您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
醫(yī)院網(wǎng)絡(luò)安全建設(shè)存在3大差距5大不足
近日《2020醫(yī)院網(wǎng)絡(luò)安全發(fā)展研究報(bào)告》(以下簡(jiǎn)稱“《報(bào)告》”)發(fā)布。《報(bào)告》立足醫(yī)院網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀,分析網(wǎng)絡(luò)安全的新需求,提出了未來(lái)醫(yī)院網(wǎng)絡(luò)安全發(fā)展的目標(biāo)、思路和發(fā)展構(gòu)想。
3大差距5大不足
醫(yī)院網(wǎng)絡(luò)安全的差距主要體現(xiàn)在以下三點(diǎn):
一是對(duì)網(wǎng)絡(luò)安全工作認(rèn)識(shí)上存在差距。目前醫(yī)療行 業(yè)人員基本不了解網(wǎng)絡(luò)安全政策、制度、流程,只有占醫(yī)院人數(shù)極少部分的信息部門相關(guān)人員有一定了解。
二是在網(wǎng)絡(luò)安全整體投入上存在差距。國(guó)外55%的醫(yī)院為網(wǎng)絡(luò)安全專門撥付經(jīng)費(fèi),其中多數(shù)是占到IT預(yù)算的3%-6%,并且這些經(jīng)費(fèi)開(kāi)支的方向是在網(wǎng)絡(luò) 安全運(yùn)營(yíng)活動(dòng)和軟硬件資源上。國(guó)內(nèi)大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡(luò)安全,對(duì)網(wǎng)閘、防入侵、防毒墻等設(shè) 備的采用率均小于50%。
三是在網(wǎng)絡(luò)安全管理理念上存在差距。國(guó)內(nèi)醫(yī)院網(wǎng)絡(luò)安全建設(shè)還處于安全產(chǎn)品堆砌階段,重硬件輕軟件、重產(chǎn)品輕服務(wù)、重合規(guī)輕運(yùn)營(yíng)的現(xiàn)象普遍存在。
主要不足體現(xiàn)在以下5個(gè)方面:
一是醫(yī)療行業(yè)人員安全意識(shí)相對(duì)薄弱。目前較多醫(yī)院在人員安全意識(shí)教育方面投入幾乎為零,人員缺乏對(duì)網(wǎng)絡(luò)安全政策法律法規(guī)、安全防護(hù)措施、安全管理制度的認(rèn)識(shí),存在很多內(nèi)部人員違規(guī)使用電 腦、私搭亂接網(wǎng)絡(luò)、口令設(shè)置簡(jiǎn)單等問(wèn)題。
二是缺乏整體網(wǎng)絡(luò)安全頂層設(shè)計(jì)。目前各醫(yī)院網(wǎng)絡(luò)安全建設(shè)比較松散,缺乏頂層設(shè)計(jì),未形成統(tǒng)一的安全體系。技術(shù)方面很多醫(yī)院只是采用了防火墻、防病毒等簡(jiǎn)單的安全防護(hù)措施。
三是等級(jí)保護(hù)合規(guī)建設(shè)存在不足。整個(gè)醫(yī)療行業(yè)的網(wǎng)絡(luò)安全等級(jí)保護(hù)工作開(kāi)展情況還存在明 顯不足。據(jù)2019年《醫(yī)院信息安全調(diào)查報(bào)告》發(fā)現(xiàn),400家調(diào)研對(duì)象中,有實(shí)施等 級(jí)保護(hù)工作規(guī)劃的醫(yī)院有106家,占比27.25%;沒(méi)有開(kāi)展等級(jí)保護(hù)工作規(guī)劃的醫(yī)院有48家,占比12.34%。
四是新技術(shù)引入加劇新安全風(fēng)險(xiǎn)。尤其 是互聯(lián)網(wǎng)醫(yī)療、遠(yuǎn)程診療、人工智能和大數(shù)據(jù)等技術(shù)的應(yīng)用。隨著新技術(shù)的引入,醫(yī)院面臨諸多新的安全風(fēng)險(xiǎn)。
五是醫(yī)院安全管理缺乏高效運(yùn)營(yíng)支撐。在新的安全形勢(shì)下,醫(yī)院安全管理工作面臨的主要問(wèn)題包括兩個(gè)方面。一方面是缺乏專業(yè)的安全專職人員和管理制度。另一方面是缺乏統(tǒng)一 高效的安全運(yùn)營(yíng)能力,針對(duì)業(yè)務(wù)系統(tǒng)缺乏周期性及實(shí)時(shí)性的安全風(fēng)險(xiǎn)評(píng)估,無(wú)法感知全網(wǎng)安全狀態(tài)?!熬然稹笔降陌? 全管理模式,導(dǎo)致發(fā)生安全事件不能及時(shí)進(jìn)行響應(yīng),整體安全運(yùn)維效率低下。
報(bào)告建議
(一)制度性安排網(wǎng)絡(luò)安全資源投入,實(shí)現(xiàn)“上醫(yī)治未病” 。與人體健康相類似,網(wǎng)絡(luò)安全管理的是各類風(fēng)險(xiǎn),只有在隱患尚未發(fā)生時(shí),其防治成本以及損失后果才會(huì)最低。當(dāng)前總體上看,醫(yī)院網(wǎng)絡(luò)安全在防護(hù)技術(shù)、防護(hù)措施、防護(hù)理念、監(jiān)督檢查等方面還相對(duì)落后,與信息化發(fā)展應(yīng)用不 相匹配,亟需高度重視事前防御,增加防護(hù)資源投入,并做出制度性安排,從根本上提升網(wǎng)絡(luò)安全能力。一是高度重 視網(wǎng)絡(luò)安全工作,將網(wǎng)絡(luò)安全納入“一把手”工程,逐級(jí)壓實(shí)安全責(zé)任,加強(qiáng)網(wǎng)絡(luò)安全意識(shí)培養(yǎng),從思想上樹(shù)立堅(jiān)實(shí) 防線;二是制度化安排經(jīng)費(fèi)投入,對(duì)醫(yī)院每年網(wǎng)絡(luò)安全的建設(shè)、整改、運(yùn)維經(jīng)費(fèi)足額保障,避免因人而異的隨意性;三是制度化加強(qiáng)人才保障,設(shè)立專業(yè)安全機(jī)構(gòu)和職責(zé),加強(qiáng)人才培養(yǎng)力度,提高醫(yī)院網(wǎng)絡(luò)安全維護(hù)力量的能力水平。
