高校临床医学院教学系统信息安全的设计及应用

韩雪峰 ,  沈洪超 ,  王静岩

中国医学教育技术 ›› 2024, Vol. 38 ›› Issue (4) : 488 -492.

PDF (531KB)
中国医学教育技术 ›› 2024, Vol. 38 ›› Issue (4) : 488 -492. DOI: 10.13566/j.cnki.cmet.cn61-1317/g4.202404017
技术与教育

高校临床医学院教学系统信息安全的设计及应用

作者信息 +

Design and application of information security in teaching system of clinical medical colleges

Author information +
文章历史 +
PDF (543K)

摘要

在临床医学院教学系统建设和使用过程中,信息安全建设不容忽视。为保证教学系统安全稳定地运行,笔者结合教学系统信息安全现状和安全需求,从技术、管理、整合三个方面建立切合实际的安全体系模型;并依据模型分工及权重,从安全技术、运维技术、网络技术、设备整合、需求整合、安全管理、数据管理、功能管理、权限管理、制度管理十个维度进行应用与实践。该安全体系模型实现组织机构、教学人员、信息人员、安全设备、信息网络等全方位整合,取得良好应用效果,对临床医学院教育信息安全建设起到一定借鉴和示范作用。

Abstract

During the construction and use of the teaching system of clinical medical colleges, information security should not be ignored. In order to ensure the safe and stable operation of the teaching system, combining the current situation of information security and security requirements of the teaching system, a practical security system model is established from three aspects including technology, management and integration. According to the division of labor and weight of the model, application and practice are carried out from ten dimensions including security technology, operation and maintenance technology, network technology, equipment integration, demand integration, security management, data management, function management, authority management and system management. This security system model realizes the comprehensive integration of organization, teaching personnel, information personnel, security equipment, information network, etc., achieves good application results, and provides reference for the construction of education information security in clinical medical colleges.

Graphical abstract

关键词

信息安全 / 安全体系模型 / 教学系统

Key words

information security / security system model / teaching system

引用本文

引用格式 ▾
韩雪峰,沈洪超,王静岩. 高校临床医学院教学系统信息安全的设计及应用[J]. 中国医学教育技术, 2024, 38(4): 488-492 DOI:10.13566/j.cnki.cmet.cn61-1317/g4.202404017

登录浏览全文

4963

注册一个新账户 忘记密码

随着信息技术在教育领域应用的逐步深化,各级各类学校通过信息技术构建智能化、数字化智慧教学方式,并涌现一些典型应用模式,在提高教学质量、激发学生学习兴趣、提升学生解决问题能力、激发学生创造性等方面不断探索和实施,取得良好应用效果。高校临床医学院同时承担医疗和教学双重任务,医院信息中心负责医疗信息化建设及维护,已实现常态化网络安全防护[1];教务科负责教学信息化建设及维护,但其在实际工作中注重实际教学应用,对于信息安全建设和防护仅从信息化管理角度进行不断探索[2],没有从教学系统信息安全需求角度进行建设。因此,无信息安全预算、无专职信息安全人员、无信息安全设备、无信息安全管理、无信息安全总体规划是目前临床医学院教学系统信息安全的现状。基于此,笔者对临床医学院教学系统信息安全进行设计和应用。

1 信息安全需求

医疗教育是卫生事业发展的重要基石[3],教学系统是医学教育中极其重要的一环。随着教学系统使用的不断加深,须实现医学院内各楼教研室、示教室、图书馆开放访问;满足学校等上级部门检查和巡课访问需求;满足教师互联网远程访问系统进行阅卷、评课等需求,满足教学系统工程师远程运维需求。按照学校现代教育技术中心统一部署,保证教学系统安全稳定运行,满足共享性、开放性,有效防止网络安全事件发生,在教学系统信息化安全方面提出明确要求,包括:等级保护工作开展情况、重要数据保护、信息网络安全监测预警、安全访问控制、安全运维、安全人员配备、安全预算、信息安全应急预案和演练、安全事件处置、网络安全责任制落实情况等。若仍采用原有模式、设备、人员,无法满足信息安全的要求,教学系统信息安全须依据实际需求进行不断地积极探索和实践。

