新冠肺炎疫情防控期间,许多医疗机构通过互联网提供在线问诊、药品快递到家等服务,减少了接触传染的风险,增强了就医的便捷性,提高了优质医疗资源的利用效率。与此同时,医疗行业面临的网络安全风险也在逐渐增多。
近几年评测人员在对医疗机构进行安全检查、等级保护测评时发现,医院的网络安全建设正在发生变化。从堆满杂物的小仓库改造而成的机房、再到规范又现代化的数据中心;网络安全人员从安全小白、逐渐成长为专业化的医疗安全界小咖;医疗机构负责人逐步提升了网络安全意识,调配的网络安全资源也日趋增多...同时,评测人员也注意到,各医疗机构对网络安全的重视程度参差不齐,网络安全防护水平仍有待快速提高。
部分摘录如下:
医疗机构网络安全测试中的常见问题
根据中国评测网安中心对73家医疗机构的信息系统进行网络安全测评的结果来看:
58.9%的医疗信息系统存在弱口令问题;
59%医疗信息系统存网络防护架构不完善问题,包括网络区域划分不合理、网络链路无冗余等问题;60%的医疗信息系统数据备份机制不健全,包括无异地备份机制、备份策略不合理等问题;72%的医疗信息系统在数据存储和传输过程中未采取加密措施;绝大多数医疗信息系统在管理方面存在监管不力、制度不完善、人员安全意识较弱等问题。
医疗行业信息系统安全问题占比
提高医疗行业网络安全保障能力建议
根据医疗行业网络安全现状和保障需求,结合网络安全等级保护基本要求,中国评测网安中心提出了医疗行业网络安全实现架构。该架构分别从安全物理环境、安全网络架构、安全计算环境、安全制度管理和医疗数据安全方面提出了医疗行业网络安全重点实现内容,其中安全物理环境和安全网络架构是网络安全防护基础,安全计算环境是网络安全防护的重要组成部分,安全制度管理和医疗数据安全工作需覆盖到物理环境、网络架构和计算环境三个层面。基于该实现架构,重点开展以下四个方面工作。
医疗行业网络安全实现架构
目录
一、我国高度重视医疗行业网络安全
(二)各地将网络安全作为“互联网+医疗健康”重要内容二、医疗行业网络安全形势依然严峻