高危信號(hào)！醫(yī)械行業(yè)如何應(yīng)對(duì)醫(yī)療器械網(wǎng)絡(luò)的安全隱患

醫(yī)療設(shè)備越來越多地連接到互聯(lián)網(wǎng)。醫(yī)院通過網(wǎng)絡(luò)可以改善醫(yī)療服務(wù)，隨著網(wǎng)絡(luò)時(shí)代的來。但是相應(yīng)地也會(huì)面對(duì)網(wǎng)絡(luò)平安風(fēng)險(xiǎn)。

醫(yī)療設(shè)備也很容易受到平安漏洞的影響，和其他計(jì)算機(jī)系統(tǒng)一樣。醫(yī)療器械網(wǎng)絡(luò)平安出現(xiàn)問題不只可能會(huì)侵犯患者隱私，而且可能會(huì)發(fā)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險(xiǎn)，導(dǎo)致患者或使用者受到傷害或死亡。

醫(yī)療器械網(wǎng)絡(luò)平安是醫(yī)療器械平安性和有效性的重要組成局部之一。因此。如何降低風(fēng)險(xiǎn)顯得尤為重要。國(guó)內(nèi)外的醫(yī)療設(shè)備網(wǎng)絡(luò)平安問題處于什么樣的環(huán)境中？這個(gè)賽道又哪些守業(yè)公司以全新的方法論和技術(shù)可以構(gòu)筑防火墻？威脅和漏洞無法消除。

醫(yī)療器械將成為網(wǎng)絡(luò)攻擊下一個(gè)目標(biāo)

據(jù)2017年的數(shù)據(jù)顯示，動(dòng)脈網(wǎng)曾繼續(xù)關(guān)注過醫(yī)療網(wǎng)絡(luò)安全問題。美國(guó)2010-2015年醫(yī)療信息泄露事件次數(shù)每年發(fā)生200多起。而今，形勢(shì)甚至變得更為嚴(yán)峻，2018就發(fā)生503起醫(yī)療保健數(shù)據(jù)泄露事件。數(shù)據(jù)來源：美國(guó)衛(wèi)生與公民服務(wù)部）

2017年醫(yī)療保健平均每個(gè)組織平均每天有近32,FortiGuard實(shí)驗(yàn)室演講稱。000次入侵攻擊，而在其他行業(yè)這個(gè)數(shù)字是超越14,300次。顯然，醫(yī)療行業(yè)受到更多的攻擊。

國(guó)內(nèi)情況也不容樂觀，2017年，《法制日?qǐng)?bào)》發(fā)布了一篇名為7億條個(gè)人信息遭泄露 〈浙江判決特大侵犯公民信息案〉報(bào)道，曝出黑客入侵了某部委的醫(yī)療服務(wù)信息系統(tǒng)，大量孕檢信息遭到泄露和買賣。黑客們不再滿足于提取醫(yī)療記錄和患者數(shù)據(jù)。把手伸向了醫(yī)療設(shè)備，然而有一個(gè)值得關(guān)注的趨勢(shì)。威脅患者的平安。

醫(yī)療器械廠家以及醫(yī)療機(jī)構(gòu)一直在維護(hù)患者的個(gè)人健康信息(PHI隨著物聯(lián)網(wǎng)時(shí)代的來，多年來。醫(yī)療行業(yè)將面臨新的挑戰(zhàn)。醫(yī)療物聯(lián)網(wǎng)涵蓋輸液泵、核磁共振成像儀、x光機(jī)、心臟監(jiān)護(hù)儀等醫(yī)療設(shè)備，都可能成為被攻擊勒索的對(duì)象。

但是如果沒有平安維護(hù)的醫(yī)療物聯(lián)網(wǎng)設(shè)備，盡管醫(yī)療物聯(lián)網(wǎng)可以提高醫(yī)療保健的效率。也會(huì)導(dǎo)致更大風(fēng)險(xiǎn)暴露。隨著5G技術(shù)的飛速發(fā)展，物聯(lián)網(wǎng)的來正在加速，而還沒有設(shè)置網(wǎng)絡(luò)平安維護(hù)的醫(yī)療設(shè)備宛如在網(wǎng)絡(luò)攻擊面前“裸奔”

