医院信息化建设网络安全分析3篇

医院信息化建设网络安全篇1

近年来医药卫生体制改革的文件不断出台，推动了现代信息技术和医疗机构信息化建设的迅速发展。基于此，文章阐述医院信息化建设在计算机网络安全管理的价值，指出影响医院计算机网络安全的相关因素，并对网络安全管理与防护措施进行研究。

1网络安全在医院信息化建设中的重要性

计算机网络是在医疗信息化建设及基础，是医疗管理系统的载体。医院的网络架构一般是由服务器、存储设备、交换设备、网络设备以及保障其不受攻击的安全设备组成。医院业务信息系统部署在院内服务器中，利用存储设备保存医疗数据，通过网络设备实现系统功能应用和数据传输。但是，如果没有安全设备，服务器、存储、网络设备、应用软件就如同没穿铠甲的士兵在战场上打仗，结果是可想而知的。在网络安全形势越来越严峻的国际大背景下，网络安全在医院信息化建设中的重要性是不言而喻的。因此，保障医院信息系统的安全至关重要，怎样预防和应对这些存在的安全隐患，避免对运行的信息系统造成威胁，保护患者的隐私不被泄露，是医院信息系统建设过程中应当考虑的最重要的问题，为打造完善的医疗服务体系做保障[1]。医院信息系统的建设离不开安全的网络环境做保障，网络安全是信息化建设过程中的头等大事，是首要考虑的因素[2]。在医院信息化的过程中，信息系统的建设和网络安全保障是相辅相成的，加强网络安全的风险预防、控制和管理，很大程度上保障了系统内部业务数据和患者隐私的安全性，同时也提高了信息系统的建设水平[3]。

2影响医院网络信息安全的因素

2.1硬件方面：随着信息技术的高速发展，网络安全防范技术已经和信息化体系结构深度融合起来，这样对以数据信息的交换、传输、存储为主要的网络管控机制，具有明显有效的作用[4]。医院信息化建设的硬件基本上实现了国产化，可是即使是国内品牌的设备使用的仍然是国外的技术，包括中央处理器（CPU）、内存、操作系统等。除了设备本身的技术漏洞，不能及时进行配置设定，不能定期给软件升级，没有使用必要的安全设备，交换机、网络打印机没有重置密码，或者有些医院没有采购正版软件等，都是在技术层面形成的安全漏洞。会使设备面临崩溃、系统崩溃、数据丢失等严重问题。近年来由于上述原因，多家医疗机构已经遭受了比较严重的入侵，造成巨大的损失，严重阻碍了信息化发展的速度，降低了信息化飞速发展带给医院发展的质量。

2.2软件技术方面：医院信息管理系统是个庞大而繁杂的管理软件。它不仅涉及多学科（临床、医技、药事、治疗、管理、保障等），还存在维度多、交叉业务频繁、条线复杂的情况。这么庞大的系统工程不是一个或几个厂家的产品能解决的，每个软件厂商都有其优势，那么医院就会采购多家厂商的产品。由此产生的后果是，每个系统的应用都符合应用部门的需求，然而这么多的厂商和近200多个系统的管理就会存在疏漏。尤其是软件厂商的产品本身有无安全漏洞、权限设置是否合理、密码规则有没有强制限定等，都是造成网络安全的因素。

2.3人为因素方面：医院计算机网络和信息管理系统是医院运营管理的主要手段。所有的资源都在信息系统内共享，如果一旦因人为操作不规范，就会使病毒入侵有机可乘，随着网络中数据的传输、交互，蔓延到整个网络架构，致使网络系统全面瘫痪。另外，病毒本身不易被检测到，所以很难通过目前的杀毒软件进行全面查杀。网络管理者的密码设置不够严谨、保存不当。以及应用软件的使用者安全意识淡薄都会使有心者提供威胁便利。从医院信息系统的应用来看，每个系统都需要身份信息识别，一般需要以账号、密码相结合的方式验证身份，这就引发了网络安全中常见的账号密码被暴力破解的问题。密码级别、复杂度低的密码设置增加了用户信息被盗的风险。

