淺談醫院的網絡安全建設和管理

◆聶微 張旭凱

（龍巖市第一醫院 福建 361000）

1 引言

在醫療行業內，信息化的建設可以說是最先踐行的行業之一，尤其是在醫院內，HIS、PIAS、LIS、電子病歷等信息系統的應用逐漸成為常態化。其中，智慧醫療和互聯互通等醫療信息服務不僅改善了以往醫院出現的客戶信息存檔的各種問題，同時醫護人員的工作效率也得到了極大的改善，患者的就醫體驗也得到了優化提升。然而，醫院的信息一體化存在著安全隱患，例如：勒索病毒的出現，對計算機的危害進一步加深，并且傳播速度非?？?。在這樣的情況下，網絡安全建設和管理工作是當前最重要的工作內容之一。

2 醫院網絡安全建設和管理的重要性

當前，計算機網絡在醫院的應用越來越廣泛，如何更合理的應用網絡功能是高效處置信息及快速傳遞的關鍵，在這樣的方式下，對網絡環境的安全防范及管理維護展現出了其重要性。比如，醫院利用信息技術對患者就診信息進行采集、整合、處理和分析，也為患者提供不同類型診療業務，患者也能夠對就診信息進行快速有效的查詢，而這些信息資源開發利用的基礎就是網絡通信。如果醫院的計算機網絡安發生事故，將會導致患者信息泄漏或者網絡癱瘓等后果。因此醫院網絡安全的建設和管理對醫療效率在一定程度上也產生了極大的影響。

2.1 網絡安全建設的重要性

隨著國家網絡安全法的頒布，許多醫院對網絡安全的建設愈加重視，通過招收網絡安全技術人才以及和安全廠商合作等途徑建設網絡的安全防控。但是部分醫院仍然存在許多安全漏洞，工作人員等信息被暴露在互聯網，甚至存在信息丟失和篡改。網絡安全建設需要根據醫院自身的具體條件構建務實的網絡安全整體架構，它關系到醫院是否能夠有效地阻止惡意的網絡入侵和竊取等行為。

2.2 網絡安全管理的重要性

醫院投入大量預算在網絡安全建設方面，購買很多的安全設備，就像是買了許多意外保險。然而，醫院的安全運維管理“三天打魚兩天曬網”，在實際過程中，為了方便，提高效率，省去麻煩，臨床科室人員往往因為缺乏安全意識以諸多理由要求開放更大的網絡安全限制范圍，信息部門也疏于管理，導致很多安全產品最終形同虛設。

3 醫院網絡安全建設和管理的現狀及問題

2020 年中國醫院協會信息專業委員會給出的調查報告中對我國醫院信息化的情況做了匯總，在報告當中，僅有43.95%的醫院施行并通過了等級保護測試，從這一結果中不難看出，在醫療行業當中等保制度施行的情況并不理想。在報告當中還指出，符合二級等保要求的醫院占比在13.57%，有20.38%的醫院符合三級等保要求。從上述的數據中可以看出，網絡信息安全在醫院中的完善度并不高，換言之醫院的網絡安全建設和管理還面臨一些問題。醫院對信息安全保障工作的開展情況如下表1 所示。

表1 醫院采取的網絡安全措施

表1 中所展示的醫院當前使用的安全防護措施已經比較齊全，然而并不是所有的醫院都將上述的措施落實到位，并且占比非常小。

3.1 相關人員缺少安全意識及管理經驗

由于平常不會經常出現網絡安全事故，很多醫院的工作人員對于網絡安全的關注并不高，在安全意識方面存在較多的問題，導致在日常的工作中很難將網絡運維及管理落實到位。醫院對于技術人員的培訓方面重視程度不夠，投入精力并不大，信息部門作為醫院的輔助部門缺少安全管理意識和經驗[1]。在安全管理方面，安全維護管理人員為了能夠方便自己操作，采用的方式是弱口令，并且相應的管理措施及辦法也不夠完整。此外，醫護人員普遍不了解計算機網絡，缺乏安全操控意識，更不懂得哪些操作可能會造成安全事故[2]。在這種情況下，非信息的工作人員往往會提出或者直接進行產生網絡安全威脅的操作，這將給黑客進行網絡入侵的機會，如醫院內主要采用的是局域內網或者是通過虛擬的網絡技術分為了多個內網，但是不同的計算機之間是連接的，并且數據可以共享。在這樣的情況下，一旦出現其中某一臺計算機感染了病毒，那么與之相連接的另外一臺計算機不可避免都會感染病毒[3]。所以，醫護人員如果使用U 盤等移動介質會導致存儲介質中的病毒潛伏在主機上，很有可能導致該網段的電腦都會感染病毒。

