互聯網新形勢下醫院信息安全策略

導語：互聯網新形勢下醫院信息安全策略一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：信息安全是醫療機構的頭等大事，近年來醫院信息化建設的發展出現了新形勢，新舉措，但也為醫院的信息安全工作帶來的新挑戰，本文將探討在當今互聯網新形勢下，醫院的信息安全方面所面臨的風險以及相應的應對措施。

關鍵詞：醫院信息化；互聯網醫療；信息安全

近年來，醫療行業信息化建設迅猛發展，國家醫政管理部門在2018年到2021年發布了《醫院智慧服務分級評估標準體系》、《國家醫療健康信息區域全民健康信息互聯互通標準化成熟度測評方案》、《關于印發互聯網診療管理辦法（試行）等3個文件的通知》、《關于進一步推進以電子病歷為核心的醫療機構信息化建設工作的通知》等一系列相關評價標準與建設規范，指引醫院開展電子病歷信息化建設、以及互聯網醫院、智慧醫院、互聯互通等方面的建設，醫院在面對“互聯網+醫療”的環境下時，為了提高網絡安全意識，排除醫療信息安全隱患，必須采取有效的防護措施，建立安全的網絡架構，進行多層次，多方面的保護。本文將探討目前新形勢下的醫院信息安全所面臨的問題和網絡優化的實施策略。

1目前“互聯網+醫療”環境給醫院的信息安全帶來的新問題

1.1網絡環境更加嚴峻、信息泄露風險加大

互聯網醫院、智慧醫院的建設將打通醫院內網與互聯網的通道，通過網絡提供診療服務，涉及的患者數量眾多，需要傳輸許多涉及患者隱私的敏感信息，患者的個人信息、身份信息都需要通過互聯網進行傳輸，同時診療過程中的病歷信息、診斷信息、檢驗信息、隱私信息也都通過互聯網進行傳輸，存在較大的信息安全和數據泄露隱患，給醫院的信息安全帶來了極大的挑戰。

1.2醫院信息系統復雜性增強

醫院的信息化建設發展到今天，信息技術已經與醫療業務深度融合，醫院信息子系統的數量龐大，涉及醫院日常運營的方方面面。而建設互聯網醫院、智慧醫院信息系統將在傳統的將互聯網信息“接進來”的模式，變為“走出去”，增加了在線復診、在線處方、檢查預約、藥品配送等功能，智慧醫院建設還要將醫院的信息系統與物聯網，管理網等各方面的系統連接起來，這些功能的實現需要與醫院內部的電子病歷、藥品管理、審方、檢驗、檢查等核心業務系統進行深度融合，導致醫院信息系統的復雜度大大增強。

1.3內外網邊界模糊化

在傳統醫院模式下，醫院信息系統基本屬于信息孤島，內部自成一體，與外部系統進行物理隔離，信息安全主要依靠物理手段，但在互聯網新形勢下，醫院的信息系統必須要與外界進行多方位的打通，包括與醫保網絡的互聯互通，與衛健委網絡的互聯互通，以及將來要實現的互聯網醫院，智慧物聯網，智慧服務與管理網絡的互聯互通，這要求必須將信息系統內外網的邊界進行合理的劃定，在提高醫療服務與保障能力的同時，保障信息安全。

1.4安全管理人才的培育問題

在當前互聯網新形勢下，醫院網絡安全已經超越了初級的信息化、物理化管理，升級到了數據化管理階段。但醫院安全管理人員在數據庫建設、數據采集、數據獲取、數據分析、安全設備操作等方面仍然存在業務技能不熟悉的問題。醫院網絡安全系統升級的實際需求方面看，安全管理人員的培育問題也十分突出。

2新形勢下醫院信息安全策略實施

當醫院實現從實體醫院到“互聯網+醫療”的信息化的過渡時，醫院的信息安全應當引起更多的關注，需要切實加強各級醫療機構的信息安全的頂層設計和全局規劃，努力完善與之配套的管理規定，共同促進互聯網環境下醫院的信息安全防護工作有序開展，主要包括以下幾個方面：

