單昊

（盤錦遼油寶石花醫(yī)院信息管理部，遼寧 盤錦 124010）

在當(dāng)前數(shù)字化時代，醫(yī)療信息化建設(shè)已成為提高醫(yī)療服務(wù)質(zhì)量和效率的重要手段。隨著科技的不斷發(fā)展和醫(yī)療信息化的不斷深入，醫(yī)療服務(wù)已不再是簡單的診療，而是通過先進(jìn)的技術(shù)手段，實現(xiàn)醫(yī)患互動、醫(yī)患協(xié)作和信息共享的全新模式。因此，新時期的醫(yī)療信息化建設(shè)已經(jīng)成為我國醫(yī)療事業(yè)的重要發(fā)展方向，也是實現(xiàn)“健康中國”的重要舉措。我國政府高度重視醫(yī)院信息化建設(shè)，并且不斷加強(qiáng)政策和資金支持，推動醫(yī)院信息化建設(shè)。我國醫(yī)院信息化建設(shè)自20 世紀(jì)90 年代以來得到了長足的發(fā)展和進(jìn)步。例如，國家衛(wèi)健委在2017 年發(fā)布了《國家醫(yī)院信息化建設(shè)與發(fā)展規(guī)劃（2015-2020 年）》，明確了醫(yī)院信息化建設(shè)的發(fā)展目標(biāo)、任務(wù)和措施，指導(dǎo)醫(yī)院信息化建設(shè)工作的發(fā)展。截至2021 年，我國醫(yī)院信息化建設(shè)覆蓋率已經(jīng)達(dá)到80%以上，并且已經(jīng)建成了一批大型醫(yī)院信息化系統(tǒng)，如三甲醫(yī)院信息系統(tǒng)、遠(yuǎn)程醫(yī)療平臺、健康檔案系統(tǒng)等。越來越多的醫(yī)院開始建設(shè)信息系統(tǒng)，推廣電子病歷、電子處方、遠(yuǎn)程會診等信息化應(yīng)用。但是，醫(yī)院的信息化也伴隨著信息泄漏、病毒攻擊等問題，網(wǎng)絡(luò)安全問題已成為醫(yī)院信息化建設(shè)中必須面對的重要問題。

近年來，全球各地都發(fā)生了多起醫(yī)院網(wǎng)絡(luò)安全事件，這些事件給醫(yī)院的信息安全帶來了嚴(yán)重的威脅和挑戰(zhàn)。2020 年5 月，美國聯(lián)邦調(diào)查局（FBI）發(fā)出警告，稱針對醫(yī)院的網(wǎng)絡(luò)攻擊有所增加。據(jù)稱，黑客通過網(wǎng)絡(luò)攻擊醫(yī)院信息系統(tǒng)，竊取醫(yī)療記錄和患者數(shù)據(jù)，并以此進(jìn)行勒索。2020 年9 月，德國一家醫(yī)院遭到了黑客攻擊，導(dǎo)致醫(yī)院的信息系統(tǒng)癱瘓。黑客利用漏洞入侵醫(yī)院的信息系統(tǒng)，并要求支付高額贖金。由于醫(yī)院無法訪問患者信息和醫(yī)療記錄，醫(yī)院不得不將患者轉(zhuǎn)移到其他醫(yī)院進(jìn)行治療。2021 年1 月，北京某醫(yī)院遭遇勒索軟件攻擊，導(dǎo)致醫(yī)院的信息系統(tǒng)癱瘓。黑客通過勒索軟件攻擊醫(yī)院，要求支付高額贖金以解鎖醫(yī)院的信息系統(tǒng)。醫(yī)院表示已經(jīng)報警，并表示正在進(jìn)行數(shù)據(jù)恢復(fù)和系統(tǒng)重建。這些案例表明，醫(yī)院網(wǎng)絡(luò)安全問題已經(jīng)成為全球范圍內(nèi)的普遍存在的問題，任何一個醫(yī)院都有可能受到黑客攻擊和數(shù)據(jù)泄露的威脅。因此，醫(yī)院網(wǎng)絡(luò)安全問題是一個非常重要的議題，醫(yī)院應(yīng)該高度重視，并采取有效的措施來預(yù)防和應(yīng)對網(wǎng)絡(luò)安全風(fēng)險。只有通過全面的安全措施和保障措施，才能保證醫(yī)院信息系統(tǒng)的穩(wěn)定和安全，保障患者的權(quán)益和隱私保護(hù)。

