孟晓阳:医疗信息化网络安全元年记事

2017-02-11 11:38:37 爱德腕带 阅读

2011年,原卫生部办公厅在《关于全面开展卫生行业信息安全等级保护工作的通知》中明确要求:三级甲等医院的核心业务信息系统原则上不低于等保三级,且在2015年12月30日前必须完成整改,并通过等保测评。


  如果以此为分界线,在医疗信息化发展史上,2016年就是有据可依的网络安全元年。2016在中国网络安全的发展史上也是具有里程碑意义的一年


    《中华人民共和国网络安全法》于2016年11月7日人大审议已通过,并将于2017年6月1日开始实施,从此以后,网络安全将不仅仅一个技术问题,网络行为也将受到法律的约束;


  在此之前,2014年中央网络安全和信息化领导小组成立,习近平总书记亲自出任组长,指出“没有网络安全就没有国家安全”;


  2015年年底中国人民解放军战略支援部队成立,将网络攻防成为其作战任务之一……


  这些举措都体现出国家层面对网络安全的重视。


  将2016年与网络安全联系起来,也基于自己的一些主观感受,无论是坊间传闻,还是亲身经历,今年似乎有很多话题都与网络安全相关。


  经历了2015年“互联网+”医疗的爆发式增长,2016年医疗信息化领域已经步入了后“互联网+”时代。


  当医院以开放的心态和探索者的勇气打开网络的边界,张开双臂拥抱互联网的时候,风险也随之来临。


  例如:某医院病毒大爆发,杀毒软件无能为力,重装了全院2000台客户端才把病毒感染抑制下去;


  某知名医疗大数据公司与医院的合作被网络安全机构叫停,疑有数据泄露风险;


  有个行业内的网站被黑了,虽然很快就恢复了,但截屏一直被黑客挂在互联网上炫耀;


  近来又有新闻说,某当红明星的病历资料在网上晒出来,医护人员的网络信息安全意识亟待加强。


  从个人经历来讲,今年接到了数份红头文件,从行业主管部门、属地政府到网安部门都有,如此密集的强调网络安全,也是近年来少有的。所幸我院历来非常重视网络信息安全,各项要求皆能应对。例如今年我负责医院的安全体系建设项目,不但有国家拨款,医院也很大方地配套了一大笔钱。相信项目完成后从系统的可用性、数据的完整性和安全保密方面都能有显著的提升。


  但还是有一些隐隐的担忧,从目前了解到的一些入侵方式来看,医院的防护能力还很初级的。加固DMZ区、VPN、无线网等网络出口只是第一步,纵深防御能力仍很薄弱,存在“一点攻破、满盘皆失”的风险


  今年网络安全检查的重点是工控设备,原因是现在联网的医疗设备越来越多,从技术层面来讲就是一台计算机终端,但操作系统层面厂商并不向用户开放,如何防护是整个行业必须共同面对的问题。此外,管理方面缺失也很明显,更多的信息部门把主要精力放到了信息化建设上,网络安全往往是“在墙上”,而不在心里。


  就是人员技能方面也略显不足,网络安全管理员不但要有必要的网络安全专业能力,还要具备全面的软件、硬件、开发、运维的知识,同时还要了解所在医院的信息系统实际部署情况。另外,网络安全员往往只是个技术角色,在需求主导、业务为大的信息化建设环境里,往往并没有职权去阻止潜在的风险的发生。


  年初,我写过一篇《“医院+互联网”的阿喀琉斯之踵》,最后仍以此故事作为本篇的结尾,借此提醒诸位重视网络安全。


“医院+互联网”的阿喀琉斯之踵.jpg

阿喀琉斯刚出生的时候,母亲就将其倒提脚着浸进冥河,使其能刀枪不入。但因母亲捏着的脚后跟不慎露在水外,所以脚踵就成了唯一没有防护的地方。长大后,拥有不死之身的阿喀琉斯作战英勇无比、无人能敌,但当敌人知道他脚踵的秘密后,一箭射中其脚后跟,举世无双的英雄就因此而身亡。


点击这里给我发消息
点击这里给我发消息