文/潘晓雷

医疗不同于其他行业，一旦数据泄露，兹事体大。然医院信息安全需大环境外部前拉、医院内部后推。

医疗不同于其他行业，医疗数据通常包含了患者的身份信息、治疗方案、治疗费用等敏感信息，一旦数据泄露，兹事体大。而且，医院对信息系统及相关硬件的依赖程度越高，也就意味着硬件设施、信息系统和网络环境的安全性越重要。

笔者认为，对网络安全认识不清，主动发现能力差，主动防护能力差，体制不完善、基础保障能力不强，是医疗信息安全事件一波未平一波又起的几大原因。

新时代下的安全压力

毫无疑问，信息化建设帮助医院实现了效率提升、形象改变、医院管理能力提升、医疗安全得到保证，以及临床科研能力进步。

十多年前，医院保障信息安全多采用内外网严格物理隔离，拆掉了计算机的光驱和软驱。在当时，医院服务器很少采用双机方式，发生系统宕机的情况也比较普遍。

随着数字化时代的到来，医院的网络架构逐渐复杂，信息系统已非常普及，信息安全涉及面更广，面临的威胁更多。随之而来的各种犯罪活动也日益猖獗。

这时大家讨论的是双机热备、网络版杀毒软件、容灾、等级保护、隔离网闸、防火墙、数据加密等。此时，信息安全技术也得到发展，做信息安全的厂家和服务公司日益增多。信息主管的安全意识逐渐增强，医院在安全方面的投入也逐年增加，但是许多医院投入的资金并没有带来足够的安全。

进入“互联网+”时代，在医疗围城逐渐向互联网开放的过程中，安全信息问题也面临更大的挑战。

“互联网+医疗”的出现导致诊疗活动不再局限于医院内部，远程会诊、网络医院等新型诊疗模式将逐渐常态化。医护人员对于信息系统的使用从院内走向院外，医疗数据在院内与院外的交换已成为趋势，内外网的物理隔离已无法实现。

内外网物理隔离被打破后，对医院信息部门提出了更高的要求：重新评估内外网数据交换潜在的风险，制定内外网信息交换的方案，提高内外网边界防护能力，使数据交换在有效的监督下进行，保证数据交换不对院内信息系统造成压力和冲击

在安全治理方面

调查结果显示，医疗行业的信息安全需求和实践近些年来呈现快速发展的趋势。

数据来源：根据《数据至上，业务安全——2017年医疗行业信息安全调查报告》整理

在调查的536家医院中

特点：三级医院实施等级保护工作情况的比例远高于三级以下医院。经济发达地区实施等级保护工作的比例远高于中等发达地区和经济欠发达地区。

调查结果显示，中国医院等级保护工作的现状不容乐观。

数据来源：根据“CHIMA2015-2016中国医院信息化状况年度调查”整理

近年来，患者在看病过程中个人隐私被泄露等现象已屡见不鲜，医疗系统的隐私保护更具有特殊性，也更有难度。

一方面，患者就诊涉及从挂号到治疗、从一家医院到另一家医院、从线下到线上等多条长链条，经手的人和可泄露的环节很多，任何一张处方或检查单，都能找到患者的疾病及身份信息。另一方面，患者的个人资料务求真实可靠，也更全面完整，涉及个人及家庭的大量信息。此外，健康信息是个人关键的隐私。云计算技术、大数据的应用，会使患者的个人信息更集中、更易得。

笔者认为，应利用电子认证技术保护个人健康档案，加强应用身份认证、角色授权、电子签名和时间戳等技术手段来实现对患者隐私数据的保护。

不得不说的是，支付方式移动化和自助设备普及化，同样给医院和患者的资金带来了安全挑战。

目前，为了方便患者就诊，医院的自助设备逐渐增多，大有替代人工窗口的趋势，这些设备都有与医院HIS系统进行信息交互的通道。与此同时，移动支付的使用量（支付宝、微信支付）也呈爆发式增长，这些新型支付方式大多通过互联网在移动终端进行，而且也要与院内系统进行信息交换。

笔者提醒，支付环境多元化所带来的资金安全隐患需要信息部门及时关注并做好应对。

安全意识并不乐观

一场“互联网+”的革命，将未来信息化建设的信息安全问题摆到了首位。医院信息系统故障及应急处置突发事件，也成为震撼行业的热点、难点。

笔者认为，中国医院信息安全工作实施不好的原因有以下两方面。

一是外因，《网络安全法》未颁布前，单位做不做等保不需要负法律责任；医疗行业相关的等保要求、指南、标准、细则有待统一；安全供应商的医疗行业信息安全解决方案还须完善。

二是内因，主要是医院领导和全员的安全意识不强，安全风险防范意识差；医院在信息化建设时，重系统应用轻安全，用于信息安全的经费投入不足；另外医院缺少信息安全的相关人才，不知道如何做好等保工作。

在当今信息化的时代，医疗行业的信息保护手段远远落后于其他行业，整体上缺乏信息安全管理流程。如今，医疗网络攻击的本质、深度和后果都发生了变化，例如有些医疗机构还没有意识到黑客行为的复杂性，以及他们渗透患者机密数据的网络手段的隐蔽性。

医院相对金融服务行业来说，还没有成为黑客攻击的重点目标，因此医院尚不能有效应地对网络安全威胁进行追踪、报告和管理，缺乏成熟的突发和漏洞管理流程，日常的网络攻击往往得不到任何处理。

笔者认为，如果医疗机构不与时俱进地提高自身的信息安全水平，必将遭受严重损失，不止在经济上，而且还可能会威胁到患者生命。

医院信息安全需要持续改进。在有限的资源下，用适度的成本获得适度的安全，一定要结合安全需求来考虑成本投入，不是投入越多越好，而是结合系统和业务发展持续改进。

医院信息系统出现安全事故，往往是疏于维护和监管。因此不能单纯依靠购买信息安全产品来解决，而是要根据《网络安全法》要求，按照等保制度的标准规范，结合医疗行业特点，从安全意识、安全制度、安全技术及安全管理等方面采取多方位措施加强防护，排查安全漏洞及潜在隐患，并建立和执行一套科学的安全管理制度。

笔者认为，医院信息系统的应急演练应该常态化、实战化，同时，应急预案绝不仅是信息部门的事情，应该是医院“一把手”必须常抓不懈的系统工程、责任工程。