NSC2014首都医科大学附属复兴医院信息中心主任宋炎

接下来我把医疗方面,以我们医院为代表的一个缩影给大家汇报一下,我们医院在信息安全建设方面的一些实践和体会。

刚才李炜李总也介绍了一下他自己,我也介绍一下我自己。我1989年就在复兴医院从事信息化建设的工作,到今年25年时间。特别巧的是,我也是北大CIO班的一个班长,我们是医疗行业的首届CIO班。下面我简单跟大家说一下我们的情况。

我们医院是首都医科大学的附属医院,前身是公安部的医院,现在的规模是800多张病床,一年的门诊量100多万,住院病人将近2万,也是集医、教、研、防为一体的综合医院。特别提到的就是1995年,我们把月坛医院收并了,成为和我们医院联动的一个社区医院,它也是属于我们医院的一部分,我们是三级医院,月坛是社区卫生服务中心,社区卫生服务是大家议论的焦点。

我们医院还有一个特点,我们院本部在木樨地,我们的门诊在月坛北街,我们还有一个科教中心,在真武庙,我们的社区分布在月坛地区,覆盖了13万人口,10个社区站。最近我们又根据卫生局的要求,手拉手的互助,我们除了和自己的月坛社区进行互动以外,还和西长安街社区建立了一些信息共享的联系。

我介绍一下我们的网络现状,看看这个机房,这是很旧的,实际上医院的网络建设和信息安全的建设起步都比较晚。网络安全原来都是医院内部的业务,但是随着现在的医保,还有整个互联互通,以及各院之间要整个大医疗的概念,我们才逐步从内部的建设走向外部。这个机房实际上是我们在2005年,这个机房还是这样的,2007年的时候我们医院的机房也经过了一个改造,先把支持业务的这一部分,实际上还谈不到安全,业务上这一部分我们先做了一个整体的规划,从核心机房开始,从网络的量开始做了一个改造。包括咱们的核心设备,还有就是整个的运行环境。

这是2006年我们的网,实际上很多大企业不是2006年的时候这样,2006年已经很完善了,但是我们医院在2006年就是这样的。2007年以后我们做了一个网络改造,首先关注的还是内网,就是我们的业务网,也是做了双机的网络互联,而且随着我们的建设,我们院本部原来都是独立的网,数据之间的拼接都不能实现,2007年以后我们做了一个规划,包括原来互联网的链路,还有专网的链路实施都非常按规,但是现在很普及了。我们等于首先在内网建设和外网建设这方面做了一些我们内部的工作。

从医院和社区互联开始,我们在2007年的时候就和社区做了一个互动,但是当时也比较难,网络不通,社区还是ADSL的网络,我们当时用了一个VPN的形式去做了整个医院和社区的互动。随着现在的政府和卫生行业对信息化的重视,我们现在基本上政务网已经在西城普及了。所以说网络业务的运行,首先先满足,然后我们才考虑信息安全。包括我们的主机,主机原来别说双机,我们主业务都是单机运行的。现在我们做到的是医院本部我们肯定是双机实时的备份,由于我们有一个异地,在门诊那边通过光纤有一个异地备份。并且如果光纤断了以后,我们还会支持本地的业务,我们还真出过这么一个事。就是当时有一个大厦建设的时候就把我们的光纤铲断了,所以这一块,实际上还没提到安全设备,整个我们的设施如果保障不好,实际上安全也是一个问题。

现在大家看到的是我们医院的信息系统架构,我们从1994年开始是网络化的信息系统建设。但是经过10年的发展,到2005年的时候,我们基本上是以医院内部,以医院业务的财务部门为主导的这种信息化建设各管理,到2005年以后,我们逐步转向临床,包括现在提到的以病人为中心的管理。网络系统在不断的增加业务覆盖,另外我们在”十二五”期间,现在”十二五”快收关了,我上面列的业务基本上百分之八九十都覆盖了。原来医院跟对外的数据上报,还有业务的移动终端也在不断的发展,所以我们也考虑到这个信息安全的问题。

实际上医院信息安全行业是从2007年开始的,在原卫生部,先了卫生计生委下发了《关于全面开展卫生行业信息安全等级保护工作的通知》,实际上还是参照这个指导意见,我们按照公安部的要求去做的条条框框,但是实际上三级等保的要求和医疗行业之间对照起来看还是有一定的问题。因此,我们在卫生局、卫生部的领导下,各个医院也在摸索,就是说什么样的安全保护的机制能够更适用于医疗业务,并且原卫生部也提出来,就是三甲医院在2015年12月30日之前不低于三级。实际上三级对很多大企业来说已经早就不是问题了,但是对于我们整个医疗行业,就拿北京来讲,目前北京的医院只有阜外医院一家做了等保测评,其他的都是相关业务测评。我们在2012年的时候做了安全等保的二级备案,目前我们各个医院也都在为三级的标准搞建设。

根据三级等保对于医院的适合度,我们也做了一些解决方案。包括我们医院内部也做了一些规划,包括网络在逐步的根据业务的发展,我们是在逐步完善。另外我们也更多的考虑到业务和网络安全设备之间的关系,实际上也是双刃剑,刚才两位专家也提到了,就是我的安全设备如果加载了很多,实际上也是故障点和风险的隐患。所以这一方面,就是看看怎么能够更好的把安全建设做得更好。