2 安全体系模型

2.1 成立组织机构,明确安全建设原则

成立由教学部门和信息部门主管领导双重负责的“现代教育领导小组”院级组织机构,成员分别来自教务科和医院信息中心。领导小组依据临床医学院医疗信息化、教育信息化建设现状,结合教学系统信息化安全需求,提出“开拓安全新思路、提升系统安全性、形成安全防护闭环、减少人员压力、提升管理效率、充分利用现有资源”的原则,并依据此原则多次研判,建立安全体系模型。

2.2 模型建立过程及方法

领导小组采用“头脑风暴法”[4]对教学系统信息安全存在问题进行总结和梳理,对各部门所提出的信息安全问题进行分类、整合和汇总。对自行建设、整体外包、整合建设等不同方案进行可行性分析,并从建设成本、周期、运维、人员、数据安全等维度进行论证。经过多轮头脑风暴归纳提炼教学系统信息安全建设中存在的十个主要问题,并从技术、管理等角度对其研判和划分,提出“二分整合、三分技术、五分管理”的安全体系建设创新理念。依据此理念创建“二-三-五”教育信息安全体系模型,此模型中整合权重占20%、技术权重占30%、管理权重占50%。依据权重对高校临床医学院信息和教学人员、设备、管理进行整合和责权划分,构建临床医学院教育信息安全体系模型,如图1所示。

2.3 依据模型分工

结合专业特长和模型特点进行信息中心、教务科业务划分,明确各人员在教学系统信息安全方面的主要工作。依据安全体系模型,信息中心负责三分技术(网络技术、安全技术、运维技术)、一分整合(设备整合)、一分管理(安全管理);教务科负责一分整合(需求整合)、四分管理(数据管理、功能管理、权限管理、制度管理)。各部门各司其职,发挥专长并协调合作,构建教学系统信息安全建设创新协作模式。

2.4 模型分析

该模型理念与“三分技术、七分管理”[5]传统安全理念并不矛盾,是结合临床医学院信息化建设现状对组织活动、流程、业务模式、员工能力、安全设备等方面进行重新定义[6],符合高校临床医学院教育信息化安全实际需求并对传统理念探索与升华。安全体系模型核心是整合、技术是基础、管理是关键,通过合理整合充分利用现有信息安全管理资源、人力资源、设备资源,发挥信息人员网络技术和安全技术优势,发挥教学人员教学管理和行政管理优势,达到以最小代价获得最大信息安全防控效果目的。

3 模型应用

3.1 二分整合

二分整合是安全体系模型应用成功的核心,分为需求整合和设备整合。需求整合由教务科负责,包括教学系统信息化建设现状、网络需求、安全需求、功能需求、访问需求、权限需求、管理需求、运维需求、远期规划等,详实全面的需求是整合的基础,也就是要说明智慧教学信息化“现在、将来需要做什么”的问题。医院信息中心依据教务科需求整合制定符合信息安全现状的整合方案,经现代教育中心领导小组审核论证通过后进行设备整合,包括教学系统服务器整合至信息中心机房、各楼网络设备与教学系统网络整合、教学系统与医疗信息化系统网络设备、安全设备、堡垒机整合应用等,以实现统一环境、统一网络、统一监测、统一预警、统一安全、统一运维、统一管理、统一规划、统一建设,最终实现医疗系统与教学系统一体化安全。

3.2 三分技术

安全是建设出来的[7],信息安全技术是基础,无技术信息安全无从谈起。信息中心负责网络技术、运维技术、安全技术。通过虚拟局域网、访问控制列表、路由等网络技术实现教学系统各楼宇教研室、图书馆、大学之间的互联互通,满足使用需求;通过VPN技术、堡垒机技术、访问控制技术实现远程访问教学系统办公及运维,满足远程办公及远程运维需求;通过服务器和数据库等运维技术,对教学系统服务器进行管理和日常维护,包括系统升级、安全补丁、漏洞扫描、日常监测、风险分析、安全排查、数据备份等,以保证教学系统的稳定运行。

