单昊

（盘锦辽油宝石花医院信息管理部，辽宁 盘锦 124010）

在当前数字化时代，医疗信息化建设已成为提高医疗服务质量和效率的重要手段。随着科技的不断发展和医疗信息化的不断深入，医疗服务已不再是简单的诊疗，而是通过先进的技术手段，实现医患互动、医患协作和信息共享的全新模式。因此，新时期的医疗信息化建设已经成为我国医疗事业的重要发展方向，也是实现“健康中国”的重要举措。我国政府高度重视医院信息化建设，并且不断加强政策和资金支持，推动医院信息化建设。我国医院信息化建设自20 世纪90 年代以来得到了长足的发展和进步。例如，国家卫健委在2017 年发布了《国家医院信息化建设与发展规划（2015-2020 年）》，明确了医院信息化建设的发展目标、任务和措施，指导医院信息化建设工作的发展。截至2021 年，我国医院信息化建设覆盖率已经达到80%以上，并且已经建成了一批大型医院信息化系统，如三甲医院信息系统、远程医疗平台、健康档案系统等。越来越多的医院开始建设信息系统，推广电子病历、电子处方、远程会诊等信息化应用。但是，医院的信息化也伴随着信息泄漏、病毒攻击等问题，网络安全问题已成为医院信息化建设中必须面对的重要问题。

近年来，全球各地都发生了多起医院网络安全事件，这些事件给医院的信息安全带来了严重的威胁和挑战。2020 年5 月，美国联邦调查局（FBI）发出警告，称针对医院的网络攻击有所增加。据称，黑客通过网络攻击医院信息系统，窃取医疗记录和患者数据，并以此进行勒索。2020 年9 月，德国一家医院遭到了黑客攻击，导致医院的信息系统瘫痪。黑客利用漏洞入侵医院的信息系统，并要求支付高额赎金。由于医院无法访问患者信息和医疗记录，医院不得不将患者转移到其他医院进行治疗。2021 年1 月，北京某医院遭遇勒索软件攻击，导致医院的信息系统瘫痪。黑客通过勒索软件攻击医院，要求支付高额赎金以解锁医院的信息系统。医院表示已经报警，并表示正在进行数据恢复和系统重建。这些案例表明，医院网络安全问题已经成为全球范围内的普遍存在的问题，任何一个医院都有可能受到黑客攻击和数据泄露的威胁。因此，医院网络安全问题是一个非常重要的议题，医院应该高度重视，并采取有效的措施来预防和应对网络安全风险。只有通过全面的安全措施和保障措施，才能保证医院信息系统的稳定和安全，保障患者的权益和隐私保护。

1 医院网络安全的重要性

随着现代医疗设施的数字化转型，医院网络安全问题变得越来越重要。网络安全威胁的威力和规模正在快速增长，医疗机构面临的网络安全威胁也越来越复杂和高级。因此，保护医疗机构的网络安全变得至关重要。以下是医院网络安全问题的重要性。

（1）对患者隐私和医疗记录安全产生了威胁。医院存储着各种敏感的患者信息，例如，个人身份信息、医疗记录、健康保险信息等。如果医院的网络安全受到侵犯，这些信息就可能被窃取或泄露。患者的隐私和敏感信息受到威胁会导致他们的信任受到损害，并且可能会导致患者的身份盗窃和诈骗等问题。

（2）对医疗服务和医疗质量产生了影响。如果医院的网络被攻击或中断，医生和其他医护人员将无法使用医疗设备和电子病历系统等技术，从而无法提供及时和准确的医疗服务。此外，医院的网络安全问题可能导致患者数据遭到篡改或损坏，这会对医疗质量产生严重影响。

（3）对医院财务和商业稳定性产生影响。医院是一家商业组织，如果其网络受到攻击，数据被盗窃或破坏，医院将面临高额的数据恢复成本和数据损失风险。此外，如果医院的网络安全问题导致医院系统中断，医院将面临停业损失和其他商业损失，这将对医院的财务状况和商业稳定性产生严重影响。

（4）对公共卫生和国家安全也会产生影响。医院是处理各种疾病和传染病的地方，如果医院网络安全问题不得到有效控制，那么这些疾病和传染病可能会传播到更广泛的区域。此外，医院网络安全问题还可能被用于攻击政府机构或国家基础设施，这将对国家安全和稳定性产生威胁。因此，保护医院的网络安全也是保障公共卫生和国家安全的重要手段之一。