3解决网络安全的方法和措施

3.1建立健全网络安全保障体系：网络安全离不开制度保障，因此出于医院网络安全的考虑，我们首先要明确医院系统的网络架构，分析其中可能存在的隐患，针对具体的架构和隐患制定相应的网络安全应对方案和制度，并严格遵照落实。同时，要规范操作规程，定期或不定期地对重要的信息系统或平台进行风险评估和隐患排查，明确具体隐患的责任主体，加强访问控制权限、弱口令、身份鉴定等技术防范管理，净化网络环境。

3.2对网络系统进行安全隔离：医院作为特殊的机构，业务繁琐复杂，数据资源类型众多，数据规模庞大，每个部门对信息系统和数据的要求不一，因此，医院为提升信息网络安全水平，必须要针对具体业务部门的需求，在规划网络时，根据具体的实际情况，实行严格的内外网隔离，加强小范围的局域网网络隔离，从而保证数据在存储、传输共享时的网络安全。

3.3加大对医院网络信息安全的资金投资力度：医院的信息化发展离不开网络安全的保障，网络安全除了做好制度保障和技术防范措施外，有专门的网络安全软件、硬件防护设备更加重要，因此要加大对网络信息安全的软硬件设备资金的投资力度。比如，购买检测性能较好的杀毒软件，对每一台终端进行定时或不定时监测，一旦发现用户操作过程存在安全风险，则弹窗提醒，帮助用户作出有效判断，定时更新最新的病毒库，对当前系统数据传输过程中存在的风险数据进行界定，依据系统病毒库中的数据进行类型判断，判断为其中某种风险，就进行查杀处理，防止内部网络被入侵。还有，对重要信息系统的服务器做双机备份，当服务器A出现故障时，系统内部能自动检测并自动切换到服务器B，保证业务不停歇、数据不丢失。以及，运用身份识别认证技术，购买身份认证的服务器和介质，使用U盾作为用户签名的鉴定，防抵赖、防篡改。因此，医院网络信息安全需要安全防护软硬件做保障，加大软硬件的投资需要成本。

3.4定期备份、恢复数据：以上都是保证网络信息安全的预防措施，一旦发生网络安全事故，最首要的任务就是保证数据的恢复与业务的正常运行。因此，在网络安全遭受入侵时，尽可能地避免数据丢失或者将数据丢失带来的损失降低到最小是最为有效的一项补救措施，也就是说在日常工作中，定期地进行数据备份与恢复尤其重要。对数据进行备份，是为防止系统在出现故障或遭受攻击后业务中断造成数据丢失，而采取的将数据的全部或部分复制到其他存储介质的一种措施。数据恢复是指系统遭受灾难后，利用备份的数据对系统和业务进行恢复的过程。数据备份是为了对遭遇数据灾难后的数据进行灾难恢复，其核心是如何在灾难中保护数据及灾后迅速启用数据。根据数据灾难的类型，如：硬件故障、操作系统故障、软件平台故障、人为操作失误、网络入侵或其他安全事件，数据备份的方式和策略也有所不同，可以是定期或实时备份，可以是本地磁带、光盘、硬盘备份，也可以是远程磁带、光盘、硬盘备份，以及利用云计算技术进行备份，策略和方式根据具体实际情况选择结合。医院根据实际情况选择适合的备份方式，这样的话，在医院业务数据遭受灾难时，能保证数据在最短时间内恢复，保障原有系统的正常运行，将损失减小到最低。

在新时期，各大医院都在不断地加大资金投资力度，加快医院信息化的发展速度，这是医院发展征程上必须经历的阶段，有利于提升医院的品牌形象和服务质量[5]。在医院信息化发展为患者提供便利，为医院发展提供决策和支持的同时，也面临着网络信息安全的巨大挑战。因此，医院领导及工作人员要重视网络信息安全，将安全防护工作放在首要位置，通过建立健全网络安全保障体系，加大对网络安全工作的资金投资力度，利用软硬件设备和技术防范手段，安排专职人员定期数据备份与恢复等方式，将网络安全工作尽全力尽做到极致。网络安全无小事，只有做好医院信息化建设中的网络安全工作，医院信息化才能助力医院发展，更好地为提升患者就医体验、提升医院发展质量和服务水平做贡献。

