董亮：信息安全“三分技術(shù)、七分管理”

信息安全的效應(yīng)是一個木桶效應(yīng)，信息安全建設(shè)不好就是醫(yī)院信息化建設(shè)的一個短板。其中，管理是信息安全的重中之重，是信息技術(shù)有效實施的關(guān)鍵。

信息安全是“短板”

信息安全是指信息系統(tǒng)受到保護，不會偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷，最終實現(xiàn)業(yè)務(wù)連續(xù)性。

信息安全主要包括信息的保密性、完整性、可用性、可控性和可審查性五要素。這五要素也是我們信息安全的目的，主要歸結(jié)為5點：進不來，使用訪問控制機制，阻止非授權(quán)用戶進入網(wǎng)絡(luò)，保證網(wǎng)絡(luò)可用性；拿不走，使用授權(quán)機制，實現(xiàn)用戶權(quán)限控制，同時結(jié)合內(nèi)容審計機制，實現(xiàn)網(wǎng)絡(luò)資源與信息的可控性；看不懂，使用加密機制，確保信息不暴露給未授權(quán)的實體，實現(xiàn)信息的保密性；改不了，使用數(shù)據(jù)完整性鑒別機制，保證只有得到允許的人才能修改數(shù)據(jù)，確保信息完整性；走不脫，使用審計、監(jiān)控、防抵賴等安全機制，使得攻擊者、破壞者、抵賴者留有痕跡，實現(xiàn)信息的可審查性。

信息安全的效應(yīng)其實就是一個木桶效應(yīng)，信息安全建設(shè)不好就是醫(yī)院信息化建設(shè)的一個短板。信息系統(tǒng)安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作，對信息系統(tǒng)分等級實行安全保護，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

構(gòu)建安全可信的信息消費環(huán)境基礎(chǔ)是大力推進身份認證、網(wǎng)站認證和電子簽名等網(wǎng)絡(luò)信任服務(wù)，推進國家基礎(chǔ)數(shù)據(jù)庫、金融信用信息基礎(chǔ)數(shù)據(jù)庫等數(shù)據(jù)庫的協(xié)同，支持社會信用體系建設(shè)。

提升信息安全保障能力，需要依法加強信息產(chǎn)品和服務(wù)的檢測和認證，支持建立第三方安全評估與監(jiān)測機制。加強政府和涉密信息系統(tǒng)安全管理，保障重要信息系統(tǒng)互聯(lián)互通和部門間信息資源共享安全。落實信息安全等級保護制度，加強網(wǎng)絡(luò)與信息安全監(jiān)管，提升網(wǎng)絡(luò)與信息安全監(jiān)管能力和系統(tǒng)安全防護水平。

醫(yī)院信息安全存多重挑戰(zhàn)

如今，在縣醫(yī)院信息安全現(xiàn)狀方面，已全面建成全國傳染病和突發(fā)公共衛(wèi)生事件報告網(wǎng)絡(luò)。同時，以電子病歷為核心的醫(yī)院信息化建設(shè)在提高醫(yī)療服務(wù)效率和質(zhì)量方面發(fā)揮了越來越重要的作用。遠程醫(yī)療系統(tǒng)也初具規(guī)模，促進了優(yōu)質(zhì)醫(yī)療資源向基層延伸。而居民健康卡應(yīng)用穩(wěn)步推進，覆蓋13億人口的人口信息資源庫。

全國已有3700多家醫(yī)療機構(gòu)開展以電子病歷為核心的醫(yī)院信息化建設(shè)，實現(xiàn)醫(yī)療機構(gòu)內(nèi)部信息共享。江蘇、浙江、河南、重慶等6省份建立全省電子病歷數(shù)據(jù)庫。天津、上海、江蘇、浙江、安徽、福建、山東、河南、湖南、重慶等10省份已建成省級信息平臺，實現(xiàn)部分人口健康信息實時采集與共享交換，支持跨區(qū)域業(yè)務(wù)協(xié)同，服務(wù)綜合管理與科學(xué)決策。上海、天津等17個省份采取依托政務(wù)外網(wǎng)，租用電信、聯(lián)通等虛擬專用網(wǎng)及獨立建設(shè)等多種方式，建立了省級人口健康信息專用網(wǎng)絡(luò)。

全國已有22家第三方電子認證機構(gòu)通過國家衛(wèi)生計生委電子認證監(jiān)管平臺的符合性測試，遵循統(tǒng)一的證書格式標準、接口標準，實現(xiàn)全行業(yè)跨地域、跨信息系統(tǒng)的一證通用、互認互信。

