關(guān)鍵詞:等級保護�;醫(yī)院��;網(wǎng)絡安全�;信息系統(tǒng);合規(guī)建設
摘要:有研究表明�����,針對醫(yī)療機構(gòu)的勒索軟件攻擊可能會產(chǎn)生生死攸關(guān)的后果�����。近25%的醫(yī)療保健提供者報告說�����,勒索軟件導致患者死亡率增加����。所以醫(yī)院做好網(wǎng)絡安全防護是至關(guān)重要的,這也是對醫(yī)院患者的一份負責!
隨著醫(yī)院信息化建設的飛速發(fā)展�,醫(yī)院的信息系統(tǒng)已經(jīng)運用到醫(yī)療服務的各個環(huán)節(jié)中,但以安全事故引起的系統(tǒng)故障����,醫(yī)療活動的開展將會受到嚴重影響。如何規(guī)劃醫(yī)院網(wǎng)絡體系建設����?國家對信息安全越來越重視,等級保護相關(guān)標準為適應新環(huán)境����、新技術(shù)進行了優(yōu)化升級,按照衛(wèi)健委對三級甲等醫(yī)院信息系統(tǒng)定級不低于三級的要求��,提出以“一個中心��、三重防護”為核心的合規(guī)建設方案��,并對未來安全防護的優(yōu)化提出建議����。
醫(yī)院等保
一�、現(xiàn)階段醫(yī)院現(xiàn)狀分析
根據(jù)《2019-2020年度中國醫(yī)院信息化狀況調(diào)查報告》顯示,在被調(diào)查的390家醫(yī)院中互聯(lián)網(wǎng)醫(yī)院需要3級等保,網(wǎng)絡安全年投入在50-100萬元的醫(yī)院占比17.18%�����;年投入在100-200萬元的醫(yī)院占比17.69%����;年投入200萬元以上的醫(yī)院占比15.9%。
數(shù)據(jù)來源:《2019-2020年度中國醫(yī)院信息化狀況調(diào)查報告》
據(jù)CHIMA《2019-2020年度中國醫(yī)院信息化狀況調(diào)查報告》顯示����,醫(yī)院在信息安全方面的投入已占總投入的9.43%,投入顯著增加�,在2019年有43.95%的醫(yī)院實施并通過了等級保護測評,2020年有66.18%的醫(yī)院通過了網(wǎng)絡安全等級保護測評���。由此可看出���,醫(yī)院對網(wǎng)絡安全的投入相比往年有很大程度提升。但仍有部分醫(yī)療機構(gòu)對網(wǎng)絡安全建設重視程度不足的情況����。報告統(tǒng)計了醫(yī)院對于信息安全保障工作開展的情況,如下圖所列舉的安全防護措施�。
醫(yī)院采取的網(wǎng)絡安全措施
?從圖中看到����,醫(yī)院所使用的安全防護措施也是比較全面的���,但是能夠真正這樣部署的醫(yī)院寥寥無幾�。目前���,還有為數(shù)較多的醫(yī)院主機還是 xp�����、移動醫(yī)療PAD設備還是 CE等被淘汰的操作系統(tǒng)����,漏洞百出的主機極易被黑客攻陷����。在醫(yī)院的網(wǎng)絡拓撲中,從建設初期沿用至今��,隨著應用的擴展和網(wǎng)絡結(jié)構(gòu)的復雜化��,暴露出內(nèi)外網(wǎng)物理隔離或者邏輯隔離的漏洞互聯(lián)網(wǎng)醫(yī)院需要3級等保��,安全設備形同虛設�。在安全管理上,維護人員為了圖方便而使用弱口令���,沒有一套完整規(guī)范的管理辦法�、沒有專業(yè)的技術(shù)培訓���。
醫(yī)療行業(yè)是勒索病毒威脅的“重災區(qū)”——入侵醫(yī)療行業(yè)的惡意軟件高達85%��,其中數(shù)據(jù)庫服務器成為了勒索病毒的主要攻擊目標��。也正是因為醫(yī)療機構(gòu)網(wǎng)絡安全意識淡薄����、資金投入不足����、專業(yè)人才缺乏等問題,才導致醫(yī)院信息系統(tǒng)近年頻頻遭受“勒索軟件”攻擊��、病毒植入導致業(yè)務服務中斷等安全事故���。
且有研究表明�����,針對醫(yī)療機構(gòu)的勒索軟件攻擊可能會產(chǎn)生生死攸關(guān)的后果����。近25%的醫(yī)療保健提供者報告說,勒索軟件導致患者死亡率增加���。所以醫(yī)院做好網(wǎng)絡安全防護是至關(guān)重要的����,這也是對醫(yī)院患者的一份負責����!
二、醫(yī)院網(wǎng)絡體系建設原則
醫(yī)院作為保障基礎民生的重要基礎設施�����,確保其醫(yī)療服務的穩(wěn)定是十分重要的����。隨著醫(yī)院信息化的腳步加快,其網(wǎng)絡安全的建設要遵循“三同步”�����,即同步規(guī)劃、同步建設和同步執(zhí)行�����,而對醫(yī)院信息系統(tǒng)的保護也不可能做到絕對的安全���,以重點保護、全面防護����、動態(tài)調(diào)整為原則開展網(wǎng)絡安全防護建設,滿足等保的標準要求�,就可以達到較好的防護效果。
