安全資訊

2017年國務(wù)院發(fā)布的《關(guān)于深化醫藥衛生體制改革的意見(jiàn)》開(kāi)啟了新醫療體制改革。新醫改提出了“四梁八柱”，其中信息化是醫改的重要任務(wù)，也是醫改成功逐步推進(jìn)的重要保障。隨著(zhù)醫療體制改革繼續深入推進(jìn)，醫療信息化已經(jīng)成為醫療體制改革的重點(diǎn)發(fā)展方向。

醫療衛生事業(yè)是構建社會(huì )主義和諧社會(huì )的重要基礎，也是保證人民日常生活的重要環(huán)節。醫療衛生行業(yè)的健康發(fā)展，直接關(guān)系到民生問(wèn)題。隨著(zhù)醫院信息化建設的逐步深入，網(wǎng)上業(yè)務(wù)由單一到多元化，各類(lèi)應用系統數十個(gè)，信息系統承受的壓力日益增長(cháng)，醫院信息系統已經(jīng)成為醫院正常運行不可或缺的支撐環(huán)境和工作平臺。核心業(yè)務(wù)是醫院信息化建設的基礎，是醫院信息系統運行的平臺，對醫院運行效率和管理水平都有重要作用，因此創(chuàng )造良好信息系統安全運營(yíng)環(huán)境是醫院信息安全的最終目標。

1、醫院信息安全建設面臨大轉型

醫院擁有大量患者數據，在黑灰產(chǎn)中越來(lái)越受到“青睞”，這也推動(dòng)黑客越來(lái)越多地“盯上”醫院。一般來(lái)說(shuō)，醫院信息化安全建設面臨諸多問(wèn)題。

中國醫院協(xié)會(huì )信息專(zhuān)業(yè)委員會(huì )（CHIMA）在今年3月發(fā)布了《2019年醫院信息安全調查報告》，其中對醫院實(shí)施等級保護情況做了專(zhuān)門(mén)章節介紹。據了解，在389家樣本醫院中，50.13％的醫院通過(guò)了等保測評。其中，三級醫院實(shí)施等保工作情況明顯好于三級以下醫院，經(jīng)濟發(fā)達地區實(shí)施等保工作的比例高于中等發(fā)達地區和經(jīng)濟欠發(fā)達地區。

本次調查顯示，在近三年醫院信息化建設重點(diǎn)內容的調查排名前三位的是：重點(diǎn)建設患者服務(wù)系統（掛號APP、自助機等）的醫院為 226 家，占比 58.10%；重點(diǎn)建設醫院管理系統（HRP、BI、財務(wù)系統等）的醫院為 212 家，占比 54.50%；重點(diǎn)建設HIS以外的業(yè)務(wù)系統（EMR、LIS、PACS、超聲等）的醫院為 203 家，占比52.19%。

醫院網(wǎng)絡(luò )安全建設落后主要有兩方面原因：一方面，醫院信息化建設本身投入相對不足，資金更多投入在應用和硬件上，安全方面投入很少；另一方面，醫院信息部門(mén)缺乏安全建設經(jīng)驗，安全專(zhuān)業(yè)能力不足。

絕大部分醫院都缺乏專(zhuān)業(yè)的網(wǎng)絡(luò )安全人才，在網(wǎng)絡(luò )安全運營(yíng)方向做的都很少，還是以防御建設為主。醫院網(wǎng)絡(luò )安全建設痛點(diǎn)要從兩個(gè)方面看：一是外部。醫療行業(yè)越來(lái)越開(kāi)放，醫療業(yè)務(wù)擁抱互聯(lián)網(wǎng)，雖然方便了老百姓就醫，但也引入了大量的互聯(lián)網(wǎng)安全風(fēng)險。二是內部。醫院網(wǎng)絡(luò )規模雖不大，但相對比較復雜。各個(gè)業(yè)務(wù)系統之間的關(guān)聯(lián)非常緊密，數據共享很頻繁，非常容易造成安全風(fēng)險在內部蔓延。

