關(guān)鍵詞:等級(jí)保護(hù)����;醫(yī)院;網(wǎng)絡(luò)安全�����;信息系統(tǒng)����;合規(guī)建設(shè)
摘要:有研究表明�����,針對(duì)醫(yī)療機(jī)構(gòu)的勒索軟件攻擊可能會(huì)產(chǎn)生生死攸關(guān)的后果�。近25%的醫(yī)療保健提供者報(bào)告說(shuō)��,勒索軟件導(dǎo)致患者死亡率增加���。所以醫(yī)院做好網(wǎng)絡(luò)安全防護(hù)是至關(guān)重要的,這也是對(duì)醫(yī)院患者的一份負(fù)責(zé)�!
隨著醫(yī)院信息化建設(shè)的飛速發(fā)展,醫(yī)院的信息系統(tǒng)已經(jīng)運(yùn)用到醫(yī)療服務(wù)的各個(gè)環(huán)節(jié)中����,但以安全事故引起的系統(tǒng)故障,醫(yī)療活動(dòng)的開(kāi)展將會(huì)受到嚴(yán)重影響�。如何規(guī)劃醫(yī)院網(wǎng)絡(luò)體系建設(shè)?國(guó)家對(duì)信息安全越來(lái)越重視����,等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)為適應(yīng)新環(huán)境、新技術(shù)進(jìn)行了優(yōu)化升級(jí)�����,按照衛(wèi)健委對(duì)三級(jí)甲等醫(yī)院信息系統(tǒng)定級(jí)不低于三級(jí)的要求,提出以“一個(gè)中心�、三重防護(hù)”為核心的合規(guī)建設(shè)方案,并對(duì)未來(lái)安全防護(hù)的優(yōu)化提出建議���。
醫(yī)院等保
一�����、現(xiàn)階段醫(yī)院現(xiàn)狀分析
根據(jù)《2019-2020年度中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告》顯示�,在被調(diào)查的390家醫(yī)院中互聯(lián)網(wǎng)醫(yī)院需要3級(jí)等保�,網(wǎng)絡(luò)安全年投入在50-100萬(wàn)元的醫(yī)院占比17.18%;年投入在100-200萬(wàn)元的醫(yī)院占比17.69%���;年投入200萬(wàn)元以上的醫(yī)院占比15.9%���。
數(shù)據(jù)來(lái)源:《2019-2020年度中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告》
據(jù)CHIMA《2019-2020年度中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告》顯示,醫(yī)院在信息安全方面的投入已占總投入的9.43%���,投入顯著增加�����,在2019年有43.95%的醫(yī)院實(shí)施并通過(guò)了等級(jí)保護(hù)測(cè)評(píng)����,2020年有66.18%的醫(yī)院通過(guò)了網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)。由此可看出�����,醫(yī)院對(duì)網(wǎng)絡(luò)安全的投入相比往年有很大程度提升�。但仍有部分醫(yī)療機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全建設(shè)重視程度不足的情況。報(bào)告統(tǒng)計(jì)了醫(yī)院對(duì)于信息安全保障工作開(kāi)展的情況����,如下圖所列舉的安全防護(hù)措施��。
醫(yī)院采取的網(wǎng)絡(luò)安全措施
?從圖中看到����,醫(yī)院所使用的安全防護(hù)措施也是比較全面的,但是能夠真正這樣部署的醫(yī)院寥寥無(wú)幾��。目前���,還有為數(shù)較多的醫(yī)院主機(jī)還是 xp�、移動(dòng)醫(yī)療PAD設(shè)備還是 CE等被淘汰的操作系統(tǒng)�,漏洞百出的主機(jī)極易被黑客攻陷�����。在醫(yī)院的網(wǎng)絡(luò)拓?fù)渲?,從建設(shè)初期沿用至今�,隨著應(yīng)用的擴(kuò)展和網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜化,暴露出內(nèi)外網(wǎng)物理隔離或者邏輯隔離的漏洞互聯(lián)網(wǎng)醫(yī)院需要3級(jí)等保����,安全設(shè)備形同虛設(shè)。在安全管理上�����,維護(hù)人員為了圖方便而使用弱口令��,沒(méi)有一套完整規(guī)范的管理辦法�、沒(méi)有專(zhuān)業(yè)的技術(shù)培訓(xùn)。
醫(yī)療行業(yè)是勒索病毒威脅的“重災(zāi)區(qū)”——入侵醫(yī)療行業(yè)的惡意軟件高達(dá)85%�,其中數(shù)據(jù)庫(kù)服務(wù)器成為了勒索病毒的主要攻擊目標(biāo)。也正是因?yàn)獒t(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全意識(shí)淡薄��、資金投入不足�����、專(zhuān)業(yè)人才缺乏等問(wèn)題,才導(dǎo)致醫(yī)院信息系統(tǒng)近年頻頻遭受“勒索軟件”攻擊�����、病毒植入導(dǎo)致業(yè)務(wù)服務(wù)中斷等安全事故�����。
且有研究表明����,針對(duì)醫(yī)療機(jī)構(gòu)的勒索軟件攻擊可能會(huì)產(chǎn)生生死攸關(guān)的后果。近25%的醫(yī)療保健提供者報(bào)告說(shuō)����,勒索軟件導(dǎo)致患者死亡率增加�����。所以醫(yī)院做好網(wǎng)絡(luò)安全防護(hù)是至關(guān)重要的����,這也是對(duì)醫(yī)院患者的一份負(fù)責(zé)!
二����、醫(yī)院網(wǎng)絡(luò)體系建設(shè)原則
醫(yī)院作為保障基礎(chǔ)民生的重要基礎(chǔ)設(shè)施��,確保其醫(yī)療服務(wù)的穩(wěn)定是十分重要的�。隨著醫(yī)院信息化的腳步加快�,其網(wǎng)絡(luò)安全的建設(shè)要遵循“三同步”,即同步規(guī)劃���、同步建設(shè)和同步執(zhí)行���,而對(duì)醫(yī)院信息系統(tǒng)的保護(hù)也不可能做到絕對(duì)的安全,以重點(diǎn)保護(hù)�����、全面防護(hù)�、動(dòng)態(tài)調(diào)整為原則開(kāi)展網(wǎng)絡(luò)安全防護(hù)建設(shè),滿(mǎn)足等保的標(biāo)準(zhǔn)要求����,就可以達(dá)到較好的防護(hù)效果。
