隨著數(shù)字化進(jìn)程的加速推進(jìn)�����,網(wǎng)絡(luò)安全已經(jīng)成為社會和國家穩(wěn)定發(fā)展的重要保障��,其重要性越來越被人們廣泛關(guān)注和重視�。在去年的全國兩會上,網(wǎng)絡(luò)安全更是成為了備受關(guān)注的熱點(diǎn)話題之一��。
網(wǎng)絡(luò)安全(Cybersecurity)是指通過技術(shù)�����、管理和法律手段���,保護(hù)計(jì)算機(jī)系統(tǒng)�����、網(wǎng)絡(luò)��、數(shù)據(jù)及用戶免受未經(jīng)授權(quán)的訪問��、破壞�、泄露或篡改的一系列措施����。其核心目標(biāo)是確保數(shù)字環(huán)境中信息的機(jī)密性、完整性、可用性(CIA三要素)���,并防范網(wǎng)絡(luò)攻擊�、數(shù)據(jù)泄露等風(fēng)險(xiǎn)����。
而我們醫(yī)療行業(yè)需保護(hù)患者的隱私(如電子病歷)、確保醫(yī)療設(shè)備(如CT機(jī)聯(lián)網(wǎng))不被操控�����。所以網(wǎng)絡(luò)安全是當(dāng)今數(shù)字時代的“免疫系統(tǒng)”��,沒有絕對的安全�����,只有持續(xù)的防御——技術(shù)+管理+意識缺一不可����。
醫(yī)療機(jī)構(gòu)需關(guān)注的網(wǎng)絡(luò)安全是什么��?
目前醫(yī)療行業(yè)已經(jīng)成為信息化程度較高的行業(yè)之一��。醫(yī)院信息系統(tǒng)(HIS)作為醫(yī)院運(yùn)營和管理的重要支撐平臺,記錄著大量的醫(yī)療數(shù)據(jù)和信息���,對于醫(yī)院的正常運(yùn)營和患者的治療都具有重要意義����。
然而����,隨著在線掛號、線上會診����、電子病歷、線上結(jié)算等信息化醫(yī)療的普及����,在助力醫(yī)療高效的同時,也讓醫(yī)療數(shù)據(jù)處于風(fēng)險(xiǎn)之中�。醫(yī)療行業(yè)的患者信息、患者病歷����、統(tǒng)方等高價(jià)值的醫(yī)療數(shù)據(jù)被不法分子盯上,越來越多的網(wǎng)絡(luò)攻擊手段被運(yùn)用到HIS系統(tǒng)��,讓醫(yī)療行業(yè)處于網(wǎng)絡(luò)信息安全的“高風(fēng)險(xiǎn)區(qū)”。
醫(yī)療系統(tǒng)網(wǎng)絡(luò)安全相關(guān)法律
國家衛(wèi)生健康委已于2022年8月8日發(fā)布《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》���,主要包括以下幾方面內(nèi)容:
①網(wǎng)絡(luò)安全管理責(zé)任:醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立網(wǎng)絡(luò)安全管理制度���,明確網(wǎng)絡(luò)安全管理的責(zé)任部門和人員。
②網(wǎng)絡(luò)安全技術(shù)保障:醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全技術(shù)防護(hù)�,采取必要的技術(shù)措施確保信息系統(tǒng)和數(shù)據(jù)的安全。
③信息采集和處理規(guī)定:醫(yī)療衛(wèi)生機(jī)構(gòu)在信息采集和處理過程中���,應(yīng)遵守相關(guān)法律法規(guī)�����,保護(hù)患者和醫(yī)務(wù)人員的隱私信息�����。
④網(wǎng)絡(luò)安全事件應(yīng)急處理:醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,一旦發(fā)生網(wǎng)絡(luò)安全事件���,應(yīng)及時采取措施進(jìn)行處理�。
⑤網(wǎng)絡(luò)安全檢測和評估:醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)定期進(jìn)行網(wǎng)絡(luò)安全檢測和評估��,發(fā)現(xiàn)問題及時進(jìn)行整改和更新。
⑥員工網(wǎng)絡(luò)安全培訓(xùn):醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)加強(qiáng)員工的網(wǎng)絡(luò)安全意識培訓(xùn)�,提高員工對網(wǎng)絡(luò)安全的重視和防范意識。
⑦外部合作安全管理:醫(yī)療衛(wèi)生機(jī)構(gòu)在與外部機(jī)構(gòu)合作時��,應(yīng)加強(qiáng)對合作方網(wǎng)絡(luò)安全管理的審查和監(jiān)督��。
⑧網(wǎng)絡(luò)安全事件報(bào)告和記錄:醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)建立網(wǎng)絡(luò)安全事件報(bào)告和記錄制度���,記錄網(wǎng)絡(luò)安全事件的處理過程和結(jié)果����。
