周凱

摘? 要：文章簡(jiǎn)要闡述了當(dāng)前我國(guó)醫(yī)院網(wǎng)絡(luò)安全的現(xiàn)狀，在此基礎(chǔ)上，分析了互聯(lián)網(wǎng)時(shí)代醫(yī)院網(wǎng)絡(luò)安全面臨的挑戰(zhàn)，并就新形勢(shì)下醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)措施進(jìn)行了探討。

關(guān)鍵詞：醫(yī)院信息化建設(shè);網(wǎng)絡(luò)安全管理;安全防護(hù)

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)志碼：A? ? ? ? ?文章編號(hào)：2095-2945（2020）34-0193-02

Abstract： This paper briefly expounds the current situation of hospital network security in China， and on this basis， analyzes the challenges faced by hospital network security in the Internet era. Finally， this paper probes into the management and protective measures of hospital network security under the new situation.

Keywords： hospital information construction; network security management; security protection

引言

近年來(lái)，我國(guó)醫(yī)院信息化建設(shè)取得了飛速的發(fā)展，尤其是在“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的推動(dòng)下，醫(yī)院信息化建設(shè)正朝著網(wǎng)絡(luò)化、數(shù)據(jù)化、智能化方向不斷邁進(jìn)，信息化建設(shè)正成為醫(yī)院現(xiàn)代化發(fā)展的重要支撐，推動(dòng)著醫(yī)療服務(wù)向更加人性化、更加智能化、智能化的方向發(fā)展。在我國(guó)醫(yī)院信息化建設(shè)取得豐碩成果的同時(shí)，醫(yī)院醫(yī)療信息安全問(wèn)題也面臨著新的安全風(fēng)險(xiǎn)和挑戰(zhàn)，網(wǎng)絡(luò)安全管理和防護(hù)正成為醫(yī)院信息化建設(shè)中至關(guān)重要的組成部分，某種程度上甚至關(guān)系到醫(yī)院信息化建設(shè)的成敗。根據(jù)相關(guān)統(tǒng)計(jì)結(jié)果，目前各類(lèi)信息化系統(tǒng)的安全漏洞數(shù)量每年都有較大范圍的增長(zhǎng)，2017年的數(shù)量同比增長(zhǎng)了47%，2018年同比增長(zhǎng)了40%，截至2019年12月，國(guó)家信息安全漏洞共享平臺(tái)收集整理信息系統(tǒng)安全漏洞16193個(gè)，較2018年（14201個(gè)）增長(zhǎng)14.0%。windows是各類(lèi)信息化系統(tǒng)中應(yīng)用最多的系統(tǒng)平臺(tái)，同時(shí)也是被不法之徒們重點(diǎn)關(guān)注的對(duì)象。針對(duì)windows系統(tǒng)安全漏洞的各類(lèi)病毒的大范圍傳播對(duì)醫(yī)院信息化系統(tǒng)的網(wǎng)絡(luò)安全造成了重大威脅。如何在醫(yī)院信息化建設(shè)過(guò)程中，既充分發(fā)揮信息化系統(tǒng)的優(yōu)勢(shì)特點(diǎn)，服務(wù)于醫(yī)院各項(xiàng)業(yè)務(wù)開(kāi)展，又能夠有效保障系統(tǒng)的信息安全，成為當(dāng)前醫(yī)院信息化建設(shè)的重要課題。

1 醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀

隨著我國(guó)醫(yī)院信息化建設(shè)進(jìn)程的不斷加快，各級(jí)醫(yī)院對(duì)各類(lèi)信息系統(tǒng)的依賴(lài)程度也不斷加深，與此同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也日益突顯。就目前而言，我國(guó)醫(yī)療系統(tǒng)的網(wǎng)絡(luò)安全現(xiàn)狀大致表現(xiàn)在以下幾個(gè)方面，一是網(wǎng)絡(luò)安全組織機(jī)構(gòu)建設(shè);二是日常信息安全管理制度建設(shè)與落實(shí);三是應(yīng)急管理工作的開(kāi)展情況;四是網(wǎng)絡(luò)信息安全保障投入情況;五是信息安全事件及應(yīng)對(duì)。

