試論醫院信息化建設中的網絡安全管理與防護

周凱

摘? 要：文章簡要闡述了當前我國醫院網絡安全的現狀，在此基礎上，分析了互聯網時代醫院網絡安全面臨的挑戰，并就新形勢下醫院網絡安全管理與防護措施進行了探討。

關鍵詞：醫院信息化建設;網絡安全管理;安全防護

中圖分類號：TP393.08 文獻標志碼：A? ? ? ? ?文章編號：2095-2945（2020）34-0193-02

Abstract： This paper briefly expounds the current situation of hospital network security in China， and on this basis， analyzes the challenges faced by hospital network security in the Internet era. Finally， this paper probes into the management and protective measures of hospital network security under the new situation.

Keywords： hospital information construction; network security management; security protection

引言

近年來，我國醫院信息化建設取得了飛速的發展，尤其是在“互聯網+醫療健康”發展的推動下，醫院信息化建設正朝著網絡化、數據化、智能化方向不斷邁進，信息化建設正成為醫院現代化發展的重要支撐，推動著醫療服務向更加人性化、更加智能化、智能化的方向發展。在我國醫院信息化建設取得豐碩成果的同時，醫院醫療信息安全問題也面臨著新的安全風險和挑戰，網絡安全管理和防護正成為醫院信息化建設中至關重要的組成部分，某種程度上甚至關系到醫院信息化建設的成敗。根據相關統計結果，目前各類信息化系統的安全漏洞數量每年都有較大范圍的增長，2017年的數量同比增長了47%，2018年同比增長了40%，截至2019年12月，國家信息安全漏洞共享平臺收集整理信息系統安全漏洞16193個，較2018年（14201個）增長14.0%。windows是各類信息化系統中應用最多的系統平臺，同時也是被不法之徒們重點關注的對象。針對windows系統安全漏洞的各類病毒的大范圍傳播對醫院信息化系統的網絡安全造成了重大威脅。如何在醫院信息化建設過程中，既充分發揮信息化系統的優勢特點，服務于醫院各項業務開展，又能夠有效保障系統的信息安全，成為當前醫院信息化建設的重要課題。

1 醫院網絡安全現狀

隨著我國醫院信息化建設進程的不斷加快，各級醫院對各類信息系統的依賴程度也不斷加深，與此同時，網絡安全問題也日益突顯。就目前而言，我國醫療系統的網絡安全現狀大致表現在以下幾個方面，一是網絡安全組織機構建設;二是日常信息安全管理制度建設與落實;三是應急管理工作的開展情況;四是網絡信息安全保障投入情況;五是信息安全事件及應對。

在網絡安全組織機構建設方面，我國醫院大多都建立了以院級領導分管的醫院信息化建設管理部門，但設立專門的網絡安全管理部門及專職網絡安全管理人員的醫院并不多，通常是由醫院信息科來負責相關工作。此外，大多數醫院并沒有明確的網絡信息安全體系建設規劃，即便一些有這樣的規劃，在具體實施方面，落實情況也并不理想。在此方面，二級醫院同樣落后于三級醫院。

在日常網絡信息安全管理制度建設方面，各級醫院都建立了信息化管理方面的制度，但也有一些在網絡信息安全方面不夠重視，沒有建立完善的信息系統安全管理制度，相較于信息化系統的安全管理制度，醫院對數據安全管理制度方面更為積極。

在應急管理工作的開展情況方面，多數醫院都建立了較為完善的應急管理預案，但開展過應急演練的醫院還是比較少。多數醫院都對信息化系統的數據進行了安全備份，但在內、外部技術支援建立方面不盡如人意，在很大程度上影響了醫院的應急管理工作的實際效率。

