关键词：等级保护；医院；网络安全；信息系统；合规建设

摘要：有研究表明，针对医疗机构的勒索软件攻击可能会产生生死攸关的后果。近25%的医疗保健提供者报告说，勒索软件导致患者死亡率增加。所以医院做好网络安全防护是至关重要的，这也是对医院患者的一份负责！

随着医院信息化建设的飞速发展，医院的信息系统已经运用到医疗服务的各个环节中，但以安全事故引起的系统故障，医疗活动的开展将会受到严重影响。如何规划医院网络体系建设？国家对信息安全越来越重视，等级保护相关标准为适应新环境、新技术进行了优化升级，按照卫健委对三级甲等医院信息系统定级不低于三级的要求，提出以“一个中心、三重防护”为核心的合规建设方案，并对未来安全防护的优化提出建议。

医院等保

一、现阶段医院现状分析

根据《2019-2020年度中国医院信息化状况调查报告》显示，在被调查的390家医院中互联网医院需要3级等保，网络安全年投入在50-100万元的医院占比17.18%；年投入在100-200万元的医院占比17.69%；年投入200万元以上的医院占比15.9%。

数据来源：《2019-2020年度中国医院信息化状况调查报告》

据CHIMA《2019-2020年度中国医院信息化状况调查报告》显示，医院在信息安全方面的投入已占总投入的9.43%，投入显著增加，在2019年有43.95%的医院实施并通过了等级保护测评，2020年有66.18%的医院通过了网络安全等级保护测评。由此可看出，医院对网络安全的投入相比往年有很大程度提升。但仍有部分医疗机构对网络安全建设重视程度不足的情况。报告统计了医院对于信息安全保障工作开展的情况，如下图所列举的安全防护措施。

医院采取的网络安全措施

?从图中看到，医院所使用的安全防护措施也是比较全面的，但是能够真正这样部署的医院寥寥无几。目前，还有为数较多的医院主机还是 xp、移动医疗PAD设备还是 CE等被淘汰的操作系统，漏洞百出的主机极易被黑客攻陷。在医院的网络拓扑中，从建设初期沿用至今，随着应用的扩展和网络结构的复杂化，暴露出内外网物理隔离或者逻辑隔离的漏洞互联网医院需要3级等保，安全设备形同虚设。在安全管理上，维护人员为了图方便而使用弱口令，没有一套完整规范的管理办法、没有专业的技术培训。

医疗行业是勒索病毒威胁的“重灾区”——入侵医疗行业的恶意软件高达85%，其中数据库服务器成为了勒索病毒的主要攻击目标。也正是因为医疗机构网络安全意识淡薄、资金投入不足、专业人才缺乏等问题，才导致医院信息系统近年频频遭受“勒索软件”攻击、病毒植入导致业务服务中断等安全事故。

且有研究表明，针对医疗机构的勒索软件攻击可能会产生生死攸关的后果。近25%的医疗保健提供者报告说，勒索软件导致患者死亡率增加。所以医院做好网络安全防护是至关重要的，这也是对医院患者的一份负责！

二、医院网络体系建设原则

医院作为保障基础民生的重要基础设施，确保其医疗服务的稳定是十分重要的。随着医院信息化的脚步加快，其网络安全的建设要遵循“三同步”，即同步规划、同步建设和同步执行，而对医院信息系统的保护也不可能做到绝对的安全，以重点保护、全面防护、动态调整为原则开展网络安全防护建设，满足等保的标准要求，就可以达到较好的防护效果。