1 醫(yī)院網(wǎng)絡(luò)安全的重要性

隨著現(xiàn)代醫(yī)療設(shè)施的數(shù)字化轉(zhuǎn)型，醫(yī)院網(wǎng)絡(luò)安全問題變得越來越重要。網(wǎng)絡(luò)安全威脅的威力和規(guī)模正在快速增長，醫(yī)療機(jī)構(gòu)面臨的網(wǎng)絡(luò)安全威脅也越來越復(fù)雜和高級。因此，保護(hù)醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)安全變得至關(guān)重要。以下是醫(yī)院網(wǎng)絡(luò)安全問題的重要性。

（1）對患者隱私和醫(yī)療記錄安全產(chǎn)生了威脅。醫(yī)院存儲著各種敏感的患者信息，例如，個人身份信息、醫(yī)療記錄、健康保險信息等。如果醫(yī)院的網(wǎng)絡(luò)安全受到侵犯，這些信息就可能被竊取或泄露?；颊叩碾[私和敏感信息受到威脅會導(dǎo)致他們的信任受到損害，并且可能會導(dǎo)致患者的身份盜竊和詐騙等問題。

（2）對醫(yī)療服務(wù)和醫(yī)療質(zhì)量產(chǎn)生了影響。如果醫(yī)院的網(wǎng)絡(luò)被攻擊或中斷，醫(yī)生和其他醫(yī)護(hù)人員將無法使用醫(yī)療設(shè)備和電子病歷系統(tǒng)等技術(shù)，從而無法提供及時和準(zhǔn)確的醫(yī)療服務(wù)。此外，醫(yī)院的網(wǎng)絡(luò)安全問題可能導(dǎo)致患者數(shù)據(jù)遭到篡改或損壞，這會對醫(yī)療質(zhì)量產(chǎn)生嚴(yán)重影響。

（3）對醫(yī)院財務(wù)和商業(yè)穩(wěn)定性產(chǎn)生影響。醫(yī)院是一家商業(yè)組織，如果其網(wǎng)絡(luò)受到攻擊，數(shù)據(jù)被盜竊或破壞，醫(yī)院將面臨高額的數(shù)據(jù)恢復(fù)成本和數(shù)據(jù)損失風(fēng)險。此外，如果醫(yī)院的網(wǎng)絡(luò)安全問題導(dǎo)致醫(yī)院系統(tǒng)中斷，醫(yī)院將面臨停業(yè)損失和其他商業(yè)損失，這將對醫(yī)院的財務(wù)狀況和商業(yè)穩(wěn)定性產(chǎn)生嚴(yán)重影響。

（4）對公共衛(wèi)生和國家安全也會產(chǎn)生影響。醫(yī)院是處理各種疾病和傳染病的地方，如果醫(yī)院網(wǎng)絡(luò)安全問題不得到有效控制，那么這些疾病和傳染病可能會傳播到更廣泛的區(qū)域。此外，醫(yī)院網(wǎng)絡(luò)安全問題還可能被用于攻擊政府機(jī)構(gòu)或國家基礎(chǔ)設(shè)施，這將對國家安全和穩(wěn)定性產(chǎn)生威脅。因此，保護(hù)醫(yī)院的網(wǎng)絡(luò)安全也是保障公共衛(wèi)生和國家安全的重要手段之一。

2 醫(yī)院網(wǎng)絡(luò)安全面臨的威脅

（1）勒索軟件攻擊。勒索軟件是一種常見的網(wǎng)絡(luò)攻擊方式，其主要目的是通過加密受害者的數(shù)據(jù)來勒索贖金。如果醫(yī)院的信息系統(tǒng)被勒索軟件攻擊，醫(yī)院可能會面臨嚴(yán)重的數(shù)據(jù)丟失和泄露問題，嚴(yán)重影響醫(yī)院患者的隱私安全。此外，勒索軟件還可能導(dǎo)致醫(yī)院的數(shù)據(jù)備份被加密，使得醫(yī)院無法恢復(fù)被加密的數(shù)據(jù)，增加了數(shù)據(jù)恢復(fù)的難度和成本。

（2）內(nèi)部員工的安全威脅。醫(yī)院內(nèi)部員工是醫(yī)院信息安全的一個重要環(huán)節(jié)，但同時也是醫(yī)院信息安全的一個重要威脅。醫(yī)院內(nèi)部員工可能會泄露患者的隱私信息、醫(yī)療機(jī)密信息，或者利用權(quán)限濫用進(jìn)行非法操作。例如，醫(yī)院的管理員可能會擅自修改醫(yī)院的數(shù)據(jù)庫，或者醫(yī)院的醫(yī)生可能會訪問未經(jīng)授權(quán)的醫(yī)療記錄。

