医院信息网络安全关系到患者的就医问题，只有首先保障信息系统的安全，才能保障医院的正常运转。但并不是所有的医院都认识到了这一点。

    4月7日上午9时许，北京妇幼保健医院电脑系统瘫痪，直到将近中午13时，医院电脑系统才恢复正常。

    电脑系统故障让医院挂号窗口前一度排起数百人的队伍，为此，医院启动了一级应急预案，挂号及收费均改为手工操作。

    据了解，该院采用的HIS系统（医院信息管理系统）与外网物理隔离，并非是因病毒、木马及黑客攻击等造成的网络系统故障。故障排除期间，医院还召开了紧急会议，准备用备用应急数据库恢复电脑系统，后来，院方称是软件和内存方面出现问题所致。

    这只是众多医院IT系统故障中的一个，“很多医院的IT系统经常出现故障，只不过很快就恢复了，没有造成这么大的影响。”北京协和医院信息中心副主任宋忠良说。这一点，对于参加5月30日CIO富营活动的医院CIO们来说，同样感触很深。

    医院IT系统的安全是医院进行救死扶伤的基本保障，参加富营活动的十几位医院的CIO对此深表赞同。但让他们困惑的是，信息化建设总是被医院的领导放在无关紧要的位置，如何说服院方领导加大对信息化建设的投入也成了CIO们讨论的焦点。

    何为信息安全？

    谈到信息安全，作为这次富营活动的主持人，来自北京协和医院的宋忠良首先给参加活动的CIO提了一个问题：什么是信息安全？

    有CIO说，信息安全是指系统的数据信息不被人破坏或改变；也有CIO说，信息安全是指系统不出现故障，电脑不会宕机……宋忠良认为，这其实只说出了信息安全的两个层面：机密性和可用性。

    宋忠良进一步解释说，信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

    从广义来说，信息安全除了要保持信息的机密性、完整性、可用性；另外，还包含真实性、责任性、不可抵赖和可靠性等。所有与定义、获得和维护机密性、完整性、可用性、责任性、真实性和可靠性相关的方面。

    具体到医院的信息化系统中，除了网络、软件、硬件、环境及管理流程、制度、人员等基础设施外，还包括医院信息系统，医院信息系统是在充分利用计算机的基础上，为医院所属各部门提供对病人诊疗信息和行政管理信息的收集、存储、处理、提取及数据交换的能力。因此，保障这些系统组件的安全是整个系统正常运转的前提。

    在宋忠良解释的广义信息安全问题中，一些CIO对完整性的提法并不是特别理解。“完整性其实就是指数据关系正确，数据在存储和传递的过程中保持不变。”宋忠良说。

    悬在头上的一把刀

    “医院因为系统故障上报纸，就是我们压力最大的时候。”富营活动上，一位医院的CIO说。在平时，很多人都意识不到安全对于医院信息化的重要性，一旦出现故障，信息化部门首当其冲。

    信息安全对医院正常的业务运转所产生的影响自不必说，就是几年来，卫生部力推的电子病历之所以迟迟不能普及，也与信息安全密不可分。卫生部医管所IT教育办信息中心主任杨颖辉这样认为。

    电子病历作为用电子设备保存、管理、传输和重现病人的数字化医疗记录，在取代手写纸张病历的同时，还实现了病历资料的快速传输和共享等功能。这样一来，在急诊时，医务人员通过计算机网络可以远程存取病人病历，在几分钟甚至几秒钟内就能把所需要的数据拿到。而采用电子病历后，病人在各个医院的诊治结果可以通过医院之间的计算机网络或其他方式来传输，电子病历的共享功能给医疗救治带来极大的方便。

    不过，电子病历整体上属于数据电文，它的保护、传输以及电子签名等，都需要相应的技术和制度相配合。电子化所带来的便捷在转眼间又被套上了信息安全的枷锁。

    事实上，“如今，医院对于信息的保护手段很不完善，数据备份还存在不及时、不完整等问题，更不用说在数据传输的过程中保护数据不被篡改了。”来自赛门铁克的刘群介绍说。比如，在存储领域，所谓保证数据的完整性，就是指在系统出问题时，数据丢失的比例是多少，能否在灾害出现时，实现实时拷贝等。

    在一些医院，由于数据库系统较为简单，根本没有记录访问和修改数据库的日志，也没有电子证书等确认身份的过程，再加上医院网络的裸露，网络准入没有限制。这些都给保证信息安全提出了挑战。

