《中国医院信息化发展研究报告2008-2013(白皮书)》摘录四.pdf
《《中国医院信息化发展研究报告2008-2013(白皮书)》摘录四.pdf》由会员分享,可在线阅读,更多相关《《中国医院信息化发展研究报告2008-2013(白皮书)》摘录四.pdf(6页珍藏版)》请在文库网上搜索。
1、4 China Digital Medicine,Eec.2015,Vol.10,No.1 卫生部医院管理研究所 中国医院协会信息管理专业委员会 中国医院信息化发展研究报告 2008-2013(白皮书)摘录四 第5章 信息安全与运维保 障 一、信息系统运行保障需求的 变化 (一)服务范围扩大 (二)医护人员成为主要运维服 务对象 (三)外部环境对医疗行业信息 安全的威胁增加 (四)新技术所带来的信息安全 风险日益加剧 (五)医院业务对信息系统的依 赖日趋增强 二、信息系统运维服务和信息 安全的进展 (一)运维理念向服务转变 近年来,随着医院信息化的不断 发展,一些医院在做好IT设备和信息系 统
2、运维工作的同时,也开始更多的关 注用户对信息系统的体验和感受,判 断运维工作好坏的标准不仅是IT设备和 信息系统运维质量的好坏,还包括用 户对IT服务、信息系统的满意程度。 (二)自动化工具逐步运用到运 维管理中 随着IT管理软件产品(如客户端 管理软件、杀毒管理软件、网络管理 软件、网络及服务器监控软件等)的 不断出现,越来越多的IT管理部门开 始将这些运维管理软件运用到运维工 作中,借助它们来辅助运维工作,从 而达到提高工作效率和质量的效果。 (三)运维模式趋于多样化 2008-2009年和2011-2012年 中国医院信息化状况调查总报告 显示,2009年有77.62%的医院不同程 度的
3、采用了外包方式,而在2012年该 比例迅速增长到了96.41%;尤其在信 息系统应用开发、硬件维修、医院网 站建设与运行维护、网络设备日常运 行维护、信息系统日常运行维护等方 面,外包的比例增加幅度较大。 (四)等级保护制度逐步在医院 实施 2011年,卫生部先后下发了卫 生行业信息安全等级保护工作的指 导意见(卫发办201185号)和 关于全面开展卫生行业信息安全 等级保护工作的通知(卫办综函 20111126 号),要求三级甲等医院 的核心业务信息系统的安全保护等级 原则上不低于第三级,并应于2015年 12月30日前完成信息安全等级保护建 设整改工作,通过等级测评。政府的 干预正在打破原
4、有的医院自建自管的 管理模式。 (五)医院整体信息安全防护水 平逐步提高 在 信 息 安 全 投 入 方 面 , 根 据 2008-2012年CHIMA对中国医院信 息化状况调查的结果显示显示,5年 来医院防火墙设备投入增加12%,上 网行为管理设备投入增加22.5%,防 毒墙设备投入增加24.5%,入侵检测 设备投入增加31.1%。可见,各医院 在完成基础网络建设后正在逐步加大 信息安全方面的投入。 在 信 息 安 全 事 故 处 理 方 面 , 很 多医院将信息安全工作理念改为主 动式,开始建立事故预防机制,定 制相应的巡检流程,在事故发生之 前就对发现的隐患及时进行有效处 理,避免事故的
5、发生,从而保证了 业务的连续性。 Exclusive Report 特别报道 中国数字医学2015年第10卷第1期 5 在管理方面,IT管理部门更加注 重操作流程的建立及安全意识的培 养,使人员可以按照标准流程进行操 作,并配合审计机制,降低误操作的 风险。 三、信息系统运维服务的现状 和问题 (一)运维范围现状 以医院管理信息系统和临床信息 系统为代表的14大类核心信息系统在 医院的装机率和试运行比例已经达到 了70%以上。医院所使用的终端设备 的种类除了普遍应用的台式计算机和 笔记本电脑外,还包括POS设备、网 络计算机(终端机)NC、平板电脑、 掌上电脑等,而台式计算机的数量主 要集中在