（3）網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊是指通過互聯(lián)網(wǎng)對醫(yī)院的信息系統(tǒng)進(jìn)行攻擊，包括網(wǎng)絡(luò)釣魚、惡意軟件和DDoS攻擊等。網(wǎng)絡(luò)攻擊可能導(dǎo)致醫(yī)院信息系統(tǒng)的癱瘓，數(shù)據(jù)泄露和竊取等問題。這些攻擊行為可能會導(dǎo)致醫(yī)院的患者隱私和醫(yī)療機(jī)密信息受到泄露，甚至導(dǎo)致醫(yī)院的數(shù)據(jù)系統(tǒng)被癱瘓，影響醫(yī)院的正常運營。

（4）移動設(shè)備安全威脅。隨著移動設(shè)備的廣泛使用，醫(yī)院的移動設(shè)備安全問題也越來越受到關(guān)注。醫(yī)院的醫(yī)生和護(hù)士可能會在移動設(shè)備上存儲患者的個人隱私信息、醫(yī)療記錄等敏感信息。如果這些移動設(shè)備沒有得到充分的安全保護(hù)，很容易被黑客攻擊，導(dǎo)致敏感信息泄露。

（5）供應(yīng)鏈攻擊。醫(yī)院的信息系統(tǒng)往往涉及多個供應(yīng)商和第三方服務(wù)提供商，這些供應(yīng)商和服務(wù)提供商的安全狀況也會對醫(yī)院的信息安全構(gòu)成威脅。供應(yīng)鏈攻擊指黑客入侵供應(yīng)商的網(wǎng)絡(luò)，然后利用供應(yīng)商提供的服務(wù)或軟件來攻擊醫(yī)院的信息系統(tǒng)。這種攻擊方式可以繞過醫(yī)院的安全防線，對醫(yī)院的信息系統(tǒng)造成嚴(yán)重破壞。

3 醫(yī)院網(wǎng)絡(luò)安全存在的問題

（1）醫(yī)院網(wǎng)絡(luò)安全管理體系不夠完善。大多數(shù)醫(yī)院缺乏健全的網(wǎng)絡(luò)安全管理制度和規(guī)范，導(dǎo)致網(wǎng)絡(luò)安全責(zé)任不明確，網(wǎng)絡(luò)安全管理無法得到有效的開展。同時，醫(yī)院對網(wǎng)絡(luò)安全的重視程度不夠，很多醫(yī)院并沒有將網(wǎng)絡(luò)安全納入日常工作中，對網(wǎng)絡(luò)安全事件的處理能力較弱，缺乏應(yīng)急響應(yīng)機(jī)制。醫(yī)院工作人員對網(wǎng)絡(luò)安全的意識也普遍不足，安全風(fēng)險意識不強(qiáng)，安全意識培訓(xùn)也缺乏。

（2）醫(yī)院網(wǎng)絡(luò)設(shè)備存在安全風(fēng)險。醫(yī)院網(wǎng)絡(luò)設(shè)備數(shù)量龐大、種類繁多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，很多醫(yī)院在采購網(wǎng)絡(luò)設(shè)備時，只注重設(shè)備的價格，而忽略了安全性能和品牌信譽(yù)度，部分醫(yī)院采用一些小廠家生產(chǎn)的網(wǎng)絡(luò)設(shè)備，這些設(shè)備的安全性能不穩(wěn)定，易受到黑客攻擊。另外，醫(yī)院網(wǎng)絡(luò)設(shè)備的配置和管理不規(guī)范，存在安全漏洞。如果未能及時升級和修補(bǔ)，這些漏洞就會被攻擊者利用，導(dǎo)致安全事故發(fā)生。

（3）醫(yī)院信息系統(tǒng)存在漏洞。醫(yī)院信息系統(tǒng)承載著大量的患者信息和醫(yī)療數(shù)據(jù)，因此安全風(fēng)險很高。然而，醫(yī)院信息系統(tǒng)的安全性能普遍較弱，很容易受到攻擊。很多醫(yī)院的信息系統(tǒng)存在各種漏洞，如弱口令、SQL 注入、文件上傳漏洞等。黑客可以通過這些漏洞，輕易地竊取或篡改醫(yī)院的重要數(shù)據(jù)，從而導(dǎo)致醫(yī)療事故的發(fā)生。