我们在安全建设方面是两大方面,首先是从技术方面,大家也看到了,我们在完善医院的物理安全、网络安全和主机安全的同时,实际上我们的应用不仅是在医院内部,已经扩大到了外部。尤其是数据安全,大家也提到了,就是刚才主持人也说到了,实际上不是说光医院的内部业务,还有就是咱们现在的信息利用,是不是能够有利的、正常的利用?还有就是有一些病人,我举例子,就是说我们医院有产科,好比说这个人刚生完孩子,可能就会有一些推销奶粉的,或者是有一些推销婴儿服务的公司去给他打电话,这个患者的自我保护的意识我觉得是一方面。对于医院来讲,这些病人的基本信息是不能够从这个医院端去泄漏的,所以我们医院早就有这个病案保护的意识。从我们自身来讲,我们也是在信息系统的安全和开发公司之间也都签署了保密协议。还有一个就是说现在的大数据共享,什么样的数据能共享,什么样的数据我们是隐私的数据。实际上对于卫生行业来讲,现在还没有特别明确的标准,大家都谈隐私,什么算隐私的数据,什么样的数据算医院的数据?什么样的数据算病人自身的数据?这一块其实我们这个医疗行业的探讨也很多。

从安全管理的这些制度来讲,我们医院实际上做制度也做得比较少,大部分企业做ISO9000的管理,实际上我们医院在医疗行业也算是比较早的做了这个ISO9000的工作,我们是2000年开始,就是各个制度、文档,包括业务流程的管理还都是比较严密的。人员的管理,实际上原来我们没有参照物,参照公安部的三级等保要求,我们也是做了人员管理的划分,包括信息系统的管理员、网络管理员,包括有一些安全意识的加强,包括运维,我们也上了一些手段。但是在上这些技术手段的同时,我们也是考虑到刚才李总也说的,云的应用,还有就是有一些新技术,真是像雪片一样的飞向医院,但是医院什么业务能够在这种技术上安全的落地?实际上也是我们在信息化建设当中考虑的一些问题。

我个人的体会,一个是安全意识,其实大家都有逐步的,包括原来只是对于企业的安全可能大家有这个意识,对个人的隐私有保护。但是这个安全意识的重要性,我就不用多说了。但是我们医院还是重点保证业务的连续性。我给大家举一个例子,就是为什么好多医院挂号挂不好就要上报纸,实际上医院所有的业务都要在计算机上去跑,除了结算。北京市全市的医保管理,实际上我们在医保管理的同时,医院也承担了大的风险。医院的资金现在是垫付的,病人只拿自己的部分,这等于是跟大家都息息相关的。但是如果能满足的话,能保证我们的系统和医保的系统是畅通无阻的连通和连续的运营保障,才能让病人不跑路,不用做二次报销,去做这些事情。

为了保证业务的连续性,我们可能更多的是关注我们业务不出事。但是现在外界对外的上报,像疾控、传染病,还有就是从2003年开始,我们上级的主管部门可能更多的也是要从医院拿数据。现在基本上都是通过专网,利用医保网的也比较多。但是还有不同的途径,可能给医院的业务也是带来一些挑战。从自身的业务来讲,如果挂号挂不了了,医生真的看不了病。原来就是咱们先得划价,都记在心里。我们说一句比较通俗的话,当时没有计算机,咱们去买东西,售货员知道这个价格,我们也是这样,收费处都能记出来,现在都是依靠计算机。所以这一块的业务,不仅仅是医院财务的结算,牵扯到医院的电子病历,牵扯到医院的合规合理,是不是按照政策去执行业务。在业务发展的同时还是提到了,现在咱们的信息化建设和安全的建设实际上是同步进行的。但是我们发现,更多的我们是去满足业务的要求,实际上更多的安全方面的加固就比较忽视,或者说是后置的。

在卫生信息化建设项目的立项过程中,上级部门更多的也在关注,你这个项目在业务的方面如果说要建系统的话,那安全配套是什么样的?现在从上到下可能大家都有这个意识,但是是不是能够做到这一点?是不是安全配套上面,这个业务之间是不是双刃剑?能互相的达到这个平衡?所以谈到我们的安全规划的时候,我们也是需要合理规划,要有一个度。不是说按照三甲医院的等级标准,按照三级等保的要求把这些都部署上了,实际上我们更多的考虑这些安全的设施,还有就是安全的技术是不是能够适用于医院的建设,所以这一块,我也想跟大家介绍,是我们各个企业未来面临的一个问题,互联互通的发展,随着大数据、虚拟化,整个现在的技术和业务需求的膨胀,我觉得咱们做技术和做管理的人,一定要把这个事情搞清楚,才能踏踏实实的把医院的信息化建设和各行业的信息化建设和安全的保障做好。

我今天就给大家汇报这些内容,谢谢!

上一篇:NSC2014网康科技创始人CEO袁沈钢

下一篇:沈逸:沉着应对美国网络安全新攻势