孟晓阳：医院网络安全人才的自我成长之路

　　“当前，网络安全发展分为五个阶段：不关注安全、自以为很安全、开始体系化建设、整体安全得到满足和尝试前沿新技术。”北京协和医院信息中心处长助理孟晓阳指出，在构建医院网络安全体系过程中，网络安全设备能不能发挥效用，最关键的是人，因此加强医院网络信息安全人才培养至关重要。

　　工信部发布的《网络安全产业人才发展报告（2022年版）》显示，目前网络安全人才短缺岗位排名前三位的是数据安全管理工程师、漏洞挖掘工程师和安全咨询工程师。对网络安全人才再进行细分，可以划分为安全应急与防御人才、安全建设与实践人才、安全运行与维护人才等。对此，孟晓阳认为：“网络安全人才涉及方方面面，希望一个人解决所有安全问题是不现实的，需要不同层次、不同技能的人才。”

加强全方位能力培养

　　在孟晓阳看来，医院网络安全人才需具备IT基本技能、安全合规、安全运维、攻防实战等新技术研究等能力。

　　1.IT基本技能。需要网络信息安全工程师拥有网络、操作系统、数据库、编程、密码学等与信息技术相关的知识，还要有较强的沟通能力和文字处理能力，同时还应学习医疗IT系统相关的知识。

　　2.安全合规。需要网络信息安全工程师了解国家有关网络信息安全的法律法规和等级保护相关国家标准，具备较高的安全意识，包括重要文件加密保存、密码和文件分别发送、不在微信中发送工作信息。

　　3.安全运维。医院拥有很多网络安全设备，要采取恰当的安全策略，使设备充分发挥作用以保证日常的运维体系的安全，结合上网行为管理、数据防泄漏、补丁修复、态势感知、漏洞扫描设备功能，形成整体安全防护能力。

　　4.攻防实战。不知攻焉知防，网络信息安全工程师要了解常见的攻击手段。更重要的是防守能力，做好漏洞修复、边界隔离、主机加固，做到未雨绸缪。

　　5.新技术研究。云计算、大数据、物联网等新兴技术在医院的应用越来越广泛，它们在提高效率的同时，也给医院网络安全带来了挑战，因此网络信息安全工程师要加强对这些新技术的研究，以备不时之需。

多方面努力，实现自我成长

　　孟晓阳认为，网络信息安全工程师要想获得上述各项技能，可以从参加培训和会议、参观和借鉴、竞赛和演练、参与项目建设、工作实战等多方面进行。

　　1.培训和会议。网络信息安全工程师参加网络信息安全的培训，如CISP认证培训班等，提升理论知识，可以有效指导实践。参加一些会议活动，多和业内大咖交流，可以了解业内的动态和新技术。

　　2.参观和借鉴。网络信息安全工程师有机会可以参观其他单位的网络安全建设，多学习和交流，汲取经验和教训，有利于更好地开展本单位网络信息安全建设工作。

　　3.竞赛和演练。网络信息安全工程师有机会可多参与行业内竞赛活动，如卫生健康行业网络安全技能大赛，是实战攻防赛，包括数据包分析和加固漏洞系统等比赛项目，有助于提高参赛选手实际工作中的攻防技能。

　　4.参与项目建设。按照《医疗卫生机构网络安全管理办法》的要求，新建信息化项目的网络安全预算不低于项目总预算的5%。网络信息安全工程师在参加项目建设过程中，会编制技术需求书，查找相关文献标准，测试部署功能验证，有助于提升自身能力。

　　5.工作实战。很多网络信息安全工程师都是从工作实战中成长起来的，在这个过程中会遇到很多具体的攻防实战场景，可主动向警方报案，协同打击。孟晓阳介绍了北京协和医院一个工作实战的案例：冬奥会前夕，医院官网一小时内突然遭受了网络攻击2.87亿次，达历史最高值，信息中心和宣传处及时发现并开展处置工作。

　　“医疗行业当前对网络安全非常重视，这为网络信息安全工程师提供了非常好的发展机遇。大家要抓住机会，努力学习和成长，同时必须依靠团队的力量，因为一个人的能力是有限的，集体的力量更重要。天时、地利、人和，是推动网络信息安全工程师成长的必备条件。”孟晓阳由衷建议道。