在網(wǎng)絡(luò)安全組織機(jī)構(gòu)建設(shè)方面，我國(guó)醫(yī)院大多都建立了以院級(jí)領(lǐng)導(dǎo)分管的醫(yī)院信息化建設(shè)管理部門(mén)，但設(shè)立專(zhuān)門(mén)的網(wǎng)絡(luò)安全管理部門(mén)及專(zhuān)職網(wǎng)絡(luò)安全管理人員的醫(yī)院并不多，通常是由醫(yī)院信息科來(lái)負(fù)責(zé)相關(guān)工作。此外，大多數(shù)醫(yī)院并沒(méi)有明確的網(wǎng)絡(luò)信息安全體系建設(shè)規(guī)劃，即便一些有這樣的規(guī)劃，在具體實(shí)施方面，落實(shí)情況也并不理想。在此方面，二級(jí)醫(yī)院同樣落后于三級(jí)醫(yī)院。

在日常網(wǎng)絡(luò)信息安全管理制度建設(shè)方面，各級(jí)醫(yī)院都建立了信息化管理方面的制度，但也有一些在網(wǎng)絡(luò)信息安全方面不夠重視，沒(méi)有建立完善的信息系統(tǒng)安全管理制度，相較于信息化系統(tǒng)的安全管理制度，醫(yī)院對(duì)數(shù)據(jù)安全管理制度方面更為積極。

在應(yīng)急管理工作的開(kāi)展情況方面，多數(shù)醫(yī)院都建立了較為完善的應(yīng)急管理預(yù)案，但開(kāi)展過(guò)應(yīng)急演練的醫(yī)院還是比較少。多數(shù)醫(yī)院都對(duì)信息化系統(tǒng)的數(shù)據(jù)進(jìn)行了安全備份，但在內(nèi)、外部技術(shù)支援建立方面不盡如人意，在很大程度上影響了醫(yī)院的應(yīng)急管理工作的實(shí)際效率。

在網(wǎng)絡(luò)信息安全保障投入方面，雖然我國(guó)很多醫(yī)院對(duì)于信息化系統(tǒng)的建設(shè)都比較重視，在經(jīng)費(fèi)投入方面都具有明確的預(yù)算，但對(duì)于網(wǎng)絡(luò)信息安全保障投入方面的卻差強(qiáng)人意，很多醫(yī)院的網(wǎng)絡(luò)信息安全保障經(jīng)費(fèi)預(yù)算在整個(gè)信息化建設(shè)經(jīng)費(fèi)投入中的占比不足5%，很多醫(yī)院在信息化系統(tǒng)新建、改建、擴(kuò)建過(guò)程中，沒(méi)有將網(wǎng)絡(luò)信息安全防護(hù)措施同步設(shè)計(jì)、同步建設(shè)及同步使用，新建信息化系統(tǒng)項(xiàng)目中不少醫(yī)院都沒(méi)有將網(wǎng)絡(luò)信息安全納入技術(shù)方案審核。

在網(wǎng)絡(luò)信息安全事件和應(yīng)對(duì)情況方面，80%以上的醫(yī)院都發(fā)生過(guò)病毒感染、木馬以及內(nèi)部人員濫用網(wǎng)絡(luò)端口和系統(tǒng)資源等網(wǎng)絡(luò)安全事件，由此造成的數(shù)據(jù)丟失、系統(tǒng)崩潰、網(wǎng)絡(luò)無(wú)法使用等事件多有發(fā)生。一般醫(yī)院具備一定的網(wǎng)絡(luò)信息安全事件應(yīng)對(duì)能力，但發(fā)現(xiàn)手段單一、應(yīng)對(duì)能力與不足，多數(shù)情況下，需要請(qǐng)網(wǎng)絡(luò)安全服務(wù)單位及網(wǎng)絡(luò)開(kāi)發(fā)維護(hù)單位協(xié)助解決。

總的來(lái)說(shuō)，我國(guó)醫(yī)院網(wǎng)絡(luò)信息安全現(xiàn)狀并不很理想，與醫(yī)院信息化系統(tǒng)建設(shè)的發(fā)展速度相比較，網(wǎng)絡(luò)信息安全管理與防護(hù)工作明顯滯后，整體上亟待加強(qiáng)。

2 互聯(lián)網(wǎng)時(shí)代醫(yī)院網(wǎng)絡(luò)安全面臨的挑戰(zhàn)

