周凯

摘  要：文章简要阐述了当前我国医院网络安全的现状，在此基础上，分析了互联网时代医院网络安全面临的挑战，并就新形势下医院网络安全管理与防护措施进行了探讨。

关键词：医院信息化建设;网络安全管理;安全防护

中图分类号：TP393.08 文献标志码：A         文章编号：2095-2945（2020）34-0193-02

Abstract： This paper briefly expounds the current situation of hospital network security in China， and on this basis， analyzes the challenges faced by hospital network security in the Internet era. Finally， this paper probes into the management and protective measures of hospital network security under the new situation.

Keywords： hospital information construction; network security management; security protection

引言

近年来，我国医院信息化建设取得了飞速的发展，尤其是在“互联网+医疗健康”发展的推动下，医院信息化建设正朝着网络化、数据化、智能化方向不断迈进，信息化建设正成为医院现代化发展的重要支撑，推动着医疗服务向更加人性化、更加智能化、智能化的方向发展。在我国医院信息化建设取得丰硕成果的同时，医院医疗信息安全问题也面臨着新的安全风险和挑战，网络安全管理和防护正成为医院信息化建设中至关重要的组成部分，某种程度上甚至关系到医院信息化建设的成败。根据相关统计结果，目前各类信息化系统的安全漏洞数量每年都有较大范围的增长，2017年的数量同比增长了47%，2018年同比增长了40%，截至2019年12月，国家信息安全漏洞共享平台收集整理信息系统安全漏洞16193个，较2018年（14201个）增长14.0%。windows是各类信息化系统中应用最多的系统平台，同时也是被不法之徒们重点关注的对象。针对windows系统安全漏洞的各类病毒的大范围传播对医院信息化系统的网络安全造成了重大威胁。如何在医院信息化建设过程中，既充分发挥信息化系统的优势特点，服务于医院各项业务开展，又能够有效保障系统的信息安全，成为当前医院信息化建设的重要课题。

1 医院网络安全现状

随着我国医院信息化建设进程的不断加快，各级医院对各类信息系统的依赖程度也不断加深，与此同时，网络安全问题也日益突显。就目前而言，我国医疗系统的网络安全现状大致表现在以下几个方面，一是网络安全组织机构建设;二是日常信息安全管理制度建设与落实;三是应急管理工作的开展情况;四是网络信息安全保障投入情况;五是信息安全事件及应对。

在网络安全组织机构建设方面，我国医院大多都建立了以院级领导分管的医院信息化建设管理部门，但设立专门的网络安全管理部门及专职网络安全管理人员的医院并不多，通常是由医院信息科来负责相关工作。此外，大多数医院并没有明确的网络信息安全体系建设规划，即便一些有这样的规划，在具体实施方面，落实情况也并不理想。在此方面，二级医院同样落后于三级医院。

在日常网络信息安全管理制度建设方面，各级医院都建立了信息化管理方面的制度，但也有一些在网络信息安全方面不够重视，没有建立完善的信息系统安全管理制度，相较于信息化系统的安全管理制度，医院对数据安全管理制度方面更为积极。

在应急管理工作的开展情况方面，多数医院都建立了较为完善的应急管理预案，但开展过应急演练的医院还是比较少。多数医院都对信息化系统的数据进行了安全备份，但在内、外部技术支援建立方面不尽如人意，在很大程度上影响了医院的应急管理工作的实际效率。

在网络信息安全保障投入方面，虽然我国很多医院对于信息化系统的建设都比较重视，在经费投入方面都具有明确的预算，但对于网络信息安全保障投入方面的却差强人意，很多医院的网络信息安全保障经费预算在整个信息化建设经费投入中的占比不足5%，很多医院在信息化系统新建、改建、扩建过程中，没有将网络信息安全防护措施同步设计、同步建设及同步使用，新建信息化系统项目中不少医院都没有将网络信息安全纳入技术方案审核。

在网络信息安全事件和应对情况方面，80%以上的医院都发生过病毒感染、木马以及内部人员滥用网络端口和系统资源等网络安全事件，由此造成的数据丢失、系统崩溃、网络无法使用等事件多有发生。一般医院具备一定的网络信息安全事件应对能力，但发现手段单一、应对能力与不足，多数情况下，需要请网络安全服务单位及网络开发维护单位协助解决。

总的来说，我国医院网络信息安全现状并不很理想，与医院信息化系统建设的发展速度相比较，网络信息安全管理与防护工作明显滞后，整体上亟待加强。

2 互联网时代医院网络安全面临的挑战

2.1 安全防护体系变革

我国医院的信息化系统建设，多数采用的封闭式的物理隔离、内部独立的网络架构，这种传统的信息体系架构，有利于医院信息化系统的稳定运行，能够有效降低医院信息化系统的网络安全风险，在数据安全方面也具有较强的优势，可以确保关键医疗数据如电子病历等的产生、传输、存储、运用等均被限制在医院内网，网络安全管理与防护的重点也是在医院内部网络，较少涉及外网的安全管理与防护。近年来，随着互联网技术在医院信息化系统建设中的应用，尤其是移动医疗、远程会诊等医疗新业务的快速发展，医疗数据的互联互通正逐步推动医院信息化系统从封闭的网络架构向开放式的网络架构转变，医院内网、外网的边界正日益模糊，传统的基于封闭式网络的安全管理与防护手段已经难以适应新的网络安全形势。

