近日《2020醫(yī)院網(wǎng)絡(luò)安全發(fā)展研究報告》(以下簡稱“《報告》”)發(fā)布。《報告》立足醫(yī)院網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀，分析網(wǎng)絡(luò)安全的新需求，提出了未來醫(yī)院網(wǎng)絡(luò)安全發(fā)展的目標(biāo)、思路和發(fā)展構(gòu)想。

　　3大差距5大不足

　　醫(yī)院網(wǎng)絡(luò)安全的差距主要體現(xiàn)在以下三點：

　　一是對網(wǎng)絡(luò)安全工作認(rèn)識上存在差距。目前醫(yī)療行 業(yè)人員基本不了解網(wǎng)絡(luò)安全政策、制度、流程，只有占醫(yī)院人數(shù)極少部分的信息部門相關(guān)人員有一定了解。

　　二是在網(wǎng)絡(luò)安全整體投入上存在差距。國外55%的醫(yī)院為網(wǎng)絡(luò)安全專門撥付經(jīng)費(fèi)，其中多數(shù)是占到IT預(yù)算的3%-6%，并且這些經(jīng)費(fèi)開支的方向是在網(wǎng)絡(luò) 安全運(yùn)營活動和軟硬件資源上。國內(nèi)大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡(luò)安全，對網(wǎng)閘、防入侵、防毒墻等設(shè) 備的采用率均小于50%。

　　三是在網(wǎng)絡(luò)安全管理理念上存在差距。國內(nèi)醫(yī)院網(wǎng)絡(luò)安全建設(shè)還處于安全產(chǎn)品堆砌階段，重硬件輕軟件、重產(chǎn)品輕服務(wù)、重合規(guī)輕運(yùn)營的現(xiàn)象普遍存在。

　　主要不足體現(xiàn)在以下5個方面：

　　一是醫(yī)療行業(yè)人員安全意識相對薄弱。目前較多醫(yī)院在人員安全意識教育方面投入幾乎為零，人員缺乏對網(wǎng)絡(luò)安全政策法律法規(guī)、安全防護(hù)措施、安全管理制度的認(rèn)識，存在很多內(nèi)部人員違規(guī)使用電 腦、私搭亂接網(wǎng)絡(luò)、口令設(shè)置簡單等問題。

　　二是缺乏整體網(wǎng)絡(luò)安全頂層設(shè)計。目前各醫(yī)院網(wǎng)絡(luò)安全建設(shè)比較松散，缺乏頂層設(shè)計，未形成統(tǒng)一的安全體系。技術(shù)方面很多醫(yī)院只是采用了防火墻、防病毒等簡單的安全防護(hù)措施。

　　三是等級保護(hù)合規(guī)建設(shè)存在不足。整個醫(yī)療行業(yè)的網(wǎng)絡(luò)安全等級保護(hù)工作開展情況還存在明 顯不足。據(jù)2019年《醫(yī)院信息安全調(diào)查報告》發(fā)現(xiàn)，400家調(diào)研對象中，有實施等 級保護(hù)工作規(guī)劃的醫(yī)院有106家，占比27.25%;沒有開展等級保護(hù)工作規(guī)劃的醫(yī)院有48家，占比12.34%。

　　四是新技術(shù)引入加劇新安全風(fēng)險。尤其 是互聯(lián)網(wǎng)醫(yī)療、遠(yuǎn)程診療、人工智能和大數(shù)據(jù)等技術(shù)的應(yīng)用。隨著新技術(shù)的引入，醫(yī)院面臨諸多新的安全風(fēng)險。

　　五是醫(yī)院安全管理缺乏高效運(yùn)營支撐。在新的安全形勢下，醫(yī)院安全管理工作面臨的主要問題包括兩個方面。一方面是缺乏專業(yè)的安全專職人員和管理制度。另一方面是缺乏統(tǒng)一 高效的安全運(yùn)營能力，針對業(yè)務(wù)系統(tǒng)缺乏周期性及實時性的安全風(fēng)險評估，無法感知全網(wǎng)安全狀態(tài)?！熬然稹笔降陌? 全管理模式，導(dǎo)致發(fā)生安全事件不能及時進(jìn)行響應(yīng)，整體安全運(yùn)維效率低下。

　　報告建議

　　(一)制度性安排網(wǎng)絡(luò)安全資源投入，實現(xiàn)“上醫(yī)治未病” 。與人體健康相類似，網(wǎng)絡(luò)安全管理的是各類風(fēng)險，只有在隱患尚未發(fā)生時，其防治成本以及損失后果才會最低。當(dāng)前總體上看，醫(yī)院網(wǎng)絡(luò)安全在防護(hù)技術(shù)、防護(hù)措施、防護(hù)理念、監(jiān)督檢查等方面還相對落后，與信息化發(fā)展應(yīng)用不 相匹配，亟需高度重視事前防御，增加防護(hù)資源投入，并做出制度性安排，從根本上提升網(wǎng)絡(luò)安全能力。一是高度重 視網(wǎng)絡(luò)安全工作，將網(wǎng)絡(luò)安全納入“一把手”工程，逐級壓實安全責(zé)任，加強(qiáng)網(wǎng)絡(luò)安全意識培養(yǎng)，從思想上樹立堅實 防線;二是制度化安排經(jīng)費(fèi)投入，對醫(yī)院每年網(wǎng)絡(luò)安全的建設(shè)、整改、運(yùn)維經(jīng)費(fèi)足額保障，避免因人而異的隨意性;三是制度化加強(qiáng)人才保障，設(shè)立專業(yè)安全機(jī)構(gòu)和職責(zé)，加強(qiáng)人才培養(yǎng)力度，提高醫(yī)院網(wǎng)絡(luò)安全維護(hù)力量的能力水平。 