2 医院网络安全面临的威胁

（1）勒索软件攻击。勒索软件是一种常见的网络攻击方式，其主要目的是通过加密受害者的数据来勒索赎金。如果医院的信息系统被勒索软件攻击，医院可能会面临严重的数据丢失和泄露问题，严重影响医院患者的隐私安全。此外，勒索软件还可能导致医院的数据备份被加密，使得医院无法恢复被加密的数据，增加了数据恢复的难度和成本。

（2）内部员工的安全威胁。医院内部员工是医院信息安全的一个重要环节，但同时也是医院信息安全的一个重要威胁。医院内部员工可能会泄露患者的隐私信息、医疗机密信息，或者利用权限滥用进行非法操作。例如，医院的管理员可能会擅自修改医院的数据库，或者医院的医生可能会访问未经授权的医疗记录。

（3）网络攻击。网络攻击是指通过互联网对医院的信息系统进行攻击，包括网络钓鱼、恶意软件和DDoS攻击等。网络攻击可能导致医院信息系统的瘫痪，数据泄露和窃取等问题。这些攻击行为可能会导致医院的患者隐私和医疗机密信息受到泄露，甚至导致医院的数据系统被瘫痪，影响医院的正常运营。

（4）移动设备安全威胁。随着移动设备的广泛使用，医院的移动设备安全问题也越来越受到关注。医院的医生和护士可能会在移动设备上存储患者的个人隐私信息、医疗记录等敏感信息。如果这些移动设备没有得到充分的安全保护，很容易被黑客攻击，导致敏感信息泄露。

（5）供应链攻击。医院的信息系统往往涉及多个供应商和第三方服务提供商，这些供应商和服务提供商的安全状况也会对医院的信息安全构成威胁。供应链攻击指黑客入侵供应商的网络，然后利用供应商提供的服务或软件来攻击医院的信息系统。这种攻击方式可以绕过医院的安全防线，对医院的信息系统造成严重破坏。

3 医院网络安全存在的问题

（1）医院网络安全管理体系不够完善。大多数医院缺乏健全的网络安全管理制度和规范，导致网络安全责任不明确，网络安全管理无法得到有效的开展。同时，医院对网络安全的重视程度不够，很多医院并没有将网络安全纳入日常工作中，对网络安全事件的处理能力较弱，缺乏应急响应机制。医院工作人员对网络安全的意识也普遍不足，安全风险意识不强，安全意识培训也缺乏。

（2）医院网络设备存在安全风险。医院网络设备数量庞大、种类繁多，网络结构复杂，很多医院在采购网络设备时，只注重设备的价格，而忽略了安全性能和品牌信誉度，部分医院采用一些小厂家生产的网络设备，这些设备的安全性能不稳定，易受到黑客攻击。另外，医院网络设备的配置和管理不规范，存在安全漏洞。如果未能及时升级和修补，这些漏洞就会被攻击者利用，导致安全事故发生。

（3）医院信息系统存在漏洞。医院信息系统承载着大量的患者信息和医疗数据，因此安全风险很高。然而，医院信息系统的安全性能普遍较弱，很容易受到攻击。很多医院的信息系统存在各种漏洞，如弱口令、SQL 注入、文件上传漏洞等。黑客可以通过这些漏洞，轻易地窃取或篡改医院的重要数据，从而导致医疗事故的发生。

（4）医院工作人员安全意识不足。医院工作人员的安全意识非常重要，但很多医务人员和信息技术人员对网络安全缺乏足够的认识，甚至会滥用权限、泄露患者信息、随意更改系统设置等，从而导致医院网络安全事故的发生。

4 医院网络安全防护对策

针对我国医院网络安全存在的问题，可以采取以下措施进行改善。

（1）建立健全的网络安全管理制度和规范。医院应该建立健全的网络安全管理制度和规范，明确网络安全责任、职责和管理流程，提高网络安全管理的有效性。制定网络安全管理手册，明确安全标准、规范和流程，让所有员工都能知晓，遵守网络安全规范。

（2）提高医院工作人员的网络安全意识。医院应该加强对医务人员和信息技术人员的网络安全培训，提高他们对网络安全的认识和意识，使其能够在工作中养成良好的网络安全习惯和行为。对于医院员工在使用网络和信息系统时出现的一些安全问题和隐患，应及时进行教育和培训。

