引言

近年来，我国医院信息化建设取得了快速发展，特别是在“互联网+医疗健康”在发展的推动下，医院信息化建设正朝着网络化、数据化、智能化的方向发展。信息化建设正成为医院现代化发展的重要支撑，推动医疗服务向更加人性化、智能化、智能化方向发展。在我国医院信息化建设取得丰硕成果的同时，医院医疗信息安全问题也面临着新的安全风险和挑战。网络安全管理和保护正成为医院信息化建设的重要组成部分，甚至在一定程度上与医院信息化建设的成败有关。据相关统计，各类信息系统安全漏洞数量每年大幅增加。2017年同比增长47%，2018年同比增长40%。截至2019年12月，国家信息安全漏洞共享平台收集整理了16193个信息系统安全漏洞，较2018年（14201）增长14.0%。windows它是各种信息系统中应用最广泛的系统平台，也是犯罪分子关注的焦点。针对windows各种病毒在系统安全漏洞中的广泛传播，对医院信息系统的网络安全构成重大威胁。在医院信息化建设过程中，如何充分发挥信息系统的优势和特点，服务于医院业务的发展，有效保障系统的信息安全，已成为医院信息化建设的重要课题。

1医院网络安全现状

随着我国医院信息化建设进程的加快，各级医院对各类信息系统的依赖程度不断加深，网络安全问题日益突出。目前，我国医疗系统网络安全现状大致体现在以下几个方面：一是网络安全组织建设；二是日常信息安全管理体系的建设和实施；三是应急管理的发展；四是网络信息安全投入；五是信息安全事件和应对。在网络安全组织建设方面，我国大部分医院都设立了由医院级领导负责的医院信息化建设管理部门，但设立专门网络安全管理部门和专职网络安全管理人员的医院并不多，通常由医院信息科负责相关工作。此外，大多数医院没有明确的网络信息安全系统建设计划，即使有些医院有这样的计划，具体实施情况也不理想。在这方面，二级医院也落后于三级医院。在日常网络信息安全管理体系建设中，各级医院建立了信息管理体系，但也有一些网络信息安全不够重视，没有建立完善的信息系统安全管理体系，与信息系统安全管理体系相比，医院对数据安全管理体系更加积极。在应急管理方面，大多数医院都制定了相对完善的应急管理计划，但很少有医院进行应急演练。大多数医院都对信息系统的数据进行了安全备份，但外部技术支持的建立并不令人满意，这在很大程度上影响了医院应急管理的实际效率。在网络信息安全投入方面，虽然我国很多医院更注重信息系统的建设，在资金投入方面有明确的预算，但对网络信息安全投入并不尽如人意。很多医院的网络信息安全预算在整个信息化建设资金投入中占比不到5%。很多医院在新建、改建、扩建信息系统的过程中，没有设计网络信息安全防护措施。在网络信息安全事件和应对方面，80%以上的医院都发生过病毒感染、木马和内部人员滥用网络端口和系统资源等网络安全事件，导致数据丢失、系统崩溃、网络无法使用等。一般医院具有一定的处理网络信息安全事件的能力，但发现手段单一，处理能力和不足，在大多数情况下，需要请网络安全服务单位和网络开发维护单位协助解决。一般来说，我国医院网络信息安全现状不理想。与医院信息系统建设的发展速度相比，网络信息安全管理和保护工作明显滞后，需要加强。

2互联网时代医院网络安全面临的挑战

2.1安全防护体系改革

我国医院信息系统建设大多采用封闭式物理隔离和内部独立网络架构。这种传统的信息系统架构有利于医院信息系统的稳定运行，可以有效降低医院信息系统的网络安全风险，在数据安全方面也有很强的优势，可以保证电子病历等关键医疗数据的产生、传输、存储和应用受到医院内部网络的限制。网络安全管理和保护的重点也在医院内部网络，很少涉及外部网络的安全管理和保护。近年来，随着互联网技术在医院信息系统建设中的应用，特别是移动医疗、远程咨询等医疗新业务的快速发展，医疗数据的互联逐渐推动医院信息系统从封闭式网络架构向开放式网络架构的转变，医院内外网络的边界日益模糊，传统的基于封闭式网络的安全管理和保护手段难以适应新的网络安全形势。

2.2医疗数据安全保护

经过十多年的发展，我国医院信息化建设已从单一收费系统扩展到医院各业务部门。数据中心建设正成为我国医院信息化建设的重要方向。在这种形式下，医疗数据的安全保护已经成为医院网络安全管理和保护的重要组成部分，尤其是患者医疗数据隐私保护的重要性日益突出，这对医院网络信息的安全管理和保护提出了挑战。患者的医疗数据涵盖门诊、住院、检查、检查等环节，越来越立体化。特别是随着互联网技术在医疗行业的逐步渗透，移动医疗和可穿戴设备在医院的广泛应用，医院的医疗数据传输已经远远超出了医院的内部范围，传输方式和路径也越来越多样化，这无疑给医院患者的医疗数据保护带来了新的挑战，增加了保护的难度。鉴于患者医疗数据的隐私性，一旦发生数据泄露，往往会给医院和患者造成不可预测的后果，其严重性难以忽视。

2.3网络安全防护能力

医院网络安全保护能力的挑战主要表现为医院网络安全管理和保护专业人员的缺乏，已成为我国医院网络安全管理和保护工作的关键问题和瓶颈。专业医院网络安全管理人才属于复合型人才，不仅要掌握信息安全技术和网络安全技术，还要具备一定的医疗行业知识和经验。目前，我国医院网络信息安全人员的专业背景大多是计算机技术和网络信息安全技术，医疗行业真正具备专业知识的人很少。但即使是这种单一的技术人才，在整个医疗行业也非常匮乏，尤其是网络安全管理人才，是各行各业都在争夺的热门人才。市场需求极其旺盛，人才缺口巨大，无疑给医院网络信息安全管理人才的引进和吸收带来了巨大的挑战。

2.4.处理网络安全事件

随着我国医院信息化建设的快速发展，医院业务的发展越来越网络化、数字化，网络安全事件的概率急剧增加。一旦发生网络安全事件，一般医务人员往往措手不及，网络安全事件应对能力的提高正成为医院信息化建设中亟待解决的问题之一。