2.2 医疗数据安全保护

我国医院信息化建设经过十几年的发展，目前已经从单一的收费系统拓展到了医院各个业务部门，数据中心建设正成为现阶段我国医院信息化建设的重要方向。在此形式下，医疗数据的安全保护成为医院网络安全管理与防护的重要工作内容，尤其是患者医疗数据隐私性保护的重要程度日益突显，对医院网络信息安全管理和防护工作提出了挑战。患者医疗数据覆盖门诊、住院、检验、检查等各个环节，日趋立体化，特别是随着互联网技术在医疗行业的逐步渗透，移动医疗、可穿戴设备在医院的大量应用，医院的医疗数据传输已经远远超出了医院内部范围，传输方式、路径更为多样，这无疑对医院患者医疗数据的保护形成了新的挑战，增加了保护的难度。而鉴于患者医疗数据的私密性，一旦发生数据泄露，往往会对医院及患者本人造成难以预料的后果，其严重性难以忽视。

2.3 网络安全防护能力

医院网络安全防护能力的挑战主要表现为医院网络安全管理与防护专业人才的匮乏，这已经成为当前我国医院网络安全管理与防护工作开展的关键问题、瓶颈问题。专业的医院网络安全管理人才属于复合型人才，不仅要熟练掌握信息安全技术、网络安全技术，还要具备一定的医疗行业知识与经验。我国目前医院的网络信息安全人员，专业背景大多为计算机技术及网络信息安全技术，真正兼具医疗行业专业知识的凤毛麟角。但即便是这种单一的技术人才，在整个医疗行业也十分匮乏，尤其是网络安全管理人才，是目前各行各业都在争夺的热门人才，市场需求极为旺盛，人才缺口巨大，这无疑为医院网络信息安全管理人才的引进、吸收带来了巨大的挑战。

2.4 网络安全事件应对

随着我国医院信息化建设的快速发展，医院各项业务的开展日趋网络化、数字化，这使得网络安全事件发生的概率急增。而一旦发生网络安全事件，一般医护人员往往会措手不及，网络安全事件应对能力的提高正成为医院信息化建设亟待解决的问题之一。

3 新形势下医院网络安全管理与防护措施

3.1 延伸医院网络安全管理与防护的范围

随着医院信息化系统建设逐步从封闭的内网向开放的外网发展，医院网络安全管理与防护工作的重点也应从内网向互联网拓展，即延伸医院网络安全管理与防护的范围。具体来说，应通过防病毒、网络入侵监控、建立DMZ区等手段加强医院内外网边界的网络安全防护，在网络出口和重要的安全域出口加强网络隔离和控制，保证外部黑客或非法人员不能通过安全防御系统的“大门”。

3.2 规范医疗数据管理

从管理层面来说，规范医院的医疗数据管理，首先应明确医院各业务部门的职责，根据各业务部门职责范围来确定其对医疗数据访问、使用的权限，进而建立完善的符合医院工作实际的医疗数据管理规范。从技术层面来说，数据中心建设是当前医院信息化建设的主要内容，医院应根据数据中心建设整体规划，从医院科研、临床医疗、患者服务等业务系统中将数据信息的收集、整理、存储等工作分离出来进行集中统一管理，多级数据中心的建立可以有效实现医疗数据信息的高等级统一防护，既可以保障数据信息的安全，同时也可以有效减少安全保障经费的投入。此外，对医疗数据进行统一集中管理，运用大数据技术，可以对大量结构化与非结构化数据信息进行分析处理，从中挖掘、提取有价值的医疗信息，使医疗数据真正成为医院的信息资产。

3.3 加强安全防护能力

加强医院网络安全防护能力，至为关键的工作是要加强医院网络安全人才队伍建设。网络安全人员作为医院网络安全防护工作的责任主体，其工作能力、专业素质、责任意识等对医院网络安全防护工作的成效至关重要。加强医院网络安全人才队伍建设，应从引进吸收高素质人才和培养具有医疗行业信息安全管理特点的人员两方面着手。在网络安全管理人才市场竞争激烈的背景下，医院应在岗位设置、福利待遇、职位晋升等方面提高对人才的吸引力，尽可能吸纳高素质优秀人才进入;在人员培养方面，可以加强与专业网络安全机构的合作，一方面可以借助网络安全专业机构的技术积淀来培养医院网络安全管理人才，另一方面也可以增强医院网络安全防护的外部救援力量，如此一举两得，可以有效加强医院的网络安全防护能力。

3.4 制定切实可行的应急预案

网络安全事件具有突发性、难以有效预测的特点，一旦发生，往往会在短时间内对医院的正常工作造成重要影响。因此，制定切实可行的应急预案，是医院网络安全管理的重要内容。应急预案的制定需要根据医院网络安全事件发生的可能性、影响范围、造成的后果等因素来进行，预案应明确医院各业务部门在安全事件发生时的具体应对策略、措施以及指挥人员，尤其是临床医疗与患者服务部门，应根据实际情况进行针对性的应急流程设计，确保在安全事件发生时能够为具体的应对提供依据。

参考文献：

[1]韦力，段沁，刘志伟.互联网时代医院网络安全管理综述[J].信息网络安全，2019（12）：88-92.

[2]卢长伟，赵浩宇，李景波.医院网络安全管理方案與措施[J].中国医院管理，2017，37（02）：56-57.

[3]王丽.新形势下医院信息安全所面临的挑战与对策分析[J].网络安全技术与应用，2015（01）：192-193.