北京市順義區醫院信息科 主任

       主要負責順義區醫院院內、院外網絡的開發 維護運行,主持實施院內HIS LIS P ACS等系統的應用
 

       為了不斷滿足醫院發展的需要、滿足患者就醫的需要，醫院信息系統的發展速度日益加快 ,規模迅速擴大 ,國內很多二甲以上的醫院都使用了HIS(Hospital Information System)、LIS（Laboratory Information Management System）、PACS（Picture Archiving and Communication System）等信息管理系統，其包含了醫院的日常診療、服務、經營管理、決策等多方面的信息收集、處理、存儲、傳輸，它不僅直接與病人的診療過程息息相關，而且直接關系到醫院財務的收支及成本的核算，如門、急診系統中斷會導致醫院停業, 而護士及醫生工作站的中斷會影響到對病人的正常診療,醫院業務的正常運行越來越依賴于計算機系統,所以要求醫院的信息管理系統7×24 小時不間斷運行，系統的穩定性和安全性關系到醫院各項業務能否順利開展，關系到患者就診信息的安全性及連續性，因此系統安全管理的重要性越來越突出，如何保障信息系統的安全、穩定高效地運行，是擺在各醫院信息主管面前的一個難題！
 

       我院是一所集臨床、醫療、科研、教學于一體開放653張床位的二級甲等綜合性醫院。2003年順利通過了德國TUV公司的ISO9001：2000質量管理體系認證。我院目前已實現了HIS、LIS、PACS等系統的應用，主要業務實現了電子化，處方、醫囑、病歷已實現了無紙化，對信息系統的安全要求越來越高，如何確保系統安全、平穩運行 ,我們主要做了如下幾方面的工作：
 

      一、建立健全規章制度

建立各項規章制度，如計算機防毒制度、數據備份制度等，據統計90%以上的管理和安全問題來自終端，提高各部門人員的安全意識非常重要，我院由主管院長負責組織協調有關人員，加強培訓與安全教育，強化安全意識和法制觀念 ,提升職業道德 ,掌握安全技術 ,確保這些措施落實到位，責任到人，收到很大的效果。
 

二、建設標準的計算機機房，保證機房的安全
 

計算機機 計、裝修，做到了專線、雙路供電，做好防雷、防火、防水的安全防范，重要設備如中心交換機、UPS等要做好備份。
 

三、保證服務器的安全
 

服務器是醫院網絡的核心，是數據庫管理的心臟，它負責業務數據的處理和存儲，網絡的安全首先要保證服務器的安全。我院的中心服務器采用IBM X255 雙機熱備方案，采用IBM FastT600陣列柜，實現RAID 5的磁盤安全級別，這樣只做到了一塊磁盤或一臺服務器出現故障時，能保證信息系統的正常運行，如果陣列出現故障，整個系統仍要停止運行，如何解決呢？我們采用的辦法是設立兩級應急服務管理策略：

在門診收費處設置一臺門診應急服務器（可以采用門診收費處其中的一臺終端，也可以獨立設置一臺服務器），在日常工作中，應急服務器自動與中心服務器同步，當由于主干網絡或中心服務器出現故障時，在5分鐘內可以啟動應急，保證門診（收費、發藥、醫生站）業務的正常開展，當中心服務器恢復運行時，數據自動上傳，保證了醫療、費用信息的連續性。
 

（二）全院應急
 

當由于中心服務器或者陣列柜出現故障在一小時內無法解決時，啟用全院應急服務器。全院應急服務器在日常工作時，通過SQL SERVER的備份服務實時地進行異地備份，保證數據與中心服務器的同步，當雙機服務器或陣列出現故障時，系統能順利轉移到應急服務器上運行，所有用戶（病區、門診、后勤物資、藥品、財務等）的使用方法保持不變，患者數據信息連續，不僅方便了操作人員，而且大大的提高了系統的安全性。
 

四、 確保局域網安排
 

        由于我院的網絡系統內的計算機數量不斷增加,已達到500多臺，軟件模塊60多個，又由于醫院24h開機，各終端計算機如何管理，如何防止非法外聯，如何限制移動存儲的使用、如何控制網絡流量等等，這些問題讓信息主管傷透了腦筋！對這些終端的管理，只靠制度、定期檢查不足以真正起到監控作用，不能及時把問題消滅在萌芽之中，為網絡的安全帶來更大的隱患！所以局域網的安全監控與管理是信息主管必須關心的問題，當前國內外的內網安全管理軟件很多，經過評比、試用、分析，我們選擇了國內的一家內網安全管理系統，通過此系統實現以下主要功能：
 

        通過制定統一的安全策略，限制了移動電腦和移動存儲設備隨意接入內網；杜絕內網電腦通過撥號、ADSL、雙網卡等方式非法外聯；保證了醫院內網與外界的隔離度，從而大大提高了醫院內網的安全性。
 

       通過網絡流量控制模塊，實時地臨控網絡終端流量，對異常網絡行為，如大流量下載、并發連接數大、網絡垃圾廣播等行為可以進行自動預警、阻斷和事件源定位，極大減少網絡擁堵事件，大大提高了網絡利用率。
 