6、51-500台之间。 (二)运维人员现状 由于医院涉及的信息系统繁杂, 复杂度较高,大多数医院按照应用系 统进行运维人员工作划分,即每位运 维人员负责某一个或几个应用系统及 相关科室的运维工作,这样的工作模 式导致大部分运维人员仅仅精通某一 个领域,而对其他领域的知识却较为 缺乏,加上人员的不足以及工作岗位 的限制,导致无备岗人员。 (三)运维服务对象的构成 信息系统运维服务的对象,不仅 包括了几乎所有窗口单位的收费员和 药剂师等,还包括了绝大部分工作在 临床一线的医生和护士。 (四)多种运维模式并存 目 前 医 院 信 息 化 部 门 的 运 维 模 式可基本分为三类,IT部门独立运维 模式
7、、服务托管模式以及混合管理模 式。这三种模式各具不同的优缺点, 很多医院综合考虑了业务、人员、技 术、安全、财务等多方面的因素,通 过定性或定量分析,选择了适合自己 的IT运维模式。根据2011-2012年 度中国医疗行业信息化状况调查结 果可以发现,当前,各医院不同程 度的采用了这几种IT运维管理模式, 在 接 受 调 查 的 5 1 2 家 三 级 医 院 中 有 71.68%的医院均采用了混合管理模 式,492家三级以下医院中有67.48% 的医院采用了混合管理模式。 (五)探索运维服务规范化流程 目前,在IT运维方面,能够借鉴 的标准主要是针对IT服务管理而制定 的ITIL/ISO20
8、000标准。ISO20000作 为一个具有国际权威性的IT服务管理 体系标准,已经成为了目前IT行业的 运维金标准,并且在国内外的一些行 业取得了成功经验。但是我国的医疗 卫生行业的信息化起步较晚,与国外 先进国家以及国内其他行业之间还存 在一定的差距。 (六)缺少运维监控机制 大部分医院在IT运维工作的开展 过程中,缺乏有效的手段和工具对运 维事件进行监督和控制,IT管理部门 无法及时发现安全隐患,即使发现了 安全隐患也缺少配套的机制对安全隐 患进行处置。很多情况下,只能等到 事件已经发生并已造成业务影响时才 能发现并着手处理,延误了隐患的最 佳处理时间,同时也使运维工作处于 被动的状态。
9、四、医院信息系统安全的现状 和问题 (一)医院信息系统面临着多重 威胁 在 业 务 连 续 性 方 面 , 由 于 医 院 信息系统高度集成且异构系统较多, 一个变更涉及多个系统,日常的运维 中也要协调多个厂家,因此可能出现 因维护厂商对人员的管理不到位而操 作失误,造成系统故障。而且,医院 对于信息系统连续性要求较高,一旦 出现软硬件故障将造成大面积系统瘫 痪,因此成为医院信息系统面临的较 高威胁。 在数据保护方面,随着电子病历 的普及,医院信息系统中存储着越来 越多的患者个人隐私数据,有的具有 商业价值,一旦出现越权、滥用、泄 密将会造成不可估量的损失。医院信 息系统的数据在法律程序中日益
10、广泛 的使用,也增强了系统抵御篡改与抵 赖安全风险的要求。 在网络防护方面,根据2011- 2012年度中国医疗行业信息化状况调 查中统计有77.79%的医院采用了物 理隔离的网络架构,这种架构可以有 效防范来自外部的威胁,因此针对外 部的攻击安全威胁处于较低水平。但 由于医院信息安全的硬件、技术与管 理水平不同,来自内部的威胁还处于 较高水平。 (二)医院信息系统主要安全技 术措施 Exclusive Report 特别报道6 China Digital Medicine,Eec.2015,Vol.10,No.1 医院针对信息系统面临的威胁在 不同方面采取了安全措施,主要包括 基础设施、网络
11、边界安全、系统结构 安全、应用系统安全、数据安全五个 方面。 (三)业务连续性保障与应急预 案有待加强 在 业 务 连 续 性 保 障 方 面 , 大 部 分医院对核心系统的双机部署较为重 视,在一定程度上保证了系统的可用 性。但此类安全措施仅能满足硬件系 统出现故障时保证业务的连续性,如 果出现软件或数据库故障,多数医院 采用的双机热备方案则无法有效应 对,因此需要根据系统的特点设计软 件的冗余措施,如软件的负载均衡、 程序支持单机运行等,保证在紧急情 况下可以最低限度满足使用需求,避 免造成业务中断。 (四)数据泄露与隐私保护未得 到足够重视 根据2011-2012年度中国医疗 行业信息化
