應對網絡攻擊 醫院如何開“藥方”

應對網絡攻擊 醫院如何開“藥方”

■ 本報記者 程紅琳

醫療衛生系統正成為網絡攻擊的重災區。

近年來，醫療機構信息化建設給患者帶來更方便、更便捷的就醫體驗。與此同時，新技術的應用也給醫療機構帶來了新的安全風險。隨著醫療機構逐步向數字化醫療、智慧醫療發展，其信息安全問題愈發突出，患者個人信息丟失情況時有發生。

為信息安全問題“把脈”并開出“藥方”，正成為醫療衛生系統在信息化建設中亟須攻關的問題。

醫院頻遭網絡攻擊

較早之前，北京等地“健康碼”系統曾遭受不同程度的網絡攻擊，消息一出，引發社會廣泛關注。事實上，記者注意到，近年來醫療衛生系統網絡安全事件頻發，大型醫院被網絡攻擊導致數據泄露、醫院停診的新聞屢見不鮮。

360集團創始人周鴻祎曾透露，360集團曾接到了多家醫院的緊急求援。部分醫院因核心數據被勒索軟件攻擊之后不能使用，導致醫院停擺，甚至有的病人手術都無法正常進行。

事實上，近年來，醫療機構網絡安全問題頻發也引起了相關部門的重視，多地網警也紛紛組織了專項檢查，防患于未然。

日前，河北保定曲陽、阜平、定興、高碑店網警在對轄區重點企業開展網絡行政執法工作時發現，曲陽釣魚臺醫院、曲陽京協門診部未履行網絡安全等級保護制度、未采取措施防范計算機病毒，同時其網站未辦理等級保護備案手續，嚴重忽視網站信息安全建設。曲陽網警隨即根據網絡安全法給予兩家醫療機構行政警告處罰。

較早之前，湖北省棗陽市公安局網安大隊民警聯合該市網信辦、衛生健康局等部門的工作人員依法對14家醫療機構進行了網絡信息安全專項檢查，發現部分醫院存在內外網混連現象、未安裝防火墻、安全制度保密制度不健全等問題。

從公安機關披露的涉及醫療衛生系統的網絡安全行政執法案例中，不難發現，一些醫療機構對信息系統網絡安全建設依舊重視不足，既未制定網絡安全管理制度和操作流程，又未按照等級保護標準建設信息系統，進而導致出現信息安全問題時無法及時處置。而黑客正是利用醫療機構信息系統中的漏洞發動攻擊，造成醫療機構信息系統癱瘓甚至業務受到影響。

網絡攻擊也倒逼著醫療機構 對網絡安全工作予以重視。不少醫院紛紛加快了信息系統等級保護建設步伐，與此同時，系統漏洞掃描、應用安全測試等安全自查和安全加固工作也逐漸成為醫院日常維護網絡安全的重要內容。

加強投入 主動防御

據《2019—2020年度中國醫院信息化狀況調查報告》顯示，醫療機構在信息安全方面的投入已占信息化總投入的9.43%。有66.18%的醫院通過了網絡安全等級保護測評。但仍有部分醫療機構并沒有將網絡安全建設落到實處。

例如，一些醫療機構安全管理中心存在人員和職能缺位問題，導致信息安全管理、監控、審計與綜合分析能力不足。不少醫療機構僅僅為了安全等級保護測評達標而配備相關信息安全硬件設備，并不注重安全能力建設，導致安裝了安全預警系統，卻沒有開展安全審計分析；或是購買了容災系統，卻沒有開展容災演練；又或是采購了數據備份設施，卻未按規定進行定期備份和恢復驗證。

打開中國政府采購網，記者注意到，這一情況也在逐步改變。為了確保網絡安全運營工作規范化、常態化開展，除購買相應的軟硬件設備外，不少醫療機構正通過公開招標的方式采購安全運維服務，以加強網絡安全建設，提高內網、互聯網、專網的整體防護能力水平，保障業務正常開展。

記者梳理了相關采購項目，發現與安全相關的采購需求愈發細化，包括但不限于：駐場運維服務、安全資產梳理服務、風險評估服務、安全加固服務、咨詢規劃服務、滲透測試服務、應急響應服務、安全保障服務、攻防演練服務、安全培訓服務等。如福建省福州市第一醫院日前發布安全運維服務項目招標公告，采購應用安全風險評估與應急防守服務、三級等保安全服務以及網絡運維服務攻防實戰演練服務。

亞信安全科技股份有限公司相關工作人員表示，醫療機構網絡安全建設已從單機版走向網絡版，從局域網走向廣域網，在解決網絡安全問題的過程中，醫療機構無法一勞永逸。因此，持續改進、螺旋式上升，是網絡安全建設的基本原則。醫療機構應該將工作重心放在事前預防、事中控制上，對尚未暴露的風險隱患進行重點排查，及時發現并化解風險，構建動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的網絡安全綜合防控體系；同時，基于現有的安全防護系統，將網絡安全運營工作與系統運維工作進行融合，以實現更低的總體擁有成本和更好的運營效率。

本報擁有此文版權，若需轉載或復制，請注明來源于中國政府采購報，標注作者，并保持文章的完整性。否則，將追究法律責任。