　　(二)加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全頂層籌劃，實現(xiàn)全方位全周期保障 。十九大報告指出，要為人民群眾提供全方位、全周期的健康服務(wù)。網(wǎng)絡(luò)安全也同樣是一個復(fù)雜的系統(tǒng)化工程，涉 及不同領(lǐng)域的安全風(fēng)險和問題隱患，必須統(tǒng)籌規(guī)劃、突出重點、協(xié)同聯(lián)動，才能全方位、全周期為信息系統(tǒng)提供可靠 的安全保障。一是全方位制定醫(yī)院網(wǎng)絡(luò)安全的頂層規(guī)劃，從合規(guī)性要求、真實安全需求和業(yè)務(wù)發(fā)展等不同維度出發(fā)， 貼近實際制定符合自身業(yè)務(wù)特點的網(wǎng)絡(luò)安全目標(biāo)和規(guī)劃，按步驟、分批次加強(qiáng)網(wǎng)絡(luò)安全能力建設(shè);二是體系化推進(jìn)等 級保護(hù)2.0，該系列標(biāo)準(zhǔn)是面對新形勢，對網(wǎng)絡(luò)安全工作的一次重大升級，也是醫(yī)院網(wǎng)絡(luò)安全所必須遵循的體系化基本 要求;三是加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測預(yù)警和應(yīng)急響應(yīng)工作，當(dāng)前網(wǎng)絡(luò)安全特征已經(jīng)從被動到主動，從靜態(tài)到動態(tài)、從概略到 精準(zhǔn)，必須提升網(wǎng)絡(luò)安全工作的靈活性，全流程實施保障，才能適應(yīng)新時期網(wǎng)絡(luò)攻防新特點。

　　(三)注重常態(tài)化運(yùn)營管理，利用體檢監(jiān)控等確保健康。與國內(nèi)重產(chǎn)品輕服務(wù)的方式不同，國外發(fā)達(dá)國家醫(yī)院高度重視網(wǎng)絡(luò)安全運(yùn)營管理和風(fēng)險評估等工作，以最大化發(fā) 揮網(wǎng)絡(luò)安全系統(tǒng)的效能。建議一方面加強(qiáng)醫(yī)院網(wǎng)絡(luò)安全運(yùn)營，重點是從實際業(yè)務(wù)發(fā)展目標(biāo)和安全需求角度出發(fā)，聚焦 特定網(wǎng)絡(luò)安全能力形成，打通安全系統(tǒng)建設(shè)、使用、管理、培訓(xùn)等全周期，有機(jī)整合專業(yè)人才、技術(shù)、產(chǎn)品、服務(wù)和 流程等全要素，串接網(wǎng)絡(luò)安全預(yù)防、保障、監(jiān)控、應(yīng)急等全流程，構(gòu)建體系化安全能力交付的“交鑰匙”工程;另一 方面加強(qiáng)醫(yī)院信息系統(tǒng)風(fēng)險評估，以常態(tài)化方式開展安全“體檢”，定期進(jìn)行攻防演練和測試，持續(xù)監(jiān)控重點環(huán)節(jié)風(fēng) 險隱患，不斷提升醫(yī)院整體網(wǎng)絡(luò)安全治理水平。

　　(四)強(qiáng)化醫(yī)院特色網(wǎng)絡(luò)安全技術(shù)創(chuàng)新，實現(xiàn)靶向防控治療。醫(yī)院在數(shù)據(jù)安全、床旁設(shè)備、移動工作站、安全管理等方面有自身特殊的需求，尤其是伴隨著互聯(lián)網(wǎng)醫(yī)療、智慧 醫(yī)院、醫(yī)聯(lián)體等新型醫(yī)院業(yè)務(wù)模式的推進(jìn)與普及，針對特定領(lǐng)域和方向的網(wǎng)絡(luò)安全需求十分迫切，但目前相關(guān)研究還 較為薄弱，亟需加強(qiáng)醫(yī)院特色網(wǎng)絡(luò)安全技術(shù)創(chuàng)新，針對醫(yī)療數(shù)據(jù)確權(quán)、數(shù)據(jù)防勒索保護(hù)、醫(yī)療設(shè)施防護(hù)、醫(yī)院安全管 理提效和網(wǎng)絡(luò)攻防演練等問題，開展專項研究，利用新技術(shù)解決新技術(shù)和新業(yè)務(wù)帶來的安全問題，實現(xiàn)針對特定目標(biāo) 的靶向防控，降低成本提高效率，為未來醫(yī)院網(wǎng)絡(luò)安全保駕護(hù)航。（首席安全官）