您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
醫(yī)院網(wǎng)絡安全建設存在3大差距5大不足
近日《2020醫(yī)院網(wǎng)絡安全發(fā)展研究報告》(以下簡稱“《報告》”)發(fā)布。《報告》立足醫(yī)院網(wǎng)絡安全發(fā)展現(xiàn)狀,分析網(wǎng)絡安全的新需求,提出了未來醫(yī)院網(wǎng)絡安全發(fā)展的目標、思路和發(fā)展構想。
3大差距5大不足
醫(yī)院網(wǎng)絡安全的差距主要體現(xiàn)在以下三點:
一是對網(wǎng)絡安全工作認識上存在差距。目前醫(yī)療行 業(yè)人員基本不了解網(wǎng)絡安全政策、制度、流程,只有占醫(yī)院人數(shù)極少部分的信息部門相關人員有一定了解。
二是在網(wǎng)絡安全整體投入上存在差距。國外55%的醫(yī)院為網(wǎng)絡安全專門撥付經(jīng)費,其中多數(shù)是占到IT預算的3%-6%,并且這些經(jīng)費開支的方向是在網(wǎng)絡 安全運營活動和軟硬件資源上。國內大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡安全,對網(wǎng)閘、防入侵、防毒墻等設 備的采用率均小于50%。
三是在網(wǎng)絡安全管理理念上存在差距。國內醫(yī)院網(wǎng)絡安全建設還處于安全產(chǎn)品堆砌階段,重硬件輕軟件、重產(chǎn)品輕服務、重合規(guī)輕運營的現(xiàn)象普遍存在。
主要不足體現(xiàn)在以下5個方面:
一是醫(yī)療行業(yè)人員安全意識相對薄弱。目前較多醫(yī)院在人員安全意識教育方面投入幾乎為零,人員缺乏對網(wǎng)絡安全政策法律法規(guī)、安全防護措施、安全管理制度的認識,存在很多內部人員違規(guī)使用電 腦、私搭亂接網(wǎng)絡、口令設置簡單等問題。
二是缺乏整體網(wǎng)絡安全頂層設計。目前各醫(yī)院網(wǎng)絡安全建設比較松散,缺乏頂層設計,未形成統(tǒng)一的安全體系。技術方面很多醫(yī)院只是采用了防火墻、防病毒等簡單的安全防護措施。
三是等級保護合規(guī)建設存在不足。整個醫(yī)療行業(yè)的網(wǎng)絡安全等級保護工作開展情況還存在明 顯不足。據(jù)2019年《醫(yī)院信息安全調查報告》發(fā)現(xiàn),400家調研對象中,有實施等 級保護工作規(guī)劃的醫(yī)院有106家,占比27.25%;沒有開展等級保護工作規(guī)劃的醫(yī)院有48家,占比12.34%。
四是新技術引入加劇新安全風險。尤其 是互聯(lián)網(wǎng)醫(yī)療、遠程診療、人工智能和大數(shù)據(jù)等技術的應用。隨著新技術的引入,醫(yī)院面臨諸多新的安全風險。
五是醫(yī)院安全管理缺乏高效運營支撐。在新的安全形勢下,醫(yī)院安全管理工作面臨的主要問題包括兩個方面。一方面是缺乏專業(yè)的安全專職人員和管理制度。另一方面是缺乏統(tǒng)一 高效的安全運營能力,針對業(yè)務系統(tǒng)缺乏周期性及實時性的安全風險評估,無法感知全網(wǎng)安全狀態(tài)。“救火”式的安 全管理模式,導致發(fā)生安全事件不能及時進行響應,整體安全運維效率低下。
報告建議