通过抗拒服务、流量清洗、入侵防御、入侵检测、防病毒、数据防泄漏、行为控制、流量分析、安全隔离、网页防篡改、漏洞扫描、渗透测试等安全技术,保障教学系统的应用安全。依据安全需求、访问需求,通过防火墙技术实现源地址、目的地址、目的端口的访问控制;通过医院态势感知平台、一体化监控平台、数据库审计、日志审计,实时监测教学系统安全态势、服务器运行状况并记录日志;通过动态感知技术,实时监测教学系统安全状况,更加主动、弹性地应对新型复杂威胁和未知风险,从而实现事前预警、事中检测和分析、事后处置的闭环信息安全保障体系[8]

3.3 五分管理

管理是关键,安全体系模型中管理权重占50%,充分体现管理在教学系统信息安全体系模型中的重要性。除整合和技术措施外,建立、健全安全管理体系是保障安全技术发挥具体作用的最有效手段,也是教学系统信息安全体系不可或缺的重要组成部分。在安全体系模型中,只有技术还不行,还需结合具体业务、流程制定合理的管理方法,各部门人员协同管理、各司其职,明确具体分工。此模型管理维度中,教务科负责数据管理、功能管理、权限管理、制度管理,信息中心负责安全管理。

3.3.1 数据管理

数据是教学系统的核心资源,安全可控是信息化的前提[9]。数据管理是建立以教学、学生、教师等数据为核心的全生命周期安全管理,包括数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全[10-11]。教务科结合教学系统实际业务场景设置数据管理员岗位,负责教学系统的数据分级分类管理;建立数据使用审批流程;建立数据导入、导出和使用台账;负责信息采集、录入、存储及传输管理、教学系统数据库管理等,通过对教学数据、教师数据、学生数据制定有针对性的管理手段,建立有效保护数据全生命周期安全,以达到合法采集、合理利用、静态可知、动态可控的防护目标。

3.3.2 功能管理

功能管理主要包括智慧教学系统相关功能管理,包括显示交互、环境感知与集中控制、直播录播与音频扩声、智慧教室管理、远程互动智慧教学、智慧录播教室、智慧研讨教室、智慧实训室、智慧教研室、电子班牌、智能巡课、智能考勤、教学录播、教学直播等方面。教务科设置应用管理员岗位,应用管理员岗位负责教学系统的功能管理,明确各使用场景具体功能和业务需求,在此基础上提出更加合理的应用功能需求并对其进行整合。信息中心人员依据整合功能需求对教学系统进行信息安全建设和完善,功能管理是保证教学系统正常应用的基础,也是提出合理教学信息化安全需求的前提。

3.3.3 权限管理

权限管理包括教学系统各功能模块使用权限的分配和管理。教务科设置权限管理员岗位,权限管理员依据教学系统数据进行分级分类管理,明确各人员可使用数据的范围以及数据上传和下载权限,负责新入职人员权限分配和离职人员的权限注销,针对不同人员设置不同教学系统的访问权限,防止越权访问导致教学信息安全事件的发生;负责各教研室、图书馆、学校等需访问教学系统网络设备和资源的准入审批、远程运维、远程办公人员准入审批等权限管理工作,信息中心依据权限管理员审批行为采取相应的安全措施。健全权限管理是防止非法访问、杜绝信息安全事件发生的必要条件。

