免網絡資源濫用。

1.4 信息加密策略 加密技術是網絡安全一項有效的技術，它不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟件的有效方法。信息加密的目的在于保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。我院對于涉密信息進行加密處理，根據一定的算法將原始數據變換為不可直接識別的格式，并定期進行口令管理，配合訪問用戶權限的設定以降低信息使用風險。

1.5 防病毒控制策略 網絡病毒的散播嚴重威脅著醫院信息安全與網絡穩定，病毒防治是目前信息化醫院網絡安全策略的重點。我院在服務器安裝網絡版殺毒軟件，并通過統一的控制臺對數據中心的所有病毒防范系統進行管理。指定專人對殺毒軟件進行管理與維護，每周更新病毒代碼，并實現防病毒產品升級無需人工干預，在預定時間自動從網站下載最新的升級文件，并自動分發到局域網中所有安裝防病毒軟件的機器上。

2 管理策略

除采用上述網絡安全技術措施外，我院還加強網絡安全管理，制訂有關規章制度及應急預案，從而確保各類信息的保密安全和網絡數據安全。

2.1 加強安全保密教育 定期組織全院人員進行保密安全教育，不斷強化保密和信息安全意識。通過組織學習保密規定和網絡系統操作使用安全管理規定，明確信息安全相關法規制度;通過舉辦信息系統操作應用培訓，不斷提高全體員工的網絡安全維護和信息系統安全操作技能。

2.2 制定應急處置預案 為保障信息系統的不間斷運行，保證事故發生時以最短時間、最小損失恢復系統，我院信息安全部門制定了各類應急預案。根據信息安全風險評估情況，對有可能造成損失的系統優先制定應急方案，并在發生問題時優先啟動、恢復，對重點部門、關鍵業務重點保護;對于不同故障情況，如針對網絡系統、服務器、病毒感染等，制定了不同的技術性應急預案。為熟練應急預案操作過程、檢驗系統安全備份策略的可靠性，我院信息部門定期組織應急預案演練，不斷提高應急處置能力。

2.3 嚴格各項管理規定 認真遵守《中國人民解放軍計算機信息系統安全保密規定》，嚴格執行“軍字一號”工程技術組行政法規、用戶手冊和其他計算機安全使用規定;建立并完善醫院網絡安全責任制與上報制度;實行計算機網絡系統安全等級保護和用戶使用權限劃分，安全等級和用戶使用權限以及用戶口令密碼的劃分、設置由計算機中心負責制定和實施。為促進醫院信息安全制度落實，我院還定期組織保密和醫療信息安全檢查，及時消除安全隱患［6］。

2.4 注重病人信息保密 我院除了擔負普通官兵、老干部及家屬、社會群眾的醫療服務保障任務，還肩負著軍區高級領導干部的醫療服務保障任務。對于高級領導干部的個人信息以及相關治療內容，嚴格按照保密規定要求，控制知密范圍。對反映高干病區的臨床信息統計，嚴格把關、仔細審查，隱去個人信息，在保證試驗描述完整性的同時，竭力做好保密工作。對于一般患者的個人信息，也注意做好保密工作，凡涉及患者姓名、ID號碼、家庭住址等信息均予以刪除，確保個人隱私［7］。

［1］ 甄保社.軍隊醫學圖書館信息安全保密工作［J］.中華醫學圖書情報雜志，2008，17(1):58-60.

［2］ 陳海東，宋 斌，余賽玉，等.區域醫療信息系統的設計［J］.東南國防醫藥，2011，13(1):82-84.

［3］ 胡 敏，徐旭東，張曙光，等.醫院信息性系統容災方案的設計與實施［J］.醫療衛生裝備，2009，30(11):44-45.

［4］ 楊霜英，胡新勇，楊國斌，等.大型醫院網絡信息系統的安全保障策略［J］.中國醫療設備，2009，24(10):36-38.

［5］ 王杭兵.南京軍區南京總醫院智能化樓宇信息系統的設計與實施［J］.醫學研究生學報，2012，25(4):402-405.

［6］ 王 湞，雷萬生，徐勁松.設立“六到位”醫療安全管理目標的實踐［J］.東南國防醫藥，2012，14(1):86-88.

［7］ 汪惠霞，王慧琳，李風華.住院患者護理信息系統的應用［J］.醫學研究生學報，2011，24(1):72-74.