作者:郭俊 郭煜 单位:山西省数字健康指导中心 山西省中医院信息管理科

医院信息化建设网络安全篇2

我国当前医院所构建的信息化程度相对较好，不断扩大信息化业务范围，全范围覆盖医院各个门诊科室等，提供了较大的就医便利，而随着信息化建设程度的加深，促使医院整体信息数据储量不断提高，呈现出明显的信息安全问题，医院信息网络当中所包含的数据内容关乎到医院及病患的权益保障，如若一旦发生网络安全问题，造成泄露、丢失，则会造成严重后果，因此，需要医院不断强化自身信息化建设中的网络安全管理，才能够促使医院整体信息系统呈现出更加良好的建设趋势。

1医院信息化建设网络安全的必要性

在现代化的发展过程当中，医院为了提高自身运营效率，形成现代化发展效果，大力发展信息化建设，作为其中的基础结构，计算机网络承载着医院当中的众多医疗管理系统。结合实际当中的医院计算机网络构架进行分析发现，其中包括了服务器、网络设备、交换设备以及储存设备在内的相关结构，同时，并伴有相关安全设备能够保障各项系统架构不受网络攻击。医院服务器内存储着大量的业务部署信息，利用高效存储设备对医院当中海量的医疗数据信息、用户资料等进行储存，结合网络设备促使医院当中的各个不同信息系统之间数据传输处于高效快捷功能状态。但是在此基础之上，为了保障数据运行安全以及信息系统的平稳，则需要安全设备予以充足保障，避免服务器以及网络设备等遭受攻击，影响医院正常运营。处于复杂的国际环境当中，促使信息化建设网络安全呈现出严峻形式表现，而在医院信息化建设过程当中的网络安全重要意义则尤为重要。因此，在当前医院建设信息化系统的过程当中，如何保障其安全稳定运行，有效预防网络安全风险，并降低系统运行安全威胁，避免就医患者数据隐私不被泄露成为了当前医院最为关注的重要话题[1]。只有全面完善医院信息化建设网络安全构建，才能够促使医疗服务体系形成更加高水平、高质量的发展成果。建设信息系统需要网络安全作出充足保障，因此，作为医院建设信息化服务过程当中的头等大事，网络安全则是首要影响因素。信息化服务流程中的系统以及网络安全二者之间相辅相成，缺一不可，全面加强网络安全构建，及时预防风险问题，做好全面安全控制则能够有效保障医院基础业务信息以及患者隐私数据的严密安全性，进一步为医院信息化高水平建设提供保障。

2造成医院信息化建设网络安全问题的因素

2.1硬件影响

现代化信息技术的高水平发展，促使信息化系统建设逐渐融合了安全防范技术，形成更加稳定的网络运行效果，能够对数据运行、储存、交换状态下的网络环境实施更加严格的管控，有效保障基础信息建设当中的数据安全。而我国当前大多数医院构建信息化的过程当中，逐渐实现了国产化软件应用，然，在这一基础上不难发现，大多数的国产软件其内部仍然应用到国外科技技术构建相应设备，包括中央处理器、操作系统以及内存等，均使用国外进口设备技术。除了国产设备其本身的技术缺陷，不能够及时对相关设备做好配置优化软件升级，无法应用更加安全的交换机以及网络设备，难以对相关设备应用进行密码重置，亦或是部分医院无法应用到正规采购软件出现盗版设备应用的网络安全风险，众多设备硬件层面当中出现的安全漏洞，将会促使医院实际应用信息化设备过程当中频繁面临系统崩溃，造成数据丢失。结合实际当中的信息建设网络安全问题进行研究发现，近年来基于这样的原因，促使多家医疗机构出现严重的网络入侵事件，造成信息数据的丢失，造成严重损失的同时，对医院信息化的建设发展造成影响，降低了医院整体服务质量水平。

2.2软件技术影响

医院信息化建设涉及到众多复杂软件结构，形成庞大的信息系统，其中不仅涉及到包括临床、医疗、药事、保障等众多结构内容，同时也呈现出更加频繁的多维度业务交叉数据，因此，为了适应这样的应用环境，软件工程不能够仅仅依靠于某一特定厂家完成[2]。由于在市场环境当中每一不同的软件厂商都具有不同领域特长优势，医院则会分别采购不同厂商的各项优势产品进行应用。然而，这样的应用后果则会导致每一系统虽然能够符合不同应用功能的实际需求，但是众多软件之间存在着较大的差异性，则在管理过程当中不能够形成统一化管理效果，所构建的软件网络安全保障措施也无法满足全部软件的实际需求，促使软件系统管理过程当中将会存在明显的漏洞。尤其是针对于众多不同软件厂商，其软件产品不能够全面检测其本身是否具有安全漏洞，同样也不能够设定一致的密码规则以及访问权限等，埋下严重的网络安全隐患。

