于莉莉 刘 镔 侯兆红(通讯作者)
解放军第960医院信息科 250031
摘要:网络空间安全已经成为陆海空天之外第五大战略空间资源,如何保证系统安全、应用安全、数据安全、网络安全、设备安全成为信息化建设者与使用者必须考虑的问题。本文围绕军民融合战略下医院的网络安全,分析总结当前面临的网络安全形势,从提高网络安全意识,加强组织管理,以及与医院信息化整体建设同步规划、同步建设、同步实施等方面进行思考建议,希望抛砖引玉,供读者借鉴。
近年来,军民融合被提升为国家发展战略之一。作为军民融合的重点行业领域,医院多年来秉承“姓军为兵,服务百姓”的发展宗旨,在军队的医疗卫生保健以及保障广大人民群众的身心健康方面发挥了重要作用。与此同时,军队医院的医疗水平也在军民融合发展的过程中得到历练与提升。
近年来,随着信息技术以及互联网、物联网的兴起发展,为医院信息系统拓展了更广阔的便民利民服务形式与空间。众多地方医院都纷纷尝试利用新兴网络与信息技术,开展互联网+、智慧医疗、远程医疗等多样化医疗服务,大大提升了患者的就医体验以及医疗服务的可及性。军队医院因为其特殊的职能属性,尤其是考虑到信息技术带来便利应用的同时而有可能产生的网络安全问题,新技术的建设开展缓慢于地方医院。如何在便捷服务与应用安全之间选择一个平衡点,使军队医院能够在军民融合发展的国家战略环境下,更好的履行为兵为民、安全便捷的医疗卫生保健服务使命,是军队医院信息化建设者们一直在探讨解决的难题。
总体归纳来说,与其他行业类似,目前医疗卫生行业面临的网络空间安全背景如下:
(一)网络安全风险增加,网络安全事件频发
从伊朗的震网病毒事件到最近台机电三大生产线宕机,从永恒之蓝勒索病毒的全球肆虐到其后期变种病毒在各行各业的破坏侵袭,信息泄露、跨站攻击、拒绝服务、远程执行、Web钓鱼挂马等等的安全风险种类繁多、变化多端。就国内各行业的信息软硬件来说,自主可控水平低下,安全防护严重不足,接入控制仍不严格,外包服务严重缺失,培训教育力度不够,应急演练还需加强。如何保证系统安全、应用安全、数据安全、网络安全、设备安全将变成日益重要的课题。
(二)网络安全越来越受到重视,相关法律措施相出台
从上个世纪70、80年代英国德国的《数据保护法》到后来美国的《计算机犯罪法》、《关键基础设施保护》,从我国1994年颁布的《计算机信息系统安全保护条例》到2016年颁布《中华人民共和国网络安全法》,为保障网络信息资产安全的机密性、完整性、可用性、可控性,多个国家政府及相关部门组织都陆续出台一系列配套的法律法规。没有网络安全就没有国家安全,毋庸置疑网络空间安全已经成为陆海空天之外第五大战略空间资源。
(三)对抗措施与技术的迅猛发展
鉴于日益严峻的网络空间安全发展态势,如何基于业务流程自身特点,建立“可信、可控、可管”的安全防护体系,使得信息系统能够按照预期运行,免受信息安全攻击和破坏,对抗网络风险事件的信息安全管理技术也得到了飞速的提升与发展。
期刊文章分类查询,尽在期刊图书馆区块链技术、可信计算3.0、国产密码算法、网络安全等级保护2.0、人工智能分析等等都在对抗网络安全各种风险事件中得到发展,为保障网络信息安全不断更新建设方案与技术防护手段。
(四)信息安全是多学科协作的恒久课题
安全都是相对的,没有绝对的安全。安全牵涉的层次、方面和领域太多。即有不同领域的安全,如环境安全、金融安全、食品安全、能源安全和网络安全等等;还有不同层次的安全,如网络安全中的网络层,主机层,物理层和人员管理;如工业控制系统网络安全是工业控制和信息安全复合研究领域等等。在信息化建设过程中,网络信息安全工作是最具有挑战性的工作,是需要全员参与、多学科协作的恒久课题。
在以上的背景下,面对上述问题,医院至少要从以下几个方面探讨医院的网络安全建设:
(一)提高认识,转变观念
目前医院涉及医疗业务的网络架构一般是内部局域网,目前扩展的互联网业务较少,外联的医保、银医等项目非常有限,多通过专线连接,辅以防火墙等边界防护设备。与外界完全物理隔离的内网是否就可以高枕无忧,或者说为了保障安全,是否就要保持这种物理隔离状态而与外网老死不相往来?在目前的网络安全情境下,这两种观点认识都是危险片面的。一方面,安全风险不仅仅来自于外网,另一方面医院必须探索互联网+的新技术,以更好的服务保障广大官兵与人民群众的身心健康。所以在提高网络信息安全意识的同时,也不能因为安全需要而无视业务需求,因噎废食;而是要根据国家法律法规要求以及安全技术标准,探索新兴信息技术在医疗业务中的最大限度的安全应用。
(二)加强组织管理
网络安全的建设以及日常管理需要医院管理层高度重视以及全体医务工作者积极配合。网络联系你我他,网络安全靠大家。目前,医院广大医务工作者网络安全意识淡薄,相关的信息素养培训缺失。完善的网络安全体系包括安全管理体系与安全技术体系,医院自上而下的安全管理机构、安全管理制度、安全管理人员、系统建设及运维安全等相关的组织机构与管理制度依然有待进一步完善落实。
(三)顶层设计,统一规划
网络安全架构设计不足,不安全的通讯协议,网络信息安全防护设备不足或配置不当,无病毒防护或安全补丁升级不及时,用户及数据认证手段不足、缺乏访问控制措施,未部署监测或审计类的设备等等,都是目前很多医院或多或少存在的安全隐患。以往医院的信息化建设项目重业务功能实现而忽视了部分安全功能设计,后期医院必须将网络安全建设作为信息化建设的重要组成部分,与医院整体的信息化建设同步规划、同步建设、同步实施。
综上所述,信息与通讯技术的兴起发展以及在医疗卫生行业的应用,为解决医疗服务过程中常年积弊的一些问题(如看病难等)提供了高效的解决方案,同时也成为医院实现军民融合发展战略任务过程中面临的一项新课题。网络安全的状况不断变化,攻击与对抗技术互为消长,面临越来越严峻的网络信息安全风险,其防护技术要求更高,防护标准更加复杂,漏洞与攻击途径更多,这需要医院从组织管理、技术保障、重要信息系统基础设施、人才教育培养、产业支撑以及法规标准等多个方面规划建设医院的网络信息安全保障体系,以一种更新颖、更高层次的安全管理理念让新兴信息网络技术在军民融合医院安全落地。
作者简介:侯兆红 女 副主任技师 邮箱:675634249@qq.com 研究方向:医学统计学及病案信息学
论文作者:于莉莉,刘镔,侯兆红(通讯作者)
论文发表刊物:《健康世界》2019年21期
论文发表时间:2020/3/10
标签:网络安全论文; 医院论文; 网络论文; 军民论文; 信息安全论文; 互联网论文; 医疗论文; 《健康世界》2019年21期论文;