⑨網(wǎng)絡(luò)安全管理制度完善:醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)不斷完善網(wǎng)絡(luò)安全管理制度�,根據(jù)實(shí)際情況進(jìn)行調(diào)整和改進(jìn)。
⑩法律責(zé)任和違規(guī)處理:醫(yī)療衛(wèi)生機(jī)構(gòu)未按照規(guī)定履行網(wǎng)絡(luò)安全管理責(zé)任的����,將承擔(dān)相應(yīng)的法律責(zé)任和違規(guī)處理。醫(yī)療系統(tǒng)網(wǎng)絡(luò)安全威脅分析
目前��,很多醫(yī)院的HIS都基于互聯(lián)網(wǎng)平臺技術(shù)�,即:醫(yī)院辦公人員不僅可以實(shí)現(xiàn)近端內(nèi)部管理,還能夠?qū)崿F(xiàn)遠(yuǎn)程登錄管理��。這種管理形式提升了HIS系統(tǒng)的實(shí)效性����,但同時也為黑客攻擊埋下了隱患�����。 計(jì)算機(jī)病毒對HIS系統(tǒng)的侵害體現(xiàn)在多個方面��,一旦病毒侵入醫(yī)院HIS系統(tǒng)的繳費(fèi)子系統(tǒng)����,便可惡意篡改系統(tǒng)中的數(shù)據(jù)��,并向系統(tǒng)的數(shù)據(jù)庫自動發(fā)送大量的廢物數(shù)據(jù)包���,同時���,通過自我復(fù)制、網(wǎng)絡(luò)任意傳輸?shù)裙δ?,整個HIS系統(tǒng)會在很短時間內(nèi)遭到感染,從而造成包括繳費(fèi)子系統(tǒng)在內(nèi)的HIS系統(tǒng)平臺陷入癱瘓���。HIS平臺的穩(wěn)定運(yùn)行往往需要基于一個操作系統(tǒng),倘若操作系統(tǒng)本身就存在不確定的安全漏洞�,則會給黑客攻擊���、木馬病毒植入帶來可趁之機(jī)。例如����,目前,我國很多醫(yī)院的HIS平臺仍基于Windows XP系統(tǒng)�,而微軟公司已在2015年5月份宣布正式終止XP系統(tǒng)的升級服務(wù),如此一來�,上述醫(yī)院的HIS系統(tǒng)便會不斷暴露出新的漏洞,這給黑客的攻擊埋下了伏筆����。
缺乏必要、定期的網(wǎng)絡(luò)管理和維護(hù)���,也是造成HIS系統(tǒng)面臨網(wǎng)絡(luò)安全問題的主要因素���。例如,系統(tǒng)缺乏必要的防火墻設(shè)備����、缺少專業(yè)的管理安全管理維護(hù)人員、缺乏對系統(tǒng)安全管理硬件軟件的更新等��,上述管理疏忽若長期存在,便會給黑客攻擊留下漏洞���。
醫(yī)療網(wǎng)絡(luò)安全事件分析
2021年6月�����,瀘州某醫(yī)院遭受網(wǎng)絡(luò)攻擊�,造成全院系統(tǒng)癱瘓�,醫(yī)院緊急停擺。瀘州公安機(jī)關(guān)迅速調(diào)集技術(shù)力量趕赴現(xiàn)場���,指導(dǎo)相關(guān)單位開展事件調(diào)查和應(yīng)急處置工作��。經(jīng)調(diào)查發(fā)現(xiàn)���,該醫(yī)院未制定內(nèi)部安全管理制度和操作流程,未確定網(wǎng)絡(luò)安全負(fù)責(zé)人�����,未采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊����、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施���,導(dǎo)致被黑客攻擊造成系統(tǒng)癱瘓���。瀘州公安機(jī)關(guān)根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條和五十九條之規(guī)定����,對該院處以責(zé)令改正并警告的行政處罰���。
醫(yī)療機(jī)構(gòu)在整個網(wǎng)絡(luò)安全����、數(shù)據(jù)安全和個人信息保護(hù)工作中扮演著極其重要的角色�,但是部分醫(yī)療機(jī)構(gòu)在信息化建設(shè)和應(yīng)用中,存在“重應(yīng)用��,輕防護(hù)”的思想���,對網(wǎng)絡(luò)安全和數(shù)據(jù)安全工作不重視����、安全防護(hù)意識淡薄,未嚴(yán)格按照法律法規(guī)要求履行網(wǎng)絡(luò)安全主體責(zé)任�����,存在安全隱患和漏洞被黑客利用進(jìn)行攻擊��,導(dǎo)致部分信息系統(tǒng)或數(shù)據(jù)遭到破壞�����。
醫(yī)院信息化建設(shè)在為大型醫(yī)院的醫(yī)療����、管理工作帶來高效便捷的同時,也帶來了不可忽視的信息系統(tǒng)安全問題����。一旦出現(xiàn)網(wǎng)絡(luò)或信息系統(tǒng)故障,勢必會影響醫(yī)院日常各項(xiàng)工作的開展�,降低醫(yī)療服務(wù)質(zhì)量和醫(yī)護(hù)工作效率,甚至產(chǎn)生消極的社會影響����,如泄露患者個人信息,醫(yī)療系統(tǒng)癱瘓威脅患者生命安全等���,醫(yī)療系統(tǒng)務(wù)必嚴(yán)格遵守《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》����,維護(hù)醫(yī)院網(wǎng)絡(luò)安全。維護(hù)醫(yī)療系統(tǒng)網(wǎng)絡(luò)安全��,我們應(yīng)該怎么做�?