2.1 安全防護(hù)體系變革

我國(guó)醫(yī)院的信息化系統(tǒng)建設(shè)，多數(shù)采用的封閉式的物理隔離、內(nèi)部獨(dú)立的網(wǎng)絡(luò)架構(gòu)，這種傳統(tǒng)的信息體系架構(gòu)，有利于醫(yī)院信息化系統(tǒng)的穩(wěn)定運(yùn)行，能夠有效降低醫(yī)院信息化系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，在數(shù)據(jù)安全方面也具有較強(qiáng)的優(yōu)勢(shì)，可以確保關(guān)鍵醫(yī)療數(shù)據(jù)如電子病歷等的產(chǎn)生、傳輸、存儲(chǔ)、運(yùn)用等均被限制在醫(yī)院內(nèi)網(wǎng)，網(wǎng)絡(luò)安全管理與防護(hù)的重點(diǎn)也是在醫(yī)院內(nèi)部網(wǎng)絡(luò)，較少涉及外網(wǎng)的安全管理與防護(hù)。近年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)在醫(yī)院信息化系統(tǒng)建設(shè)中的應(yīng)用，尤其是移動(dòng)醫(yī)療、遠(yuǎn)程會(huì)診等醫(yī)療新業(yè)務(wù)的快速發(fā)展，醫(yī)療數(shù)據(jù)的互聯(lián)互通正逐步推動(dòng)醫(yī)院信息化系統(tǒng)從封閉的網(wǎng)絡(luò)架構(gòu)向開(kāi)放式的網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)變，醫(yī)院內(nèi)網(wǎng)、外網(wǎng)的邊界正日益模糊，傳統(tǒng)的基于封閉式網(wǎng)絡(luò)的安全管理與防護(hù)手段已經(jīng)難以適應(yīng)新的網(wǎng)絡(luò)安全形勢(shì)。

2.2 醫(yī)療數(shù)據(jù)安全保護(hù)

我國(guó)醫(yī)院信息化建設(shè)經(jīng)過(guò)十幾年的發(fā)展，目前已經(jīng)從單一的收費(fèi)系統(tǒng)拓展到了醫(yī)院各個(gè)業(yè)務(wù)部門(mén)，數(shù)據(jù)中心建設(shè)正成為現(xiàn)階段我國(guó)醫(yī)院信息化建設(shè)的重要方向。在此形式下，醫(yī)療數(shù)據(jù)的安全保護(hù)成為醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)的重要工作內(nèi)容，尤其是患者醫(yī)療數(shù)據(jù)隱私性保護(hù)的重要程度日益突顯，對(duì)醫(yī)院網(wǎng)絡(luò)信息安全管理和防護(hù)工作提出了挑戰(zhàn)?；颊哚t(yī)療數(shù)據(jù)覆蓋門(mén)診、住院、檢驗(yàn)、檢查等各個(gè)環(huán)節(jié)，日趨立體化，特別是隨著互聯(lián)網(wǎng)技術(shù)在醫(yī)療行業(yè)的逐步滲透，移動(dòng)醫(yī)療、可穿戴設(shè)備在醫(yī)院的大量應(yīng)用，醫(yī)院的醫(yī)療數(shù)據(jù)傳輸已經(jīng)遠(yuǎn)遠(yuǎn)超出了醫(yī)院內(nèi)部范圍，傳輸方式、路徑更為多樣，這無(wú)疑對(duì)醫(yī)院患者醫(yī)療數(shù)據(jù)的保護(hù)形成了新的挑戰(zhàn)，增加了保護(hù)的難度。而鑒于患者醫(yī)療數(shù)據(jù)的私密性，一旦發(fā)生數(shù)據(jù)泄露，往往會(huì)對(duì)醫(yī)院及患者本人造成難以預(yù)料的后果，其嚴(yán)重性難以忽視。

