“當前，網絡安全發展分為五個階段：不關注安全、自以為很安全、開始體系化建設、整體安全得到滿足和嘗試前沿新技術。”北京協和醫院信息中心處長助理孟曉陽指出，在構建醫院網絡安全體系過程中，網絡安全設備能不能發揮效用，最關鍵的是人，因此加強醫院網絡信息安全人才培養至關重要。

　　工信部發布的《網絡安全產業人才發展報告（2022年版）》顯示，目前網絡安全人才短缺崗位排名前三位的是數據安全管理工程師、漏洞挖掘工程師和安全咨詢工程師。對網絡安全人才再進行細分，可以劃分為安全應急與防御人才、安全建設與實踐人才、安全運行與維護人才等。對此，孟曉陽認為：“網絡安全人才涉及方方面面，希望一個人解決所有安全問題是不現實的，需要不同層次、不同技能的人才。”

加強全方位能力培養

　　在孟曉陽看來，醫院網絡安全人才需具備IT基本技能、安全合規、安全運維、攻防實戰等新技術研究等能力。

　　1.IT基本技能。需要網絡信息安全工程師擁有網絡、操作系統、數據庫、編程、密碼學等與信息技術相關的知識，還要有較強的溝通能力和文字處理能力，同時還應學習醫療IT系統相關的知識。

　　2.安全合規。需要網絡信息安全工程師了解國家有關網絡信息安全的法律法規和等級保護相關國家標準，具備較高的安全意識，包括重要文件加密保存、密碼和文件分別發送、不在微信中發送工作信息。

　　3.安全運維。醫院擁有很多網絡安全設備，要采取恰當的安全策略，使設備充分發揮作用以保證日常的運維體系的安全，結合上網行為管理、數據防泄漏、補丁修復、態勢感知、漏洞掃描設備功能，形成整體安全防護能力。

　　4.攻防實戰。不知攻焉知防，網絡信息安全工程師要了解常見的攻擊手段。更重要的是防守能力，做好漏洞修復、邊界隔離、主機加固，做到未雨綢繆。

　　5.新技術研究。云計算、大數據、物聯網等新興技術在醫院的應用越來越廣泛，它們在提高效率的同時，也給醫院網絡安全帶來了挑戰，因此網絡信息安全工程師要加強對這些新技術的研究，以備不時之需。

多方面努力，實現自我成長

　　孟曉陽認為，網絡信息安全工程師要想獲得上述各項技能，可以從參加培訓和會議、參觀和借鑒、競賽和演練、參與項目建設、工作實戰等多方面進行。

　　1.培訓和會議。網絡信息安全工程師參加網絡信息安全的培訓，如CISP認證培訓班等，提升理論知識，可以有效指導實踐。參加一些會議活動，多和業內大咖交流，可以了解業內的動態和新技術。

　　2.參觀和借鑒。網絡信息安全工程師有機會可以參觀其他單位的網絡安全建設，多學習和交流，汲取經驗和教訓，有利于更好地開展本單位網絡信息安全建設工作。

　　3.競賽和演練。網絡信息安全工程師有機會可多參與行業內競賽活動，如衛生健康行業網絡安全技能大賽，是實戰攻防賽，包括數據包分析和加固漏洞系統等比賽項目，有助于提高參賽選手實際工作中的攻防技能。

　　4.參與項目建設。按照《醫療衛生機構網絡安全管理辦法》的要求，新建信息化項目的網絡安全預算不低于項目總預算的5%。網絡信息安全工程師在參加項目建設過程中，會編制技術需求書，查找相關文獻標準，測試部署功能驗證，有助于提升自身能力。

　　5.工作實戰。很多網絡信息安全工程師都是從工作實戰中成長起來的，在這個過程中會遇到很多具體的攻防實戰場景，可主動向警方報案，協同打擊。孟曉陽介紹了北京協和醫院一個工作實戰的案例：冬奧會前夕，醫院官網一小時內突然遭受了網絡攻擊2.87億次，達歷史最高值，信息中心和宣傳處及時發現并開展處置工作。

　　“醫療行業當前對網絡安全非常重視，這為網絡信息安全工程師提供了非常好的發展機遇。大家要抓住機會，努力學習和成長，同時必須依靠團隊的力量，因為一個人的能力是有限的，集體的力量更重要。天時、地利、人和，是推動網絡信息安全工程師成長的必備條件。”孟曉陽由衷建議道。