在網絡信息安全保障投入方面，雖然我國很多醫院對于信息化系統的建設都比較重視，在經費投入方面都具有明確的預算，但對于網絡信息安全保障投入方面的卻差強人意，很多醫院的網絡信息安全保障經費預算在整個信息化建設經費投入中的占比不足5%，很多醫院在信息化系統新建、改建、擴建過程中，沒有將網絡信息安全防護措施同步設計、同步建設及同步使用，新建信息化系統項目中不少醫院都沒有將網絡信息安全納入技術方案審核。

在網絡信息安全事件和應對情況方面，80%以上的醫院都發生過病毒感染、木馬以及內部人員濫用網絡端口和系統資源等網絡安全事件，由此造成的數據丟失、系統崩潰、網絡無法使用等事件多有發生。一般醫院具備一定的網絡信息安全事件應對能力，但發現手段單一、應對能力與不足，多數情況下，需要請網絡安全服務單位及網絡開發維護單位協助解決。

總的來說，我國醫院網絡信息安全現狀并不很理想，與醫院信息化系統建設的發展速度相比較，網絡信息安全管理與防護工作明顯滯后，整體上亟待加強。

2 互聯網時代醫院網絡安全面臨的挑戰

2.1 安全防護體系變革

我國醫院的信息化系統建設，多數采用的封閉式的物理隔離、內部獨立的網絡架構，這種傳統的信息體系架構，有利于醫院信息化系統的穩定運行，能夠有效降低醫院信息化系統的網絡安全風險，在數據安全方面也具有較強的優勢，可以確保關鍵醫療數據如電子病歷等的產生、傳輸、存儲、運用等均被限制在醫院內網，網絡安全管理與防護的重點也是在醫院內部網絡，較少涉及外網的安全管理與防護。近年來，隨著互聯網技術在醫院信息化系統建設中的應用，尤其是移動醫療、遠程會診等醫療新業務的快速發展，醫療數據的互聯互通正逐步推動醫院信息化系統從封閉的網絡架構向開放式的網絡架構轉變，醫院內網、外網的邊界正日益模糊，傳統的基于封閉式網絡的安全管理與防護手段已經難以適應新的網絡安全形勢。

2.2 醫療數據安全保護

我國醫院信息化建設經過十幾年的發展，目前已經從單一的收費系統拓展到了醫院各個業務部門，數據中心建設正成為現階段我國醫院信息化建設的重要方向。在此形式下，醫療數據的安全保護成為醫院網絡安全管理與防護的重要工作內容，尤其是患者醫療數據隱私性保護的重要程度日益突顯，對醫院網絡信息安全管理和防護工作提出了挑戰。患者醫療數據覆蓋門診、住院、檢驗、檢查等各個環節，日趨立體化，特別是隨著互聯網技術在醫療行業的逐步滲透，移動醫療、可穿戴設備在醫院的大量應用，醫院的醫療數據傳輸已經遠遠超出了醫院內部范圍，傳輸方式、路徑更為多樣，這無疑對醫院患者醫療數據的保護形成了新的挑戰，增加了保護的難度。而鑒于患者醫療數據的私密性，一旦發生數據泄露，往往會對醫院及患者本人造成難以預料的后果，其嚴重性難以忽視。

2.3 網絡安全防護能力

醫院網絡安全防護能力的挑戰主要表現為醫院網絡安全管理與防護專業人才的匱乏，這已經成為當前我國醫院網絡安全管理與防護工作開展的關鍵問題、瓶頸問題。專業的醫院網絡安全管理人才屬于復合型人才，不僅要熟練掌握信息安全技術、網絡安全技術，還要具備一定的醫療行業知識與經驗。我國目前醫院的網絡信息安全人員，專業背景大多為計算機技術及網絡信息安全技術，真正兼具醫療行業專業知識的鳳毛麟角。但即便是這種單一的技術人才，在整個醫療行業也十分匱乏，尤其是網絡安全管理人才，是目前各行各業都在爭奪的熱門人才，市場需求極為旺盛，人才缺口巨大，這無疑為醫院網絡信息安全管理人才的引進、吸收帶來了巨大的挑戰。