2.3 網(wǎng)絡(luò)安全防護(hù)能力

醫(yī)院網(wǎng)絡(luò)安全防護(hù)能力的挑戰(zhàn)主要表現(xiàn)為醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)專(zhuān)業(yè)人才的匱乏，這已經(jīng)成為當(dāng)前我國(guó)醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)工作開(kāi)展的關(guān)鍵問(wèn)題、瓶頸問(wèn)題。專(zhuān)業(yè)的醫(yī)院網(wǎng)絡(luò)安全管理人才屬于復(fù)合型人才，不僅要熟練掌握信息安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)，還要具備一定的醫(yī)療行業(yè)知識(shí)與經(jīng)驗(yàn)。我國(guó)目前醫(yī)院的網(wǎng)絡(luò)信息安全人員，專(zhuān)業(yè)背景大多為計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)信息安全技術(shù)，真正兼具醫(yī)療行業(yè)專(zhuān)業(yè)知識(shí)的鳳毛麟角。但即便是這種單一的技術(shù)人才，在整個(gè)醫(yī)療行業(yè)也十分匱乏，尤其是網(wǎng)絡(luò)安全管理人才，是目前各行各業(yè)都在爭(zhēng)奪的熱門(mén)人才，市場(chǎng)需求極為旺盛，人才缺口巨大，這無(wú)疑為醫(yī)院網(wǎng)絡(luò)信息安全管理人才的引進(jìn)、吸收帶來(lái)了巨大的挑戰(zhàn)。

2.4 網(wǎng)絡(luò)安全事件應(yīng)對(duì)

隨著我國(guó)醫(yī)院信息化建設(shè)的快速發(fā)展，醫(yī)院各項(xiàng)業(yè)務(wù)的開(kāi)展日趨網(wǎng)絡(luò)化、數(shù)字化，這使得網(wǎng)絡(luò)安全事件發(fā)生的概率急增。而一旦發(fā)生網(wǎng)絡(luò)安全事件，一般醫(yī)護(hù)人員往往會(huì)措手不及，網(wǎng)絡(luò)安全事件應(yīng)對(duì)能力的提高正成為醫(yī)院信息化建設(shè)亟待解決的問(wèn)題之一。

3 新形勢(shì)下醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)措施

3.1 延伸醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)的范圍

隨著醫(yī)院信息化系統(tǒng)建設(shè)逐步從封閉的內(nèi)網(wǎng)向開(kāi)放的外網(wǎng)發(fā)展，醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)工作的重點(diǎn)也應(yīng)從內(nèi)網(wǎng)向互聯(lián)網(wǎng)拓展，即延伸醫(yī)院網(wǎng)絡(luò)安全管理與防護(hù)的范圍。具體來(lái)說(shuō)，應(yīng)通過(guò)防病毒、網(wǎng)絡(luò)入侵監(jiān)控、建立DMZ區(qū)等手段加強(qiáng)醫(yī)院內(nèi)外網(wǎng)邊界的網(wǎng)絡(luò)安全防護(hù)，在網(wǎng)絡(luò)出口和重要的安全域出口加強(qiáng)網(wǎng)絡(luò)隔離和控制，保證外部黑客或非法人員不能通過(guò)安全防御系統(tǒng)的“大門(mén)”。

3.2 規(guī)范醫(yī)療數(shù)據(jù)管理

從管理層面來(lái)說(shuō)，規(guī)范醫(yī)院的醫(yī)療數(shù)據(jù)管理，首先應(yīng)明確醫(yī)院各業(yè)務(wù)部門(mén)的職責(zé)，根據(jù)各業(yè)務(wù)部門(mén)職責(zé)范圍來(lái)確定其對(duì)醫(yī)療數(shù)據(jù)訪問(wèn)、使用的權(quán)限，進(jìn)而建立完善的符合醫(yī)院工作實(shí)際的醫(yī)療數(shù)據(jù)管理規(guī)范。從技術(shù)層面來(lái)說(shuō)，數(shù)據(jù)中心建設(shè)是當(dāng)前醫(yī)院信息化建設(shè)的主要內(nèi)容，醫(yī)院應(yīng)根據(jù)數(shù)據(jù)中心建設(shè)整體規(guī)劃，從醫(yī)院科研、臨床醫(yī)療、患者服務(wù)等業(yè)務(wù)系統(tǒng)中將數(shù)據(jù)信息的收集、整理、存儲(chǔ)等工作分離出來(lái)進(jìn)行集中統(tǒng)一管理，多級(jí)數(shù)據(jù)中心的建立可以有效實(shí)現(xiàn)醫(yī)療數(shù)據(jù)信息的高等級(jí)統(tǒng)一防護(hù)，既可以保障數(shù)據(jù)信息的安全，同時(shí)也可以有效減少安全保障經(jīng)費(fèi)的投入。此外，對(duì)醫(yī)療數(shù)據(jù)進(jìn)行統(tǒng)一集中管理，運(yùn)用大數(shù)據(jù)技術(shù)，可以對(duì)大量結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)信息進(jìn)行分析處理，從中挖掘、提取有價(jià)值的醫(yī)療信息，使醫(yī)療數(shù)據(jù)真正成為醫(yī)院的信息資產(chǎn)。

