周凱

摘? 要：文章簡要闡述了當(dāng)前我國醫(yī)院網(wǎng)絡(luò)安全的現(xiàn)狀，在此基礎(chǔ)上，分析了互聯(lián)網(wǎng)時代醫(yī)院網(wǎng)絡(luò)安全面臨的挑戰(zhàn)，并就新形勢下醫(yī)院網(wǎng)絡(luò)安全管理與防護措施進行了探討。

關(guān)鍵詞：醫(yī)院信息化建設(shè);網(wǎng)絡(luò)安全管理;安全防護

中圖分類號：TP393.08 文獻標(biāo)志碼：A? ? ? ? ?文章編號：2095-2945（2020）34-0193-02

Abstract： This paper briefly expounds the current situation of hospital network security in China， and on this basis， analyzes the challenges faced by hospital network security in the Internet era. Finally， this paper probes into the management and protective measures of hospital network security under the new situation.

Keywords： hospital information construction; network security management; security protection

引言

近年來，我國醫(yī)院信息化建設(shè)取得了飛速的發(fā)展，尤其是在“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的推動下，醫(yī)院信息化建設(shè)正朝著網(wǎng)絡(luò)化、數(shù)據(jù)化、智能化方向不斷邁進，信息化建設(shè)正成為醫(yī)院現(xiàn)代化發(fā)展的重要支撐，推動著醫(yī)療服務(wù)向更加人性化、更加智能化、智能化的方向發(fā)展。在我國醫(yī)院信息化建設(shè)取得豐碩成果的同時，醫(yī)院醫(yī)療信息安全問題也面臨著新的安全風(fēng)險和挑戰(zhàn)，網(wǎng)絡(luò)安全管理和防護正成為醫(yī)院信息化建設(shè)中至關(guān)重要的組成部分，某種程度上甚至關(guān)系到醫(yī)院信息化建設(shè)的成敗。根據(jù)相關(guān)統(tǒng)計結(jié)果，目前各類信息化系統(tǒng)的安全漏洞數(shù)量每年都有較大范圍的增長，2017年的數(shù)量同比增長了47%，2018年同比增長了40%，截至2019年12月，國家信息安全漏洞共享平臺收集整理信息系統(tǒng)安全漏洞16193個，較2018年（14201個）增長14.0%。windows是各類信息化系統(tǒng)中應(yīng)用最多的系統(tǒng)平臺，同時也是被不法之徒們重點關(guān)注的對象。針對windows系統(tǒng)安全漏洞的各類病毒的大范圍傳播對醫(yī)院信息化系統(tǒng)的網(wǎng)絡(luò)安全造成了重大威脅。如何在醫(yī)院信息化建設(shè)過程中，既充分發(fā)揮信息化系統(tǒng)的優(yōu)勢特點，服務(wù)于醫(yī)院各項業(yè)務(wù)開展，又能夠有效保障系統(tǒng)的信息安全，成為當(dāng)前醫(yī)院信息化建設(shè)的重要課題。

1 醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀

隨著我國醫(yī)院信息化建設(shè)進程的不斷加快，各級醫(yī)院對各類信息系統(tǒng)的依賴程度也不斷加深，與此同時，網(wǎng)絡(luò)安全問題也日益突顯。就目前而言，我國醫(yī)療系統(tǒng)的網(wǎng)絡(luò)安全現(xiàn)狀大致表現(xiàn)在以下幾個方面，一是網(wǎng)絡(luò)安全組織機構(gòu)建設(shè);二是日常信息安全管理制度建設(shè)與落實;三是應(yīng)急管理工作的開展情況;四是網(wǎng)絡(luò)信息安全保障投入情況;五是信息安全事件及應(yīng)對。

在網(wǎng)絡(luò)安全組織機構(gòu)建設(shè)方面，我國醫(yī)院大多都建立了以院級領(lǐng)導(dǎo)分管的醫(yī)院信息化建設(shè)管理部門，但設(shè)立專門的網(wǎng)絡(luò)安全管理部門及專職網(wǎng)絡(luò)安全管理人員的醫(yī)院并不多，通常是由醫(yī)院信息科來負責(zé)相關(guān)工作。此外，大多數(shù)醫(yī)院并沒有明確的網(wǎng)絡(luò)信息安全體系建設(shè)規(guī)劃，即便一些有這樣的規(guī)劃，在具體實施方面，落實情況也并不理想。在此方面，二級醫(yī)院同樣落后于三級醫(yī)院。

在日常網(wǎng)絡(luò)信息安全管理制度建設(shè)方面，各級醫(yī)院都建立了信息化管理方面的制度，但也有一些在網(wǎng)絡(luò)信息安全方面不夠重視，沒有建立完善的信息系統(tǒng)安全管理制度，相較于信息化系統(tǒng)的安全管理制度，醫(yī)院對數(shù)據(jù)安全管理制度方面更為積極。

