緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的1篇醫院信息化建設網絡安全分析3篇范文，希望它們能為您的寫作提供參考和啟發。

醫院信息化建設網絡安全篇1

近年來醫藥衛生體制改革的文件不斷出臺，推動了現代信息技術和醫療機構信息化建設的迅速發展。基于此，文章闡述醫院信息化建設在計算機網絡安全管理的價值，指出影響醫院計算機網絡安全的相關因素，并對網絡安全管理與防護措施進行研究。

1網絡安全在醫院信息化建設中的重要性

計算機網絡是在醫療信息化建設及基礎，是醫療管理系統的載體。醫院的網絡架構一般是由服務器、存儲設備、交換設備、網絡設備以及保障其不受攻擊的安全設備組成。醫院業務信息系統部署在院內服務器中，利用存儲設備保存醫療數據，通過網絡設備實現系統功能應用和數據傳輸。但是，如果沒有安全設備，服務器、存儲、網絡設備、應用軟件就如同沒穿鎧甲的士兵在戰場上打仗，結果是可想而知的。在網絡安全形勢越來越嚴峻的國際大背景下，網絡安全在醫院信息化建設中的重要性是不言而喻的。因此，保障醫院信息系統的安全至關重要，怎樣預防和應對這些存在的安全隱患，避免對運行的信息系統造成威脅，保護患者的隱私不被泄露，是醫院信息系統建設過程中應當考慮的最重要的問題，為打造完善的醫療服務體系做保障[1]。醫院信息系統的建設離不開安全的網絡環境做保障，網絡安全是信息化建設過程中的頭等大事，是首要考慮的因素[2]。在醫院信息化的過程中，信息系統的建設和網絡安全保障是相輔相成的，加強網絡安全的風險預防、控制和管理，很大程度上保障了系統內部業務數據和患者隱私的安全性，同時也提高了信息系統的建設水平[3]。

2影響醫院網絡信息安全的因素

2.1硬件方面：隨著信息技術的高速發展，網絡安全防范技術已經和信息化體系結構深度融合起來，這樣對以數據信息的交換、傳輸、存儲為主要的網絡管控機制，具有明顯有效的作用[4]。醫院信息化建設的硬件基本上實現了國產化，可是即使是國內品牌的設備使用的仍然是國外的技術，包括中央處理器（CPU）、內存、操作系統等。除了設備本身的技術漏洞，不能及時進行配置設定，不能定期給軟件升級，沒有使用必要的安全設備，交換機、網絡打印機沒有重置密碼，或者有些醫院沒有采購正版軟件等，都是在技術層面形成的安全漏洞。會使設備面臨崩潰、系統崩潰、數據丟失等嚴重問題。近年來由于上述原因，多家醫療機構已經遭受了比較嚴重的入侵，造成巨大的損失，嚴重阻礙了信息化發展的速度，降低了信息化飛速發展帶給醫院發展的質量。

2.2軟件技術方面：醫院信息管理系統是個龐大而繁雜的管理軟件。它不僅涉及多學科（臨床、醫技、藥事、治療、管理、保障等），還存在維度多、交叉業務頻繁、條線復雜的情況。這么龐大的系統工程不是一個或幾個廠家的產品能解決的，每個軟件廠商都有其優勢，那么醫院就會采購多家廠商的產品。由此產生的后果是，每個系統的應用都符合應用部門的需求，然而這么多的廠商和近200多個系統的管理就會存在疏漏。尤其是軟件廠商的產品本身有無安全漏洞、權限設置是否合理、密碼規則有沒有強制限定等，都是造成網絡安全的因素。

2.3人為因素方面：醫院計算機網絡和信息管理系統是醫院運營管理的主要手段。所有的資源都在信息系統內共享，如果一旦因人為操作不規范，就會使病毒入侵有機可乘，隨著網絡中數據的傳輸、交互，蔓延到整個網絡架構，致使網絡系統全面癱瘓。另外，病毒本身不易被檢測到，所以很難通過目前的殺毒軟件進行全面查殺。網絡管理者的密碼設置不夠嚴謹、保存不當。以及應用軟件的使用者安全意識淡薄都會使有心者提供威脅便利。從醫院信息系統的應用來看，每個系統都需要身份信息識別，一般需要以賬號、密碼相結合的方式驗證身份，這就引發了網絡安全中常見的賬號密碼被暴力破解的問題。密碼級別、復雜度低的密碼設置增加了用戶信息被盜的風險。