2.3人为影响

而当前医院当中所构建的信息化建设，包括信息管理系统以及计算机网络在业内作为医院信息化运营管理的主要方式，其中信息系统内储存着大量的信息资源，如若由于人为操作失误，则会导致信息系统受到病毒入侵，顺延整体信息网络蔓延至整体信息系统框架当中，促使医院信息化系统全面瘫痪。并且在实际当中，如若出现基于网络黑客的攻击行为，医院整体网络系统受到病毒攻击，则过于庞大的系统难以及时查杀有关病毒。并且，医院信息系统管理者难以认真负责保存密码设置，促使管理疏忽大意由于人为原因造成密码泄露等，都将会对医院整体信息网络安全造成影响。关于网络系统所构建的密码安全等级相对较低，复杂程度不够，促使外力能够轻松破解密码，医院信息数据被盗造成严重网络安全事故。

3强化信息化建设网络安全的方法措施

3.1构建网络安全保障体系

对医院当前信息化建设当中的网络安全进行全面分析，分解其影响因素并建立相应的强化安全措施，则需要建立在完善的制度保障基础之上。基于医院当前信息化建设当中的网络安全，则首先需要全面分析其信息系统下的网络构架，全面监测其中存在的隐藏网络安全隐患。结合信息化系统的实际构架以及风险隐患等，制定针对性网络安全保障制度以及应对方案，并促使医院当中的相关信息技术人员能够全面按照既定制度保障落实网络安全管理。同时，也需要加强系统操作规范，针对于各项信息化建设需要实施定期安全排查，全面监测其中风险发生周期解决隐藏网络安全问题。并加强信息化建设下各环节主体的明确责任保障，加强安全监管，避免网络安全问题的发生。具体来讲，在医院当中的信息化建设，对无线端口实施强化保护，则能够有效屏蔽非法信号接入，为医院网络用户信息筛选与隔离做出充足安全保障。同时，也需要加强信息化网络访问安全认证管理，在患者登录医院网站注册使用时，需要做好更加详细且严格的安全认证，验证患者提交的个人信息真实性，对比确认无误之后才能够允许患者访问医院网络，借助于安全认证措施，能够有效避免身份信息盗用。同时，对身份信息认证同样也可以结合不同访问次数设定分级权限，通过设定密码等不同方式，全面保护医院信息网络使用者的信息安全性[2]。同时，医院内部在传输患者信息时注意日常登录使用等数据加密处理，避免网络信息防火墙过弱造成患者信息泄露被窃取。建立完善管理制度，能够针对于医院内部信息化建设的各网络平台做好日常巡检评估，对其整体系统安全做好控制管理。

3.2安全隔离网络系统

医院作为保障民生基础活动，为人民大众生命安全做出努力的特殊机构，其日常当中所形成的经营业务相对较为繁琐，因此，会涉及到众多不同类型的数据资源，且医院日常当中的人员数量流动规模相对较大，形成的数据量同样更为庞大。并且医院部门科室的分类相对繁多，则基于每个不同部门下所构建的就诊业务所需对应的信息系统，其建设标准与数据要求等不一。而实施网络安全隔离最重要的就是构建安全的物理环境，作为网络安全的基础保护措施，医院各项信息建设设备的物理环境对其网络安全状态具有直接影响。首先来讲，信息系统机房的位置需要避免选择最顶层或最底层的位置，远离水管结构等设施，促使设备机房能够形成良好的防潮防雷功能。并保障信息化建设当中所有的硬件设备机房外部具有良好的防破坏设施，构建安全防盗门。并在机房内外安装充足监控设备，基于医院整体控制中心后台24h动态监控，在发生异常状况的第一时间能够及时发出警报并得到有效处理。并且，为了保障医院各项数据信息在信息化设备机房当中的储存具有良好安全保护效果，则需要机房本身能够形成良好防静电功能，且构建相应的智能空调设施，对机房内部温度、湿度条件进行控制，避免由于设备长时间运转造成负荷过大，产生损坏故障影响数据安全。并配备例如七氟丙烷灭火装置等消防设备，且保障为机房供应不间断电源，全面提高网络安全保护效果[3]。

