叫醒醫院“裝睡”的信息安全

 一.【醫院】

“醫院”（Hospital）一詞來源于拉丁文，原意為“客人”。我國最早設立醫院在“西漢"年間。今天，隨著信息化的高速發展，互聯網、物聯網、人工智能、大數據、虛擬現實、3D打印、云計算等大量技術手段應用于醫療體系，數字化醫院、互聯網醫院、智能化醫院等大大提升了醫院的服務能力和業務水平；醫院信息系統的建設，是這一切的基礎與核心。

“醫院”處在一個非常特殊的領域，大多數醫院的領導班子常常會認為醫院信息科是一個從屬的部門，甚至是一個“花錢”的部門。實際上信息科是整個醫院醫療秩序能夠有序開展的保障部門、支撐部門、核心部門，“她”的重要性不亞于醫院任何一個科室，信息科是現代化醫院科研和管理的基礎和核心，“她”與醫院的生存和發展息息相關。

醫院信息科，是一個“踩雷”的部門。即使在最大化保障的情況下，仍有太多種可能性或不確定因素導致隨時“爆雷”；醫院不像別的系統，有緩沖時間，有排錯時間，有“被理解”時間，不夸張的講醫院信息科就是一個“肉包鐵”的部門，任意的信息化故障，都有可能導致醫院出現局部或全部“體克”，倘若沒有一定的意志力、風控能力、全局思維能力、故障預案\故障預處理能力等，醫院的經營風險將會被無限放大。

二.【信息安全】

任何一所醫院，基于行為的、攻擊的、漏洞的、錯誤的、規則的網絡安全產品形形色色，其主要目的是為了保障后端核心應用系統具備健康及頑強的持續服務能力；而這種網絡安全一般是在數據傳輸鏈路上的一種“串行”操作行為，類比“水管”，任何一個環節出現阻塞或故障，都有可能導致通訊鏈路“栓塞"。

三. 【裝睡】

“裝睡”在這里有些難理解，相信絕大多數的醫院，基于信息安全自身的保障，采用了雙機、雙活、多副本、備份、容災、業務連續性等各種不同的解決方案，但能夠進行周期性驗證的醫院少之又少，要么害怕、要么太耗時、要么動作太大……總之“能不動，盡量不要動”是醫院信息化運維的常態，這是“掩耳盜鈴”的一種做法，也是信息系統掌控力的缺失。

這里有以下三點建議：

目前看到的醫院基于信息安全的測試，應叫“演示”或“展示”，這就是很多醫院出現的，演示時沒問題，而使用中問題就頻頻暴露出來，實際情況是在測試過程中未按照實際應用場景下的數量、負載進行準業務模擬。

其實，多數醫院拿不出非常齊全的設備進行測試動作的開展，那么通過第三方工具加壓，以測試被保護機的資源占用、鏈路傳輸效率、數據完整性、帶寬占用、流程\方法、RTO、RPO指標等，即使最終沒有完全與業務系統完全對等的測試環境，也可以基本找出未來使用過程中存在的弊端與風險。

既然信息安全是對醫院全院業務系統的核心支撐，那么對于醫院信息系統日常的紅藍軍對抗、滲透測試、職員培訓、故障預處理、補丁測試、業務仿真、數據提取及大數據分析等，都可以通過信息安全系統單獨拉起“第二生產中心”，在“第二生產中心”進行“原本”在生產系統上所做的一切操作，既提升了醫院運維的安全性和便利性，又提升了對信息安全保障的熟練度和掌控力。

無論醫院是否已經有了信息安全的保障措施，都可以對以上三點進行實踐確認，凡出現以下情況，可以理解為不符合醫院信息安全要求：