智慧医院网络安全体系建设探讨 2018年05月 内容提纲 一、医院系统发展现状及面临的挑战 二、安全建设方案制定与实施 三、案例分享 新技术在医院的业务中得到广泛应用 “互联网+”推动医院应用环境的变化 医院信息化建设标准与规范【2018】由国家健康委员会于2018年4月发试行稿，该标准是针对二级医院、三级乙等医院、三级甲等医院从安全保障等方面，提出了信息化建设的主要内容和要求。 《国务院关于促进“互联网+医疗健康”发展的意见》其中提出：加强行业监管和安全保障，强化医疗质量监管，保障数据安全。 国家发布的行业规范 “互联网+医疗健康” [2018] 《国务院关于促进“互联网+医疗健康”发展的意见》 医改加快了医院信息环境的变化 医院核心应用价值得到提升 医疗资源合理分配、流程化管理 业务连续运行，无线医护 移动查房、资源优化 服务水平提升，创新模式提出 诊疗信息互认、区域健康信息 以“病人为中心”医院管理系统 以文字、简单图形信息为主，包括有计费，药房管理等数据信息 基础网络架构安全可靠，保证服务质量和高性能，对7X24小时运行、数据保密性要求进一步提高 门诊预约挂号系统 门/急诊患者管理系统 住院患者及床位管理系统 计价，收费系统 药库，药房管理系统 病案管理系统 医院信息统计系统 人事，工资管理系统 医院后勤，物资管理系统 信息综合查询及决策支持系统 …… 门诊医生工作站系统 住院病人医嘱处理系统 临床实验室检查报告子系统LIS 电子病历子系统（多媒体，智能化） 医学影像诊断报告处理系统PACS 手术室监控系统 …. 与医疗为中心的信息系统 患者病案、医疗数据（非结构化数据：图形、视频、语音信息）… 对7X24小时持续运行、网络通道的安全可靠、服务质量、数据完整可用等要求不断提高 电子病历是连接临床信息系统和管理信息系统共享和业务协作平台，是医院内不同业务系统之间实现统一集成、资源整合和高效运转的基础和载体。 与医院办公相关的信息系统 科研，教学子系统 病案管理子系统 门户网站系统 远程医疗子系统 办公子系统OA ….. 对外连接提供服务，实现日常办公等数据交换共享 对数据安全管理、防范各钟攻击、病毒威胁等要求提高 医联体作为分诊医疗的实现必要支撑 城市医疗集团，由较强医院牵头，联合社区卫生服务机构等，形成资源共享、分工协作的管理模式； 县域医共体，以县级医院为头、乡镇卫生院为枢纽、村卫生室作基础，实现县乡一体化管理的协作机制； 跨区域的专科联盟，由医疗机构特色专科技术力量为支撑，充分发挥医学中心、临床医学研究中心及其协同网络的作用； 远程医疗协作网，由公立医院面向基层、边远和欠发达地区提供远程医疗、远程教学、远程培训等服务. 当前几种模式 患者病历信息、患者用药记录、医疗服务资源数据等，敏感程度高 对患者电子病历信息采集、不同机构间数据安全交换、共享、病历转移、数据资源受控访问提出了较高要求 国内其他事件 2015年3月，一份数量高达万条产妇信息的清单再度被曝流入市场，涵盖深圳近50家医院。 2017年9月，国内某家医院的服务信息系统遭到黑客入侵，被泄露的公民信息多达7亿多条，8000多万条公民信息被贩卖。 2016年4月，安徽省妇幼保健院近6000名新生儿视频被流传到商业网站，造成新生儿隐私信息的泄露。 今年2月某日上午8时左右，某医院生产系统无法正常使用，经查系服务器中了最新勒索病毒：“大厅内业务系统等设备大部分处于关闭状态，服务器所有数据文件被强行加密”，影响恶劣 ，此事件在全医疗机构内引起轩然大波。 2 勒索病毒事件 CryptoniteNXT《2017医疗网络研究报告》显示，2017年十大医疗数据安全事件中，有6起都是勒索软件攻击，重大勒索软件攻击(受影响患者数量在500人以上)上报量为36起，是2016年的2倍。 新环境变化带来的威胁 1 2 5 4 3 2016年4月，英国某医院电脑当天遭恶意软件“勒索病毒”攻击，黑客在被攻击的电脑屏幕上留言：“你的电脑被黑了，想恢复文件，交300美元”。 2016年5月，位于美国菲尼克斯市（Phoenix）的班纳健康中心（Banner Health）最近遭遇信息泄露，事件已经波及370万人。 2017年3月，位于圣安通尼奥的ABCD小儿科诊所超过5.5万明患者信息遭到泄露，包括病人姓名、社保号、保险账单信息、出生日期、病历信息、手术信息编码等。据查为勒索变体所致 2016 年 12月，美国密歇根 Singh and Arora 血液肿瘤中心2.2 万名患者信息遭到泄露。泄露的数据包括患者姓名、社保号、家庭住址、电话号码、出生日期、和保险信息等。 3 6 医疗系统频遭攻击—安全堪忧 据统计表明，2017年美国出现重大医疗信息泄露事件就有15次，保守估计，共有约300万名病人的信息被泄露。 新环境变化带来的威胁 医院系统的安全、稳定关系到社会秩序 业务高峰时期生产停滞 广泛的社会影响 门诊大量排队、业务投诉.. 来自行业主管部门压力.. 社会舆论/医疗机构声誉.. 手术中途的停顿.. 经济损失.. 法律诉讼.. …. 医疗系统任何安全风险可能带来较大的社会影响及经济损失： 网络安全问题可能引发的安全事件…. 网络安全事件引发的思考 为什么网络安全建设很积极，安全事件也不断发生…. 为什么完成了等级保护建设、威胁仍持续不断…. 网络安全 防护体系