3.3定期安全检测防护

医院的现代化、信息化发展必然建立在充足的网络安全保障基础之上，除了需要对当前医院信息化建设做好完善的安全保障制度建设以及技术设备防范隔离之外，同时，也需要加强信息化建设当中的专用网络软件安全防护。需要医院能够加大软件安全防护资金投入力度，结合多方面安全防护措施，保障信息软件应用效果。例如，购买具有较好检测性能的杀毒软件，对医院信息化建设中所涉及到的软件结构实施全面检测杀毒，一旦发现操作过程当中出现明显的安全隐患，通过智能弹窗及时提醒并帮助医院以及网络用户作出判断。同时，对医院信息网络病毒库进行及时更新，结合不同时段背景下所传输的系统数据中风险系数进行检测界定。结合现有信息化系统当中所形成的病毒库对应数据做好判断分类，如若通过对比发现其为某种特殊病毒风险，则需要及时进行查杀，从而避免内部网络受到病毒入侵。同时，也需要对医院各处信息系统服务器做好备份处理，构建双重安全保障机制，当其中某一服务器出现明显故障问题时，则通过自动检测，对其进行切换，避免业务处理时由于服务器故障问题而影响到业务进度，造成数据丢失。

4结语

医院不断发展信息化建设的过程当中，其中最为严峻的网络安全问题需要得到全面解决，才能够保障医院整体信息化服务水平得到提升，并同时为医疗数据以及患者隐私做出相应的保障，基于这样的需求，需要医院相关管理人员能够积极重视网络信息安全意义，加强日常当中的网络安全防护，尽善尽美做好软、硬件设备的防护措施，加强数据管理，做好定期备份，细化日常安全管理细则，有效提升信息化建设水平，为医院高质量发展做出贡献。

作者:韩国梁 单位:蚌埠医学院第二附属医院

医院信息化建设网络安全篇3

近年来,我国医药行业信息化发展迅速、全面,互联网、大数据、云计算等新兴技术融合深入,尤其是在2020年新冠肺炎疫情的影响下,传统医疗服务快速向互联网医疗、智慧医疗等新兴业态转换,行业数字化转型进程明显提速。在我国的信息化建设之树开花结果的同时,医院内的医疗信息安全同样迎来了新的安全威胁和挑战,网络安全的管理和保护在很多方面决定着医院的信息化建设与发展的成败[2]。根据中国信通院(CAICT)《2020年数字医疗网络安全观测报告》统计,从962家医疗机构单位被检测出存有僵木蠕毒感染风险,对比2019年,整体数量有所上涨[3]。国家信息安全漏洞共享平台(CNVD)包含20704个安全漏洞,这些漏洞继续增加,同比增长27.9%[4]。Windows是医院各种信息系统中应用最广泛的平台,同时也成为不法之徒的关注点。各式各样的伪装后的病毒在Windows系统中的安全防护漏洞广泛传播,对医院的信息安全和网络安全构成了严重威胁。在进行医院信息化建设的征程中,如何充分利用信息系统的优势和特点,不仅为医院业务的发展服务,而且有效地保障系统信息网络的安全,这已成为医院信息化建设的重要课题。在医院信息化建设过程中,如何充分发挥信息系统的优势和特点,既为各医院企业的发展服务,又有效保障系统信息网络的安全,已成为医院信息化建设的重要课题。

1国内医院网络安全现状

依据中国网络安全评估中心对其中73家医疗机构信息系统针对性的网络安全评估结果显示,58%的医疗信息系统存在弱加密问题;59%的医疗信息系统网络保护体系结构不完善,包括网络区域划分不合理,没有网络链路冗余等问题[5]。60%的医疗信息系统缺乏完善的数据备份机制,包括缺乏远程备份机制和不合理的备份策略;72%的医疗信息系统在数据存储和传输中没有加密;大多数医疗信息系统都存在监管不力、制度不健全、人的安全意识淡薄等问题。

1.1身份认证口令不健壮

用户身份认证是信息系统和关键数据保护的首道防线和最重要防线。目前,医疗行业的信息系统大多采用“用户名匹配密码”的古老认证方式,安全性效能较低,很少采用“两因素认证”等强大的认证方案,登录密码的强弱程度直接关系到医疗信息系统的信息安全。信息系统用户经常使用易被他人猜测或解密的弱密码,使得攻击者即使没有技术基础也能攻击目标系统。当密码被破解以后,攻击者可以进一步进入目标系统,将会给企业和个人造成严重财产损失。

