關鍵詞:等級保護����;醫院�����;網絡安全;信息系統���;合規建設
摘要:有研究表明,針對醫療機構的勒索軟件攻擊可能會產生生死攸關的后果�。近25%的醫療保健提供者報告說�����,勒索軟件導致患者死亡率增加。所以醫院做好網絡安全防護是至關重要的�����,這也是對醫院患者的一份負責���!
隨著醫院信息化建設的飛速發展����,醫院的信息系統已經運用到醫療服務的各個環節中��,但以安全事故引起的系統故障�����,醫療活動的開展將會受到嚴重影響。如何規劃醫院網絡體系建設?國家對信息安全越來越重視,等級保護相關標準為適應新環境、新技術進行了優化升級���,按照衛健委對三級甲等醫院信息系統定級不低于三級的要求,提出以“一個中心、三重防護”為核心的合規建設方案����,并對未來安全防護的優化提出建議���。
醫院等保
一��、現階段醫院現狀分析
根據《2019-2020年度中國醫院信息化狀況調查報告》顯示,在被調查的390家醫院中互聯網醫院需要3級等保,網絡安全年投入在50-100萬元的醫院占比17.18%���;年投入在100-200萬元的醫院占比17.69%;年投入200萬元以上的醫院占比15.9%。
數據來源:《2019-2020年度中國醫院信息化狀況調查報告》
據CHIMA《2019-2020年度中國醫院信息化狀況調查報告》顯示��,醫院在信息安全方面的投入已占總投入的9.43%���,投入顯著增加����,在2019年有43.95%的醫院實施并通過了等級保護測評,2020年有66.18%的醫院通過了網絡安全等級保護測評。由此可看出���,醫院對網絡安全的投入相比往年有很大程度提升��。但仍有部分醫療機構對網絡安全建設重視程度不足的情況����。報告統計了醫院對于信息安全保障工作開展的情況�����,如下圖所列舉的安全防護措施��。
醫院采取的網絡安全措施
?從圖中看到�����,醫院所使用的安全防護措施也是比較全面的,但是能夠真正這樣部署的醫院寥寥無幾。目前,還有為數較多的醫院主機還是 xp、移動醫療PAD設備還是 CE等被淘汰的操作系統,漏洞百出的主機極易被黑客攻陷。在醫院的網絡拓撲中���,從建設初期沿用至今,隨著應用的擴展和網絡結構的復雜化,暴露出內外網物理隔離或者邏輯隔離的漏洞互聯網醫院需要3級等保���,安全設備形同虛設。在安全管理上,維護人員為了圖方便而使用弱口令��,沒有一套完整規范的管理辦法���、沒有專業的技術培訓��。
醫療行業是勒索病毒威脅的“重災區”——入侵醫療行業的惡意軟件高達85%���,其中數據庫服務器成為了勒索病毒的主要攻擊目標�。也正是因為醫療機構網絡安全意識淡薄����、資金投入不足����、專業人才缺乏等問題,才導致醫院信息系統近年頻頻遭受“勒索軟件”攻擊�、病毒植入導致業務服務中斷等安全事故�。
且有研究表明��,針對醫療機構的勒索軟件攻擊可能會產生生死攸關的后果��。近25%的醫療保健提供者報告說,勒索軟件導致患者死亡率增加��。所以醫院做好網絡安全防護是至關重要的�����,這也是對醫院患者的一份負責��!
二、醫院網絡體系建設原則
醫院作為保障基礎民生的重要基礎設施�����,確保其醫療服務的穩定是十分重要的���。隨著醫院信息化的腳步加快��,其網絡安全的建設要遵循“三同步”�����,即同步規劃、同步建設和同步執行�,而對醫院信息系統的保護也不可能做到絕對的安全��,以重點保護、全面防護�、動態調整為原則開展網絡安全防護建設���,滿足等保的標準要求,就可以達到較好的防護效果。