在應(yīng)急管理工作的開展情況方面，多數(shù)醫(yī)院都建立了較為完善的應(yīng)急管理預(yù)案，但開展過應(yīng)急演練的醫(yī)院還是比較少。多數(shù)醫(yī)院都對信息化系統(tǒng)的數(shù)據(jù)進行了安全備份，但在內(nèi)、外部技術(shù)支援建立方面不盡如人意，在很大程度上影響了醫(yī)院的應(yīng)急管理工作的實際效率。

在網(wǎng)絡(luò)信息安全保障投入方面，雖然我國很多醫(yī)院對于信息化系統(tǒng)的建設(shè)都比較重視，在經(jīng)費投入方面都具有明確的預(yù)算，但對于網(wǎng)絡(luò)信息安全保障投入方面的卻差強人意，很多醫(yī)院的網(wǎng)絡(luò)信息安全保障經(jīng)費預(yù)算在整個信息化建設(shè)經(jīng)費投入中的占比不足5%，很多醫(yī)院在信息化系統(tǒng)新建、改建、擴建過程中，沒有將網(wǎng)絡(luò)信息安全防護措施同步設(shè)計、同步建設(shè)及同步使用，新建信息化系統(tǒng)項目中不少醫(yī)院都沒有將網(wǎng)絡(luò)信息安全納入技術(shù)方案審核。

在網(wǎng)絡(luò)信息安全事件和應(yīng)對情況方面，80%以上的醫(yī)院都發(fā)生過病毒感染、木馬以及內(nèi)部人員濫用網(wǎng)絡(luò)端口和系統(tǒng)資源等網(wǎng)絡(luò)安全事件，由此造成的數(shù)據(jù)丟失、系統(tǒng)崩潰、網(wǎng)絡(luò)無法使用等事件多有發(fā)生。一般醫(yī)院具備一定的網(wǎng)絡(luò)信息安全事件應(yīng)對能力，但發(fā)現(xiàn)手段單一、應(yīng)對能力與不足，多數(shù)情況下，需要請網(wǎng)絡(luò)安全服務(wù)單位及網(wǎng)絡(luò)開發(fā)維護單位協(xié)助解決。

總的來說，我國醫(yī)院網(wǎng)絡(luò)信息安全現(xiàn)狀并不很理想，與醫(yī)院信息化系統(tǒng)建設(shè)的發(fā)展速度相比較，網(wǎng)絡(luò)信息安全管理與防護工作明顯滯后，整體上亟待加強。

2 互聯(lián)網(wǎng)時代醫(yī)院網(wǎng)絡(luò)安全面臨的挑戰(zhàn)

2.1 安全防護體系變革

我國醫(yī)院的信息化系統(tǒng)建設(shè)，多數(shù)采用的封閉式的物理隔離、內(nèi)部獨立的網(wǎng)絡(luò)架構(gòu)，這種傳統(tǒng)的信息體系架構(gòu)，有利于醫(yī)院信息化系統(tǒng)的穩(wěn)定運行，能夠有效降低醫(yī)院信息化系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險，在數(shù)據(jù)安全方面也具有較強的優(yōu)勢，可以確保關(guān)鍵醫(yī)療數(shù)據(jù)如電子病歷等的產(chǎn)生、傳輸、存儲、運用等均被限制在醫(yī)院內(nèi)網(wǎng)，網(wǎng)絡(luò)安全管理與防護的重點也是在醫(yī)院內(nèi)部網(wǎng)絡(luò)，較少涉及外網(wǎng)的安全管理與防護。近年來，隨著互聯(lián)網(wǎng)技術(shù)在醫(yī)院信息化系統(tǒng)建設(shè)中的應(yīng)用，尤其是移動醫(yī)療、遠程會診等醫(yī)療新業(yè)務(wù)的快速發(fā)展，醫(yī)療數(shù)據(jù)的互聯(lián)互通正逐步推動醫(yī)院信息化系統(tǒng)從封閉的網(wǎng)絡(luò)架構(gòu)向開放式的網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)變，醫(yī)院內(nèi)網(wǎng)、外網(wǎng)的邊界正日益模糊，傳統(tǒng)的基于封閉式網(wǎng)絡(luò)的安全管理與防護手段已經(jīng)難以適應(yīng)新的網(wǎng)絡(luò)安全形勢。

