随着数字化进程的加速推进,网络安全已经成为社会和国家稳定发展的重要保障,其重要性越来越被人们广泛关注和重视。在去年的全国两会上,网络安全更是成为了备受关注的热点话题之一。
1 什么是网络安全?
网络安全(Cybersecurity)是指通过技术、管理和法律手段,保护计算机系统、网络、数据及用户免受未经授权的访问、破坏、泄露或篡改的一系列措施。其核心目标是确保数字环境中信息的机密性、完整性、可用性(CIA三要素),并防范网络攻击、数据泄露等风险。
而我们医疗行业需保护患者的隐私(如电子病历)、确保医疗设备(如CT机联网)不被操控。所以网络安全是当今数字时代的“免疫系统”,没有绝对的安全,只有持续的防御——技术+管理+意识缺一不可。
2 医疗机构需关注的网络安全是什么?
目前医疗行业已经成为信息化程度较高的行业之一。医院信息系统(HIS)作为医院运营和管理的重要支撑平台,记录着大量的医疗数据和信息,对于医院的正常运营和患者的治疗都具有重要意义。
然而,随着在线挂号、线上会诊、电子病历、线上结算等信息化医疗的普及,在助力医疗高效的同时,也让医疗数据处于风险之中。医疗行业的患者信息、患者病历、统方等高价值的医疗数据被不法分子盯上,越来越多的网络攻击手段被运用到HIS系统,让医疗行业处于网络信息安全的“高风险区”。
3 医疗系统网络安全相关法律 国家卫生健康委已于2022年8月8日发布《医疗卫生机构网络安全管理办法》,主要包括以下几方面内容: ①网络安全管理责任:医疗卫生机构应建立网络安全管理制度,明确网络安全管理的责任部门和人员。 ②网络安全技术保障:医疗卫生机构应加强网络安全技术防护,采取必要的技术措施确保信息系统和数据的安全。 ③信息采集和处理规定:医疗卫生机构在信息采集和处理过程中,应遵守相关法律法规,保护患者和医务人员的隐私信息。 ④网络安全事件应急处理:医疗卫生机构应建立网络安全事件应急预案,一旦发生网络安全事件,应及时采取措施进行处理。 ⑤网络安全检测和评估:医疗卫生机构应定期进行网络安全检测和评估,发现问题及时进行整改和更新。 ⑥员工网络安全培训:医疗卫生机构应加强员工的网络安全意识培训,提高员工对网络安全的重视和防范意识。 ⑦外部合作安全管理:医疗卫生机构在与外部机构合作时,应加强对合作方网络安全管理的审查和监督。 ⑧网络安全事件报告和记录:医疗卫生机构应建立网络安全事件报告和记录制度,记录网络安全事件的处理过程和结果。 ⑨网络安全管理制度完善:医疗卫生机构应不断完善网络安全管理制度,根据实际情况进行调整和改进。 4 医疗系统网络安全威胁分析 1 黑客攻击 2 计算机病毒 3 操作系统安全漏洞 HIS平台的稳定运行往往需要基于一个操作系统,倘若操作系统本身就存在不确定的安全漏洞,则会给黑客攻击、木马病毒植入带来可趁之机。例如,目前,我国很多医院的HIS平台仍基于Windows XP系统,而微软公司已在2015年5月份宣布正式终止XP系统的升级服务,如此一来,上述医院的HIS系统便会不断暴露出新的漏洞,这给黑客的攻击埋下了伏笔。 4 网络管理疏忽 缺乏必要、定期的网络管理和维护,也是造成HIS系统面临网络安全问题的主要因素。例如,系统缺乏必要的防火墙设备、缺少专业的管理安全管理维护人员、缺乏对系统安全管理硬件软件的更新等,上述管理疏忽若长期存在,便会给黑客攻击留下漏洞。 5 医疗网络安全事件分析 2021年6月,泸州某医院遭受网络攻击,造成全院系统瘫痪,医院紧急停摆。泸州公安机关迅速调集技术力量赶赴现场,指导相关单位开展事件调查和应急处置工作。经调查发现,该医院未制定内部安全管理制度和操作流程,未确定网络安全负责人,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,导致被黑客攻击造成系统瘫痪。泸州公安机关根据《中华人民共和国网络安全法》第二十一条和五十九条之规定,对该院处以责令改正并警告的行政处罚。 医疗机构在整个网络安全、数据安全和个人信息保护工作中扮演着极其重要的角色,但是部分医疗机构在信息化建设和应用中,存在“重应用,轻防护”的思想,对网络安全和数据安全工作不重视、安全防护意识淡薄,未严格按照法律法规要求履行网络安全主体责任,存在安全隐患和漏洞被黑客利用进行攻击,导致部分信息系统或数据遭到破坏。 6 维护医疗系统网络安全,我们应该怎么做? 7 总结
特别声明:智慧医疗网转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明智慧医疗网的内容为智慧医疗网原创,转载需获授权。