（3）更新和升级医院网络设备和信息系统。医院应该定期更新和升级网络设备和信息系统，保持其在安全方面的稳定性和可靠性。医院应该采用品牌知名、技术成熟的网络设备和信息系统，避免使用安全性能差、易受攻击的设备。同时，应建立完善的漏洞管理和修复机制，及时发现和修补漏洞，防止安全事故的发生。

（4）建立完善的网络安全应急响应机制。医院应该建立完善的网络安全应急响应机制，应对突发的网络安全事件和问题。对于安全事故和紧急情况，应设立专门的应急处理小组，快速、有效地处置和解决问题，降低安全事故的损失和影响。

（5）严格管理医院信息系统的访问权限。医院应该建立严格的信息系统访问权限管理制度，保护患者和医务人员的个人隐私和敏感信息，防止信息泄露和滥用。应该对各类用户的访问权限进行合理设置和管理，定期检查和审计访问记录，防止非法访问和数据窃取。

5 医院网络安全防护案例

某医院是一家大型综合性医院，拥有数千名员工和数十个科室，是当地医疗领域的龙头企业，提供各种医疗服务和照顾患者的需求。随着信息化建设的推进，该医院网络系统已经实现了数字化、网络化和智能化，拥有多个科室和医疗服务系统，还提供了在线预约、挂号、检查结果查询等服务，涉及到大量的患者信息和医疗数据。然而，在过去几年里，该医院经历了多次网络安全事件，其中包括以下几种类型的攻击：（1）病毒感染。医院的计算机系统遭受了多次病毒攻击，导致部分系统瘫痪或无法正常运行，严重影响了医院的正常业务；（2）黑客攻击。黑客入侵了医院的计算机系统，并窃取了患者的个人信息，包括姓名、联系方式、病历记录等。这些信息被黑客公开发布，引起了社会的广泛关注和患者的不满；（3）数据泄露。由于医院缺乏安全管理机制和访问控制，部分内部员工滥用权限，窃取了患者的个人信息，并将其转售给不法分子，从中获利；（4）网络故障。医院的网络系统存在多个漏洞和故障，导致网络崩溃或无法正常运行，影响了医院的正常业务。这些事件对医院的正常运营和患者的个人信息安全造成了巨大影响，引起了社会的广泛关注和舆论压力。

在面对这些问题时，该医院采取了一系列措施进行网络安全防护，主要有以下5 点：（1）建立了完善的网络安全管理机制和责任制，明确了网络安全责任人和安全管理流程，并对安全事件的处置进行了规范和细化；（2）实施了访问控制和安全审计监控，加强了对网络访问、操作和数据流动的监控和控制，提高了安全防范和响应能力；（3）加强了内部员工的安全教育和培训，强化了员工的安全意识和责任感，提高了员工对网络安全的重视和保护意识；（4）医院还加强了数据备份和恢复，保障了数据的安全性和完整性；（5）对第三方服务供应商进行了安全管理和监督，确保了合作方的安全性和合规性。通过这些措施的实施，该医院网络安全防护水平得到了明显提高。网络安全事件的发生率明显下降，患者的个人信息得到了有效保障，医院的信誉和形象也得到了提升。这表明，加强网络安全防护是保障医院信息安全的必要措施，也是提高医院管理水平和服务质量的重要途径。

6 结语

医疗信息化建设是提高医疗质量、优化医疗流程、促进医疗资源共享和降低医疗成本的重要手段。我国医疗信息化建设取得了长足的进展和成绩，政策、技术和应用3 个方面都有了显著的进步和成效。然而，但仍然存在许多问题和挑战，仍需不断创新和探索。针对我国医院网络安全存在的问题，需要采取有效的措施进行改善。只有建立健全的网络安全管理体系，提高医院员工的安全意识，更新和升级网络设备和信息系统，建立完善的网络安全应急响应机制，严格管理医院信息系统的访问权限，才能够有效保障医院的网络安全。同时，还需要不断加强技术研究和创新，提高网络安全防护的技术水平，确保医院网络安全稳定可靠，不断推进医疗信息化建设，进而为我国医疗卫生事业的发展提供坚实的技术保障，从而更好地服务于患者的健康。