(二)加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全頂層籌劃,實(shí)現(xiàn)全方位全周期保障 。十九大報(bào)告指出,要為人民群眾提供全方位、全周期的健康服務(wù)。網(wǎng)絡(luò)安全也同樣是一個(gè)復(fù)雜的系統(tǒng)化工程,涉 及不同領(lǐng)域的安全風(fēng)險(xiǎn)和問(wèn)題隱患,必須統(tǒng)籌規(guī)劃、突出重點(diǎn)、協(xié)同聯(lián)動(dòng),才能全方位、全周期為信息系統(tǒng)提供可靠 的安全保障。一是全方位制定醫(yī)院網(wǎng)絡(luò)安全的頂層規(guī)劃,從合規(guī)性要求、真實(shí)安全需求和業(yè)務(wù)發(fā)展等不同維度出發(fā), 貼近實(shí)際制定符合自身業(yè)務(wù)特點(diǎn)的網(wǎng)絡(luò)安全目標(biāo)和規(guī)劃,按步驟、分批次加強(qiáng)網(wǎng)絡(luò)安全能力建設(shè);二是體系化推進(jìn)等 級(jí)保護(hù)2.0,該系列標(biāo)準(zhǔn)是面對(duì)新形勢(shì),對(duì)網(wǎng)絡(luò)安全工作的一次重大升級(jí),也是醫(yī)院網(wǎng)絡(luò)安全所必須遵循的體系化基本 要求;三是加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和應(yīng)急響應(yīng)工作,當(dāng)前網(wǎng)絡(luò)安全特征已經(jīng)從被動(dòng)到主動(dòng),從靜態(tài)到動(dòng)態(tài)、從概略到 精準(zhǔn),必須提升網(wǎng)絡(luò)安全工作的靈活性,全流程實(shí)施保障,才能適應(yīng)新時(shí)期網(wǎng)絡(luò)攻防新特點(diǎn)。
(三)注重常態(tài)化運(yùn)營(yíng)管理,利用體檢監(jiān)控等確保健康。與國(guó)內(nèi)重產(chǎn)品輕服務(wù)的方式不同,國(guó)外發(fā)達(dá)國(guó)家醫(yī)院高度重視網(wǎng)絡(luò)安全運(yùn)營(yíng)管理和風(fēng)險(xiǎn)評(píng)估等工作,以最大化發(fā) 揮網(wǎng)絡(luò)安全系統(tǒng)的效能。建議一方面加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全運(yùn)營(yíng),重點(diǎn)是從實(shí)際業(yè)務(wù)發(fā)展目標(biāo)和安全需求角度出發(fā),聚焦 特定網(wǎng)絡(luò)安全能力形成,打通安全系統(tǒng)建設(shè)、使用、管理、培訓(xùn)等全周期,有機(jī)整合專業(yè)人才、技術(shù)、產(chǎn)品、服務(wù)和 流程等全要素,串接網(wǎng)絡(luò)安全預(yù)防、保障、監(jiān)控、應(yīng)急等全流程,構(gòu)建體系化安全能力交付的“交鑰匙”工程;另一 方面加強(qiáng)醫(yī)院信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估,以常態(tài)化方式開(kāi)展安全“體檢”,定期進(jìn)行攻防演練和測(cè)試,持續(xù)監(jiān)控重點(diǎn)環(huán)節(jié)風(fēng) 險(xiǎn)隱患,不斷提升醫(yī)院整體網(wǎng)絡(luò)安全治理水平。
(四)強(qiáng)化醫(yī)院特色網(wǎng)絡(luò)安全技術(shù)創(chuàng)新,實(shí)現(xiàn)靶向防控治療。醫(yī)院在數(shù)據(jù)安全、床旁設(shè)備、移動(dòng)工作站、安全管理等方面有自身特殊的需求,尤其是伴隨著互聯(lián)網(wǎng)醫(yī)療、智慧 醫(yī)院、醫(yī)聯(lián)體等新型醫(yī)院業(yè)務(wù)模式的推進(jìn)與普及,針對(duì)特定領(lǐng)域和方向的網(wǎng)絡(luò)安全需求十分迫切,但目前相關(guān)研究還 較為薄弱,亟需加強(qiáng)醫(yī)院特色網(wǎng)絡(luò)安全技術(shù)創(chuàng)新,針對(duì)醫(yī)療數(shù)據(jù)確權(quán)、數(shù)據(jù)防勒索保護(hù)、醫(yī)療設(shè)施防護(hù)、醫(yī)院安全管 理提效和網(wǎng)絡(luò)攻防演練等問(wèn)題,開(kāi)展專項(xiàng)研究,利用新技術(shù)解決新技術(shù)和新業(yè)務(wù)帶來(lái)的安全問(wèn)題,實(shí)現(xiàn)針對(duì)特定目標(biāo) 的靶向防控,降低成本提高效率,為未來(lái)醫(yī)院網(wǎng)絡(luò)安全保駕護(hù)航。(首席安全官)