彭先清：无技术不防御，无管理不长效——论医疗信息安全的二元基石

　　我是CHIMA 2025第四届HIT全国青年工程师辩论赛第八场的反方一辩，辩题是：医疗信息安全的核心是技术还是管理？辩论赛落下帷幕已经两个多月，至今耳边还回荡着正方“技术派”同仁们慷慨激昂的陈词。他们说得都对，但回想起来这场辩论赛又总觉得少了点什么，就像患者吃了医生开的退烧药，表面问题好像解决了，疾病风险却依旧存在。

　　二十余年的医疗信息化生涯让我悟透一个道理：电子病历普及率超过90%的今天，医疗数据泄露事件却像打地鼠游戏般此起彼伏，技术和管理绝对不是非此即彼的对立面，而是信息安全这座大厦的承重双柱。

技术防御：医疗信息安全的“铁布衫”

　　技术派同仁们把安全技术比作“金钟罩铁布衫“，这话不假。防火墙是门神，加密技术是护身符，入侵检测系统是雷达站。没有这些，医院信息系统就像没穿白大褂的医生——专业形象碎一地。

　　可惜现实往往很骨感。我们经常遇到攻防演练中，斥资数万元部署的WAF（Web应用防火墙），愣是没防住一个钓鱼邮件，怪谁呢？那个邮件的发件人地址明明古怪得像甲骨文，疑点重重，可就是有人视而不见。

管理长效：信息安全的“内功心法”

　　如果说技术是外功，管理就是内功。这些年见了太多的医院信息安全管理的“花式操作”：有把制度锁在档案室当“镇科之宝”的，培训时很多人“低头刷手机”，还有应急预案写得像科幻小说的——“当发生核攻击时，请立即......”

　　最啼笑皆非的是“运动式管理”：检查前全员背制度，检查后集体失忆。这种“间歇性重视症”让很多很好的安全措施成了“季节性产品”，如同流感疫苗，过了季就失效。同行人自嘲道：“安全管理就像减肥——年年立flag，年年从头来”。

二元割裂：医院信息安全的“合力低效”

　　很多时候我们都在感叹，医疗信息安全建设经常陷入怪圈，技术部门和管理部门各说各话，谁也说服不了谁。技术团队经常研究最新款的安全设备，活像集邮爱好者，幻想着哪天自己家医院的机房里堆满了各种闪着蓝光的“电子手办”；管理部门不断的修订和完善各种规章制度，最后汇编成比《本草纲目》还厚的安全手册，最后的结果却是放在文件柜里吃灰。

　　这种割裂在很多地方尤为明显。护士站的电脑上贴着五颜六色的安全提示，但为了方便，所有护士共用一个账号登录，密码就写在便签纸上贴在显示器旁边。这场景活像住院部的床头卡——明明写着“禁食”，家属还是偷偷给病人塞红烧肉。也有安全培训搞得像“快餐式”服务一样的——签到、拍照、走人。培训效果评估呢？这样的安全建设可想而知，“谈起理论头头是道，实际操作漏洞百出”。

二元融合：医疗安全的“铜墙铁壁”

　　如何破局这种割裂，关键的问题还是落实好技术和管理的“深度融合”，如何形成“接地气”的解决方案，把晦涩的安全术语翻译成医护人员能懂的“大白话”。比如把“零信任架构”说成“像防新型病毒一样，谁都不信”，把“双因素认证”比喻成“既要刷卡又要刷脸”。

　　“接地气”的解决方案离不开实践和落实，如何落实？让医疗信息管理制度不再是纸上的黑字，是否可以探索出一套“游戏化”的安全管理体系，让员工们每完成一次安全操作就能积累积分，月底排名靠前的科室可以获得优先咱们IT支持的特权，不认真对待密码复杂度的，积分做减法，也许这样做比单纯的说教管用吧。

　　也有做的好的医院创新的把安全演练设计成“密室逃脱”游戏。参与者需要运用正确的安全操作才能“逃出”被黑客攻击的虚拟医院，也许这样的安全演练比听10场安全讲座管用。

　　不管通过哪种方式，找到适合医疗场景的安全建设节奏才是最重要的，技术方案一定是优先考虑临床实际，管理制度一定不是刻板的，需要有人情味。

结语：医疗信息安全的“修行之路”

　　医疗信息安全永远达不到“回首向来萧瑟处，归去，也无风雨也无晴”诗句中的超然境界。它更像是中医调理——需要望闻问切的耐心，需要君臣佐使的配合，更需要持之以恒的坚持。

　　回望这场辩论赛，尽管场上双方均各自坚持“没有管理，技术就是皇帝的新衣”、“没有技术，管理就是无米之炊”，散场后，双方在握手的时候却是一致认可：在信息安全这个特殊战场，既不能靠技术“硬刚”，也不能靠制度“空转”，而要通过技术与制度的融合，形成合力，确保安全。

　　回望这二十年信息工作，医疗信息安全从“锁抽屉”时代进化到了“防APT”时代，但核心难题始终未变——如何让冷冰冰的代码和热乎乎的临床需求和平共处。

　　或许，我们追求的不是“也无风雨也无晴”的洒脱，而是“晴带雨伞，饱带干粮”的智慧。毕竟在医疗这个关乎生命的领域，安全从来就不是选择题，而是必答题。

　　作者简介

　　彭先清，信息工程专业硕士，成都市第六人民医院网络医院办公室副主任、门诊部副主任，热衷于以信息技术提高医疗行业服务质量和改善患者就医体验。