2.2 醫(yī)療數(shù)據(jù)安全保護

我國醫(yī)院信息化建設(shè)經(jīng)過十幾年的發(fā)展，目前已經(jīng)從單一的收費系統(tǒng)拓展到了醫(yī)院各個業(yè)務(wù)部門，數(shù)據(jù)中心建設(shè)正成為現(xiàn)階段我國醫(yī)院信息化建設(shè)的重要方向。在此形式下，醫(yī)療數(shù)據(jù)的安全保護成為醫(yī)院網(wǎng)絡(luò)安全管理與防護的重要工作內(nèi)容，尤其是患者醫(yī)療數(shù)據(jù)隱私性保護的重要程度日益突顯，對醫(yī)院網(wǎng)絡(luò)信息安全管理和防護工作提出了挑戰(zhàn)。患者醫(yī)療數(shù)據(jù)覆蓋門診、住院、檢驗、檢查等各個環(huán)節(jié)，日趨立體化，特別是隨著互聯(lián)網(wǎng)技術(shù)在醫(yī)療行業(yè)的逐步滲透，移動醫(yī)療、可穿戴設(shè)備在醫(yī)院的大量應(yīng)用，醫(yī)院的醫(yī)療數(shù)據(jù)傳輸已經(jīng)遠遠超出了醫(yī)院內(nèi)部范圍，傳輸方式、路徑更為多樣，這無疑對醫(yī)院患者醫(yī)療數(shù)據(jù)的保護形成了新的挑戰(zhàn)，增加了保護的難度。而鑒于患者醫(yī)療數(shù)據(jù)的私密性，一旦發(fā)生數(shù)據(jù)泄露，往往會對醫(yī)院及患者本人造成難以預(yù)料的后果，其嚴重性難以忽視。

2.3 網(wǎng)絡(luò)安全防護能力

醫(yī)院網(wǎng)絡(luò)安全防護能力的挑戰(zhàn)主要表現(xiàn)為醫(yī)院網(wǎng)絡(luò)安全管理與防護專業(yè)人才的匱乏，這已經(jīng)成為當(dāng)前我國醫(yī)院網(wǎng)絡(luò)安全管理與防護工作開展的關(guān)鍵問題、瓶頸問題。專業(yè)的醫(yī)院網(wǎng)絡(luò)安全管理人才屬于復(fù)合型人才，不僅要熟練掌握信息安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)，還要具備一定的醫(yī)療行業(yè)知識與經(jīng)驗。我國目前醫(yī)院的網(wǎng)絡(luò)信息安全人員，專業(yè)背景大多為計算機技術(shù)及網(wǎng)絡(luò)信息安全技術(shù)，真正兼具醫(yī)療行業(yè)專業(yè)知識的鳳毛麟角。但即便是這種單一的技術(shù)人才，在整個醫(yī)療行業(yè)也十分匱乏，尤其是網(wǎng)絡(luò)安全管理人才，是目前各行各業(yè)都在爭奪的熱門人才，市場需求極為旺盛，人才缺口巨大，這無疑為醫(yī)院網(wǎng)絡(luò)信息安全管理人才的引進、吸收帶來了巨大的挑戰(zhàn)。

2.4 網(wǎng)絡(luò)安全事件應(yīng)對

隨著我國醫(yī)院信息化建設(shè)的快速發(fā)展，醫(yī)院各項業(yè)務(wù)的開展日趨網(wǎng)絡(luò)化、數(shù)字化，這使得網(wǎng)絡(luò)安全事件發(fā)生的概率急增。而一旦發(fā)生網(wǎng)絡(luò)安全事件，一般醫(yī)護人員往往會措手不及，網(wǎng)絡(luò)安全事件應(yīng)對能力的提高正成為醫(yī)院信息化建設(shè)亟待解決的問題之一。

3 新形勢下醫(yī)院網(wǎng)絡(luò)安全管理與防護措施

3.1 延伸醫(yī)院網(wǎng)絡(luò)安全管理與防護的范圍

隨著醫(yī)院信息化系統(tǒng)建設(shè)逐步從封閉的內(nèi)網(wǎng)向開放的外網(wǎng)發(fā)展，醫(yī)院網(wǎng)絡(luò)安全管理與防護工作的重點也應(yīng)從內(nèi)網(wǎng)向互聯(lián)網(wǎng)拓展，即延伸醫(yī)院網(wǎng)絡(luò)安全管理與防護的范圍。具體來說，應(yīng)通過防病毒、網(wǎng)絡(luò)入侵監(jiān)控、建立DMZ區(qū)等手段加強醫(yī)院內(nèi)外網(wǎng)邊界的網(wǎng)絡(luò)安全防護，在網(wǎng)絡(luò)出口和重要的安全域出口加強網(wǎng)絡(luò)隔離和控制，保證外部黑客或非法人員不能通過安全防御系統(tǒng)的“大門”。