    在技术保障上，刘群认为，为了应对硬件故障，双机备份是一个很好的选择，而为了应对突发状况，医院必须要设计一个合理的容灾方案，能在短时间内进行数据的完整备份和系统的切换。

    向管理要安全

    通过购买新设备、新系统，医院在信息化上可以保证业务的连续性。“但安全不仅是要买设备。”宋忠良认为，所谓的“七分管理、三分技术”的信息化建设规律在医院开展信息化建设上同样适用。对此，杨颖辉也深表赞同。

    即使医院要购买设备，也首先要规范管理流程。“如果基础工作做不好，本来能干十件事情的产品，恐怕也只能干两三件事情。”中国人民解放军第309医院信息中心主任童溶说。

    宋忠良也认为，设备仅仅是信息安全的保障手段之一，医院还要结合管理、检查、演习等方式，并在行政上建立规范的规章制度，在技术上建立相应的工作流程和操作流程。只有这样，才能真正保障医院的信息安全。

    “在管理混乱的机房，各种各样的线密密麻麻，根本分不清各自的用途，硬件一旦出现故障，故障源根本无从查起，很多时候，排除了一个故障又引发了新的故障。”一位CIO对管理所存在的问题深有感触。“如果有相应的技术文档，不仅可以减少系统的故障率，也可以在系统出现故障时尽快恢复。”

    目前，医院对安全的考虑比较弱，一些医院的内部工作人员可以随意修改数据库。刘群举例说，在医院内部系统中，存在一些公用的账号，对于这些公用账号的访问登陆，后台数据库往往没有任何记录，这就给系统带来了很大的安全隐患。“事实上，医院的信息化系统还没有完全满足用户的需求，更不用说实现系统的信息安全了。”宋忠良说。

    “安全等级保护的检查给医院带来了契机。”北京电力医院信息中心主任于驹说。据了解，北京市卫生局正在对全市医院的安全等级保护进行抽查，信息安全就是其中的重点。通过这样一个检查，不仅要发现现有系统存在的问题，还要求被检查的单位列出整改的计划。于驹认为，这对信息化建设有很大的促进作用。

    投入是关键

    信息化部门的地位决定了这个医院信息安全的等级，有些医院还是原有的计算机室，有的医院设置了信息中心，但信息中心的地位也各有不同。“只有安贞医院是由副院长分管信息中心。”一位医院的CIO说。对于很多的信息中心而言，作为一个职能部门，信息中心所能申请到的建设经费少之又少。

    中国中医研究院望京医院计算机室主任李兰兰对此深有体会，由于医院更注重主营业务的发展，并不十分重视信息化建设，为了实现信息安全，没有经费购买设备的李兰兰只好对医院信息系统的内外网进行物理隔断，并将内网计算机的光驱、USB口等全部封闭。

    为了保障系统的正常运转，计算机室的工作人员每天都要检查设备，并进行资料的简单管理和人工备份。因为一旦系统出现故障，不能快速恢复，业务部门就只能用手工进行人工操作，门诊也会因此受到很大影响。

    设备跟不上，李兰兰只好将管理做到了极致。“每一根线都有相应的标示，一旦出现问题可以快速解决。”李兰兰说。与她的细致相比，一些CIO的做法就显得有些极端。“不出钱投入信息化，等到出了事时我就幸灾乐祸。”一个CIO有些愤愤不平地说，“只有出了问题，才能被领导重视。”

    “其实，哪个设备快出问题时，我都提前写好报告，把问题、影响和解决办法提前写好，然后就等着它出事。”另外一个CIO的做法更“让人叫绝”，“虽然这样做显得我有些心理阴暗，可这也是被逼出来的。”

    这些CIO们的心态显然有些消极，对于很多CIO头疼的信息化投入少问题，宋忠良认为，这与安全的价值不能被清晰认识有关，如果安全问题还在可接受程度之内，自然不会被重视。不过，如果门诊系统一旦出问题，一般至少需要一个小时才能排除故障，“如果时间长了，就能上报纸了。”宋忠良说，“因此，需要建立一个评估的组织，对信息安全所带来的风险进行评估。”

    北京口腔医院信息中心主任娄铁尘也认为，信息安全的建设不是要钱的问题，而是信息中心要对不同设备的使用年限进行风险评估，然后向医院提出相应的应用需求。比如，机房的监控、降温、消防等。“只要把这些需求提出来，院长肯定会考虑做，其实，提出这些合理的需求也是信息中心工作的重点。”
 

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。