2、醫院信息化如何迎考等保2.0？

醫療行業(yè)等保2.0建設工作應“以病人中心，以診療活動(dòng)為主線(xiàn)，以人性化服務(wù)”為主導，以智能化和信息化技術(shù)為支撐的診療自動(dòng)化、建筑設備管理智能化、管理信息集成化，最終打造最為先進(jìn)的“診療手段完備、管理科學(xué)、信息一體化、高效節能的智慧醫療”為藍圖的智慧醫療框架體系。

網(wǎng)絡(luò )信息安全是個(gè)系統工程，三分技術(shù)、七分管理，醫療機構需從技術(shù)和管理多角度構建網(wǎng)絡(luò )安全體系。由于很多安全威脅來(lái)自于醫院內部的管理漏洞，建設全方位的網(wǎng)絡(luò )信息安全管理體系并落實(shí)到位，是醫療機構信息部門(mén)在2019年的重要工作。其信息化建設應參考等保2.0標準，并結合醫院實(shí)際情況，選擇性地采取更多安全措施。

另一方面，對于之前已經(jīng)通過(guò)等保3級的醫療機構，再去認證等級保護2.0下的相關(guān)測評要求參考時(shí)，可以參考已通過(guò)等保1.0標準下等保3級的系統沿用之前的定級，在2.0時(shí)代不需要再重新定級和備案。但仍需按照新標準進(jìn)行安全加固、補齊不足，在每年復評審查時(shí)需要滿(mǎn)足新標準的評分要求。

此外，等保2.0中技術(shù)控制項與等保1.0中有不少區別。比如在“安全擴展要求”中，針對云計算平臺、物聯(lián)網(wǎng)平臺、移動(dòng)互聯(lián)網(wǎng)均有額外的控制項要求。在國家出臺網(wǎng)絡(luò )安全等級保護2.0標準的背景下，醫院上云更加需要一種審慎的態(tài)度。等保2.0提出了更高要求，比如等級保護對象從原來(lái)關(guān)注傳統系統擴展到云平臺和大數據平臺的安全。因此，云平臺的基礎架構要符合等級保護2.0標準的要求。尤其在選擇云端安全產(chǎn)品時(shí)，一定要提前考慮等保2.0標準的要求，這也是上云必須要解決的問(wèn)題。

在加強醫院網(wǎng)絡(luò )和信息安全建設方面，建議把可能造成醫院業(yè)務(wù)系統停運的每個(gè)環(huán)節都要考慮到位。比如，數據庫等核心應用更要加強安全建設。醫院在開(kāi)展網(wǎng)絡(luò )安全建設時(shí)可以遵循兩個(gè)原則：一是醫院的信息系統不會(huì )因為硬件故障而停運；二是一定要對核心數據進(jìn)行有效的防泄密、數據脫敏等技術(shù)手段。


靈狐科技結合行業(yè)現狀和新標準要求，對醫療機構開(kāi)展網(wǎng)絡(luò )安全等級保護工作提出以下五點(diǎn)建議。

1、合理開(kāi)展新業(yè)務(wù)系統及平臺的定級備案工作，如醫療大數據平臺、互聯(lián)網(wǎng)醫療平臺等。院內如HIS、EMR等還未開(kāi)展定級備案工作的傳統核心業(yè)務(wù)系統，也需要加快等保建設步伐。

2、在等保建設中嘗試采用新技術(shù)新手段加強醫院的安全技術(shù)防護和態(tài)勢感知建設，以防范特種木馬或新型網(wǎng)絡(luò )攻擊。

3、加強日常安全運維，引入可視化、統一運維等創(chuàng )新技術(shù)，讓安全管理和運維更簡(jiǎn)單并且更加有效。

4、加強主動(dòng)防御能力，并通過(guò)全方位、多視角的風(fēng)險分析，完善醫院網(wǎng)絡(luò )安全建設短板。從而降低安全風(fēng)險，提高信息系統健壯性。

5、適當選擇安全廠(chǎng)商提供的安全服務(wù)，彌補醫院專(zhuān)業(yè)安全技術(shù)人員不足。最大程度減少因網(wǎng)絡(luò )安全事件所帶來(lái)的醫院運營(yíng)中斷以及管理成本增加的風(fēng)險。

相關(guān)鏈接：

靈狐科技發(fā)布等保2.0解決方案

醫院信息化安全等保解決方案