一個(gè)例子就是2017年5月WannaCri勒索病毒攻擊英國(guó)國(guó)家醫(yī)療服務(wù)體系NHS

TheNakeSecur報(bào)道了WannaCri如何影響英國(guó)國(guó)家醫(yī)療服務(wù)體系(NHS報(bào)道中論述勒索軟件針對(duì)的運(yùn)行在WindowXP工作站的MRI和CT掃描儀。雖然這次攻擊的影響僅僅是勒索錢財(cái)以釋放設(shè)備，2018年2月。但更大的擔(dān)憂是惡意軟件可能會(huì)影響設(shè)備的操作，干擾設(shè)備的移動(dòng)方式，干擾掃描信號(hào)，甚至改變結(jié)果。

福布斯也報(bào)道了美國(guó)一家醫(yī)院的拜耳Medrad設(shè)備被感染。拜耳的一位發(fā)言人證實(shí)，2017年。該公司已收到兩份來自美國(guó)客戶的演講，演講顯示設(shè)備受到勒索軟件的攻擊，但沒有透露具體是哪些產(chǎn)品受到影響。兩個(gè)站點(diǎn)也在24小時(shí)候恢復(fù)了運(yùn)作。進(jìn)行勒索，黑客可以直接攻擊醫(yī)療器械。除此之外，醫(yī)療器械還可能成為他爪牙，成為竊聽的工具。因此醫(yī)療器械廠家更要注意本行業(yè)的相關(guān)用戶數(shù)據(jù)的安全性。

FDA 召回了近50萬個(gè)心臟起搏器，2017年8月。原因是擔(dān)心無線竊聽。就連美國(guó)前副總統(tǒng)迪克切尼(DickChenei也對(duì)他心臟起搏器進(jìn)行了修改，以確保它不受攻擊。

用于在疾病護(hù)理環(huán)境中從注射器中輸送小劑量藥物。據(jù)ICS-CERT2017年9月報(bào)道，史密斯醫(yī)療公司的Medfus4000無線注射器輸液泵也是一個(gè)例子。這種輸液泵在全球范圍內(nèi)使用。這些設(shè)備包括8個(gè)可以遠(yuǎn)程利用的漏洞。

據(jù)GartnerResearch稱。25％的醫(yī)療保健攻擊將來自物聯(lián)網(wǎng)設(shè)備。SA NS演講稱，醫(yī)院中大約17％的網(wǎng)絡(luò)攻擊來自醫(yī)療終端，演講中77％的醫(yī)院表示醫(yī)療設(shè)備的平安風(fēng)險(xiǎn)是最關(guān)心的問題。

廣州市婦女兒童醫(yī)療中心在2017年就通過HIMSS住院和門診EMRA M雙7級(jí)評(píng)審。動(dòng)脈網(wǎng)也就醫(yī)療器械的網(wǎng)絡(luò)平安問題采訪了廣州市婦女兒童醫(yī)療中心數(shù)據(jù)中心副主任曹曉均。

可能是定制化的系統(tǒng)與軟件，曹曉均也表示：醫(yī)療器械與終端設(shè)備不同。并部署在專有的網(wǎng)絡(luò)環(huán)境中。不能依照普通終端的防護(hù)方式去執(zhí)行自我維護(hù)，但是又因?yàn)橄到y(tǒng)版本老舊，布置不規(guī)范等環(huán)境的限制極易遭受攻擊。

認(rèn)為在終端平安上容易忽視的問題如下：曹曉均也指出目前在網(wǎng)絡(luò)平安和終端平安方面單薄的問題。漏洞百出，1內(nèi)網(wǎng)終端主機(jī)自從分發(fā)后就沒有打過系統(tǒng)補(bǔ)丁。惡意代碼入侵長(zhǎng)驅(qū)直入；終端往往使用弱口令，2為了便于操作。病毒使用暴力破解得到密碼后，直接使用管理員身份登陸系統(tǒng)，繞開一切防護(hù)手段，系統(tǒng)中為所欲為；濫用移動(dòng)存儲(chǔ)設(shè)備，為了便于作業(yè)與辦公。導(dǎo)致惡意代碼有很好的傳達(dá)途徑；