（4）醫(yī)院工作人員安全意識不足。醫(yī)院工作人員的安全意識非常重要，但很多醫(yī)務(wù)人員和信息技術(shù)人員對網(wǎng)絡(luò)安全缺乏足夠的認(rèn)識，甚至?xí)E用權(quán)限、泄露患者信息、隨意更改系統(tǒng)設(shè)置等，從而導(dǎo)致醫(yī)院網(wǎng)絡(luò)安全事故的發(fā)生。

4 醫(yī)院網(wǎng)絡(luò)安全防護(hù)對策

針對我國醫(yī)院網(wǎng)絡(luò)安全存在的問題，可以采取以下措施進(jìn)行改善。

（1）建立健全的網(wǎng)絡(luò)安全管理制度和規(guī)范。醫(yī)院應(yīng)該建立健全的網(wǎng)絡(luò)安全管理制度和規(guī)范，明確網(wǎng)絡(luò)安全責(zé)任、職責(zé)和管理流程，提高網(wǎng)絡(luò)安全管理的有效性。制定網(wǎng)絡(luò)安全管理手冊，明確安全標(biāo)準(zhǔn)、規(guī)范和流程，讓所有員工都能知曉，遵守網(wǎng)絡(luò)安全規(guī)范。

（2）提高醫(yī)院工作人員的網(wǎng)絡(luò)安全意識。醫(yī)院應(yīng)該加強(qiáng)對醫(yī)務(wù)人員和信息技術(shù)人員的網(wǎng)絡(luò)安全培訓(xùn)，提高他們對網(wǎng)絡(luò)安全的認(rèn)識和意識，使其能夠在工作中養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣和行為。對于醫(yī)院員工在使用網(wǎng)絡(luò)和信息系統(tǒng)時出現(xiàn)的一些安全問題和隱患，應(yīng)及時進(jìn)行教育和培訓(xùn)。

（3）更新和升級醫(yī)院網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)。醫(yī)院應(yīng)該定期更新和升級網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)，保持其在安全方面的穩(wěn)定性和可靠性。醫(yī)院應(yīng)該采用品牌知名、技術(shù)成熟的網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)，避免使用安全性能差、易受攻擊的設(shè)備。同時，應(yīng)建立完善的漏洞管理和修復(fù)機(jī)制，及時發(fā)現(xiàn)和修補(bǔ)漏洞，防止安全事故的發(fā)生。

（4）建立完善的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制。醫(yī)院應(yīng)該建立完善的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制，應(yīng)對突發(fā)的網(wǎng)絡(luò)安全事件和問題。對于安全事故和緊急情況，應(yīng)設(shè)立專門的應(yīng)急處理小組，快速、有效地處置和解決問題，降低安全事故的損失和影響。

（5）嚴(yán)格管理醫(yī)院信息系統(tǒng)的訪問權(quán)限。醫(yī)院應(yīng)該建立嚴(yán)格的信息系統(tǒng)訪問權(quán)限管理制度，保護(hù)患者和醫(yī)務(wù)人員的個人隱私和敏感信息，防止信息泄露和濫用。應(yīng)該對各類用戶的訪問權(quán)限進(jìn)行合理設(shè)置和管理，定期檢查和審計訪問記錄，防止非法訪問和數(shù)據(jù)竊取。