3解決網絡安全的方法和措施

3.1建立健全網絡安全保障體系：網絡安全離不開制度保障，因此出于醫院網絡安全的考慮，我們首先要明確醫院系統的網絡架構，分析其中可能存在的隱患，針對具體的架構和隱患制定相應的網絡安全應對方案和制度，并嚴格遵照落實。同時，要規范操作規程，定期或不定期地對重要的信息系統或平臺進行風險評估和隱患排查，明確具體隱患的責任主體，加強訪問控制權限、弱口令、身份鑒定等技術防范管理，凈化網絡環境。

3.2對網絡系統進行安全隔離：醫院作為特殊的機構，業務繁瑣復雜，數據資源類型眾多，數據規模龐大，每個部門對信息系統和數據的要求不一，因此，醫院為提升信息網絡安全水平，必須要針對具體業務部門的需求，在規劃網絡時，根據具體的實際情況，實行嚴格的內外網隔離，加強小范圍的局域網網絡隔離，從而保證數據在存儲、傳輸共享時的網絡安全。

3.3加大對醫院網絡信息安全的資金投資力度：醫院的信息化發展離不開網絡安全的保障，網絡安全除了做好制度保障和技術防范措施外，有專門的網絡安全軟件、硬件防護設備更加重要，因此要加大對網絡信息安全的軟硬件設備資金的投資力度。比如，購買檢測性能較好的殺毒軟件，對每一臺終端進行定時或不定時監測，一旦發現用戶操作過程存在安全風險，則彈窗提醒，幫助用戶作出有效判斷，定時更新最新的病毒庫，對當前系統數據傳輸過程中存在的風險數據進行界定，依據系統病毒庫中的數據進行類型判斷，判斷為其中某種風險，就進行查殺處理，防止內部網絡被入侵。還有，對重要信息系統的服務器做雙機備份，當服務器A出現故障時，系統內部能自動檢測并自動切換到服務器B，保證業務不停歇、數據不丟失。以及，運用身份識別認證技術，購買身份認證的服務器和介質，使用U盾作為用戶簽名的鑒定，防抵賴、防篡改。因此，醫院網絡信息安全需要安全防護軟硬件做保障，加大軟硬件的投資需要成本。

3.4定期備份、恢復數據：以上都是保證網絡信息安全的預防措施，一旦發生網絡安全事故，最首要的任務就是保證數據的恢復與業務的正常運行。因此，在網絡安全遭受入侵時，盡可能地避免數據丟失或者將數據丟失帶來的損失降低到最小是最為有效的一項補救措施，也就是說在日常工作中，定期地進行數據備份與恢復尤其重要。對數據進行備份，是為防止系統在出現故障或遭受攻擊后業務中斷造成數據丟失，而采取的將數據的全部或部分復制到其他存儲介質的一種措施。數據恢復是指系統遭受災難后，利用備份的數據對系統和業務進行恢復的過程。數據備份是為了對遭遇數據災難后的數據進行災難恢復，其核心是如何在災難中保護數據及災后迅速啟用數據。根據數據災難的類型，如：硬件故障、操作系統故障、軟件平臺故障、人為操作失誤、網絡入侵或其他安全事件，數據備份的方式和策略也有所不同，可以是定期或實時備份，可以是本地磁帶、光盤、硬盤備份，也可以是遠程磁帶、光盤、硬盤備份，以及利用云計算技術進行備份，策略和方式根據具體實際情況選擇結合。醫院根據實際情況選擇適合的備份方式，這樣的話，在醫院業務數據遭受災難時，能保證數據在最短時間內恢復，保障原有系統的正常運行，將損失減小到最低。

在新時期，各大醫院都在不斷地加大資金投資力度，加快醫院信息化的發展速度，這是醫院發展征程上必須經歷的階段，有利于提升醫院的品牌形象和服務質量[5]。在醫院信息化發展為患者提供便利，為醫院發展提供決策和支持的同時，也面臨著網絡信息安全的巨大挑戰。因此，醫院領導及工作人員要重視網絡信息安全，將安全防護工作放在首要位置，通過建立健全網絡安全保障體系，加大對網絡安全工作的資金投資力度，利用軟硬件設備和技術防范手段，安排專職人員定期數據備份與恢復等方式，將網絡安全工作盡全力盡做到極致。網絡安全無小事，只有做好醫院信息化建設中的網絡安全工作，醫院信息化才能助力醫院發展，更好地為提升患者就醫體驗、提升醫院發展質量和服務水平做貢獻。