1.2漏洞管理体系不完善

漏洞几乎是所有安全事件的源头。常见的漏洞有0day,day,Nday漏洞和不可修复的Nday漏洞。严格意义上来讲,弱密码、未授权的访问也可以归为安全漏洞。漏洞管理体系主要包含4个阶段,分别是资产发现、漏洞扫描、漏洞处理、数据分析和展现。很多医院在资产管理工作不到位,不清楚业务系统的IP、端口和服务、URL资产等,也就带来漏斗扫描得不全面、不彻底。有些医院只做漏洞发现,而不做漏洞处置、修复、复查和再整改。

1.3网络安全产品配备不足

在统计数据中发现,在信息管理系统保护措施和逻辑防病毒及防护设备完全安装的原则上,安全保障率仅仅为21%。在数据泄露保护、web应用保护等安全防护设备中,由于缺乏网络安全产品,使得网络攻击者能够轻松、秘密地入侵医疗信息系统。这已成为信息泄露和勒索病毒频繁发生的重要原因。

1.4网络安全管理不到位

医院网络用户和管理者是网络安全管理的主体和关键。在日常网络信息安全管理体系建设中,各医院虽然都建立了信息管理系统,但仍存在一些问题。有的医院对网络信息安全重视不够,没有建立完整的信息系统安全管理体系,与医院主动管理系统相比,医院主动管理系统中的数据更安全。从应急管理的开展来看,大多数医院都制定了较为完善的应急管理方案,但很少有医院进行应急演练,多数医院都安全地保存了信息系统数据。但是,医院内部和外部技术支持的建立还不尽如人意,严重影响了医院应急管理的实效性。

2医院网络安全面临的挑战

2.1安全防御体系落后

大部分的医院的网络安全防御体系通常采用单点防护的思维,以安全产品为主要落实手段,不仅忽略了产品之间的配合与联动,降低了产品的防护效果,也忽视了产品与安全管理结合的重要性,没有达到理想的防护效果,同时安全防御技术迭代速度慢,因此遭受攻击的概率持续增加。

2.2风险评估未落地

威胁利用脆弱性对资产造成的可能性就是风险。网络信息安全的风险评估就是按照风险评估的标准对软硬件资产、数据资产、人等进行脆弱性评估,发现各类(合规或违规)技术手段、非技术手段的胁迫和所遭遇的危险,即威胁,也就是发现外部要利用脆弱性的因素[6]。《信息安全技术信息安全风险评估规范》GB/T20984—2007,于2007年6月4日颁布[7]。该规范规定了风险评估框架和过程、风险评估实施的规范性要求及信息系统生命周期各阶段的风险评估和风险评估工作形式,是信息系统风险评估的国家标准[8]。按照风险评估标准切实落地、执行,才能全面认清系统面临的风险。但实际上很多医院对风险评估工作认知不足,流于形式,没有切实执行落地,也就无法了解自身面临的风险和如何处置风险。

2.3新技术的网络安全

近年来,云计算(公有云、私有云)、大数据、移动互联网、个人手持终端、穿戴式设备等新技术在医院信息化建设、应用中。这些新技术的应用很容易造成网络外来入侵、数据滥用、数据泄露的安全风险的隐患。公有云的基础设施和云平台的运营是由第三方市场化管理,医院通过互联网访问公有云平台,内外网互通,而这些公有云平台资源由多个机构或部门共享,彼此间只做到了逻辑隔离。只要公有云运营者对平台管理不善,就会增加网络入侵风险和造成数据泄露和毁坏。私有云虽然计算资源独占,但如果采用托管模式或外部管理通过公共网络访问,仍然面临与公有云同样的网络安全风险。大数据平台和技术广泛用于医院的运营数据(收费、药品等)、医疗数据(挂号、住院、病历、影像等)进行分析和数据价值利用,具有很强的现实需求,发展前景广阔。但与此同时,大数据及其分析利用对数据安全也带来需要数据的人员已远超出医疗机构的临床医疗人员,扩展到医院管理、行业管理以及非卫生行业人员,数据泄漏的风险也随之加大。移动网络技术在医院内部的医疗业务有着天然的需求。医生的移动查房、护士的移动护理已经在一大批医院得到不同程度的应用。移动医疗不论是通过WIFI局域网还是3G/4G/5G广域网,都是采用开放式网络,容易受到外来攻击,通信内容较容易被截获。同时,移动公共网络开展面向公众服务,使用者的身份验证和权限控制管理不慎的话,病历资料受攻击和冒用的可能性增大。个人手持终端和穿戴设备,由于自带的软硬件平台(Andriod、IOS、Windows)不同,其安全防护软件和方案不同,给安全防护增加了技术上的复杂度和管理上的难度,可能降低终端认证和终端防护水平,一些外来非法设备接入的可能性大大增加。

