導語：新時代醫院網絡信息安全問題和對策一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

【摘要】當前時代，網絡信息安全面臨各種威脅，醫院作為特殊行業，網絡信息安全工作尤為重要。本文闡述了當前醫院信息化建設和網絡信息安全的現狀；總結了醫院網絡信息安全問題的主要表相；指出了醫院網絡信息安全工作的主要目標；闡明了醫院網絡信息安全的主要對策。為各醫療機構如何進一步筑牢網絡信息安全防線提供了參考。

【關鍵詞】網絡信息；安全；對策

一、當前醫院信息化建設和網絡信息安全的現狀

隨著互聯網和信息技術的飛速發展，基于“互聯網+醫療”的應用越來越普遍。從患者的視角來看：從預約、掛號、就診、檢查、購藥、繳交費用、檢查化驗結果查看等到更多的信息查詢、醫患互動，甚至是部分治療活動都可以在網上完成。從醫院的視角來看：為了方便患者就醫、提高工作效率、優化業務流程、落實上級要求、提高醫院競爭力、提升現代醫院治理水平，建設了大批的信息系統。在網絡方面，醫院往往是有線網、WIFI網、4G和5G網并存使用。同時，基于“醫聯體”“互聯互通”的實際需求，醫院的內部信息往往要與外部機構對接傳輸。從外部視角來看：不論是醫院各用戶的賬號密碼信息、還是患者的診療信息、檔案信息，都是不法分子窺覷竊取的資源。另有不法分子以破壞為目的，欲使網絡或系統癱瘓。近年來更出現了以勒索為目的黑客攻擊。從內部視角來看：存在由于管理不當或人員疏忽造成的數據泄露、損壞、丟失等情況,存在軟硬件問題造成的網絡、系統癱瘓；也存在人為主動因素造成的網絡安全事件。可以肯定的說，隨著時代的進步，網絡信息安全的表相一定層出不窮，而網絡信息安全防護也永遠在路上。自2007年等保1.0標準實施以來,我國網絡信息安全工作取得長足發展。2014年,總書記指出“沒有網絡安全就是沒有國家”，指明了網絡安全在新時代的極端重要性，2017年網絡安全法頒布實施；2019年等保2.0標準執行；這些舉措都一再強調網絡信息安全的重要性。

二、醫院網絡信息安全工作的主要目標

一是機密性：確保信息數據不在有效保密時限內泄漏給非授權用戶和實體。二是完整性：確保信息數據不被非授權用戶篡改或偽造。三是可用性：確保用戶正常訪問被授權的系統或資源。四是不可否認性：防止信息數據的產生方、發送方或接收方、處理方否認有關事實。五是實體鑒別：驗證通信實體的真實身份。六是可審查性：有手段和依據可追蹤到出現網絡信息安全問題所在和攻擊根源。七是訪問控制：要阻止已知的攻擊行為和病毒進入網內和系統；要限定不同實體對業務或信息資源訪問的范圍。

三、醫院網絡信息安全對策探析

3.1體系化制定網絡信息安全管理制度

醫院大多存在“重建設應用，輕管理防范”的現象，存在沒有實施與醫院實際信息化現狀相匹配的網絡信息安全管理制度，導致在管理方面缺乏指導性文件；存在網絡信息安全管理組織架構不清晰,各部門職責不明確，發生安全事件缺少及時有效的防護和解決方案等問題。因此，制定一整套科學有效的管理制度十分必要。一是成立網絡安全和信息化領導小組，出臺領導小組章程,網絡信息安全管理辦法等一套綱領性文件，闡明醫院網絡信息安全工作的背景、重要性、目的和意義；初步明確各部門網絡信息安全的整體職責。二是與各部門負責人和重點網絡信息安全崗位人員簽署網絡信息安全責任書，用以將責任和義務明確化、具體化,著力提高有關人員的責任感和重視度。三是制定網絡信息安全事件應急響應預案。預案要有針對性，要將可能發生的安全事件進行分類，并就每種類型制定預案。預案要具有高度的可操作性。要開展經常性的實戰演練，熟練發生各類突發事件時的操作規程和處置措施。還應根據情況變化不斷完善應急預案。四是制定數據管理、信息技術規范、網站管理、新媒體管理、用戶、賬號和密碼管理等一系列相關制度。用以闡明各項信息化工作、各個環節具體可能面臨的網絡信息安全問題,指明避免或解決問題的方法和措施等。

3.2提升網絡信息安全意識和信息化素養

醫院往往重點關注的是信息系統功能全不全、性能好不好，而對系統是否安全缺乏重視。系統投入使用后，在安全方面也缺乏后期主動維護，更有很多人認為網絡信息安全只是個別技術部門的事。可見，提升網絡信息安全意識，提高信息化素養非常必要。醫院可通過培訓、專家講座、互聯網平臺、網絡信息安全知識競賽等方式，廣泛傳播安全知識，宣傳先進典型,弘揚積極向上的網絡文化。引導醫院職工積極參與國家網絡安全宣傳周各項活動，主動獲取有關法律法規和網絡安全知識與技能。對醫院職工進行網絡信息安全知識、技能、法律法規、內部制度及網絡信息安全重點崗位操作等培訓，進而逐步提升醫院職工的網絡信息安全意識和信息化素養。

