新时代医院网络信息安全问题和对策

【摘要】当前时代，网络信息安全面临各种威胁，医院作为特殊行业，网络信息安全工作尤为重要。本文阐述了当前医院信息化建设和网络信息安全的现状；总结了医院网络信息安全问题的主要表相；指出了医院网络信息安全工作的主要目标；阐明了医院网络信息安全的主要对策。为各医疗机构如何进一步筑牢网络信息安全防线提供了参考。

【关键词】网络信息；安全；对策

一、当前医院信息化建设和网络信息安全的现状

随着互联网和信息技术的飞速发展，基于“互联网+医疗”的应用越来越普遍。从患者的视角来看：从预约、挂号、就诊、检查、购药、缴交费用、检查化验结果查看等到更多的信息查询、医患互动，甚至是部分治疗活动都可以在网上完成。从医院的视角来看：为了方便患者就医、提高工作效率、优化业务流程、落实上级要求、提高医院竞争力、提升现代医院治理水平，建设了大批的信息系统。在网络方面，医院往往是有线网、WIFI网、4G和5G网并存使用。同时，基于“医联体”“互联互通”的实际需求，医院的内部信息往往要与外部机构对接传输。从外部视角来看：不论是医院各用户的账号密码信息、还是患者的诊疗信息、档案信息，都是不法分子窥觑窃取的资源。另有不法分子以破坏为目的，欲使网络或系统瘫痪。近年来更出现了以勒索为目的黑客攻击。从内部视角来看：存在由于管理不当或人员疏忽造成的数据泄露、损坏、丢失等情况,存在软硬件问题造成的网络、系统瘫痪；也存在人为主动因素造成的网络安全事件。可以肯定的说，随着时代的进步，网络信息安全的表相一定层出不穷，而网络信息安全防护也永远在路上。自2007年等保1.0标准实施以来,我国网络信息安全工作取得长足发展。2014年,总书记指出“没有网络安全就是没有国家”，指明了网络安全在新时代的极端重要性，2017年网络安全法颁布实施；2019年等保2.0标准执行；这些举措都一再强调网络信息安全的重要性。

二、医院网络信息安全工作的主要目标

一是机密性：确保信息数据不在有效保密时限内泄漏给非授权用户和实体。二是完整性：确保信息数据不被非授权用户篡改或伪造。三是可用性：确保用户正常访问被授权的系统或资源。四是不可否认性：防止信息数据的产生方、发送方或接收方、处理方否认有关事实。五是实体鉴别：验证通信实体的真实身份。六是可审查性：有手段和依据可追踪到出现网络信息安全问题所在和攻击根源。七是访问控制：要阻止已知的攻击行为和病毒进入网内和系统；要限定不同实体对业务或信息资源访问的范围。

三、医院网络信息安全对策探析

3.1体系化制定网络信息安全管理制度

医院大多存在“重建设应用，轻管理防范”的现象，存在没有实施与医院实际信息化现状相匹配的网络信息安全管理制度，导致在管理方面缺乏指导性文件；存在网络信息安全管理组织架构不清晰,各部门职责不明确，发生安全事件缺少及时有效的防护和解决方案等问题。因此，制定一整套科学有效的管理制度十分必要。一是成立网络安全和信息化领导小组，出台领导小组章程,网络信息安全管理办法等一套纲领性文件，阐明医院网络信息安全工作的背景、重要性、目的和意义；初步明确各部门网络信息安全的整体职责。二是与各部门负责人和重点网络信息安全岗位人员签署网络信息安全责任书，用以将责任和义务明确化、具体化,着力提高有关人员的责任感和重视度。三是制定网络信息安全事件应急响应预案。预案要有针对性，要将可能发生的安全事件进行分类，并就每种类型制定预案。预案要具有高度的可操作性。要开展经常性的实战演练，熟练发生各类突发事件时的操作规程和处置措施。还应根据情况变化不断完善应急预案。四是制定数据管理、信息技术规范、网站管理、新媒体管理、用户、账号和密码管理等一系列相关制度。用以阐明各项信息化工作、各个环节具体可能面临的网络信息安全问题,指明避免或解决问题的方法和措施等。

3.2提升网络信息安全意识和信息化素养

医院往往重点关注的是信息系统功能全不全、性能好不好，而对系统是否安全缺乏重视。系统投入使用后，在安全方面也缺乏后期主动维护，更有很多人认为网络信息安全只是个别技术部门的事。可见，提升网络信息安全意识，提高信息化素养非常必要。医院可通过培训、专家讲座、互联网平台、网络信息安全知识竞赛等方式，广泛传播安全知识，宣传先进典型,弘扬积极向上的网络文化。引导医院职工积极参与国家网络安全宣传周各项活动，主动获取有关法律法规和网络安全知识与技能。对医院职工进行网络信息安全知识、技能、法律法规、内部制度及网络信息安全重点岗位操作等培训，进而逐步提升医院职工的网络信息安全意识和信息化素养。