(一)制度性安排網(wǎng)絡安全資源投入,實現(xiàn)“上醫(yī)治未病” 。與人體健康相類似,網(wǎng)絡安全管理的是各類風險,只有在隱患尚未發(fā)生時,其防治成本以及損失后果才會最低。當前總體上看,醫(yī)院網(wǎng)絡安全在防護技術、防護措施、防護理念、監(jiān)督檢查等方面還相對落后,與信息化發(fā)展應用不 相匹配,亟需高度重視事前防御,增加防護資源投入,并做出制度性安排,從根本上提升網(wǎng)絡安全能力。一是高度重 視網(wǎng)絡安全工作,將網(wǎng)絡安全納入“一把手”工程,逐級壓實安全責任,加強網(wǎng)絡安全意識培養(yǎng),從思想上樹立堅實 防線;二是制度化安排經(jīng)費投入,對醫(yī)院每年網(wǎng)絡安全的建設、整改、運維經(jīng)費足額保障,避免因人而異的隨意性;三是制度化加強人才保障,設立專業(yè)安全機構和職責,加強人才培養(yǎng)力度,提高醫(yī)院網(wǎng)絡安全維護力量的能力水平。
(二)加強醫(yī)院網(wǎng)絡安全頂層籌劃,實現(xiàn)全方位全周期保障 。十九大報告指出,要為人民群眾提供全方位、全周期的健康服務。網(wǎng)絡安全也同樣是一個復雜的系統(tǒng)化工程,涉 及不同領域的安全風險和問題隱患,必須統(tǒng)籌規(guī)劃、突出重點、協(xié)同聯(lián)動,才能全方位、全周期為信息系統(tǒng)提供可靠 的安全保障。一是全方位制定醫(yī)院網(wǎng)絡安全的頂層規(guī)劃,從合規(guī)性要求、真實安全需求和業(yè)務發(fā)展等不同維度出發(fā), 貼近實際制定符合自身業(yè)務特點的網(wǎng)絡安全目標和規(guī)劃,按步驟、分批次加強網(wǎng)絡安全能力建設;二是體系化推進等 級保護2.0,該系列標準是面對新形勢,對網(wǎng)絡安全工作的一次重大升級,也是醫(yī)院網(wǎng)絡安全所必須遵循的體系化基本 要求;三是加強網(wǎng)絡安全監(jiān)測預警和應急響應工作,當前網(wǎng)絡安全特征已經(jīng)從被動到主動,從靜態(tài)到動態(tài)、從概略到 精準,必須提升網(wǎng)絡安全工作的靈活性,全流程實施保障,才能適應新時期網(wǎng)絡攻防新特點。
(三)注重常態(tài)化運營管理,利用體檢監(jiān)控等確保健康。與國內重產(chǎn)品輕服務的方式不同,國外發(fā)達國家醫(yī)院高度重視網(wǎng)絡安全運營管理和風險評估等工作,以最大化發(fā) 揮網(wǎng)絡安全系統(tǒng)的效能。建議一方面加強醫(yī)院網(wǎng)絡安全運營,重點是從實際業(yè)務發(fā)展目標和安全需求角度出發(fā),聚焦 特定網(wǎng)絡安全能力形成,打通安全系統(tǒng)建設、使用、管理、培訓等全周期,有機整合專業(yè)人才、技術、產(chǎn)品、服務和 流程等全要素,串接網(wǎng)絡安全預防、保障、監(jiān)控、應急等全流程,構建體系化安全能力交付的“交鑰匙”工程;另一 方面加強醫(yī)院信息系統(tǒng)風險評估,以常態(tài)化方式開展安全“體檢”,定期進行攻防演練和測試,持續(xù)監(jiān)控重點環(huán)節(jié)風 險隱患,不斷提升醫(yī)院整體網(wǎng)絡安全治理水平。
(四)強化醫(yī)院特色網(wǎng)絡安全技術創(chuàng)新,實現(xiàn)靶向防控治療。醫(yī)院在數(shù)據(jù)安全、床旁設備、移動工作站、安全管理等方面有自身特殊的需求,尤其是伴隨著互聯(lián)網(wǎng)醫(yī)療、智慧 醫(yī)院、醫(yī)聯(lián)體等新型醫(yī)院業(yè)務模式的推進與普及,針對特定領域和方向的網(wǎng)絡安全需求十分迫切,但目前相關研究還 較為薄弱,亟需加強醫(yī)院特色網(wǎng)絡安全技術創(chuàng)新,針對醫(yī)療數(shù)據(jù)確權、數(shù)據(jù)防勒索保護、醫(yī)療設施防護、醫(yī)院安全管 理提效和網(wǎng)絡攻防演練等問題,開展專項研究,利用新技術解決新技術和新業(yè)務帶來的安全問題,實現(xiàn)針對特定目標 的靶向防控,降低成本提高效率,為未來醫(yī)院網(wǎng)絡安全保駕護航。(首席安全官)