2.4数据交互的网络安全

随着业务的发展,消除医院内各业务系统的信息孤岛,加速医疗数据在内部的交互和上下流动是医疗信息化建设的重中之重。这使得现有医院内外网物理隔离的架构将面临颠覆性的改变,也使得无论是结构化或者是非结构化数据的安全防护,均存在一定程度的隐患,如技术漏洞、物理故障、恶意攻击等[9]。数据交互层面从两个方向来看:纵向视角,一是政策推动医疗机构上传数据,方便主管部门监管医院运营;二是区域医疗平台和医疗联盟也需要通过网络吸收医疗资源,信息终端从卫健委分布到县医院和村卫生院,每一个都可能成为泄露数据的导出口。从横向上看,医疗保险系统一方面要与医院系统相连,另一方面要与各级主管部门和定点药店相连,在数据共享和业务共享的基础上为被保险人提供服务。当然,这个横向网络还包括银行、运营商和其他辅助机构,因此安全威胁来自更广泛的来源,远远超出了医疗机构的范围。除了纵横交错的外在交互,医疗机构自有的公共服务平台也存在安全隐患。比如医院官网,几乎所有三级以上医疗机构都有网站,任何人都可能通过网站对医院服务器发起进攻。

3新形势下医院网络安全治理与防护

3.1做好风险评估与差距分析

信息系统风险评估的结果将直接决定信息系统安全防护措施的选择。通过资产评估、漏洞分析、审计、网络架构分析、数据流分析,全面分析信息系统资产状况、主机、数据库、安全设备和网络的弱点、威胁和风险,形成《风险评估报告》或《等级保护差距分析报告》[10]。在风险评估和差距分析的基础上,结合医院信息系统安全建设的实际需求和目标,采用分层域保护的方法,制定了一套完整的安全整改建设方案[11]。

3.2建立网络安全纵深防御

纵深防御最初是在美国“信息保障技术框架”(IATF)的基础上提出的,并被应用于美国国防部(DOD)《全球信息栅格(GIG)信息保障政策与实施指南》中,以指导军事GIG的建设。纵深防御的基本思想是利用多层次的保护来抵御信息网络的威胁,因此能够突破一个层次或一种保护的攻击不能摧毁整个信息基础设施和应用系统。将纵深防御思想引入到医院网络安全体系中具有重要的意义:一是在防御广度上,对医院内的广域网、局域网以及主机之间采取各种有效的防护策略;二是在防御深度上,对医院网络可形成“预警→保护→检测→响应→恢复→反击→预警”的闭环结构[12]。

3.3逐步向零信任架构演进

零信任网络体制框架的最关键思想是,在非特殊情况下,我们应该保持不信任网络内外的任何的人、设备或者系统,而应该重建基于身份验证和授权的访问控制的信任基础。它的实质是引导安全体系结构从传统的网络集中到身份集中,并基于身份进行访问控制。零信任系统向个人设备和用户传输边界访问控制,打破传统边界防护思维,建立以身份为信任基础的机制,遵循先验证设备和用户、后访问业务的原则,不再自动信任内部或外部任何人、设备和应用,在授权前对任何试图接入网络和访问业务应用的人、设备或应用都进行验证,它还提供了一个动态的细粒度访问控制策略,满足最小授权原则。这样极大地收缩了攻击面,提升了对内外部攻击和身份欺诈的发现和响应能力。建议医院的网络信息安全基础架构逐步向零信任体系演进。