3.2 計算機網絡軟硬件水平較低

在計算機網絡建設中，硬件和軟件相輔相成，是不容忽視的基礎。如果對計算機軟件和硬件的維護升級及管理不充分，醫院網絡安全建設的運行效果也會受到不利的影響[4]。針對當前的情況，醫院的管理人員在維護網絡軟硬件方面還有較大的不足，進而導致網絡安全依然存在威脅。一些外來數據并沒有進行嚴格的審查，導致醫院整個網絡系統在運行的過程中出現了嚴重的安全事故。如傳文件的過程中外網的文件大多直接通過FTP 服務器傳輸到內網，也沒有定期升級病毒庫，這可能會造成該網段的電腦感染病毒。目前，有一些醫院的系統依然是采用的已經淘汰的Windows xp、移動醫療PAD 設備等，因為缺少相應的安全保障，導致主機問題不斷發生，也為黑客提供了可攻擊的機會。醫院網絡安全建設和管理過程中，應用的情況是不斷變化及擴展的，并且結構也會越來越復雜，在這個過程中，很少有醫院會再去優化安全設備的配置，甚至直到報廢都沒有變動過，安全設備起到的保護作用非常有限。在上述問題的影響下，醫院的安全信息系統會受到各種病毒侵害和黑客攻擊，對醫院的業務的開展帶來極大的危害。

3.3 缺少網絡安全整體架構和分級分類建設方案

不同行政地區、不同級別和類型的醫院對網絡安全的要求是不同的。許多醫院在網絡安全建設過程中沒有整體方案，不清楚自身最薄弱的脆弱點，造成有限的信息化建設資金沒有花費在最緊急需要防護的地方，在不斷的網絡攻防之間，出現了安全問題就聽從安全產品公司的推銷，而整體防護仍然漏洞百出。例如，機房以及數據中心是存放醫院內部核心信息與數據的主要場所，機房一旦出現故障，數據就會遭到損害，進而造成一些無法挽回的損失，應該劃分為一級建設。因此，醫院需要根據對自身的評估以及結合威脅的嚴重性對建設方案做分級分類的規劃。

4 醫院網絡安全建設和管理的優化措施

4.1 建立和實施分級分類的網絡安全整體建設方案

網絡安全體系的要求可以分類為信息數據的完整性、及時性、機密性、可用性、真實性和可控性[5]，每個建設環節都可以劃分為其中一類。醫院的網絡安全建設也是一個長期的過程，根據醫院的基礎需要和威脅的嚴重性進行分級，總共分為五級，一級具有最高的優先性，依次遞減；網絡安全建設整體方案的每個建設環節包含做了哪些方面的防護，可以防護的內容是什么，可以抵擋什么類型的網絡威脅，還有什么不足并且出現這種問題需要如何解決才能將損失降到最低；然后根據建立的整體規劃一步一個腳印分期分批進行實施。目前為止網絡安全等級保護測評是最完善的安全建設要求，醫院可根據等級測評報告發現與等級保護標準的差距和存在的安全隱患，并對風控點進行補漏[6]。在建設實施過程中，要抓好質量監管，確保每個環節具有切實有效的防護質量，這也需要做好相關的市場調研，選擇在該方面有堅實技術實力和良好口碑的安全公司，切勿為了方便將所有的建設環節都交付給一家網絡安全公司。