3.3 加強(qiáng)安全防護(hù)能力

加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全防護(hù)能力，至為關(guān)鍵的工作是要加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)。網(wǎng)絡(luò)安全人員作為醫(yī)院網(wǎng)絡(luò)安全防護(hù)工作的責(zé)任主體，其工作能力、專(zhuān)業(yè)素質(zhì)、責(zé)任意識(shí)等對(duì)醫(yī)院網(wǎng)絡(luò)安全防護(hù)工作的成效至關(guān)重要。加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)，應(yīng)從引進(jìn)吸收高素質(zhì)人才和培養(yǎng)具有醫(yī)療行業(yè)信息安全管理特點(diǎn)的人員兩方面著手。在網(wǎng)絡(luò)安全管理人才市場(chǎng)競(jìng)爭(zhēng)激烈的背景下，醫(yī)院應(yīng)在崗位設(shè)置、福利待遇、職位晉升等方面提高對(duì)人才的吸引力，盡可能吸納高素質(zhì)優(yōu)秀人才進(jìn)入;在人員培養(yǎng)方面，可以加強(qiáng)與專(zhuān)業(yè)網(wǎng)絡(luò)安全機(jī)構(gòu)的合作，一方面可以借助網(wǎng)絡(luò)安全專(zhuān)業(yè)機(jī)構(gòu)的技術(shù)積淀來(lái)培養(yǎng)醫(yī)院網(wǎng)絡(luò)安全管理人才，另一方面也可以增強(qiáng)醫(yī)院網(wǎng)絡(luò)安全防護(hù)的外部救援力量，如此一舉兩得，可以有效加強(qiáng)醫(yī)院的網(wǎng)絡(luò)安全防護(hù)能力。

3.4 制定切實(shí)可行的應(yīng)急預(yù)案

網(wǎng)絡(luò)安全事件具有突發(fā)性、難以有效預(yù)測(cè)的特點(diǎn)，一旦發(fā)生，往往會(huì)在短時(shí)間內(nèi)對(duì)醫(yī)院的正常工作造成重要影響。因此，制定切實(shí)可行的應(yīng)急預(yù)案，是醫(yī)院網(wǎng)絡(luò)安全管理的重要內(nèi)容。應(yīng)急預(yù)案的制定需要根據(jù)醫(yī)院網(wǎng)絡(luò)安全事件發(fā)生的可能性、影響范圍、造成的后果等因素來(lái)進(jìn)行，預(yù)案應(yīng)明確醫(yī)院各業(yè)務(wù)部門(mén)在安全事件發(fā)生時(shí)的具體應(yīng)對(duì)策略、措施以及指揮人員，尤其是臨床醫(yī)療與患者服務(wù)部門(mén)，應(yīng)根據(jù)實(shí)際情況進(jìn)行針對(duì)性的應(yīng)急流程設(shè)計(jì)，確保在安全事件發(fā)生時(shí)能夠?yàn)榫唧w的應(yīng)對(duì)提供依據(jù)。

參考文獻(xiàn)：

[1]韋力，段沁，劉志偉.互聯(lián)網(wǎng)時(shí)代醫(yī)院網(wǎng)絡(luò)安全管理綜述[J].信息網(wǎng)絡(luò)安全，2019（12）：88-92.

[2]盧長(zhǎng)偉，趙浩宇，李景波.醫(yī)院網(wǎng)絡(luò)安全管理方案與措施[J].中國(guó)醫(yī)院管理，2017，37（02）：56-57.

[3]王麗.新形勢(shì)下醫(yī)院信息安全所面臨的挑戰(zhàn)與對(duì)策分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（01）：192-193.