2.4 網絡安全事件應對

隨著我國醫院信息化建設的快速發展，醫院各項業務的開展日趨網絡化、數字化，這使得網絡安全事件發生的概率急增。而一旦發生網絡安全事件，一般醫護人員往往會措手不及，網絡安全事件應對能力的提高正成為醫院信息化建設亟待解決的問題之一。

3 新形勢下醫院網絡安全管理與防護措施

3.1 延伸醫院網絡安全管理與防護的范圍

隨著醫院信息化系統建設逐步從封閉的內網向開放的外網發展，醫院網絡安全管理與防護工作的重點也應從內網向互聯網拓展，即延伸醫院網絡安全管理與防護的范圍。具體來說，應通過防病毒、網絡入侵監控、建立DMZ區等手段加強醫院內外網邊界的網絡安全防護，在網絡出口和重要的安全域出口加強網絡隔離和控制，保證外部黑客或非法人員不能通過安全防御系統的“大門”。

3.2 規范醫療數據管理

從管理層面來說，規范醫院的醫療數據管理，首先應明確醫院各業務部門的職責，根據各業務部門職責范圍來確定其對醫療數據訪問、使用的權限，進而建立完善的符合醫院工作實際的醫療數據管理規范。從技術層面來說，數據中心建設是當前醫院信息化建設的主要內容，醫院應根據數據中心建設整體規劃，從醫院科研、臨床醫療、患者服務等業務系統中將數據信息的收集、整理、存儲等工作分離出來進行集中統一管理，多級數據中心的建立可以有效實現醫療數據信息的高等級統一防護，既可以保障數據信息的安全，同時也可以有效減少安全保障經費的投入。此外，對醫療數據進行統一集中管理，運用大數據技術，可以對大量結構化與非結構化數據信息進行分析處理，從中挖掘、提取有價值的醫療信息，使醫療數據真正成為醫院的信息資產。

3.3 加強安全防護能力

加強醫院網絡安全防護能力，至為關鍵的工作是要加強醫院網絡安全人才隊伍建設。網絡安全人員作為醫院網絡安全防護工作的責任主體，其工作能力、專業素質、責任意識等對醫院網絡安全防護工作的成效至關重要。加強醫院網絡安全人才隊伍建設，應從引進吸收高素質人才和培養具有醫療行業信息安全管理特點的人員兩方面著手。在網絡安全管理人才市場競爭激烈的背景下，醫院應在崗位設置、福利待遇、職位晉升等方面提高對人才的吸引力，盡可能吸納高素質優秀人才進入;在人員培養方面，可以加強與專業網絡安全機構的合作，一方面可以借助網絡安全專業機構的技術積淀來培養醫院網絡安全管理人才，另一方面也可以增強醫院網絡安全防護的外部救援力量，如此一舉兩得，可以有效加強醫院的網絡安全防護能力。

3.4 制定切實可行的應急預案

網絡安全事件具有突發性、難以有效預測的特點，一旦發生，往往會在短時間內對醫院的正常工作造成重要影響。因此，制定切實可行的應急預案，是醫院網絡安全管理的重要內容。應急預案的制定需要根據醫院網絡安全事件發生的可能性、影響范圍、造成的后果等因素來進行，預案應明確醫院各業務部門在安全事件發生時的具體應對策略、措施以及指揮人員，尤其是臨床醫療與患者服務部門，應根據實際情況進行針對性的應急流程設計，確保在安全事件發生時能夠為具體的應對提供依據。

參考文獻：

[1]韋力，段沁，劉志偉.互聯網時代醫院網絡安全管理綜述[J].信息網絡安全，2019（12）：88-92.

[2]盧長偉，趙浩宇，李景波.醫院網絡安全管理方案與措施[J].中國醫院管理，2017，37（02）：56-57.

[3]王麗.新形勢下醫院信息安全所面臨的挑戰與對策分析[J].網絡安全技術與應用，2015（01）：192-193.