近日,北京某大型医院发生了停机和部分数据丢失事故,起因是数据存储中心出现故障,而且事后数据无法恢复到断点。
其实,个别医院出现信息系统安全问题不足为奇,是偶然也是必然。理由有三: 第一,国内医院信息化普遍起步晚,投入少。基本的IT软硬件环境尚且捉襟见肘,遑论强大的信息安全系统建设。第二,信息安全在医院领导观念中普遍淡漠,医院IT投资优先考虑的是业务的需求,而非保障信息安全。第三,医院IT部门地位低下。其实,信息安全的重要性,恐怕只有IT部门知道,而当今大多数医院的IT部门,在医院充其量还只是扮演“保姆”的角色。
既然医院信息安全有着如此之多的“后天不足”因素,是否意味着医院只有被动挨打的地位?协和医院信息中心主任李包罗教授认为:“尽管医院信息系统的安全日益重要,但国内大多数医院都没有为信息安全提供完善的配套环境。
即便像协和医院去年和今年分别完成了局域网和主服务器、数据存储中心的升级改造,但仍然存在着许多系统安全的隐患。我们希望,IT供应商们应该考虑到中国医院的IT装备和应用水平的实际状况,提供更为适合医院实际的安全性方案。”
拥有85年历史的协和医院在IT投资上可谓“保守”。在近20年的信息化过程中,协和医院的信息装备投入十分有限。仅仅在近几年,协和医院才投入400万元对全院(包括东、西两院)的网络进行了全面升级,核心骨干网由3台交换机构成,采用常规的三层网络结构,取代了以往单台核心交换机的架构,这样最少在核心层和交换层不会出现因为单点故障而中断医院业务的问题。目前运行的20多台服务器,品牌十分庞杂。而前不久数据中心升级时替换下来的康柏服务器,又会被用到即将上线的医生门诊工作站。
自10多年前医院信息系统上线以来,协和医院从未发生过严重的数据丢失事故,极少发生信息系统宕机事故。仅有的一次是在核心骨干交换升级之前,因为惟一的骨干交换机的核心电路板发生故障,导致系统中断了2小时。
李包罗教授介绍说,这首先归因于“运气好”,有些硬软件的小概率事件没碰上。当然,协和医院在信息安全保障方面建立一套信息安全管理制度也有作用:信息中心全年实行7×24值班制度,还有二、三线值班制度。“直到不久前,我才刚刚从二线值班线上退下来。如果没有24小时值班制,我睡觉也不安稳。”
此外,在各个业务科室,都设有1名兼职IT人员,负责对该业务科室的信息系统运行状况进行维护和监测,并与信息中心保持及时的沟通和协作。“这是我们自己摸索的一套比较适合中国医院情况的办法。如果不是采取这样一种模式,现有信息中心区区不到20名员工,根本无法满足全院日常对IT技术支持和维护管理的需求。”