作者:郭俊 郭煜 單位:山西省數字健康指導中心 山西省中醫院信息管理科

醫院信息化建設網絡安全篇2

我國當前醫院所構建的信息化程度相對較好，不斷擴大信息化業務范圍，全范圍覆蓋醫院各個門診科室等，提供了較大的就醫便利，而隨著信息化建設程度的加深，促使醫院整體信息數據儲量不斷提高，呈現出明顯的信息安全問題，醫院信息網絡當中所包含的數據內容關乎到醫院及病患的權益保障，如若一旦發生網絡安全問題，造成泄露、丟失，則會造成嚴重后果，因此，需要醫院不斷強化自身信息化建設中的網絡安全管理，才能夠促使醫院整體信息系統呈現出更加良好的建設趨勢。

1醫院信息化建設網絡安全的必要性

在現代化的發展過程當中，醫院為了提高自身運營效率，形成現代化發展效果，大力發展信息化建設，作為其中的基礎結構，計算機網絡承載著醫院當中的眾多醫療管理系統。結合實際當中的醫院計算機網絡構架進行分析發現，其中包括了服務器、網絡設備、交換設備以及儲存設備在內的相關結構，同時，并伴有相關安全設備能夠保障各項系統架構不受網絡攻擊。醫院服務器內存儲著大量的業務部署信息，利用高效存儲設備對醫院當中海量的醫療數據信息、用戶資料等進行儲存，結合網絡設備促使醫院當中的各個不同信息系統之間數據傳輸處于高效快捷功能狀態。但是在此基礎之上，為了保障數據運行安全以及信息系統的平穩，則需要安全設備予以充足保障，避免服務器以及網絡設備等遭受攻擊，影響醫院正常運營。處于復雜的國際環境當中，促使信息化建設網絡安全呈現出嚴峻形式表現，而在醫院信息化建設過程當中的網絡安全重要意義則尤為重要。因此，在當前醫院建設信息化系統的過程當中，如何保障其安全穩定運行，有效預防網絡安全風險，并降低系統運行安全威脅，避免就醫患者數據隱私不被泄露成為了當前醫院最為關注的重要話題[1]。只有全面完善醫院信息化建設網絡安全構建，才能夠促使醫療服務體系形成更加高水平、高質量的發展成果。建設信息系統需要網絡安全作出充足保障，因此，作為醫院建設信息化服務過程當中的頭等大事，網絡安全則是首要影響因素。信息化服務流程中的系統以及網絡安全二者之間相輔相成，缺一不可，全面加強網絡安全構建，及時預防風險問題，做好全面安全控制則能夠有效保障醫院基礎業務信息以及患者隱私數據的嚴密安全性，進一步為醫院信息化高水平建設提供保障。

2造成醫院信息化建設網絡安全問題的因素

2.1硬件影響

現代化信息技術的高水平發展，促使信息化系統建設逐漸融合了安全防范技術，形成更加穩定的網絡運行效果，能夠對數據運行、儲存、交換狀態下的網絡環境實施更加嚴格的管控，有效保障基礎信息建設當中的數據安全。而我國當前大多數醫院構建信息化的過程當中，逐漸實現了國產化軟件應用，然，在這一基礎上不難發現，大多數的國產軟件其內部仍然應用到國外科技技術構建相應設備，包括中央處理器、操作系統以及內存等，均使用國外進口設備技術。除了國產設備其本身的技術缺陷，不能夠及時對相關設備做好配置優化軟件升級，無法應用更加安全的交換機以及網絡設備，難以對相關設備應用進行密碼重置，亦或是部分醫院無法應用到正規采購軟件出現盜版設備應用的網絡安全風險，眾多設備硬件層面當中出現的安全漏洞，將會促使醫院實際應用信息化設備過程當中頻繁面臨系統崩潰，造成數據丟失。結合實際當中的信息建設網絡安全問題進行研究發現，近年來基于這樣的原因，促使多家醫療機構出現嚴重的網絡入侵事件，造成信息數據的丟失，造成嚴重損失的同時，對醫院信息化的建設發展造成影響，降低了醫院整體服務質量水平。

2.2軟件技術影響

醫院信息化建設涉及到眾多復雜軟件結構，形成龐大的信息系統，其中不僅涉及到包括臨床、醫療、藥事、保障等眾多結構內容，同時也呈現出更加頻繁的多維度業務交叉數據，因此，為了適應這樣的應用環境，軟件工程不能夠僅僅依靠于某一特定廠家完成[2]。由于在市場環境當中每一不同的軟件廠商都具有不同領域特長優勢，醫院則會分別采購不同廠商的各項優勢產品進行應用。然而，這樣的應用后果則會導致每一系統雖然能夠符合不同應用功能的實際需求，但是眾多軟件之間存在著較大的差異性，則在管理過程當中不能夠形成統一化管理效果，所構建的軟件網絡安全保障措施也無法滿足全部軟件的實際需求，促使軟件系統管理過程當中將會存在明顯的漏洞。尤其是針對于眾多不同軟件廠商，其軟件產品不能夠全面檢測其本身是否具有安全漏洞，同樣也不能夠設定一致的密碼規則以及訪問權限等，埋下嚴重的網絡安全隱患。