3.4加强人员安全风险意识和能力培养

在网络安全的各项影响因素中,人员的影响是最为显著和重要的。医疗机构的网络安全防护能力,在很大程度上取决于机构从业人员的安全意识和安全能力。尽管近两年来医疗行业整体安全水平比以往有所提升,但对比其他行业,医疗行业整体安全情况仍处于较差水平,行业从业人员安全意识和安全能力仍有很大提升空间。因此,医疗机构应重视加强对所有员工的网络安全教育来提高网络安全意识,尤其应培养针对钓鱼邮件、恶意网页、弱密码设置等典型问题的安全防护意识和攻防能力培养,降低由于安全意识和能力不足带来的网络安全隐患,切实提升机构整体的安全防护水平。

4结语

医院信息系统所涉及的医院所有业务,其网络的安全状态直接关乎到医院的健康、生命安全以及社会生活秩序的稳定。医院信息化建设应更加重视网络安全管理和保护,并建立切实可行的医院安全管理机制,根据医院安全的实际情况,去建立高水平的安全管理队伍和网络信息安全保障体系,尽可能地规避发生医院信息系统被侵入,信息数据丢失或者泄露的情况发生,从而对医院和病人各项权益加以保障[16]。互联网技术的飞速发展不仅便利了人类的生产和生活,也带来了许多风险,如病毒入侵、信息泄露等。因此,构建网络信息安全的“防火墙”,规避一切可能的网络风险,是当前信息安全研究的重点和难点。许多医院已经在医院信息系统(HIS)、不同科室之间、多个系统和多个服务的基础上完成了相互连接与整体建设。但是,在提高数据存储、资源使用和工作效率的背后隐藏了巨大的安全风险,例如对医院计算机的攻击,这可能会使整个系统瘫痪,并影响医院的运营。因此,本文针对医院信息化建设中存在的问题,探讨了如何提高医院的安全性和防护,加强医院信息化建设。通过解决存在的问题,加强计算机网络安全,提高医院运行效率,改进医疗管理流程,提高医院网络的安全性,增强患者和医院医务人员的认同感和归属感。通过提高医疗质量和患者就医质量,提高医院的整体医疗水平,为医院的数字化发展打下坚实的基础,保证医院的快速健康、稳定和可持续发展。

参考文献

[1]13部门发文力推互联网医疗,建设智慧医院、鼓励在线购药[J].医学信息学杂志,2020,41(7):95.

[2]周凯.试论医院信息化建设中的网络安全管理与防护[J].科技创新与应用,2020(34):193-194.

[3]中国信通院.数字医疗网络安全观测报告[R].2020.

[4]陈芳.融媒体背景下移动互联网安全研究[J].科技传播,2017,9(14):81-83,90.

[5]刘思思,徐丽娟,路红,等.医疗行业网络安全白皮书(2020年)[N].中国计算机报,2020-04-20(008).

[6]黄乐.企业信息安全建设之道[M].北京:机械工业出版社,2021.

[7]甘清云.《信息安全风险评估规范》修订思考[J].网络安全技术与应用,2018(12):11,25.

[8]刘一丹,董碧丹,崔中杰,等.基于模糊评估的等级保护风险评估模[J].计算机工程与设计,2013,34(2):452-457.

[9]袁琛.医疗行业数据安全探析[J].医学信息学杂志,2016,37(2):43-46.

[10]胡环续.医院信息系统信息安全等级保护的实施探讨[J].计算机产品与流通,2019(11):127.

[11]李维冬,殷伟东,陈平.南京市卫生12320网站等级保护建设要点和思考[J].中国医疗设备,2016,31(1):153-155.

[12]葛红.企业信息安全立体防护体系构建研究[J].网络安全技术与应用,2021(3):96-97.

[13]黄仁全,李为民,张荣江,等.防空信息网络纵深防御体系研究[J].计算机科学,2011,38(S1):53-55,58.

[14]余双波,李春燕,周吉,等.零信任架构在网络信任体系中的应用[J].通信技术,2020,53(10):2533-2537.

[15]章伟,周萍.“互联网+电子政务”云平台构建及云存储安全策略研究[J].电子测试,2020(7):62-66.
 
[16]左英男.零信任架构:网络安全新范式[J].金融电子化,2018(11):50-51.

作者:龙智勇 陈姣 阳赣萍 邓丽君 丁长松 单位:湖南中医药大学第一附属医院信息中心 中南林业科技大学涉外学院经济学院 湖南紫薇垣信息系统有限公司技术部 湖南中医药大学科技处