4.2 建立醫院網絡安全管理體系

采購大量的網絡安全設備也不能保證萬無一失，而且如果忽略安全管理體系的建立與完善也難以達到保障網絡安全的目標。為進一步提高醫院信息化建設水平，醫院需要制定本院的安全策略和管理制度，按照標準的制定、評審、修訂和發布流程執行，從而為醫院網絡信息安全工作奠定堅實的基礎[7]；需要成立專門的網絡安全小組，確定崗位和職責，實行安全責任制和獎懲措施；需要針對網絡安全相關的操作進行嚴格的授權和審批，如數據庫遠程申請和數據修改申請等，并且信息系統的立項，開發和運維等過程都必須做好相關的安全管理，如在編寫代碼的過程中是否做到安全編程，不僅需要考慮代碼的功能性還需要考慮代碼的安全性。同時，安全管理人員需要將運行過程中暴露的問題及時告知分管領導，分管領導也需要與上層領導根據醫院管理及發展的具體情況提出相應的處理對策。

4.3 加強醫院人員網絡安全素質提升

想要進一步提高醫院內部人員的安全意識和水平，可以開展計算機網絡安全管理注意事項的宣傳和培訓，還有定期開展安全的應急演練并且設置年度考核，樹立和強化醫護員工的安全責任心理；培養醫護人員的基本知識和安全技巧，若察覺到信息系統異常能夠及時通知信息人員，并且信息人員對醫護人員信息系統操作評價也是作為考核內容之一，根據考核結果對其進行獎懲，例如醫護人員由于操作不當導致電腦中毒，信息人員有權對其記錄和評價。其次，醫院需要引進具有計算機網絡安全管理經驗的人才，形成具有高綜合素質的安全管理團隊，它是醫院信息化系統安全保障的成功之本[8]。在人員管理方面，醫院需要重視對人員的錄用以及離職過程中的安全維護協議簽署環節，增加醫院員工的安全維護義務。

4.4 注重日常網絡安全運維工作的開展

安全運維時時都在路上，自從安全設備安裝在網絡上之后，安全運維就已經開始。日常網絡安全維護是圍繞實時的軟硬件運行情況進行的。在硬件方面，機房和數據中心是首要觀察記錄和日常維護的對象；對服務器，交換機以及防火墻等設備的巡查和檢測是日常維護的基礎工作；條件允許的情況下，可以預先準備備用的服務器和冗余網絡線路，設置備份數據區對數據中心進行定時備份，爭取做到出現事故前解決掉隱患。在發生事故后需及時進行搶修，事后還需要進行審計，反思以后的工作如何進行和管理并且。在軟件方面，醫院日常的管理工作當中要及時更新殺毒軟件以及防火墻補丁的快速升級，定期對醫院的信息系統進行漏洞掃描、軟件升級和安裝補丁，軟件更新或下載文件前必須經過病毒查殺，如果發生安全事故需要及時進行應急措施，采用應急預案手工執行，最大程度地減少損害[9]。

4.5 最大限度保護數據安全

醫院作為公共服務單位存儲大量的患者敏感信息、診療信息和臨床用藥信息等，這些信息對于醫院和患者來說都十分重要[10]。那么，醫院也必須保障這些信息的完整性、可用性、機密性以及可控制訪問。對此，醫院可以采用加密技術在訪問數據庫時加密線路中的信息流，如鏈路加密、節點加密以及端到端加密等幾種技術手段；為了保護數據可用，防護勒索病毒的攻擊，除了提示內部員工避免點擊不明郵件、未知鏈接等，可以把重要信息文件進行多處備份。利用數據庫權限劃分進行角色管理，除了內部人員訪問數據庫控制，還需對外部人員訪問數據庫進行多重控制和交叉驗證，外包工程師需要使用Key 遠程連接數據庫。

5 結論

綜上所述，在醫療行業中信息化的應用提高了服務的質量以及工作效率。但是在這一過程中計算機安全威脅也成為了醫院經營管理的重要問題。本文分析了當前醫院的現狀和普遍存在的問題，以此提出分級分類的網絡安全建設方案和網絡安全管理體系以及持續加強醫院員工的網絡安全素質日常安全運維工作的開展等對策。通過這樣的方式可以一定程度上保障醫院信息系統能夠持續穩定的運行。