       通過統一的殺毒軟件、防火墻管理，能夠識別醫院內幾乎所有的殺毒軟件，及時檢測網絡內防病毒弱點，便于及時補救；遠程調用殺毒軟件進行查殺病毒，全面利用網絡內已有殺毒軟件；全面的系統漏洞檢測、補丁分發策略，有效地防范大面積病毒發作,集中管理系統升級的能力大大提高，避免人為升級的疏漏。
 

       通過對IP地址綁定及終端權限、安全審計監控等模塊的應用，有效地解決了以前靠人工參與，不能集中解決的問題。
 

       通過終端控制、消息通知、服務器運維管理等功能，極大地提高了工作效率，節省了人力。
 

       通過完善的終端硬件控制功能，可啟用和禁用光驅、軟驅、USB接口、串并口、打印機、1394接口、紅外線接口等外設，防止私自安裝軟件、拷貝文件等。
 

       通過完善的軟、硬件資產管理功能，清晰的了解了網絡內軟件安裝情況、硬件資源變動情況等，防止安裝非工作必需軟件和硬件資產流失等。
 

       通過文件安全審計和網站訪問控制功能，可設置文件訪問權限，限制私自打印文件和網絡拷貝；網站訪問控制審計，允許訪問授權訪問的網站，禁止訪問非授權網站。
 

       通過完善的權限分配管理，超級管理員可以分配已有管理權限給新建給管理用戶，可做到菜單級權限分配，不同的管理員擁有不同的管理權限，各個管理員之間權限互不干涉。
 

       通過完善的日志審計功能，管理員的用戶操作、策略操作、用戶登錄等日志都有完整的記錄，防止管理員越權使用軟件平臺。
 

       通過完善的報表查詢、導出功能，能夠自動生成操作系統軟件安裝、補丁管理、硬件資產管理等報表；報表包括日報表、周報表、月報表，匯總操作系統軟件、補丁安裝及報警情況。可通過固定表格和定制模版（組態報表）兩種方式的到報表。固定報表提供基礎的、重要的報表，而定制查詢可以由用戶自定義，產生用戶所需要的統計報表。以往需要人工統計的報表現在只需要點擊鼠標就可以輕松完成。
 

       無論有多么先進的網絡、服務器的配置，不做好內網的管理，信息系統的安全性就不能得到保障，又由于有的醫院信息管理人員少，對同事不好約束，只有通過科學的管理軟件的應用才能有效地管理好網絡。
 

       五、數據備份的保障措施
 

       醫院數據記錄著患者的治療、檢查、醫囑、費用等信息，極其重要，如果數據丟失，對患者及醫院的損失不可估量。所以說如何做好數據的備份，是保障醫院信息系統安全的一項重要措施。我院制定了相關的備份制度，責任到人，每日做好備份日志，通過磁帶、DVD等方式進行數據備份，并且做到異地存儲。
 

       六、應用軟件權限設置
 

我院通過相關制度明確規定了每個操作人員的權限范圍，通過授權、與MAC地址綁定等方法限制用戶的行為，同時還通過內網安全管理軟件的設備軟件資源的管理模塊對一些軟件進行限制性安裝，網管隨機地通過軟件搜索網內的共享資源、系統進程等各項信息，有效地阻止了一些操作人員的獵奇心，使其只能提取與其業務有關的的數據，提高了數據的保密性，提升了網絡的安全性。
 

       七、對安裝新軟件的安全管理　
 

       現在國內大部分醫院是購買的軟件產品，都存在本地化、二次開發的工作，這樣勢必要經常修改、安裝應用軟件，如何控制軟件公司人員，對各醫院的信息主管來講，千萬不能忽略！對于國內大部分公司的軟件人員，他們的筆記本電腦可以訪問互聯網、接收郵件，特別是通過一些即時聊天軟件進行文件傳輸等，感染病毒機率很高，要嚴格按照醫院的各種管理制度、操作規范進行各種操作，如我院采取的是對于外來去自由人員筆記本電腦，在接入網絡前，至少采用兩種以上的最新版殺病毒軟件進行查殺，并且在模擬環境下運行后才可以連接內網，這樣有效防范了外來設備對網絡安全的影響。
 

       在醫院的數字化應用不斷普及、深入的今天，和其它行業一樣醫療行業對信息系統的穩定性、安全性要求越來越高，國內的許多大型醫院都認識到了信息系統故障對全院業務的巨大影響，通過采取各種各樣的安全保障措施來提高信息系統的穩定運行的能力，制定了業務持續性計劃和災難恢復計劃，制定相應的安全策略、加強人員安全管理等。但是信息系統沒有絕對的安全，只有通過落實各項管理制度；提高網絡安全技術隊伍的水平；通過技術管理，制定合理的網絡安全策略；采取有效的綜合性防范措施 ,才能切實保障醫院信息系統的安全、穩定、正常地運行，保障各項醫療業務的正常開展，體現信息化給患者就醫帶來的便捷服務，提高醫院的醫療、管理、教學、科研水平，給醫院帶來巨大的綜合效益。
 

       注：此文曾刊登于《中國醫療》 2006年2月第五卷 第一期