3.2 規(guī)范醫(yī)療數(shù)據(jù)管理

從管理層面來說，規(guī)范醫(yī)院的醫(yī)療數(shù)據(jù)管理，首先應(yīng)明確醫(yī)院各業(yè)務(wù)部門的職責(zé)，根據(jù)各業(yè)務(wù)部門職責(zé)范圍來確定其對醫(yī)療數(shù)據(jù)訪問、使用的權(quán)限，進而建立完善的符合醫(yī)院工作實際的醫(yī)療數(shù)據(jù)管理規(guī)范。從技術(shù)層面來說，數(shù)據(jù)中心建設(shè)是當(dāng)前醫(yī)院信息化建設(shè)的主要內(nèi)容，醫(yī)院應(yīng)根據(jù)數(shù)據(jù)中心建設(shè)整體規(guī)劃，從醫(yī)院科研、臨床醫(yī)療、患者服務(wù)等業(yè)務(wù)系統(tǒng)中將數(shù)據(jù)信息的收集、整理、存儲等工作分離出來進行集中統(tǒng)一管理，多級數(shù)據(jù)中心的建立可以有效實現(xiàn)醫(yī)療數(shù)據(jù)信息的高等級統(tǒng)一防護，既可以保障數(shù)據(jù)信息的安全，同時也可以有效減少安全保障經(jīng)費的投入。此外，對醫(yī)療數(shù)據(jù)進行統(tǒng)一集中管理，運用大數(shù)據(jù)技術(shù)，可以對大量結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)信息進行分析處理，從中挖掘、提取有價值的醫(yī)療信息，使醫(yī)療數(shù)據(jù)真正成為醫(yī)院的信息資產(chǎn)。

3.3 加強安全防護能力

加強醫(yī)院網(wǎng)絡(luò)安全防護能力，至為關(guān)鍵的工作是要加強醫(yī)院網(wǎng)絡(luò)安全人才隊伍建設(shè)。網(wǎng)絡(luò)安全人員作為醫(yī)院網(wǎng)絡(luò)安全防護工作的責(zé)任主體，其工作能力、專業(yè)素質(zhì)、責(zé)任意識等對醫(yī)院網(wǎng)絡(luò)安全防護工作的成效至關(guān)重要。加強醫(yī)院網(wǎng)絡(luò)安全人才隊伍建設(shè)，應(yīng)從引進吸收高素質(zhì)人才和培養(yǎng)具有醫(yī)療行業(yè)信息安全管理特點的人員兩方面著手。在網(wǎng)絡(luò)安全管理人才市場競爭激烈的背景下，醫(yī)院應(yīng)在崗位設(shè)置、福利待遇、職位晉升等方面提高對人才的吸引力，盡可能吸納高素質(zhì)優(yōu)秀人才進入;在人員培養(yǎng)方面，可以加強與專業(yè)網(wǎng)絡(luò)安全機構(gòu)的合作，一方面可以借助網(wǎng)絡(luò)安全專業(yè)機構(gòu)的技術(shù)積淀來培養(yǎng)醫(yī)院網(wǎng)絡(luò)安全管理人才，另一方面也可以增強醫(yī)院網(wǎng)絡(luò)安全防護的外部救援力量，如此一舉兩得，可以有效加強醫(yī)院的網(wǎng)絡(luò)安全防護能力。

3.4 制定切實可行的應(yīng)急預(yù)案

網(wǎng)絡(luò)安全事件具有突發(fā)性、難以有效預(yù)測的特點，一旦發(fā)生，往往會在短時間內(nèi)對醫(yī)院的正常工作造成重要影響。因此，制定切實可行的應(yīng)急預(yù)案，是醫(yī)院網(wǎng)絡(luò)安全管理的重要內(nèi)容。應(yīng)急預(yù)案的制定需要根據(jù)醫(yī)院網(wǎng)絡(luò)安全事件發(fā)生的可能性、影響范圍、造成的后果等因素來進行，預(yù)案應(yīng)明確醫(yī)院各業(yè)務(wù)部門在安全事件發(fā)生時的具體應(yīng)對策略、措施以及指揮人員，尤其是臨床醫(yī)療與患者服務(wù)部門，應(yīng)根據(jù)實際情況進行針對性的應(yīng)急流程設(shè)計，確保在安全事件發(fā)生時能夠為具體的應(yīng)對提供依據(jù)。

參考文獻：

[1]韋力，段沁，劉志偉.互聯(lián)網(wǎng)時代醫(yī)院網(wǎng)絡(luò)安全管理綜述[J].信息網(wǎng)絡(luò)安全，2019（12）：88-92.

[2]盧長偉，趙浩宇，李景波.醫(yī)院網(wǎng)絡(luò)安全管理方案與措施[J].中國醫(yī)院管理，2017，37（02）：56-57.

[3]王麗.新形勢下醫(yī)院信息安全所面臨的挑戰(zhàn)與對策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（01）：192-193.