四川大学华西第二医院 信息管理部 四川 成都 610066
摘 要:网络安全管理是医院信息化建设的重要组成部分,它对于提高医院信息系统安全等级,保证医院生产业务和数据安全有重要意义。然而从我国国内医院网络安全管理的现状上来看,医院的信息化建设中对网络安全的建设和防护策略仍然存在着诸多的不足,因此,亟需构建深入且有效的安全防护体系。
关键词:医院信息化;网络安全;策略分析
近年来,随着我国科学技术和信息网络技术的高速发展,医院信息化建设也在迅速发展。随着健康中国战略的提出,我国传统的医疗服务全面向互联网医疗、智慧医疗方向进行转变,医疗行业数字化转型的趋势愈发明显。这也对医院信息化建设提出了更高的要求,对医院网络安全带来了更大的挑战。本文将根据当前医院信息化建设过程中所存在的问题进行分析,探究医院信息化建设过程中的网络安全与防护。
1 国内医院网络安全现状
据腾讯智慧安全《医疗行业勒索病毒报告》发布的数据可知,当前我国医疗机构所面临的网络安全威胁日益剧增。与此同时,我国大多数医院的信息系统建设仍不完善、网络规划与建设并不合理,安全与防护的体系亦不完整,网络与安全制度也少有健全,医务工作人员的安全防护意识仍旧淡薄,医院信息化建设仍面临着巨大的网络安全风险,具体表现如下
1.1网络准入机制不健全
医院局域网对于网络准入的要求不严格,导致一旦进入医院局域网即可对医疗系统带来巨大的风险。用户的身份认证是进行信息系统和数据保护的重要防线,从我国当前医疗行业的系统现状中,我们可以了解到,很多信息系统用户认证老旧,安全性能比较低,很少采用高强度密码认证,导致信息系统用户极其容易被他人盗取。而密码被破解之后,攻击者将会进入整个医疗系统,这样一来就极其容易给企业或个人带来损失。
1.2安全漏洞管理不到位
网络安全漏洞是所有安全事件的重要源头,一些弱密码或者没有授权的访问,也可以将之称为安全漏洞。漏洞管理体系的建立主要包含四个阶段,第一阶段是资产发现;第二阶段是漏洞扫描;第三阶段是漏洞处理;第四阶段是数据的分析和展望。当前,很多医院对资产管理不重视,对业务系统的IP以及端口和服务认知不清晰,对一些漏洞扫描不彻底,很多情况下医院运维人员甚至只做漏洞的发现,不做漏洞的处理以及修复。
1.3网络安全产品配备不足
网络安全产品的合理配置是医院网络安全得到有效保障的基础。然而从医院信息化建设的现状来看,医院网络安全产品的配置是不到位或者不合理的。一方面,医院对网络安全的重视不够,在网络安全产品上的投入力度也就非常有限。另一方面,高额的网络安全产品资金投入无法明确看到收益或无法得到明显的安全提升,也是医院网络安全产品配置不足的重要原因。缺乏网络安全产品的配置导致系统无法建立有效的安全屏障,网络攻击者很容易即可入侵到医院信息系统,也是引发网络安全事件的主要原因。
1.4安全防御体系落后
当前国内大多数医院网络安全防御体系的建立主要是依靠网络安全产品的堆叠,大多都采用的单点防御的思维模式,网络安全的落实点在于网络安全产品而忽略了不同网络安全产品之间的配合,很难全面发挥网络安全产品的防护效果,无法达到预期的防护目的。具体体现为只关注边界安全产品而忽视局域网内部安全产品的防护、只关注网络安全产品的有无而忽视网络安全产品部署的合理性、只关注网络安全产品对的部署而忽视对网络安全产品的调优升级,因而很难建立安全的防御体系,无法避免医院网络安全遭到攻击。
1.5网络安全管理不到位
当前在网络合规性要求的前提下,很多医院虽然建立了相应的网络安全管理系统,但在工作实践过程中依然存在很多管理上面的问题,甚至有些医院不够重视网络信息安全,没有建立完善的管理体系,无法进行有效的网络安全管理。具体表现如网络安全管理制度不健全、管理人员对网络监管的力度不足、网络安全运维人员工作开展不到位、医护工作人员网络安全意识薄弱等。而具体到医院应急管理的开展情况上来看,虽然很多医院都制定了专业且完善的应急管理方案,但却有很少有医院定期按照管理方案进行相应的应急演练,这也体现出网络安全管理不到位。
2新形势下的医院网络安全防护
2.1做好风险评估与差距分析
信息系统风险的评估成果将决定信息系统安全防护的选择,通过进行资产的评估和漏洞分析整理,全面对信息系统的资产状况和设备安全进行防控。在进行风险评估和数据分析的基础上,根据医院系统安全建设的要求,采取有效的分层与保护方法,并且制底完善的安全整改建议和方案。
2.2建立网络安全纵深防御
网络安全的纵深防御是指利用多层次的保护来降低网络安全事件所带来的威胁,具体而言,就是通过构建一个多层次的防护体系,即使攻击能够突破一个层次或一种防护的情况下,仍无法摧毁信息基础设施和应用系统。落实到医院网络安全体系的建设过程中,需要规划好医院网络安全的分区以区分医院的内网、外网、物业网等业务,并根据不同的网络安全分区部署相应的网络安全设备,实现重点分区重点关注。
2.3逐步向零信任构架演进
零信任架构要求任何对数据访问的请求都必须经过认证、授权,只有获取信任凭证的用户才能获得对内部数据的访问权限。可以有效打破以往传统的边界防护思维,建立以身份为信任基础的网络机制。在进行网络身份验证的过程中,要遵循先对设备进行验证,然后再进行业务访问,提供一个动态的访问控制措施,以满足最小授权的原则,这样可以缩减攻击面,提高网络内部和外部的攻击力。零信任能够提升医院内部安全风险感知能力,通过风险汇聚与分析、持续的信任评估及不断地对外部风险进行评估、对漏洞进行修复来降低医院的访问风险。因此,建议医院要构建完善的网络安全体系,做好网络构架,逐步向零信任体系进行发展。
2.4加强人员安全风险意识和能力的培养
在网络安全的各项影响因素当中,最大的影响源是人员,医疗机构的网络安全防护能力一定程度上取决于机构从业者的安全能力。这些年来,随着我国医疗行业的日益发展,医院的整体的安全水平相以往比较来看有所提升,但是相比于其他行业来说,医疗行业的安全依然处于较低水平。作为医疗行业的从业者,自身的安全意识和安全能力依然有较大的提升空间,而对医疗机构来说,应该更加重视对员工的网络安全教育,通过开展网络安全培训,培养相关人员的网络意识,以减少因为安全意识不足和能力无法提升而带来的安全隐患,从而更好的提升相关医疗机构的安全防护水平和能力。
3 结束语
医院信息化建设已经融入到到医院运行的各个环节,信息系统的安全稳定运行是保障医院业务的正常开展的重要前提,因此,医院在进行信息化建设的过程中要重视网络安全的建设,并进行有效的安全管理,以建立更高安全等级的信息系统,从而提升医院信息系统的安全性和稳定性,为医院安全稳定运行提供强有力的技术保障。
参考文献:
[1]胡环旭.医院信息系统信息安全等级保护的实施探讨[J].计算机产品与流通,2018(35):27.
[2]余双波,李春燕,周吉.零信任架构在网络信任体系中的应用[J].通信技术2016(39):34.
[3]龙志勇,陈姣,邓丽君,丁长松.医院信息化建设网络安全与防护问题研究[J].医学教育管理,2017(01):44.