2.3人為影響

而當前醫院當中所構建的信息化建設，包括信息管理系統以及計算機網絡在業內作為醫院信息化運營管理的主要方式，其中信息系統內儲存著大量的信息資源，如若由于人為操作失誤，則會導致信息系統受到病毒入侵，順延整體信息網絡蔓延至整體信息系統框架當中，促使醫院信息化系統全面癱瘓。并且在實際當中，如若出現基于網絡黑客的攻擊行為，醫院整體網絡系統受到病毒攻擊，則過于龐大的系統難以及時查殺有關病毒。并且，醫院信息系統管理者難以認真負責保存密碼設置，促使管理疏忽大意由于人為原因造成密碼泄露等，都將會對醫院整體信息網絡安全造成影響。關于網絡系統所構建的密碼安全等級相對較低，復雜程度不夠，促使外力能夠輕松破解密碼，醫院信息數據被盜造成嚴重網絡安全事故。

3強化信息化建設網絡安全的方法措施

3.1構建網絡安全保障體系

對醫院當前信息化建設當中的網絡安全進行全面分析，分解其影響因素并建立相應的強化安全措施，則需要建立在完善的制度保障基礎之上。基于醫院當前信息化建設當中的網絡安全，則首先需要全面分析其信息系統下的網絡構架，全面監測其中存在的隱藏網絡安全隱患。結合信息化系統的實際構架以及風險隱患等，制定針對性網絡安全保障制度以及應對方案，并促使醫院當中的相關信息技術人員能夠全面按照既定制度保障落實網絡安全管理。同時，也需要加強系統操作規范，針對于各項信息化建設需要實施定期安全排查，全面監測其中風險發生周期解決隱藏網絡安全問題。并加強信息化建設下各環節主體的明確責任保障，加強安全監管，避免網絡安全問題的發生。具體來講，在醫院當中的信息化建設，對無線端口實施強化保護，則能夠有效屏蔽非法信號接入，為醫院網絡用戶信息篩選與隔離做出充足安全保障。同時，也需要加強信息化網絡訪問安全認證管理，在患者登錄醫院網站注冊使用時，需要做好更加詳細且嚴格的安全認證，驗證患者提交的個人信息真實性，對比確認無誤之后才能夠允許患者訪問醫院網絡，借助于安全認證措施，能夠有效避免身份信息盜用。同時，對身份信息認證同樣也可以結合不同訪問次數設定分級權限，通過設定密碼等不同方式，全面保護醫院信息網絡使用者的信息安全性[2]。同時，醫院內部在傳輸患者信息時注意日常登錄使用等數據加密處理，避免網絡信息防火墻過弱造成患者信息泄露被竊取。建立完善管理制度，能夠針對于醫院內部信息化建設的各網絡平臺做好日常巡檢評估，對其整體系統安全做好控制管理。

3.2安全隔離網絡系統

醫院作為保障民生基礎活動，為人民大眾生命安全做出努力的特殊機構，其日常當中所形成的經營業務相對較為繁瑣，因此，會涉及到眾多不同類型的數據資源，且醫院日常當中的人員數量流動規模相對較大，形成的數據量同樣更為龐大。并且醫院部門科室的分類相對繁多，則基于每個不同部門下所構建的就診業務所需對應的信息系統，其建設標準與數據要求等不一。而實施網絡安全隔離最重要的就是構建安全的物理環境，作為網絡安全的基礎保護措施，醫院各項信息建設設備的物理環境對其網絡安全狀態具有直接影響。首先來講，信息系統機房的位置需要避免選擇最頂層或最底層的位置，遠離水管結構等設施，促使設備機房能夠形成良好的防潮防雷功能。并保障信息化建設當中所有的硬件設備機房外部具有良好的防破壞設施，構建安全防盜門。并在機房內外安裝充足監控設備，基于醫院整體控制中心后臺24h動態監控，在發生異常狀況的第一時間能夠及時發出警報并得到有效處理。并且，為了保障醫院各項數據信息在信息化設備機房當中的儲存具有良好安全保護效果，則需要機房本身能夠形成良好防靜電功能，且構建相應的智能空調設施，對機房內部溫度、濕度條件進行控制，避免由于設備長時間運轉造成負荷過大，產生損壞故障影響數據安全。并配備例如七氟丙烷滅火裝置等消防設備，且保障為機房供應不間斷電源，全面提高網絡安全保護效果[3]。