2.1完善信息安全管理制度

2019年5月，《信息安全技術網絡安全等級保護基本要求》（以下簡稱“等保2.0”）正式發布，給醫療行業帶來了全新的安全規范和要求。等保2.0新規相比較等保1.0而言，增加了顯著的新變化和建設要求，主要體現在以下3個方面：（1）覆蓋對象的變化。新規范中的對象不僅包含傳統對象，更與時俱進地添加了新興事物主體，例如大數據平臺、物聯網、移動互聯等。（2）安全要求的改變，安全擴展的邊界更側重于考慮如大數據技術、互聯網技術等便捷性技術所同步產生的安全隱患。分類結構的變化。等保2.0定義了技術部分和管理部分兩塊內容，技術部分側重于物理環境、通信網絡、網絡邊界、計算方面和整體框架；管理部分則包括管理制度、管理機構、管理人員、建設跟蹤和持續運維。（3）強調云端連接安全。醫院應當依據《中華人民共和國網絡安全法》，以及等保2.0的新要求，建立完善的信息化安全管理制度，包括系統安全管理制度、信息安全崗位職責、終端設備準入規范、機房安全管理制度，數據備份管理制度，信息安全管理員操作規范，操作員權限管理制度，信息系統安全巡檢制度，信息系統運維管理制度，安全管理應急預案等一系列行為規范，形成由安全策略、管理制度、操作規程、記錄表單等構成的全面的安全管理制度，并定期對安全管理制度進行完善。自上而下，管理人員或操作人員執行的日常管理操作建立操作規程。醫院的安全狀況始終維持在穩定水平。

2.2配備必要的物理安全設備

2018年6月，原國家衛生部發布《關于進一步推進以電子病歷為核心的醫療機構信息化建設工作的通知》[國衛辦醫發〔2018〕20號]，旨在不斷加強電子病歷信息化建設，確保電子病歷信息化建設運行安全與安全管控的要求，其中四級要求具備獨立的信息機房，局域網全院聯通，服務器部署在獨立的安全保護區域內，有相關的網絡管理制度。五級要求樓層機房、網絡設備和配線架要有清晰且正確的標識；根據不同業務劃分獨立的網絡區域，全院重點區域應覆蓋無線局域網，部分醫療設備接入院內局域網；有配套的安全運維管理制度；具有保障信息系統服務器時間一致的機制；建立數據使用的審查機制物理安全包括數據中心機房安全與信息系統安全，醫院應當按照以上要求以及等保標準對機房進行建設，要配備包括門禁、監控、視頻監控、消防、災備等物理設施，在設備上要著重于邊界防護與安全。在各區域邊界處合理配置防火墻、網閘、入侵防御、入侵檢測、日志審計、數據庫審計等安全設備。

2.3整合信息化資源、合理劃分信息化區域

醫院一方面要借助技術手段整合現有的網絡信息系統，將冗余的網絡信息系統進行取消，減少網絡信息系統多所可能造成的網絡安全問題，合理劃分各個安全區域，涉及醫院核心的業務系統、敏感的數據資源都應部署在內網中，需要對外服務的系統、防護要求較低的設備部署在外網，內、外網的數據互通是由安全隔離網閘唯一實現，基本可按照以下的網絡拓撲圖來進行安全區域劃分：圖1醫院網絡拓撲圖（1）內網業務區：該區域支撐醫院核心業務系統的運行，存儲著大量患者醫療信息和醫學影像信息。（2）安全管理區：將安全設備、安全組件的管理接口和數據單獨劃分到一個區域，與生產網分離，實現獨立且集中的管理，在該區域部署審計設備，由系統安全管理人員進行日常的操作。（3）DMZ區：該區域的安全性介于內網與外網之間，作為對外連接互聯網的緩沖區，一些需要對外提供線上服務的業務系統主機（門戶網站、預約掛號、郵箱、第三方支付等）部署于此，增設WAF來提高應用層的安全防護，作為代理數據訪問且不涉及敏感信息，可以在對外提供良好服務的同時，極大地保護內部網絡和數據資產由于直接暴露而遭受網絡攻擊。（4）互聯網區：該區域是對接外部職能專網的統一區域，區域邊界要對訪問終端和用戶進行限制，并對信息內容進行過濾。因此，各區域均至少設有防火墻進行邊界隔離，配置訪問控制策略以及檢測數據信息對網絡行為進行限制，并將日志信息回送安全管理區中進行審計，防范網絡攻擊。（5）災備區：該區域是作為核心業務系統的容災備份節點，在核心業務區的主用業務數據丟失或相關設備故障時，能夠在最大業務故障容忍時間內完成業務數據切換，保障關鍵業務可用性和可恢復性。

