干货 | 这份医疗行业网络安全防护知识必须收藏！ - 新鲜讯息

点击上方

蓝字

关注我们

随着数字化进程的加速推进，网络安全已经成为社会和国家稳定发展的重要保障，其重要性越来越被人们广泛关注和重视。在去年的全国两会上，网络安全更是成为了备受关注的热点话题之一。

什么是网络安全？

网络安全（Cybersecurity）是指通过技术、管理和法律手段，保护计算机系统、网络、数据及用户免受未经授权的访问、破坏、泄露或篡改的一系列措施。其核心目标是确保数字环境中信息的机密性、完整性、可用性（CIA三要素），并防范网络攻击、数据泄露等风险。

而我们医疗行业需保护患者的隐私（如电子病历）、确保医疗设备（如CT机联网）不被操控。所以网络安全是当今数字时代的“免疫系统”，没有绝对的安全，只有持续的防御——技术+管理+意识缺一不可。

医疗机构需关注的网络安全是什么？

目前医疗行业已经成为信息化程度较高的行业之一。医院信息系统(HIS)作为医院运营和管理的重要支撑平台，记录着大量的医疗数据和信息，对于医院的正常运营和患者的治疗都具有重要意义。

然而，随着在线挂号、线上会诊、电子病历、线上结算等信息化医疗的普及，在助力医疗高效的同时，也让医疗数据处于风险之中。医疗行业的患者信息、患者病历、统方等高价值的医疗数据被不法分子盯上，越来越多的网络攻击手段被运用到HIS系统，让医疗行业处于网络信息安全的“高风险区”。

医疗系统网络安全相关法律

国家卫生健康委已于2022年8月8日发布《医疗卫生机构网络安全管理办法》，主要包括以下几方面内容：

①网络安全管理责任：医疗卫生机构应建立网络安全管理制度，明确网络安全管理的责任部门和人员。

②网络安全技术保障：医疗卫生机构应加强网络安全技术防护，采取必要的技术措施确保信息系统和数据的安全。

③信息采集和处理规定：医疗卫生机构在信息采集和处理过程中，应遵守相关法律法规，保护患者和医务人员的隐私信息。

④网络安全事件应急处理：医疗卫生机构应建立网络安全事件应急预案，一旦发生网络安全事件，应及时采取措施进行处理。

⑤网络安全检测和评估：医疗卫生机构应定期进行网络安全检测和评估，发现问题及时进行整改和更新。

⑥员工网络安全培训：医疗卫生机构应加强员工的网络安全意识培训，提高员工对网络安全的重视和防范意识。

⑦外部合作安全管理：医疗卫生机构在与外部机构合作时，应加强对合作方网络安全管理的审查和监督。

⑧网络安全事件报告和记录：医疗卫生机构应建立网络安全事件报告和记录制度，记录网络安全事件的处理过程和结果。

⑨网络安全管理制度完善：医疗卫生机构应不断完善网络安全管理制度，根据实际情况进行调整和改进。

⑩法律责任和违规处理：医疗卫生机构未按照规定履行网络安全管理责任的，将承担相应的法律责任和违规处理。

医疗系统网络安全威胁分析

黑客攻击

目前，很多医院的HIS都基于互联网平台技术，即：医院办公人员不仅可以实现近端内部管理，还能够实现远程登录管理。这种管理形式提升了HIS系统的实效性，但同时也为黑客攻击埋下了隐患。

计算机病毒

计算机病毒对HIS系统的侵害体现在多个方面，一旦病毒侵入医院HIS系统的缴费子系统，便可恶意篡改系统中的数据，并向系统的数据库自动发送大量的废物数据包，同时，通过自我复制、网络任意传输等功能，整个HIS系统会在很短时间内遭到感染，从而造成包括缴费子系统在内的HIS系统平台陷入瘫痪。

操作系统安全漏洞

HIS平台的稳定运行往往需要基于一个操作系统，倘若操作系统本身就存在不确定的安全漏洞，则会给黑客攻击、木马病毒植入带来可趁之机。例如，目前，我国很多医院的HIS平台仍基于Windows XP系统，而微软公司已在2015年5月份宣布正式终止XP系统的升级服务，如此一来，上述医院的HIS系统便会不断暴露出新的漏洞，这给黑客的攻击埋下了伏笔。

网络管理疏忽

缺乏必要、定期的网络管理和维护，也是造成HIS系统面临网络安全问题的主要因素。例如，系统缺乏必要的防火墙设备、缺少专业的管理安全管理维护人员、缺乏对系统安全管理硬件软件的更新等，上述管理疏忽若长期存在，便会给黑客攻击留下漏洞。

医疗网络安全事件分析

事件回顾

2021年6月，泸州某医院遭受网络攻击，造成全院系统瘫痪，医院紧急停摆。泸州公安机关迅速调集技术力量赶赴现场，指导相关单位开展事件调查和应急处置工作。经调查发现，该医院未制定内部安全管理制度和操作流程，未确定网络安全负责人，未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施，导致被黑客攻击造成系统瘫痪。泸州公安机关根据《中华人民共和国网络安全法》第二十一条和五十九条之规定，对该院处以责令改正并警告的行政处罚。

案例小结

医疗机构在整个网络安全、数据安全和个人信息保护工作中扮演着极其重要的角色，但是部分医疗机构在信息化建设和应用中，存在“重应用，轻防护”的思想，对网络安全和数据安全工作不重视、安全防护意识淡薄，未严格按照法律法规要求履行网络安全主体责任，存在安全隐患和漏洞被黑客利用进行攻击，导致部分信息系统或数据遭到破坏。

案件警示

医院信息化建设在为大型医院的医疗、管理工作带来高效便捷的同时，也带来了不可忽视的信息系统安全问题。一旦出现网络或信息系统故障，势必会影响医院日常各项工作的开展，降低医疗服务质量和医护工作效率，甚至产生消极的社会影响，如泄露患者个人信息，医疗系统瘫痪威胁患者生命安全等，医疗系统务必严格遵守《医疗卫生机构网络安全管理办法》，维护医院网络安全。

维护医疗系统网络安全，我们应该怎么做？

医院而言

①设立并维护防火墙

防火墙是防范网络攻击和信息泄漏的基本设备之一。它采用网络隔离技术，对内网和外网进行隔离，从而防止外部网络攻击对内网的侵入。医院应该配备专业的防火墙，并对其进行恰当的配置和管理。

②网络安全监测

网络安全监测可以及时发现和阻止网络安全事件的发生和扩散，提高网络安全性。医院可以采用网络安全监测软件，并配备专业人员进行监测和响应。

③数据备份和恢复

定期进行数据备份是保护数据安全的重要保障，并即时恢复数据，避免数据的意外丢失。医院应该实时备份重要数据，并存放在安全的地方。数据备份可以采用硬件备份或云备份方式。

④网络安全和信息安全教育培训

网络安全和信息安全教育培训是提高医务人员网络安全防范意识和技能的重要途径。医院可以组织内部培训，邀请专业的网络安全人员进行讲解和指导。同时，利用医院网站、公众号等途径对外宣传网络安全知识。

⑤网络设备及软件管理

医院应该采用正版的软件和设备，并对其进行维护和更新。对于废弃的网络设备和软件，要及时进行处理，避免出现安全隐患。