3.3.4 制度管理

制度管理主要包括确立安全组织机构[12],完善网络安全管理制度,统一安全工作处理流程的标准,不断开展安全教育及培训,教学系统数据管理员、应用管理员、权限管理员从组织建设、岗位设置、人才储备、宣传培训、数据监管等方面入手,联合制定《教学系统安全管理制度》《数据管理制度》《信息安全管理制度》《信息安全责任制度》《教学系统个人隐私管理制度》《智慧教学系统信息安全规划》《教学信息系统使用权限管理制度》《教学信息系统访问审批制度》《人员管理制度》等,各管理员依据教学系统信息化建设情况不断进行修订,形成完善的制度管理体系并严格执行,是降低教学系统信息安全问题发生概率的关键所在。

3.3.5 安全管理

信息中心负责安全管理,安全管理与制度管理同步建设。设置教学系统安全管理员岗位,负责教学系统等级保护纳入医院信息系统,实现统一备案,每年度统一测评;制定网络安全责任制、安全事件处置流程、制定信息安全应急预案、教学系统网络安全规划及预算编制等安全管理工作;依据数据管理员、系统管理员、权限管理员所提需求、功能和权限等进行信息安全保障防护;与各教学系统使用科室和人员签订网络安全责任状,对教务科数据管理中的数据使用进行控制和记录日志,对功能管理中的安全需求进行整合,对权限管理中的审核通过人员进行准入设置等安全管理;制定教学系统信息安全应急演练计划,定期组织信息安全应急演练并依据演练中发现的问题进行整改和完善。信息中心定期对教学系统信息安全进行渗透测试及风险评估等,对存在的风险点和安全隐患按分工进行整改和逐步完善。

4 模型应用效果及讨论

4.1 资源整合,快速高效

通过对安全体系模型建立与应用研究,有效调动了临床医学院校医疗信息化与教育信息化资源,实现组织机构、教学人员、信息人员、安全设备、信息网络、安全预算等全方位的整合,满足教学系统信息安全实际需求,实现模型所提信息安全建设原则。相比自行建设和整体外包的建设方式,通过对安全体系模型进行整合建设,教学系统信息安全建设周期由6个月缩短至1个月,建设周期缩短83.3%;信息安全设备投入由安全设备、网络设备全部购买减少至只采购3台交换机即完成信息安全建设,节约设备成本95%以上。通过整合,充分利用现有安全设备、网络设备,快速高效地完成临床医学院教学系统的信息安全建设。

4.2 发挥专长,通力协作

依据安全体系模型成立院级组织架构,对各方人员进行有针对性、符合专业特长的分工。各部门通力协作,充分发挥教学系统人员、信息安全人员各自的专业优势,这是推动智慧教学信息安全的重要举措。相比自行建设、整体外包,在不增加安全人员的情况下,进行合理分工和有效整合,完成教学系统信息安全建设,人员投入成本节约100%。在教学系统信息安全建设过程中,教学系统人员对信息安全更加重视,认知更加深刻,进而提出符合实际情况的合理信息安全需求;信息中心人员更加了解教学系统功能及需求,依据功能和需求进行更有针对性的教学系统安全建设。

4.3 打破壁垒,信息互通

通过安全模型建立与实践,实现信息人员、教学人员、信息技术、安全管理、教学管理一体化协调整合,完成全院各教研室、152间示教室、38间教室、图书馆、规培楼、教学楼、学校现代教育技术中心等的互联互通并安全访问教学系统,满足远程办公、远程运维等实际需求。打破高校临床医学院教学、医疗、科研信息壁垒,实现教学系统、医疗系统的互联互通,学生通过教学系统访问医疗系统,教师通过医疗系统真实病例进行教学;实现医疗信息化与教学信息化的有机结合,为高校临床医学院医学、教学、科研等信息互通,统一规划、统一建设奠定良好基础。

