随着大数据, 云计算, 物联网在医疗行业的应用不断深入, 增强了就医的便捷性, 提高了优质医疗资源的利用效率. 与此同时, 医疗行业面临的网络安全风险也逐渐增多.
即将开播: 5 月 20 日, 基于 kubernetes 打造企业级私有云实践
随着大数据, 云计算, 物联网在医疗行业的应用不断深入, 增强了就医的便捷性, 提高了优质医疗资源的利用效率. 与此同时, 医疗行业面临的网络安全风险也逐渐增多.
例如:
1. 员工安全意识的淡薄, 针对信息安全工作总体方针政策的缺失以及管理制度的不完善, 面临着来自内部的人为失误或蓄意破坏及信息窃取;
2. 作为医院最核心的业务系统, 医院医疗信息系统 (HIS), 临床医疗信息系统(CIS), 病人管理系统(PAS), 系统管理平台(SMS) 的运营缺少有效的安全保护措施和审计机制, 存在账号滥用, 业务数据被非法读取的风险, 譬如, 由于 HIS 系统缺乏权限管理, 任何有机会接触 HIS 终端的人员均可以通过 HIS 系统进行药物使用情况的查询等;
3. 内外网划分不清晰, 缺少内外网隔离措施, 有可能存在医院的核心业务信息通过互联网泄密的风险;
4. 医院的医疗信息系统不是一个孤立的系统, 同合作单位 (如社保部门) 甚至互联网都存在接口, 存在被黑客入侵, 网络攻击的风险;
5. 移动医疗应用存在漏洞, 且漏洞管理机制缺失;
6. 新应用上线前缺乏足够的安全测试及代码审计环节;
7. 运维人员安全技能的缺乏, 将会导致医院在面对安全事件时的处置不当, 造成重大经济损失;
8. 没有制定符合医院实际情况的事件分类标准, 应急预案实际可操作性不高, 且缺乏应急演练持续, 动态完善应急预案.
医疗行业网络安全是我国网络安全的重要组成部分, 受到国家高度重视. 随着医疗行业信息网络技术的深入应用和 "互联网 + 医疗健康" 的不断推进, 党中央, 国务院及医疗监管部门陆续出台了一系列信息化安全建设与管理的政策法规, 逐步完善医疗行业网络安全体系.
2018 年 4 月, 国家卫生健康委发布《关于印发全国医院信息化建设标准与规范 (试行) 的通知》. 对二级及以上医院的数据中心安全, 终端安全, 网络安全及容灾备份提出要求.
来源: http://netsecurity.51cto.com/art/202005/616723.htm