醫療行業是網絡攻擊犯罪分子的主要目標之***，遭受網絡攻擊事件接連發生，給醫療行業帶來巨大損失。根據《2019 健康醫療行業觀測報告》數據，醫療行業總體也處于“較大風險”***別，存在多種網絡安全風險及大量可被利用的安全隱患，安全防護能力較弱。

醫療行業也越來越重視網絡安全防護。眾多醫療機構正在重新審視網絡安全部署架構策略，加強網絡安全意識，防御與日俱增的網絡攻擊。應對當下的智慧醫療網絡安全問題，山石網科多年基于醫療行業安全服務經驗，提出***套新的安全架構思路，將發展與安全同步結合，助力智慧醫療穩步推進。

按需建設，分階段完善醫療行業網絡安全部署

據《醫療行業網絡安全白皮書2020》數據顯示，醫院對網閘、防入侵、防毒墻等設備的采用率均小于50%。現階段絕大多數醫院僅采用防火墻保障網絡安全，對網絡進行VPN/VLAN劃分和上網行為管理的醫院僅過半數。大部分醫療信息系統沒有完善的數據保護機制。

而通過對參與調查的15339***醫療行業相關單位的觀測，存在僵尸、木馬或蠕蟲等惡意程序的單位共計1029***，應用服務端口暴露在公共互聯網中的單位有6446***，4546***單位網站存在被篡改安全隱患，其中261***單位已發生網站被篡改情況。

根據中***評測網安中心對抽樣調查的73***醫療機構的信息系統進行網絡安全測評的結果來看，58%的醫療信息系統存在弱口令問題；59%醫療信息系統存網絡防護架構不完善問題，包括網絡區域劃分不合理、網絡鏈路無冗余等問題。

醫療行業網絡安全建設還處在初***階段，網絡安全的建設梯度存在者參差。與之相對比的是，網絡攻擊來勢洶洶。針對醫療行業發展不同階段及醫療機構的建設目標、建設內容及需求，山石網科構建***套醫療行業的安全體系建設模型:

縱深安全體系建設：適合初期醫療單位安全建設，目標以補全防護短板、端點防護及合規要求為建設目標。構建內容包括安全域邊界劃分、邊界安全、應用安全、終端安全、身份安全、合規要求、業務安全/審計安全/運維管理、應急及風險評估及安全管理制度體系建設。

事前安全感知監測：適合中期醫療單位安全建設，目標以構建事前安全監測、重點關注事前安全的檢測、防御、應急、管理機制為安全建設目標。構建內容包括安全運營平臺態勢監測及預警、安全應急處置/事件回溯/風險分析、風險分析能力及防御能力提升等。

全方位風險態勢感知：適合醫療單位安全建設已具備***定安全防護能力、預警能力，目標以風險治理為安全建設目標，關注風險識別、防御、檢測、處置的各個階段。同時建立安全事件庫，使常規安全事件聯動安全產品、安全服務機制及業務流程機制，形成自動化安全事件編排處置機制。

從我***近年來對醫療機構信息化建設的推進政策來看，在強調加快智慧醫療、互聯網醫院發展建設的同時，也著重提到安全制度的建立。

智慧互聯化下，醫院需要留存數據，保證診療活動留痕、可追溯，建立就醫各個環節的信息數據庫；也需要通過數據的挖掘，院內與院間的信息共享，賦能醫療水平的提高。但實際上，在就醫過程中，要保護患者的個人隱私不被泄露或者竊取，安全實現醫療數據院內院間共享，進***步挖掘醫療數據的價值，對信息技術的開發、大數據的應用以及法律的健全都提出了更高的要求。

注：文章來源于互聯網