3.3定期安全檢測防護

醫院的現代化、信息化發展必然建立在充足的網絡安全保障基礎之上，除了需要對當前醫院信息化建設做好完善的安全保障制度建設以及技術設備防范隔離之外，同時，也需要加強信息化建設當中的專用網絡軟件安全防護。需要醫院能夠加大軟件安全防護資金投入力度，結合多方面安全防護措施，保障信息軟件應用效果。例如，購買具有較好檢測性能的殺毒軟件，對醫院信息化建設中所涉及到的軟件結構實施全面檢測殺毒，一旦發現操作過程當中出現明顯的安全隱患，通過智能彈窗及時提醒并幫助醫院以及網絡用戶作出判斷。同時，對醫院信息網絡病毒庫進行及時更新，結合不同時段背景下所傳輸的系統數據中風險系數進行檢測界定。結合現有信息化系統當中所形成的病毒庫對應數據做好判斷分類，如若通過對比發現其為某種特殊病毒風險，則需要及時進行查殺，從而避免內部網絡受到病毒入侵。同時，也需要對醫院各處信息系統服務器做好備份處理，構建雙重安全保障機制，當其中某一服務器出現明顯故障問題時，則通過自動檢測，對其進行切換，避免業務處理時由于服務器故障問題而影響到業務進度，造成數據丟失。

4結語

醫院不斷發展信息化建設的過程當中，其中最為嚴峻的網絡安全問題需要得到全面解決，才能夠保障醫院整體信息化服務水平得到提升，并同時為醫療數據以及患者隱私做出相應的保障，基于這樣的需求，需要醫院相關管理人員能夠積極重視網絡信息安全意義，加強日常當中的網絡安全防護，盡善盡美做好軟、硬件設備的防護措施，加強數據管理，做好定期備份，細化日常安全管理細則，有效提升信息化建設水平，為醫院高質量發展做出貢獻。

作者:韓國梁 單位:蚌埠醫學院第二附屬醫院

醫院信息化建設網絡安全篇3

近年來,我國醫藥行業信息化發展迅速、全面,互聯網、大數據、云計算等新興技術融合深入,尤其是在2020年新冠肺炎疫情的影響下,傳統醫療服務快速向互聯網醫療、智慧醫療等新興業態轉換,行業數字化轉型進程明顯提速。在我國的信息化建設之樹開花結果的同時,醫院內的醫療信息安全同樣迎來了新的安全威脅和挑戰,網絡安全的管理和保護在很多方面決定著醫院的信息化建設與發展的成敗[2]。根據中國信通院(CAICT)《2020年數字醫療網絡安全觀測報告》統計,從962家醫療機構單位被檢測出存有僵木蠕毒感染風險,對比2019年,整體數量有所上漲[3]。國家信息安全漏洞共享平臺(CNVD)包含20704個安全漏洞,這些漏洞繼續增加,同比增長27.9%[4]。Windows是醫院各種信息系統中應用最廣泛的平臺,同時也成為不法之徒的關注點。各式各樣的偽裝后的病毒在Windows系統中的安全防護漏洞廣泛傳播,對醫院的信息安全和網絡安全構成了嚴重威脅。在進行醫院信息化建設的征程中,如何充分利用信息系統的優勢和特點,不僅為醫院業務的發展服務,而且有效地保障系統信息網絡的安全,這已成為醫院信息化建設的重要課題。在醫院信息化建設過程中,如何充分發揮信息系統的優勢和特點,既為各醫院企業的發展服務,又有效保障系統信息網絡的安全,已成為醫院信息化建設的重要課題。

1國內醫院網絡安全現狀

依據中國網絡安全評估中心對其中73家醫療機構信息系統針對性的網絡安全評估結果顯示,58%的醫療信息系統存在弱加密問題;59%的醫療信息系統網絡保護體系結構不完善,包括網絡區域劃分不合理,沒有網絡鏈路冗余等問題[5]。60%的醫療信息系統缺乏完善的數據備份機制,包括缺乏遠程備份機制和不合理的備份策略;72%的醫療信息系統在數據存儲和傳輸中沒有加密;大多數醫療信息系統都存在監管不力、制度不健全、人的安全意識淡薄等問題。