醫(yī)院面對的安全挑戰(zhàn)，主要來自以下幾方面。行業(yè)應(yīng)用的要求，醫(yī)院信息系統(tǒng)承載著越來越多的管理和醫(yī)療業(yè)務(wù)，要求7×24小時不間斷運行。醫(yī)院正常運行對信息系統(tǒng)的高度依賴，要求醫(yī)院信息系統(tǒng)必須具有高度的穩(wěn)定性和安全性；區(qū)域醫(yī)療和系統(tǒng)整合的壓力，隨著信息化的發(fā)展，信息技術(shù)在各個領(lǐng)域的廣泛應(yīng)用，醫(yī)院信息系統(tǒng)面臨著要與區(qū)域醫(yī)療信息平臺、遠程醫(yī)療系統(tǒng)、醫(yī)保系統(tǒng)、新農(nóng)合系統(tǒng)等眾多外部系統(tǒng)的信息共享和數(shù)據(jù)交換，完全無力隔離的醫(yī)院信息系統(tǒng)已經(jīng)不適應(yīng)當前形勢下醫(yī)療信息化的發(fā)展。與外部系統(tǒng)的對接，將不可避免的帶來病毒、外部攻擊和信息泄露等安全挑戰(zhàn)；信息泄露的壓力，醫(yī)院信息系統(tǒng)涉及大量的醫(yī)院經(jīng)營、緩則醫(yī)療等私密信息，信息泄露和傳播將會給醫(yī)院、社會和患者帶來安全風(fēng)險；網(wǎng)絡(luò)安全漏洞，網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)以及應(yīng)用軟件都或多或少存在一些系統(tǒng)漏洞，與外界的醫(yī)保系統(tǒng)銜接也會出現(xiàn)漏洞；病毒、木馬的威脅。

據(jù)了解，目前，采用數(shù)據(jù)安全技術(shù)的醫(yī)院比例已經(jīng)達到40%，未來規(guī)劃中數(shù)據(jù)安全技術(shù)名列第二，說明各醫(yī)院已經(jīng)開始重視信息安全的保護，特別是病人數(shù)據(jù)也就是個人隱私信息的保護。數(shù)據(jù)庫鏡像備份和數(shù)據(jù)冷備份采用較多，電子簽名采用還較少。擁有1?2個獨立網(wǎng)絡(luò)，是當前大多數(shù)醫(yī)院網(wǎng)絡(luò)建設(shè)的主體行為，是其面對信息安全的重要舉措。

信息安全關(guān)鍵在管理

醫(yī)院信息化應(yīng)用特點是，信息集中訪問，門診業(yè)務(wù)在上午10點之后業(yè)務(wù)量最大，網(wǎng)絡(luò)流量也隨之增加；響應(yīng)要及時，調(diào)閱PACS、lis、藥房信息要能及時；多業(yè)務(wù)融合，臨床信息系統(tǒng)、管理信息系統(tǒng)、服務(wù)信息系統(tǒng)等多業(yè)務(wù)融合，對外互聯(lián)、區(qū)域融合、網(wǎng)上預(yù)約掛號等等。這些均需要在信息安全防護措施下完成，一旦信息安全出現(xiàn)問題，所有應(yīng)用都將會瞬間破潰，醫(yī)院業(yè)務(wù)無法正常開展。

2008年6月，我國某市保健醫(yī)院一名內(nèi)部人員利用職務(wù)之便將該院信息系統(tǒng)所有孕婦和嬰兒信息，以每條0.3元銷售4W萬多條數(shù)據(jù)；2011年福州某上哪家醫(yī)院每隔一個月某醫(yī)院信息系統(tǒng)的數(shù)據(jù)庫就會留下統(tǒng)方痕跡，被醫(yī)院外部人員獲取。

信息安全保護工作是一個循序漸進的，不是一蹴而就的工作，需要不斷發(fā)現(xiàn)問題、解決問題，不斷改進。業(yè)務(wù)信息安全等級方面，電子病歷數(shù)據(jù)一旦遭到破壞，會影響到公民利益、社會秩序、公共利益。系統(tǒng)服務(wù)安全等級方面，醫(yī)院系統(tǒng)一旦服務(wù)不可用，又會造成極大程度的影響。系統(tǒng)安全等級方面，安全等級從信息和服務(wù)的等級較高者確定。

開展建設(shè)整改，在這之前，對已經(jīng)建設(shè)的系統(tǒng)，可以采用自評和邀請第三方測評機構(gòu)對系統(tǒng)信息安全等級保護工作進行評測，查找問題，然后對發(fā)現(xiàn)的問題和漏洞進行整改�！缎畔⑾到y(tǒng)安全等級保護基本要求》是我們開展信息安全保護的一個基本“標尺”、達標線，只是我們的出發(fā)點，而不是終點。

保障醫(yī)院信息系統(tǒng)安全穩(wěn)定運行，必須在遵守國家信息安全基本要求的前提下，突出醫(yī)院自身特點，實現(xiàn)集中安全管理，特別是醫(yī)院電子病歷的廣泛應(yīng)用，CA認證體系的應(yīng)用將會更大促進醫(yī)院信息的安全。信息安全風(fēng)險評估將會進一步促進醫(yī)院信息安全體系的建設(shè)。

信息安全“三分技術(shù)、七分管理”。足以見得管理是我們信息安全的重中之重，是信息技術(shù)有效實施的關(guān)鍵。

信息安全保護工作是一個循序漸進的，不是一蹴而就的工作，需要不斷發(fā)現(xiàn)問題、解決問題，不斷改進。