5 醫(yī)院網(wǎng)絡(luò)安全防護(hù)案例

某醫(yī)院是一家大型綜合性醫(yī)院，擁有數(shù)千名員工和數(shù)十個科室，是當(dāng)?shù)蒯t(yī)療領(lǐng)域的龍頭企業(yè)，提供各種醫(yī)療服務(wù)和照顧患者的需求。隨著信息化建設(shè)的推進(jìn)，該醫(yī)院網(wǎng)絡(luò)系統(tǒng)已經(jīng)實現(xiàn)了數(shù)字化、網(wǎng)絡(luò)化和智能化，擁有多個科室和醫(yī)療服務(wù)系統(tǒng)，還提供了在線預(yù)約、掛號、檢查結(jié)果查詢等服務(wù)，涉及到大量的患者信息和醫(yī)療數(shù)據(jù)。然而，在過去幾年里，該醫(yī)院經(jīng)歷了多次網(wǎng)絡(luò)安全事件，其中包括以下幾種類型的攻擊：（1）病毒感染。醫(yī)院的計算機(jī)系統(tǒng)遭受了多次病毒攻擊，導(dǎo)致部分系統(tǒng)癱瘓或無法正常運行，嚴(yán)重影響了醫(yī)院的正常業(yè)務(wù)；（2）黑客攻擊。黑客入侵了醫(yī)院的計算機(jī)系統(tǒng)，并竊取了患者的個人信息，包括姓名、聯(lián)系方式、病歷記錄等。這些信息被黑客公開發(fā)布，引起了社會的廣泛關(guān)注和患者的不滿；（3）數(shù)據(jù)泄露。由于醫(yī)院缺乏安全管理機(jī)制和訪問控制，部分內(nèi)部員工濫用權(quán)限，竊取了患者的個人信息，并將其轉(zhuǎn)售給不法分子，從中獲利；（4）網(wǎng)絡(luò)故障。醫(yī)院的網(wǎng)絡(luò)系統(tǒng)存在多個漏洞和故障，導(dǎo)致網(wǎng)絡(luò)崩潰或無法正常運行，影響了醫(yī)院的正常業(yè)務(wù)。這些事件對醫(yī)院的正常運營和患者的個人信息安全造成了巨大影響，引起了社會的廣泛關(guān)注和輿論壓力。

在面對這些問題時，該醫(yī)院采取了一系列措施進(jìn)行網(wǎng)絡(luò)安全防護(hù)，主要有以下5 點：（1）建立了完善的網(wǎng)絡(luò)安全管理機(jī)制和責(zé)任制，明確了網(wǎng)絡(luò)安全責(zé)任人和安全管理流程，并對安全事件的處置進(jìn)行了規(guī)范和細(xì)化；（2）實施了訪問控制和安全審計監(jiān)控，加強(qiáng)了對網(wǎng)絡(luò)訪問、操作和數(shù)據(jù)流動的監(jiān)控和控制，提高了安全防范和響應(yīng)能力；（3）加強(qiáng)了內(nèi)部員工的安全教育和培訓(xùn)，強(qiáng)化了員工的安全意識和責(zé)任感，提高了員工對網(wǎng)絡(luò)安全的重視和保護(hù)意識；（4）醫(yī)院還加強(qiáng)了數(shù)據(jù)備份和恢復(fù)，保障了數(shù)據(jù)的安全性和完整性；（5）對第三方服務(wù)供應(yīng)商進(jìn)行了安全管理和監(jiān)督，確保了合作方的安全性和合規(guī)性。通過這些措施的實施，該醫(yī)院網(wǎng)絡(luò)安全防護(hù)水平得到了明顯提高。網(wǎng)絡(luò)安全事件的發(fā)生率明顯下降，患者的個人信息得到了有效保障，醫(yī)院的信譽(yù)和形象也得到了提升。這表明，加強(qiáng)網(wǎng)絡(luò)安全防護(hù)是保障醫(yī)院信息安全的必要措施，也是提高醫(yī)院管理水平和服務(wù)質(zhì)量的重要途徑。

6 結(jié)語

醫(yī)療信息化建設(shè)是提高醫(yī)療質(zhì)量、優(yōu)化醫(yī)療流程、促進(jìn)醫(yī)療資源共享和降低醫(yī)療成本的重要手段。我國醫(yī)療信息化建設(shè)取得了長足的進(jìn)展和成績，政策、技術(shù)和應(yīng)用3 個方面都有了顯著的進(jìn)步和成效。然而，但仍然存在許多問題和挑戰(zhàn)，仍需不斷創(chuàng)新和探索。針對我國醫(yī)院網(wǎng)絡(luò)安全存在的問題，需要采取有效的措施進(jìn)行改善。只有建立健全的網(wǎng)絡(luò)安全管理體系，提高醫(yī)院員工的安全意識，更新和升級網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)，建立完善的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制，嚴(yán)格管理醫(yī)院信息系統(tǒng)的訪問權(quán)限，才能夠有效保障醫(yī)院的網(wǎng)絡(luò)安全。同時，還需要不斷加強(qiáng)技術(shù)研究和創(chuàng)新，提高網(wǎng)絡(luò)安全防護(hù)的技術(shù)水平，確保醫(yī)院網(wǎng)絡(luò)安全穩(wěn)定可靠，不斷推進(jìn)醫(yī)療信息化建設(shè)，進(jìn)而為我國醫(yī)療衛(wèi)生事業(yè)的發(fā)展提供堅實的技術(shù)保障，從而更好地服務(wù)于患者的健康。