1.1身份認證口令不健壯

用戶身份認證是信息系統和關鍵數據保護的首道防線和最重要防線。目前,醫療行業的信息系統大多采用“用戶名匹配密碼”的古老認證方式,安全性效能較低,很少采用“兩因素認證”等強大的認證方案,登錄密碼的強弱程度直接關系到醫療信息系統的信息安全。信息系統用戶經常使用易被他人猜測或解密的弱密碼,使得攻擊者即使沒有技術基礎也能攻擊目標系統。當密碼被破解以后,攻擊者可以進一步進入目標系統,將會給企業和個人造成嚴重財產損失。

1.2漏洞管理體系不完善

漏洞幾乎是所有安全事件的源頭。常見的漏洞有0day,day,Nday漏洞和不可修復的Nday漏洞。嚴格意義上來講,弱密碼、未授權的訪問也可以歸為安全漏洞。漏洞管理體系主要包含4個階段,分別是資產發現、漏洞掃描、漏洞處理、數據分析和展現。很多醫院在資產管理工作不到位,不清楚業務系統的IP、端口和服務、URL資產等,也就帶來漏斗掃描得不全面、不徹底。有些醫院只做漏洞發現,而不做漏洞處置、修復、復查和再整改。

1.3網絡安全產品配備不足

在統計數據中發現,在信息管理系統保護措施和邏輯防病毒及防護設備完全安裝的原則上,安全保障率僅僅為21%。在數據泄露保護、web應用保護等安全防護設備中,由于缺乏網絡安全產品,使得網絡攻擊者能夠輕松、秘密地入侵醫療信息系統。這已成為信息泄露和勒索病毒頻繁發生的重要原因。

1.4網絡安全管理不到位

醫院網絡用戶和管理者是網絡安全管理的主體和關鍵。在日常網絡信息安全管理體系建設中,各醫院雖然都建立了信息管理系統,但仍存在一些問題。有的醫院對網絡信息安全重視不夠,沒有建立完整的信息系統安全管理體系,與醫院主動管理系統相比,醫院主動管理系統中的數據更安全。從應急管理的開展來看,大多數醫院都制定了較為完善的應急管理方案,但很少有醫院進行應急演練,多數醫院都安全地保存了信息系統數據。但是,醫院內部和外部技術支持的建立還不盡如人意,嚴重影響了醫院應急管理的實效性。

2醫院網絡安全面臨的挑戰

2.1安全防御體系落后

大部分的醫院的網絡安全防御體系通常采用單點防護的思維,以安全產品為主要落實手段,不僅忽略了產品之間的配合與聯動,降低了產品的防護效果,也忽視了產品與安全管理結合的重要性,沒有達到理想的防護效果,同時安全防御技術迭代速度慢,因此遭受攻擊的概率持續增加。

2.2風險評估未落地

威脅利用脆弱性對資產造成的可能性就是風險。網絡信息安全的風險評估就是按照風險評估的標準對軟硬件資產、數據資產、人等進行脆弱性評估,發現各類(合規或違規)技術手段、非技術手段的脅迫和所遭遇的危險,即威脅,也就是發現外部要利用脆弱性的因素[6]。《信息安全技術信息安全風險評估規范》GB/T20984—2007,于2007年6月4日頒布[7]。該規范規定了風險評估框架和過程、風險評估實施的規范性要求及信息系統生命周期各階段的風險評估和風險評估工作形式,是信息系統風險評估的國家標準[8]。按照風險評估標準切實落地、執行,才能全面認清系統面臨的風險。但實際上很多醫院對風險評估工作認知不足,流于形式,沒有切實執行落地,也就無法了解自身面臨的風險和如何處置風險。

2.3新技術的網絡安全

近年來,云計算(公有云、私有云)、大數據、移動互聯網、個人手持終端、穿戴式設備等新技術在醫院信息化建設、應用中。這些新技術的應用很容易造成網絡外來入侵、數據濫用、數據泄露的安全風險的隱患。公有云的基礎設施和云平臺的運營是由第三方市場化管理,醫院通過互聯網訪問公有云平臺,內外網互通,而這些公有云平臺資源由多個機構或部門共享,彼此間只做到了邏輯隔離。只要公有云運營者對平臺管理不善,就會增加網絡入侵風險和造成數據泄露和毀壞。私有云雖然計算資源獨占,但如果采用托管模式或外部管理通過公共網絡訪問,仍然面臨與公有云同樣的網絡安全風險。大數據平臺和技術廣泛用于醫院的運營數據(收費、藥品等)、醫療數據(掛號、住院、病歷、影像等)進行分析和數據價值利用,具有很強的現實需求,發展前景廣闊。但與此同時,大數據及其分析利用對數據安全也帶來需要數據的人員已遠超出醫療機構的臨床醫療人員,擴展到醫院管理、行業管理以及非衛生行業人員,數據泄漏的風險也隨之加大。移動網絡技術在醫院內部的醫療業務有著天然的需求。醫生的移動查房、護士的移動護理已經在一大批醫院得到不同程度的應用。移動醫療不論是通過WIFI局域網還是3G/4G/5G廣域網,都是采用開放式網絡,容易受到外來攻擊,通信內容較容易被截獲。同時,移動公共網絡開展面向公眾服務,使用者的身份驗證和權限控制管理不慎的話,病歷資料受攻擊和冒用的可能性增大。個人手持終端和穿戴設備,由于自帶的軟硬件平臺(Andriod、IOS、Windows)不同,其安全防護軟件和方案不同,給安全防護增加了技術上的復雜度和管理上的難度,可能降低終端認證和終端防護水平,一些外來非法設備接入的可能性大大增加。