12、状况调查数据显示,采 用数据加密技术的医院仅有11.35%, 在网络结构上,大多数医院使用的是 非屏蔽双绞线,加之无线网络应用的 范围越来越广,医疗数据传输过程中被 截获的风险也多与日俱增;在边界防护 上,部分医院存在内网边界不清,数据 存在被来自互联网的不法分子获取的风 险;在审计机制上,仅有少数医院部署 了数据库审计系统,数据审计技术手段 有限,事后追查难度高。 (五)信息安全管理不完善 在岗位设置方面,普遍存在着一 人兼任多岗的情况,根据2013年对12 家医院的调研结果显示,一人兼任医 院的网络管理员、安全管理员、安全 审计员三个岗位的比例高达83.3%。 从信息安全管理角度来看,网络
13、建设 维护、安全建设维护、安全审计是一 个三权分立的技术环节,如果一个人 兼任将在不同程度影响信息安全管理 的整体效果,在人力资源充分的条件 下应尽量避免这三个岗位兼任。 在 制 度 建 立 方 面 , 存 在 较 多 管 理漏洞,授权审批、重要设备操作流 程、机房及设备进出管理、程序及网 络变更管理、账号口令管理、数据查 询管理等众多关键环节存在着不同程 度的管理风险。 在人员培训方面,信息安全的落 实不仅要依赖网络管理员、系统管理 员和安全管理员,更需要每一个信息 系统使用者的配合,因此针对人员的 技能与安全意识的培训尤为重要。 在信息系统账号管理方面,各医院 的信息系统均普遍存在账号混用
14、、密码 简单、账号管理流程不规范等现象,有 可能导致非授权用户访问授权数据、责 权不清、账号被盗用等问题。 在管理归属方面,存在多头管理 问题。 (六)区域跟医院信息交换过程 中存在部分安全问题 当前,部分地区已经实现了区域 信息化,医院间的互联互通提高了医 院间信息共享与沟通效率,与此同时 也带来了一些安全问题。 五、信息系统运维服务和信息 安全的趋势 (一)虚拟化与云计算改变运维 方式 (二)移动医疗给运维和信息安 全带来新的挑战 首 先 , 移 动 医 疗 所 用 的 移 动 设 备种类众多,型号各异,这就大大 提高了运维工作的复杂度,移动医 疗依托的无线网络维护与有线网络 维护也存在较
15、大差异,需要投入更 多的运维精力。 其次,移动设备操作系统繁多, 对于权限的控制难度有所提升,客户 端的安全控制更为复杂,移动医疗依 托的无线网络有的使用医院内部的无 线局域网、有的使用运营商的无线互 联网,这就给网络安全带来风险,需 要投入更多的信息安全技术手段保护 医院网络与数据的安全。 最 后 , 医 护 人 员 自 带 设 备 (BYOD)的应用不仅给安全技术带 来挑战,对于安全管理也提出了新的 要求,设备的准入控制、数据访问限 制、设备丢失后数据的擦除都需要提 高信息安全的技术和管理水平满足新 技术的发展需求。 (三)区域信息化使医院间的运 维与安全关联性增强 当 区 域 信 息 系
16、 统 建 立 后 , 由 于 信息系统的频繁交互需要横跨多个医 院,运维的工作模式也将发生变化, 将出现针对区域信息系统的运维团队 负责该系统的运维。 (未完待续) Exclusive Report 特别报道 中国数字医学2015年第10卷第1期 7 区域医疗数字资源整合技术研究 钱旦敏 董建成 余苏 杨小花 摘 要 通过对数据采集、数据传输、数据整合、数据存储以及数据安全等各项数字资源整合热点技术的比较分析,并结合 我国区域医疗数字资源量大、异构、多样等特性,为县级区域医疗信息平台进行技术架构整体设计,并对各部分技术进行举 例说明。最后对区域医疗数字资源整合技术的发展做出展望,以促进我国区域
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国 医院 信息化 发展 研究 报告 2008 2013 白皮书 摘录