3.3培養和引進專門人才

很多醫院的實際情況是，醫院網絡和系統管理員既是建設、保障、運維者,又是網絡信息安全管理者，精力往往只夠應付日常實施和運維，沒時間關注安全問題，更沒有精力和能力思考和構建網絡信息安全防護體系。人才是第一資源，醫院應該設置專門的網絡信息安全崗位，培養、引進專門人才，肩負起網絡信息安全責任。當前，我國有很多政府支持的網絡信息安全培訓機構，可提供系統化、專業化、規范化的培訓，通過培訓，參訓者會得到較大提升，而對于通過考核者，還可頒發CISP和CISAW等證書。另一方面，2017年8月中央網信辦、教育部印發《一流網絡安全學院建設示范項目管理辦法》，開啟了高校培養專門網絡信息安全人才的征程，醫院應高屋建瓴，充分考慮引進專門人才，構筑網絡信息安全防線。

3.4構建網絡信息安全技術防護體系

3.4.1加強物理安全物理安全要具備介質安全和設備安全等物理支撐環境，保護信息化基礎設施避免由人為錯誤操作、環境變化、自然災害等導致破壞和損失。重要機房建設要符合國家B級標準，有條件的醫院應建立兩個及以上中心機房。要配備高性能UPS(不間斷電源)、布置電磁干擾措施、架設監視器、實施按身份授權的門禁系統、部署防雷擊裝置以及消防設施，建設預警報警平臺。考慮將重要設備實行集中管理，重要通信線路實行深埋、架空或穿線布置。要強化硬件檢修維護工作,及時排除可能存在的安全隱患。3.4.2夯實網絡通信安全為確保通信安全首先要使用安全的傳輸媒介；其次,傳輸重要數據時，須采取加密措施；同時,可使用監控平臺對網絡運行情況進行監控,以盡早發現和處理問題。當前,很多醫院將網絡劃分為內網、外網、監控網、5G專用網等；要研究確定好各網絡的安全區域邊界,不同區域之間劃清界限,建立內外網隔離和服務器隔離(DMZ),邊界間配置防(火)毒墻、入侵檢測、網閘等設備。通過鏡像、中間件和用戶隱私鑒別等手段進行互聯。區域內的業務盡量采用虛擬化控制策略來防止非授權情況下的接入，部署虛擬機防火墻(VAF)防止病毒越界蔓延[1]。部署漏洞掃描平臺，定期對網絡及重要應用進行檢測，盡早發現漏洞、盡快修復漏洞。部署態勢感知平臺，為快速分析預判安全威脅，及時識別安全事件，快速響應處置方法提供有力保障。3.4.3筑牢信息數據安全醫院為做好信息數據防護應從多方面考慮以期形成完善的防護體系。一是注意存儲可擴展性。采購的產品不僅能滿足當前存儲及備份的需求，而且要充分考慮未來信息數據的增量需求，可以根據實際需要隨時將存儲擴容。二是做好存儲備份。應針對重要的信息數據采用連續備份、本地備份、異地備份、云備份等多種備份技術相結合的方式進行備份，以確保信息數據一旦出現問題可及時全面恢復數據。三是靈活運用各種工具，多角度多維度多層面對信息數據進行防護。對數據進行加密，確保機密性；使用數據防泄漏工具，防止重要數據從安全環境流出；使用數據庫漏洞掃描工具，定期進行檢查和安全評測，及時修復數據庫漏洞;不定期巡檢系統日志、重要業務數據；搭建數據庫審計和用戶行為審計平臺，實現對數據庫操作的精確記錄，并對不合理的操作進行告警和阻斷處理。總的來講，醫院要樹立積極防御思想，以數據安全的機密性、完整性、可用性為核心目標。突出信息數據安全防護的預警、檢測、響應、保護、恢復、追蹤等方面的安全能力[2]。3.4.4注重終端安全終端系統是用戶和網絡之間的接口，終端安全最重要的就是指個人主機和服務器安全。很多安全事件都是在終端被攻擊入侵之后引起的。做好終端安全尤為關鍵。個人主機防護：個人主機防護不當極易被攻擊后變成“肉雞”，成為據此向其他目標發起攻擊的源頭。針對個人主機防護，必須明確主機歸屬哪個網絡,并將歸屬不同網絡之間的主機邏輯分離；主機應使用正版操作系統并及時升級；應設置復雜度較高的登錄密碼；安裝殺毒軟件和防火墻并及時升級、定時查殺。服務器防護：一是確保安裝在服務器上的軟件為正版軟件，并做好及時更新。二是加強服務器的身份鑒別、訪問控制、安全審計、入侵防范,安裝殺毒和防惡意代碼軟件并及時更新、定時查殺。三是關閉不使用的端口及默認共享功能。四是要細分用戶權限,授予各類用戶的最小使用權限,對于過期賬戶及時刪除。五是要定期修改密碼，密碼設定符合復雜度規則要求。六是需要遠程登錄的服務器，須啟用加密措施。七是服務器應盡量避免接入使用U盤、光盤等外置設備。八是對于重要服務器，訪問其應考慮引入CA認證系統。九是對于訪問內網重要服務器，還應考慮使用準入控制管理系統。

四、結束語

在新時代，隨著新的信息技術在醫院信息化建設中的持續應用，必將帶來網絡信息安全新的問題，網絡信息安全工作一定不會“缺席”。認清網絡信息安全的風險及其危害,明確網絡信息安全工作在應對安全事件中的重要作用，從管理制度和信息技術上搭建網絡信息安全防護體系，大力提升防護和處置能力，是健全醫院管理體系的重要組成部分。

參考文獻

[1]袁駿毅,潘常青,宓林暉.基于等級保護2.0標準體系的醫院信息化安全建設與研究[J].中國醫院,2021,25(01):72-73.

[2]陶海昆,丁寧.數據安全防護體系建設思考與實踐[J].金融電子化,2020(06):82-84.

作者：梁曉基 關繼夫 單位：廣東醫科大學附屬第三醫院廣東醫科大學教育技術與信息中心