1.醫療信息系統概述

      醫療機構信息化建設特點較明顯，重視局部安全，對總體安全認識不足，對IT規劃、安全規劃在信息安全中的重要性認識不足；建設過程中，在物理環境、網絡、主機、應用、數據及管理各層面均采用了部分安全措施；但往往忽視整體的安全規劃，在安全運維中經常陷于 “頭痛醫頭，腳痛醫腳”疲于奔命的局面；對安全運維、安全服務認識不足，自身技術條件不足情況下，安全運維長期缺位而不注意引入安全服務；認為信息安全只是技術問題，對安全管理認識不足，未能運行有效的安全管理體系，造成制度不到位、責任不明確，出現問題難以查找原因；認為信息安全即網絡安全，對物理、主機、應用、數據安全認識不足，尤其對應用安全認識不足；重視安全產品的采購，忽視安全機制的建立；認為要達到等級保護要求，把該買的設備買夠就行，結果不但造成浪費，而且事與愿違。

      具體體現在以下幾個方面：

      1)系統承載業務具有高度的相似性

      2)同類系統的安全需求特性和強度趨同

      3)網絡結構類似

      4)系統建設互相借鑒，應用系統類型較少，很多單位使用同一廠商開發的相同應用系統

      5)技術力量，尤其是安全技術力量缺乏，對相關技術要求和標準不熟悉

      6)存在的問題和困難具有相通性

2.業務挑戰

網絡邊界未設置合理的訪問控制措施

未配備入侵防范和網絡層惡意代碼防范設備

用戶名和密碼以明文形式傳輸

未設置雙因素認證方式

無抗抵賴功能

無完整性機制

無保密性機制

關鍵設備無冗余，未異地備份

未建立體系化的安全管理體系

3.解決之道

      針對在醫療衛生行業大范圍推廣應用衛生信息資源平臺的共性需求，依托已有的基礎設施，整合現有衛生信息資源、疾病控制數據、上級疾病控制系統、應急指揮系統、醫院HIS系統等資源，研制開發的醫療衛生信息資源服務平臺，實現公共衛生、醫療服務、行政管理、社區衛生等業務領域的綜合應用、信息互通和協同辦公，建立六位一體的衛生服務網絡體系，建成以城市、區域為中心的統一指揮系統，形成衛生資源共享庫，支持數據分析和領導綜合決策，提高衛生業務和服務水平。