黄洪智 马春花 刘仁军 时洪亮（通讯作者）

（宁津县人民医院 山东 德州 253400）

1.医疗信息安全简介

2.医疗信息安全和医疗器械物联的重要性

2018年10月1 日，美国ECRI在其官方网站发布《2019年十大医疗技术危害》，以提醒医疗机构，医疗器械及医学装备安全的重要性。黑客可以利用远程访问医院信息系统，破坏医疗保健服务。这已经是连续两年把“信息安全威胁可能会危及患者安全”排在十大医疗技术危害之首。

医疗器械越来越多地连接到互联网，和其他的计算机系统一样，医疗器械也很容易受到安全漏洞的影响，医疗器械网络安全出现问题不仅可能会侵犯患者隐私，而且可能会产生医疗器械非预期运行的风险，导致患者或使用者受到伤害或死亡[2]。因此，医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一[3]。

3.国内医疗信息安全现状

2018年2 月，就有两起医疗信息安全事件接连发生。一是湖北某医院信息系统被植入勒索病毒，导致医院信息系统瘫痪。二是湖南省某医院HIS服务器被境外黑客通过外网植入勒索病毒，所有数据文件被强行加密，导致医院业务系统处于不可用状态，患者无法正常就医。

表 2017年受访单位对自身漏洞的担忧比例

2019年1月31 日，北京市知识产权法院一审判决无锡某公司赔偿3000万元专利损失费。判决书显示，该公司在其医疗器械产品安装有4G无线上网卡，而器械所在医院的相关负责人此前竟对此毫不知情，就此引发个人医疗信息安全问题。

4.国外医疗器械物联安全现状

随着物联网时代的到来，医疗行业将面临新的挑战。医疗物联网涵盖输液泵、MRI、X线机、监护仪等医疗设备，黑客们不再满足于提取医疗记录和患者数据。他们把手伸向了医疗设备，这对于没有设置网络安全保护的医疗设备宛如在网络攻击面前“裸奔”，威胁患者的安全。

2017年8 月，FDA召回了近50万个心脏起搏器，原因是担心无线窃听。据ICS-CERT在2017年9月报道，史密斯医疗公司的Medfusion4000无线注射器输液泵在全球范围内使用，用于在疾病护理环境中从注射器中输送小剂量药物，该设备包含8个可以远程利用的漏洞。

2018年2 月，《TheNakedSecurity》报道了WannaCry是如何影响英国国家医疗服务体系（NHS）的。SANS报告称，医院中大约17%的网络攻击来自医疗终端，报告中77%的医院表示医疗设备的安全风险是他们最关心的问题。

5.医疗信息安全领域安全问题

5.1 终端安全方面，可能存在的问题

（1）内网终端主机自从分发后就没有打过系统补丁，漏洞百出，恶意代码入侵长驱直入。

①借助转化关系图,定性掌握物质的化学性质。《化学1·必修》的“金属及其化合物”和“非金属及其化合物”两章章末处的“归纳与整理”板块,都有常见单质及其重要化合物的转化关系图,这些图都比较充分地表现出了常见单质及其重要化合物的化学性质,落实好了,应用起来便能得心应手。

（2）为了便于操作，终端往往使用弱口令，病毒使用暴力破解得到密码后，直接使用管理员身份登陆系统，绕开一切防护手段，在系统中为所欲为。

（3）为了便于作业与办公，滥用移动存储设备，导致恶意代码有很好的传播途径。

（4）因为安全意识宣贯不到位，人员安全意识缺乏，为了图方便使用热点非法外联，导致内外网互通，引入了未知风险。

5.2 网络安全方面，可能存在的问题

（1）基础网建设杂乱，没有分区分域。当安全事件爆发后，在网络中传播速度较快，没法办做到及时封堵。

（2）网络安全设备的策略规范化，很多网络设备上线后从未更改过策略，或者都是默认放通，起不到理想的防御作用，形同虚设。

（3）没有人去定期分析总结网络中的安全日志，常常错失处理安全事件最佳的处理时间，导致事态发展到不受控制，工作一直处于被动防御状态。

5.3 医疗器械物联方面，可能存在的问题：

（1）部分网络协议是通用版本，不法分子一旦掌握某登录方式，同型号其他设备很容易受到攻击。

（2）医疗器械一般是是定制化的系统与软件，不能按照普通终端的防护方式去执行自我保护，但是又因为系统版本老旧，部署不规范等环境的限制容易遭受攻击。

6.信息安全和医疗器械物联防护意见：

（1）建立医院信息安全管理组织机构，明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理岗位职责。

（2）加强医院信息安全管理，如提高身份认证的安全性、信息系统分等级保护、有计划评估风险并及时纠正，机房安全、重要信息备份、与信息系统外包方签署安全协议、保持服务连续性、部署防恶意代码软件并及时更新、遵守合法合规性等内容。

（3）主机上通过限制软件最小权限的方式执行保护，只允许特定的程序与接口工作，阻止其他操作，这样做相当于给可信的软件做了一个保护罩，直接杜绝了恶意代码的生成，并且切断了病毒的传播途径；

（4）完善医疗设备、商业化软件以及运维服务商的安全审查机制。建立医疗设备及商业化软件的安全审查和安全检测环节，制定设备远程运维过程监管制度。

（5）网络环境允许的情况下，把医疗器械物联归类到同一网段下，在该网段前部署安全网关，从网络传播途径上进行清理恶意代码，做到区域的保护。

7.医疗信息安全领域展望

2017年4 月，中国健康医疗大数据产业发展有限公司和中国健康医疗大数据股份有限公司成立，两大集团都以国有资本为主体，行业领军企业东软集团、万达信息、易联众、荣科科技成为核心成员单位，这都表明我国健康大数据行业迎来正规军。

8.结语

在医院信息化建设过程中，信息安全建设不容忽视[4]。若出现信息安全问题，一切建设成果则无从谈起。本研究通过对信息安全现状概述，就“互联网+医疗”建设可能遇到的问题，提出了具体意见。以期通过完善管理制度和提高风险防范意识，加大信息安全投入，不断组织业务学习，加强宣传、培训、测评，提高信息安全应对能力，要求相关管理策略必须切实得到落实，方能实现医院长久的信息安全，从而为医院信息化建设保驾护航[5]。