3.3培养和引进专门人才

很多医院的实际情况是，医院网络和系统管理员既是建设、保障、运维者,又是网络信息安全管理者，精力往往只够应付日常实施和运维，没时间关注安全问题，更没有精力和能力思考和构建网络信息安全防护体系。人才是第一资源，医院应该设置专门的网络信息安全岗位，培养、引进专门人才，肩负起网络信息安全责任。当前，我国有很多政府支持的网络信息安全培训机构，可提供系统化、专业化、规范化的培训，通过培训，参训者会得到较大提升，而对于通过考核者，还可颁发CISP和CISAW等证书。另一方面，2017年8月中央网信办、教育部印发《一流网络安全学院建设示范项目管理办法》，开启了高校培养专门网络信息安全人才的征程，医院应高屋建瓴，充分考虑引进专门人才，构筑网络信息安全防线。

3.4构建网络信息安全技术防护体系

3.4.1加强物理安全物理安全要具备介质安全和设备安全等物理支撑环境，保护信息化基础设施避免由人为错误操作、环境变化、自然灾害等导致破坏和损失。重要机房建设要符合国家B级标准，有条件的医院应建立两个及以上中心机房。要配备高性能UPS(不间断电源)、布置电磁干扰措施、架设监视器、实施按身份授权的门禁系统、部署防雷击装置以及消防设施，建设预警报警平台。考虑将重要设备实行集中管理，重要通信线路实行深埋、架空或穿线布置。要强化硬件检修维护工作,及时排除可能存在的安全隐患。3.4.2夯实网络通信安全为确保通信安全首先要使用安全的传输媒介；其次,传输重要数据时，须采取加密措施；同时,可使用监控平台对网络运行情况进行监控,以尽早发现和处理问题。当前,很多医院将网络划分为内网、外网、监控网、5G专用网等；要研究确定好各网络的安全区域边界,不同区域之间划清界限,建立内外网隔离和服务器隔离(DMZ),边界间配置防(火)毒墙、入侵检测、网闸等设备。通过镜像、中间件和用户隐私鉴别等手段进行互联。区域内的业务尽量采用虚拟化控制策略来防止非授权情况下的接入，部署虚拟机防火墙(VAF)防止病毒越界蔓延[1]。部署漏洞扫描平台，定期对网络及重要应用进行检测，尽早发现漏洞、尽快修复漏洞。部署态势感知平台，为快速分析预判安全威胁，及时识别安全事件，快速响应处置方法提供有力保障。3.4.3筑牢信息数据安全医院为做好信息数据防护应从多方面考虑以期形成完善的防护体系。一是注意存储可扩展性。采购的产品不仅能满足当前存储及备份的需求，而且要充分考虑未来信息数据的增量需求，可以根据实际需要随时将存储扩容。二是做好存储备份。应针对重要的信息数据采用连续备份、本地备份、异地备份、云备份等多种备份技术相结合的方式进行备份，以确保信息数据一旦出现问题可及时全面恢复数据。三是灵活运用各种工具，多角度多维度多层面对信息数据进行防护。对数据进行加密，确保机密性；使用数据防泄漏工具，防止重要数据从安全环境流出；使用数据库漏洞扫描工具，定期进行检查和安全评测，及时修复数据库漏洞;不定期巡检系统日志、重要业务数据；搭建数据库审计和用户行为审计平台，实现对数据库操作的精确记录，并对不合理的操作进行告警和阻断处理。总的来讲，医院要树立积极防御思想，以数据安全的机密性、完整性、可用性为核心目标。突出信息数据安全防护的预警、检测、响应、保护、恢复、追踪等方面的安全能力[2]。3.4.4注重终端安全终端系统是用户和网络之间的接口，终端安全最重要的就是指个人主机和服务器安全。很多安全事件都是在终端被攻击入侵之后引起的。做好终端安全尤为关键。个人主机防护：个人主机防护不当极易被攻击后变成“肉鸡”，成为据此向其他目标发起攻击的源头。针对个人主机防护，必须明确主机归属哪个网络,并将归属不同网络之间的主机逻辑分离；主机应使用正版操作系统并及时升级；应设置复杂度较高的登录密码；安装杀毒软件和防火墙并及时升级、定时查杀。服务器防护：一是确保安装在服务器上的软件为正版软件，并做好及时更新。二是加强服务器的身份鉴别、访问控制、安全审计、入侵防范,安装杀毒和防恶意代码软件并及时更新、定时查杀。三是关闭不使用的端口及默认共享功能。四是要细分用户权限,授予各类用户的最小使用权限,对于过期账户及时删除。五是要定期修改密码，密码设定符合复杂度规则要求。六是需要远程登录的服务器，须启用加密措施。七是服务器应尽量避免接入使用U盘、光盘等外置设备。八是对于重要服务器，访问其应考虑引入CA认证系统。九是对于访问内网重要服务器，还应考虑使用准入控制管理系统。

四、结束语

在新时代，随着新的信息技术在医院信息化建设中的持续应用，必将带来网络信息安全新的问题，网络信息安全工作一定不会“缺席”。认清网络信息安全的风险及其危害,明确网络信息安全工作在应对安全事件中的重要作用，从管理制度和信息技术上搭建网络信息安全防护体系，大力提升防护和处置能力，是健全医院管理体系的重要组成部分。

参考文献

[1]袁骏毅,潘常青,宓林晖.基于等级保护2.0标准体系的医院信息化安全建设与研究[J].中国医院,2021,25(01):72-73.

[2]陶海昆,丁宁.数据安全防护体系建设思考与实践[J].金融电子化,2020(06):82-84.

作者：梁晓基 关继夫 单位：广东医科大学附属第三医院广东医科大学教育技术与信息中心