4.4 信息安全,良性循环

信息安全理念[13]应贯穿整个医疗与教学信息化建设的全过程,该安全体系模型是依托医疗信息化设备、技术,结合教学系统需求、功能、权限、制度、管理理念而建立,其主旨是通过医院信息化更好地服务于医疗和教学,使医疗推动教学前进,教学促进医疗发展,不断促进医学院信息化建设,形成良好的信息安全建设闭环。通过安全体系模型的应用与实践,形成数据管理员、系统管理员、权限管理员、安全管理员分工明确、互相配合、互相监督、互相制约机制,避免因管理或人员导致教学系统信息安全事件发生的隐患。通过教学系统信息安全体系模型的设计和应用,实现技术、管理、人员等全方位良性循环,促使教学系统人员、信息中心人员深入到对方工作和技术领域,成为对方领域专家,进而推动教育信息安全体系建设[14],形成医疗信息系统与教学系统信息安全建设互相促进、互相推动的良性循环。

4.5 依据模型,持续改进

让专业人干专业事[15],让懂教育的人员专心研究教育,让懂信息安全的人员保障网络安全,是目前医学院解决教育信息安全最有效的途径之一。“二-三-五”模型从十个维度,结合医疗信息化和教学信息化现状及实际需求,创新提出从整合、技术和管理三个层面建模,建立围绕教学系统数据和业务全生命周期的安全体系,依据此模型进行高校临床医学院教学系统信息安全探索与实践,取得事半功倍的效果。 “二-三-五”安全体系模型为持续优化及动态模型,依据教学系统不断增长的应用需求,结合模型功能及模型分工,从整合、技术、管理等三个角度不断深化,同时根据信息安全态势,对安全体系模型内涵不断完善和丰富,是符合医学院校教学信息安全现状的最优行业实践。

参考文献

[1]

戴彩云, 童莉娇. 网络环境下促进大学生深度学习的教学互动平台优化探索[J].才智,2023(32): 13-16.

[2]

甘宓, 刘丽, 王真, . 住院医师规范化培训管理系统的构建及应用[J].中国卫生信息管理杂志, 2023, 20(2): 247-252.

[3]

阮恒超, 樊立洁, 耿晓北, . 住院医师规范化培训基地评估结果的分析与思考[J]. 中华医学教育杂志, 2021, 41(6): 563-566.

[4]

刘娣, 张从利, 沈美君, . 头脑风暴法联合DOPS在麻醉学本科教学中的应用研究[J].中国继续医学教育, 2023, 15(22): 120-125.

[5]

张亚男, 彭沪, 何萍. 基于医联工程的急诊数据集成平台的建设与思考[J].中国数字医学, 2023, 18(9): 109-114.

[6]

孟晓阳, 杨巍. 医院数字化转型网络安全应先行[J].中国数字医学, 2022, 17(10): 39-42.

[7]

张帆. 网络安全漏洞治理的经济学研究[D].长沙: 国防科技大学, 2020.

[8]

国家市场监督管理总局. 信息安全技术网络安全等级保护基本要求第一部分: 安全通用要求 GB/T22239.1—2019 [S].北京: 中国标准出版社, 2019.

[9]

林明. 信息安全风险评估模型及研究方法[J].中国管理信息化, 2022, 25(9): 86-88.

[10]

滕琳, 胡建平, 周光华, . 新一代医院数据中心建设框架设计与实施路径[J].中国卫生信息管理杂志, 2021, 18(4): 443-449.

[11]

常媛, 林琳, 潘威, . 移动医疗数据安全策略研究[J].中国医药导刊, 2023, 25(8): 788-793.

[12]

马力, 祝国邦, 陆磊. 《网络安全等级保护基本要求》(GB/T 22239—2019)标准解读[J].信息网络安全, 2019(2): 77-84.

[13]

苏扬, 汪文勇. 论大思政视角下大学生网络信息安全意识的培育[J].今传媒, 2024, 32(1): 117-120.

[14]

林菡, 李昌碧, 陈丽娟, . 终身教育信息化与网络安全问题探讨[J].电脑与信息技术, 2022, 30(2): 70-72.

[15]

聂早早, 崔汪卫. 网络时代高校线下课程建设的三重问题[J].安庆师范大学学报(社会科学版), 2023, 42(6): 107-112.

AI Summary AI Mindmap
PDF (531KB)

0

访问

0

被引

详细

导航
相关文章

AI思维导图

/