2.4數據交互的網絡安全

隨著業務的發展,消除醫院內各業務系統的信息孤島,加速醫療數據在內部的交互和上下流動是醫療信息化建設的重中之重。這使得現有醫院內外網物理隔離的架構將面臨顛覆性的改變,也使得無論是結構化或者是非結構化數據的安全防護,均存在一定程度的隱患,如技術漏洞、物理故障、惡意攻擊等[9]。數據交互層面從兩個方向來看:縱向視角,一是政策推動醫療機構上傳數據,方便主管部門監管醫院運營;二是區域醫療平臺和醫療聯盟也需要通過網絡吸收醫療資源,信息終端從衛健委分布到縣醫院和村衛生院,每一個都可能成為泄露數據的導出口。從橫向上看,醫療保險系統一方面要與醫院系統相連,另一方面要與各級主管部門和定點藥店相連,在數據共享和業務共享的基礎上為被保險人提供服務。當然,這個橫向網絡還包括銀行、運營商和其他輔助機構,因此安全威脅來自更廣泛的來源,遠遠超出了醫療機構的范圍。除了縱橫交錯的外在交互,醫療機構自有的公共服務平臺也存在安全隱患。比如醫院官網,幾乎所有三級以上醫療機構都有網站,任何人都可能通過網站對醫院服務器發起進攻。

3新形勢下醫院網絡安全治理與防護

3.1做好風險評估與差距分析

信息系統風險評估的結果將直接決定信息系統安全防護措施的選擇。通過資產評估、漏洞分析、審計、網絡架構分析、數據流分析,全面分析信息系統資產狀況、主機、數據庫、安全設備和網絡的弱點、威脅和風險,形成《風險評估報告》或《等級保護差距分析報告》[10]。在風險評估和差距分析的基礎上,結合醫院信息系統安全建設的實際需求和目標,采用分層域保護的方法,制定了一套完整的安全整改建設方案[11]。

3.2建立網絡安全縱深防御

縱深防御最初是在美國“信息保障技術框架”(IATF)的基礎上提出的,并被應用于美國國防部(DOD)《全球信息柵格(GIG)信息保障政策與實施指南》中,以指導軍事GIG的建設。縱深防御的基本思想是利用多層次的保護來抵御信息網絡的威脅,因此能夠突破一個層次或一種保護的攻擊不能摧毀整個信息基礎設施和應用系統。將縱深防御思想引入到醫院網絡安全體系中具有重要的意義:一是在防御廣度上,對醫院內的廣域網、局域網以及主機之間采取各種有效的防護策略;二是在防御深度上,對醫院網絡可形成“預警→保護→檢測→響應→恢復→反擊→預警”的閉環結構[12]。

3.3逐步向零信任架構演進

零信任網絡體制框架的最關鍵思想是,在非特殊情況下,我們應該保持不信任網絡內外的任何的人、設備或者系統,而應該重建基于身份驗證和授權的訪問控制的信任基礎。它的實質是引導安全體系結構從傳統的網絡集中到身份集中,并基于身份進行訪問控制。零信任系統向個人設備和用戶傳輸邊界訪問控制,打破傳統邊界防護思維,建立以身份為信任基礎的機制,遵循先驗證設備和用戶、后訪問業務的原則,不再自動信任內部或外部任何人、設備和應用,在授權前對任何試圖接入網絡和訪問業務應用的人、設備或應用都進行驗證,它還提供了一個動態的細粒度訪問控制策略,滿足最小授權原則。這樣極大地收縮了攻擊面,提升了對內外部攻擊和身份欺詐的發現和響應能力。建議醫院的網絡信息安全基礎架構逐步向零信任體系演進。

