【e医疗原创】孟晓阳：医疗信息化网络安全元年记事

北京协和医院信息管理处

高级工程师 孟晓阳

　　2011年，原卫生部办公厅在《关于全面开展卫生行业信息安全等级保护工作的通知》中明确要求：三级甲等医院的核心业务信息系统原则上不低于等保三级，且在2015年12月30日前必须完成整改，并通过等保测评。

　　如果以此为分界线，在医疗信息化发展史上，2016年就是有据可依的网络安全元年。2016在中国网络安全的发展史上也是具有里程碑意义的一年：

    《中华人民共和国网络安全法》于2016年11月7日人大审议已通过，并将于2017年6月1日开始实施，从此以后，网络安全将不仅仅一个技术问题，网络行为也将受到法律的约束；

　　在此之前，2014年中央网络安全和信息化领导小组成立，习近平总书记亲自出任组长，指出“没有网络安全就没有国家安全”；

　　2015年年底中国人民解放军战略支援部队成立，将网络攻防成为其作战任务之一……

　　这些举措都体现出国家层面对网络安全的重视。

　　将2016年与网络安全联系起来，也基于自己的一些主观感受，无论是坊间传闻，还是亲身经历，今年似乎有很多话题都与网络安全相关。

　　经历了2015年“互联网+”医疗的爆发式增长，2016年医疗信息化领域已经步入了后“互联网+”时代。

　　当医院以开放的心态和探索者的勇气打开网络的边界，张开双臂拥抱互联网的时候，风险也随之来临。

　　例如：某医院病毒大爆发，杀毒软件无能为力，重装了全院2000台客户端才把病毒感染抑制下去；

　　某知名医疗大数据公司与医院的合作被网络安全机构叫停，疑有数据泄露风险；

　　有个行业内的网站被黑了，虽然很快就恢复了，但截屏一直被黑客挂在互联网上炫耀；

　　近来又有新闻说，某当红明星的病历资料在网上晒出来，医护人员的网络信息安全意识亟待加强。

　　从个人经历来讲，今年接到了数份红头文件，从行业主管部门、属地政府到网安部门都有，如此密集的强调网络安全，也是近年来少有的。所幸我院历来非常重视网络信息安全，各项要求皆能应对。例如今年我负责医院的安全体系建设项目，不但有国家拨款，医院也很大方地配套了一大笔钱。相信项目完成后从系统的可用性、数据的完整性和安全保密方面都能有显著的提升。

　　但还是有一些隐隐的担忧，从目前了解到的一些入侵方式来看，医院的防护能力还很初级的。加固DMZ区、VPN、无线网等网络出口只是第一步，纵深防御能力仍很薄弱，存在“一点攻破、满盘皆失”的风险。

　　今年网络安全检查的重点是工控设备，原因是现在联网的医疗设备越来越多，从技术层面来讲就是一台计算机终端，但操作系统层面厂商并不向用户开放，如何防护是整个行业必须共同面对的问题。此外，管理方面缺失也很明显，更多的信息部门把主要精力放到了信息化建设上，网络安全往往是“在墙上”，而不在心里。

　　就是人员技能方面也略显不足，网络安全管理员不但要有必要的网络安全专业能力，还要具备全面的软件、硬件、开发、运维的知识，同时还要了解所在医院的信息系统实际部署情况。另外，网络安全员往往只是个技术角色，在需求主导、业务为大的信息化建设环境里，往往并没有职权去阻止潜在的风险的发生。

　　年初，我写过一篇《“医院+互联网”的阿喀琉斯之踵》（点击左下角“阅读原文”即可查看），最后仍以此故事作为本篇的结尾，借此提醒诸位重视网络安全。

阿喀琉斯刚出生的时候，母亲就将其倒提脚着浸进冥河，使其能刀枪不入。但因母亲捏着的脚后跟不慎露在水外，所以脚踵就成了唯一没有防护的地方。长大后，拥有不死之身的阿喀琉斯作战英勇无比、无人能敌，但当敌人知道他脚踵的秘密后，一箭射中其脚后跟，举世无双的英雄就因此而身亡。

-end-

推     荐

***《科技新时代》e医疗订阅方式请参考本公众号菜单栏“我们-杂志订阅”

***除本刊所有版权图片外，本文中其余图片来源为360图片，若涉及版权问题，请与我们联系删除事宜。

e医疗2016年年终刊&2017年新年刊

©以上文章来源

e医疗2017年1月刊原创文章，转载请注明来源。