2.4配置合理的安全策略

根據醫院網絡區域的劃分情況，在不同的區域中配備不同的安全策略，在內網核心業務區要做好邊界防護、訪問控制、入侵檢測和安全審計，在安全管理區要布置最為嚴格的訪問控制策略和入侵檢測手段，在區域內部也要配置合理的安全策略，例如在內網要配置合理的VLAN劃分策略，合理的IP地址劃分，與訪問策略，以及密碼安全性策略。在軟件方面，要在全網絡中安裝殺毒軟件與終端準入控制軟件，并及時進行病毒庫的更新。在保證業務不中斷、數據不丟失和隱私不泄露的情況下將安全風險降到最低。

2.5配置數據傳輸加密管理，加強邊界防護

信息化建設進入互聯網時代后，移動端的應用變得非常廣泛，信息安全應在移動產品設計之初就融入整體技術架構之中，減少產品安全漏洞，加強移動終端的安全防護。在移動終端應用層面運用沙箱等技術，將醫療移動應用與移動終端的其他應用進行隔離，開辟移動終端的安全工作空間。加強對移動終端準入管理，在硬件層面通過預先的檢測確保接入環境的安全，在用戶接入層面對接入無線網絡的用戶身份進行識別，防范非法用戶進入網絡。在通信鏈路層面，在移動終端和服務器之間建立VPN安全接入通道，在用戶打開移動應用的同時系統后臺直接建立VPN加密通道，保障數據通信安全。

2.6制定切實可行的應急預案

各醫院傳統意義上的應急預案多針對內網制定，應急處理措施也多以處理內網故障設立，但近年來各個醫院對互聯網工具的廣泛運用，掛號、繳費、預約、復診、報告、圖像獲取等醫療環節逐漸從醫院內向患者端轉移，各醫院應急預案應有針對性地制定互聯網業務方面的內容，互聯網業務中斷對于患者的影響也是多方面的，出現緊急情況時，應有專門部門針對患者做好解釋溝通工作，降低安全風險。

2.7加強人員的教育與培訓

對醫院網絡安全的教育和培訓分為兩個方面，一方面要對醫院網絡安全系統管理人員進行數據庫技術、數據分析技術、新型安全設備操作技術培訓，尤其在數據采集、數據分析技術方面，應該加快安全人才的培養，為后續網絡安全系統的智能化升級做好技術準備。另一方面，應提高醫院醫務人員的網絡安全防護意識，醫務人員對于網絡安全培訓有著極大的需求和熱情，可通過講座、知識競賽等多種形式定期進行網絡安全相關知識培訓。

3結語

在國家政策及制度的指引下，醫院的信息化建設促使醫療數據向患者端、移動端進行分享和利用，為便民工作的開展提供了有效工具，也為醫院的網絡安全工作帶來了前所未有的挑戰，醫療信息安全是醫療機構的頭等大事，如何在投入有限的資源下，為醫院的網絡安全做好保障，是醫院管理者的一道難題，而信息安全保護工作是一個在實踐過程中不斷發現問題、解決問題，循序漸進的過程，所有的法律法規、制度規范都需要通過管理來落實，這就要求醫院管理者與網絡安全工作者牢牢抓住“三分技術，七分管理的”的主線，持續推進醫院安全管理體系建設，將網絡安全工作制度化、規范化，動用醫療機構所有人員的力量共同建設好醫院的網絡安全工作，為醫療業務的連續開展、醫療數據的完整保護提供技術支撐。

作者：劉虎則 李二梅 ?，| 單位：山西省中西醫結合醫院