3.4加強人員安全風險意識和能力培養

在網絡安全的各項影響因素中,人員的影響是最為顯著和重要的。醫療機構的網絡安全防護能力,在很大程度上取決于機構從業人員的安全意識和安全能力。盡管近兩年來醫療行業整體安全水平比以往有所提升,但對比其他行業,醫療行業整體安全情況仍處于較差水平,行業從業人員安全意識和安全能力仍有很大提升空間。因此,醫療機構應重視加強對所有員工的網絡安全教育來提高網絡安全意識,尤其應培養針對釣魚郵件、惡意網頁、弱密碼設置等典型問題的安全防護意識和攻防能力培養,降低由于安全意識和能力不足帶來的網絡安全隱患,切實提升機構整體的安全防護水平。

4結語

醫院信息系統所涉及的醫院所有業務,其網絡的安全狀態直接關乎到醫院的健康、生命安全以及社會生活秩序的穩定。醫院信息化建設應更加重視網絡安全管理和保護,并建立切實可行的醫院安全管理機制,根據醫院安全的實際情況,去建立高水平的安全管理隊伍和網絡信息安全保障體系,盡可能地規避發生醫院信息系統被侵入,信息數據丟失或者泄露的情況發生,從而對醫院和病人各項權益加以保障[16]。互聯網技術的飛速發展不僅便利了人類的生產和生活,也帶來了許多風險,如病毒入侵、信息泄露等。因此,構建網絡信息安全的“防火墻”,規避一切可能的網絡風險,是當前信息安全研究的重點和難點。許多醫院已經在醫院信息系統(HIS)、不同科室之間、多個系統和多個服務的基礎上完成了相互連接與整體建設。但是,在提高數據存儲、資源使用和工作效率的背后隱藏了巨大的安全風險,例如對醫院計算機的攻擊,這可能會使整個系統癱瘓,并影響醫院的運營。因此,本文針對醫院信息化建設中存在的問題,探討了如何提高醫院的安全性和防護,加強醫院信息化建設。通過解決存在的問題,加強計算機網絡安全,提高醫院運行效率,改進醫療管理流程,提高醫院網絡的安全性,增強患者和醫院醫務人員的認同感和歸屬感。通過提高醫療質量和患者就醫質量,提高醫院的整體醫療水平,為醫院的數字化發展打下堅實的基礎,保證醫院的快速健康、穩定和可持續發展。

參考文獻

[1]13部門發文力推互聯網醫療,建設智慧醫院、鼓勵在線購藥[J].醫學信息學雜志,2020,41(7):95.

[2]周凱.試論醫院信息化建設中的網絡安全管理與防護[J].科技創新與應用,2020(34):193-194.

[3]中國信通院.數字醫療網絡安全觀測報告[R].2020.

[4]陳芳.融媒體背景下移動互聯網安全研究[J].科技傳播,2017,9(14):81-83,90.

[5]劉思思,徐麗娟,路紅,等.醫療行業網絡安全白皮書(2020年)[N].中國計算機報,2020-04-20(008).

[6]黃樂.企業信息安全建設之道[M].北京:機械工業出版社,2021.

[7]甘清云.《信息安全風險評估規范》修訂思考[J].網絡安全技術與應用,2018(12):11,25.

[8]劉一丹,董碧丹,崔中杰,等.基于模糊評估的等級保護風險評估模[J].計算機工程與設計,2013,34(2):452-457.

[9]袁琛.醫療行業數據安全探析[J].醫學信息學雜志,2016,37(2):43-46.

[10]胡環續.醫院信息系統信息安全等級保護的實施探討[J].計算機產品與流通,2019(11):127.

[11]李維冬,殷偉東,陳平.南京市衛生12320網站等級保護建設要點和思考[J].中國醫療設備,2016,31(1):153-155.

[12]葛紅.企業信息安全立體防護體系構建研究[J].網絡安全技術與應用,2021(3):96-97.

[13]黃仁全,李為民,張榮江,等.防空信息網絡縱深防御體系研究[J].計算機科學,2011,38(S1):53-55,58.

[14]余雙波,李春燕,周吉,等.零信任架構在網絡信任體系中的應用[J].通信技術,2020,53(10):2533-2537.

[15]章偉,周萍.“互聯網+電子政務”云平臺構建及云存儲安全策略研究[J].電子測試,2020(7):62-66.
 
[16]左英男.零信任架構:網絡安全新范式[J].金融電子化,2018(11):50-51.

作者:龍智勇 陳姣 陽贛萍 鄧麗君 丁長松 單位:湖南中醫藥大學第一附屬醫院信息中心 中南林業科技大學涉外學院經濟學院 湖南紫薇垣信息系統有限公司技術部 湖南中醫藥大學科技處