防火墻是防范網(wǎng)絡(luò)攻擊和信息泄漏的基本設(shè)備之一���。它采用網(wǎng)絡(luò)隔離技術(shù)�����,對內(nèi)網(wǎng)和外網(wǎng)進(jìn)行隔離��,從而防止外部網(wǎng)絡(luò)攻擊對內(nèi)網(wǎng)的侵入����。醫(yī)院應(yīng)該配備專業(yè)的防火墻�����,并對其進(jìn)行恰當(dāng)?shù)呐渲煤凸芾怼?/span> 網(wǎng)絡(luò)安全監(jiān)測可以及時發(fā)現(xiàn)和阻止網(wǎng)絡(luò)安全事件的發(fā)生和擴(kuò)散�,提高網(wǎng)絡(luò)安全性。醫(yī)院可以采用網(wǎng)絡(luò)安全監(jiān)測軟件,并配備專業(yè)人員進(jìn)行監(jiān)測和響應(yīng)���。 定期進(jìn)行數(shù)據(jù)備份是保護(hù)數(shù)據(jù)安全的重要保障��,并即時恢復(fù)數(shù)據(jù)����,避免數(shù)據(jù)的意外丟失�����。醫(yī)院應(yīng)該實(shí)時備份重要數(shù)據(jù)�,并存放在安全的地方。數(shù)據(jù)備份可以采用硬件備份或云備份方式���。④網(wǎng)絡(luò)安全和信息安全教育培訓(xùn)
網(wǎng)絡(luò)安全和信息安全教育培訓(xùn)是提高醫(yī)務(wù)人員網(wǎng)絡(luò)安全防范意識和技能的重要途徑���。醫(yī)院可以組織內(nèi)部培訓(xùn),邀請專業(yè)的網(wǎng)絡(luò)安全人員進(jìn)行講解和指導(dǎo)�。同時,利用醫(yī)院網(wǎng)站��、公眾號等途徑對外宣傳網(wǎng)絡(luò)安全知識����。⑤網(wǎng)絡(luò)設(shè)備及軟件管理 醫(yī)院應(yīng)該采用正版的軟件和設(shè)備�����,并對其進(jìn)行維護(hù)和更新���。對于廢棄的網(wǎng)絡(luò)設(shè)備和軟件,要及時進(jìn)行處理���,避免出現(xiàn)安全隱患。 制定合適的安全策略和管理辦法是保障醫(yī)院網(wǎng)絡(luò)安全的重要手段�。醫(yī)院應(yīng)該制定完善的安全管理制度和規(guī)定,并落實(shí)到實(shí)際工作中��。醫(yī)院還應(yīng)該對網(wǎng)絡(luò)安全事件進(jìn)行及時響應(yīng)和處置�,對事件進(jìn)行跟蹤和分析,并及時進(jìn)行改善��。培養(yǎng)網(wǎng)絡(luò)安全意識 網(wǎng)絡(luò)安全意識是防范網(wǎng)絡(luò)攻擊和信息泄漏的第一步����。醫(yī)務(wù)人員應(yīng)時刻保持警惕,不要將敏感信息隨意發(fā)出�。避免使用弱密碼和共享賬號密碼�,定期更改密碼���。不要在互聯(lián)網(wǎng)上公開醫(yī)院的信息和設(shè)備信息等�。
醫(yī)院網(wǎng)絡(luò)安全是保障醫(yī)院信息安全的重要組成部分�����。醫(yī)務(wù)人員應(yīng)該加強(qiáng)網(wǎng)絡(luò)安全意識����,增強(qiáng)網(wǎng)絡(luò)安全防范技能,做好網(wǎng)絡(luò)安全的各項(xiàng)管理工作����,提高醫(yī)院網(wǎng)絡(luò)安全的整體水平。總之����,網(wǎng)絡(luò)安全是醫(yī)院信息化的生命線,必須高度重視���。通過加強(qiáng)管理����、提高意識、技術(shù)防范等多方面的努力�����,才能確保醫(yī)院的網(wǎng)絡(luò)安全�,為患者提供更加可靠的醫(yī)療服務(wù)。
特別聲明:智慧醫(yī)療網(wǎng)轉(zhuǎn)載其他網(wǎng)站內(nèi)容��,出于傳遞更多信息而非盈利之目的��,同時并不代表贊成其觀點(diǎn)或證實(shí)其描述�,內(nèi)容僅供參考。版權(quán)歸原作者所有��,若有侵權(quán)����,請聯(lián)系我們刪除��。
凡來源注明智慧醫(yī)療網(wǎng)的內(nèi)容為智慧醫(yī)療網(wǎng)原創(chuàng)�����,轉(zhuǎn)載需獲授權(quán)��。
