每周一喂 | 医院网络安全建设存在3大差距5大不足

时间:2020-11-23浏览:10

近日《2020医院网络安全发展研究报告》(以下简称“《报告》”)发布。《报告》立足医院网络安全发展现状,分析网络安全的新需求,提出了未来医院网络安全发展的目标、思路和发展构想。

3大差距5大不足

  医院网络安全的差距主要体现在以下三点: 

一、网络安全工作认识上存在差距。

目前医疗行 业人员基本不了解网络安全政策、制度、流程,只有占医院人数极少部分的信息部门相关人员有一定了解。

二、网络安全整体投入上存在差距。

国外55%的医院为网络安全专门拨付经费,其中多数是占到IT预算的3%-6%,并且这些经费开支的方向是在网络 安全运营活动和软硬件资源上。国内大多数医院仅采用防火墙保障网络安全,对网闸、防入侵、防毒墙等设 备的采用率均小于50%。

三、网络安全管理理念上存在差距。

国内医院网络安全建设还处于安全产品堆砌阶段,重硬件轻软件、重产品轻服务、重合规轻运营的现象普遍存在。

主要不足体现在以下五个方面:

一、医疗行业人员安全意识相对薄弱。

目前较多医院在人员安全意识教育方面投入几乎为零,人员缺乏对网络安全政策法律法规、安全防护措施、安全管理制度的认识,存在很多内部人员违规使用电 脑、私搭乱接网络、口令设置简单等问题。

二、缺乏整体网络安全顶层设计。

目前各医院网络安全建设比较松散,缺乏顶层设计,未形成统一的安全体系。技术方面很多医院只是采用了防火墙、防病毒等简单的安全防护措施。

三、等级保护合规建设存在不足。

整个医疗行业的网络安全等级保护工作开展情况还存在明 显不足。据2019年《医院信息安全调查报告》发现,400家调研对象中,有实施等 级保护工作规划的医院有106家,占比27.25%;没有开展等级保护工作规划的医院有48家,占比12.34%。

四、新技术引入加剧新安全风险。

尤其 是互联网医疗、远程诊疗、人工智能和大数据等技术的应用。随着新技术的引入,医院面临诸多新的安全风险。

五、医院安全管理缺乏高效运营支撑。

在新的安全形势下,医院安全管理工作面临的主要问题包括两个方面。一方面是缺乏专业的安全专职人员和管理制度。另一方面是缺乏统一 高效的安全运营能力,针对业务系统缺乏周期性及实时性的安全风险评估,无法感知全网安全状态。“救火”式的安 全管理模式,导致发生安全事件不能及时进行响应,整体安全运维效率低下。

报告建议

一、制度性安排网络安全资源投入,实现“上医治未病” 。

与人体健康相类似,网络安全管理的是各类风险,只有在隐患尚未发生时,其防治成本以及损失后果才会最低。当前总体上看,医院网络安全在防护技术、防护措施、防护理念、监督检查等方面还相对落后,与信息化发展应用不 相匹配,亟需高度重视事前防御,增加防护资源投入,并做出制度性安排,从根本上提升网络安全能力。一是高度重 视网络安全工作,将网络安全纳入“一把手”工程,逐级压实安全责任,加强网络安全意识培养,从思想上树立坚实 防线;二是制度化安排经费投入,对医院每年网络安全的建设、整改、运维经费足额保障,避免因人而异的随意性;三是制度化加强人才保障,设立专业安全机构和职责,加强人才培养力度,提高医院网络安全维护力量的能力水平。 

二、加强医院网络安全顶层筹划,实现全方位全周期保障 。

十九大报告指出,要为人民群众提供全方位、全周期的健康服务。网络安全也同样是一个复杂的系统化工程,涉 及不同领域的安全风险和问题隐患,必须统筹规划、突出重点、协同联动,才能全方位、全周期为信息系统提供可靠 的安全保障。一是全方位制定医院网络安全的顶层规划,从合规性要求、真实安全需求和业务发展等不同维度出发, 贴近实际制定符合自身业务特点的网络安全目标和规划,按步骤、分批次加强网络安全能力建设;二是体系化推进等 级保护2.0,该系列标准是面对新形势,对网络安全工作的一次重大升级,也是医院网络安全所必须遵循的体系化基本 要求;三是加强网络安全监测预警和应急响应工作,当前网络安全特征已经从被动到主动,从静态到动态、从概略到 精准,必须提升网络安全工作的灵活性,全流程实施保障,才能适应新时期网络攻防新特点。 

三、注重常态化运营管理,利用体检监控等确保健康。

与国内重产品轻服务的方式不同,国外发达国家医院高度重视网络安全运营管理和风险评估等工作,以最大化发 挥网络安全系统的效能。建议一方面加强医院网络安全运营,重点是从实际业务发展目标和安全需求角度出发,聚焦 特定网络安全能力形成,打通安全系统建设、使用、管理、培训等全周期,有机整合专业人才、技术、产品、服务和 流程等全要素,串接网络安全预防、保障、监控、应急等全流程,构建体系化安全能力交付的“交钥匙”工程;另一 方面加强医院信息系统风险评估,以常态化方式开展安全“体检”,定期进行攻防演练和测试,持续监控重点环节风 险隐患,不断提升医院整体网络安全治理水平。 

四、强化医院特色网络安全技术创新,实现靶向防控治疗。

医院在数据安全、床旁设备、移动工作站、安全管理等方面有自身特殊的需求,尤其是伴随着互联网医疗、智慧 医院、医联体等新型医院业务模式的推进与普及,针对特定领域和方向的网络安全需求十分迫切,但目前相关研究还 较为薄弱,亟需加强医院特色网络安全技术创新,针对医疗数据确权、数据防勒索保护、医疗设施防护、医院安全管 理提效和网络攻防演练等问题,开展专项研究,利用新技术解决新技术和新业务带来的安全问题,实现针对特定目标 的靶向防控,降低成本提高效率,为未来医院网络安全保驾护航。