59%医疗机构网络防护架构存在漏洞，如何完善？

医疗行业是网络攻击犯罪分子的主要目标之***，遭受网络攻击事件接连发生，给医疗行业带来巨大损失。根据《2019 健康医疗行业观测报告》数据，医疗行业总体也处于“较大风险”***别，存在多种网络安全风险及大量可被利用的安全隐患，安全防护能力较弱。

医疗行业也越来越重视网络安全防护。众多医疗机构正在重新审视网络安全部署架构策略，加强网络安全意识，防御与日俱增的网络攻击。应对当下的智慧医疗网络安全问题，山石网科多年基于医疗行业安全服务经验，提出***套新的安全架构思路，将发展与安全同步结合，助力智慧医疗稳步推进。

按需建设，分阶段完善医疗行业网络安全部署

据《医疗行业网络安全白皮书2020》数据显示，医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。现阶段绝大多数医院仅采用防火墙保障网络安全，对网络进行VPN/VLAN划分和上网行为管理的医院仅过半数。大部分医疗信息系统没有完善的数据保护机制。

而通过对参与调查的15339***医疗行业相关单位的观测，存在僵尸、木马或蠕虫等恶意程序的单位共计1029***，应用服务端口暴露在公共互联网中的单位有6446***，4546***单位网站存在被篡改安全隐患，其中261***单位已发生网站被篡改情况。

根据中***评测网安中心对抽样调查的73***医疗机构的信息系统进行网络安全测评的结果来看，58%的医疗信息系统存在弱口令问题；59%医疗信息系统存网络防护架构不完善问题，包括网络区域划分不合理、网络链路无冗余等问题。

医疗行业网络安全建设还处在初***阶段，网络安全的建设梯度存在者参差。与之相对比的是，网络攻击来势汹汹。针对医疗行业发展不同阶段及医疗机构的建设目标、建设内容及需求，山石网科构建***套医疗行业的安全体系建设模型:

纵深安全体系建设：适合初期医疗单位安全建设，目标以补全防护短板、端点防护及合规要求为建设目标。构建内容包括安全域边界划分、边界安全、应用安全、终端安全、身份安全、合规要求、业务安全/审计安全/运维管理、应急及风险评估及安全管理制度体系建设。

事前安全感知监测：适合中期医疗单位安全建设，目标以构建事前安全监测、重点关注事前安全的检测、防御、应急、管理机制为安全建设目标。构建内容包括安全运营平台态势监测及预警、安全应急处置/事件回溯/风险分析、风险分析能力及防御能力提升等。

全方位风险态势感知：适合医疗单位安全建设已具备***定安全防护能力、预警能力，目标以风险治理为安全建设目标，关注风险识别、防御、检测、处置的各个阶段。同时建立安全事件库，使常规安全事件联动安全产品、安全服务机制及业务流程机制，形成自动化安全事件编排处置机制。

从我***近年来对医疗机构信息化建设的推进政策来看，在强调加快智慧医疗、互联网医院发展建设的同时，也着重提到安全制度的建立。

智慧互联化下，医院需要留存数据，保证诊疗活动留痕、可追溯，建立就医各个环节的信息数据库；也需要通过数据的挖掘，院内与院间的信息共享，赋能医疗水平的提高。但实际上，在就医过程中，要保护患者的个人隐私不被泄露或者窃取，安全实现医疗数据院内院间共享，进***步挖掘医疗数据的价值，对信息技术的开发、大数据的应用以及法律的健全都提出了更高的要求。

注：文章来源于互联网