人員平安意識(shí)缺乏，因?yàn)槠桨惨庾R(shí)宣貫不到位。為了圖方便使用熱點(diǎn)非法外聯(lián)，導(dǎo)致內(nèi)外網(wǎng)互通，引入了未知風(fēng)險(xiǎn)。包括：而網(wǎng)絡(luò)平安上也存在一些容易忽視的問題。沒有分區(qū)分域。當(dāng)平安事件迸發(fā)后，基礎(chǔ)網(wǎng)建設(shè)雜亂。網(wǎng)絡(luò)中傳達(dá)速度較快，沒法辦做到及時(shí)封堵；很多網(wǎng)絡(luò)設(shè)備上線后從未更改過策略，網(wǎng)絡(luò)平安設(shè)備的戰(zhàn)略規(guī)范化?；蛘叨际悄J(rèn)放通，起不到理想的防御作用，形同虛設(shè)；經(jīng)常錯(cuò)失處置平安事件最佳的處置時(shí)間，3沒有人去定期分析總結(jié)網(wǎng)絡(luò)中的平安日志。導(dǎo)致事態(tài)發(fā)展到不受控制，工作一直處于主動(dòng)防御狀態(tài)。

給出了兩點(diǎn)建議：關(guān)于如何防護(hù)。

只允許特定的順序與接口工作，主機(jī)上通過限制軟件最小權(quán)限的方式執(zhí)行維護(hù)。其他操作一概阻止，這樣做相當(dāng)于給可信的軟件做了一個(gè)保護(hù)罩，直接杜絕了惡意代碼的生存與傳播途徑；

把儀器設(shè)備歸類到同一網(wǎng)段下，網(wǎng)絡(luò)環(huán)境允許的情況下。該網(wǎng)段前部署安全網(wǎng)關(guān)，從網(wǎng)絡(luò)傳達(dá)途徑上進(jìn)行清理惡意代碼，做到區(qū)域的維護(hù)。

醫(yī)療器械網(wǎng)絡(luò)平安需要醫(yī)療器械廠家和醫(yī)療機(jī)構(gòu)以及相關(guān)安全部門共同合作搭起安全網(wǎng)

其次受夠攻擊最多的行業(yè)就是金融行業(yè)。對(duì)于醫(yī)院來說，為什么醫(yī)療組織會(huì)受到攻擊。因?yàn)獒t(yī)療數(shù)據(jù)價(jià)值高而保護(hù)薄弱。因?yàn)镠IPA A 法案，有關(guān)患者信息的泄露或者設(shè)備遭到攻擊，醫(yī)院將遭到更嚴(yán)重的懲辦。

2018年發(fā)布的網(wǎng)絡(luò)平安等級(jí)維護(hù)條例（征求意見稿）中把信息系統(tǒng)的平安等級(jí)分為了5級(jí)，國(guó)內(nèi)也不例外。其中提出將“會(huì)造成特別嚴(yán)重?fù)p害”情況下，信息系統(tǒng)應(yīng)采取的維護(hù)等級(jí)提高到第三級(jí)。

誰運(yùn)營(yíng)、誰負(fù)責(zé)”如果醫(yī)院發(fā)生網(wǎng)絡(luò)平安事故將有誰負(fù)責(zé)呢？依據(jù)2011年衛(wèi)生部發(fā)布的衛(wèi)生行業(yè)信息平安等級(jí)維護(hù)工作的指導(dǎo)意見》其中明確了網(wǎng)絡(luò)平安負(fù)責(zé)的責(zé)任主體是誰主管、誰負(fù)責(zé)。

醫(yī)療器械生產(chǎn)廠商同樣有負(fù)有保證醫(yī)療器械網(wǎng)絡(luò)平安的責(zé)任。2017醫(yī)療器械網(wǎng)絡(luò)平安注冊(cè)技術(shù)審查指導(dǎo)原則》就明確寫道：

這就使得注冊(cè)申請(qǐng)人自身難以控制和保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)平安。因此，醫(yī)療器械產(chǎn)品在使用過程中常與非注冊(cè)申請(qǐng)人預(yù)期的設(shè)備或系統(tǒng)相連接。醫(yī)療器械的網(wǎng)絡(luò)平安需要注冊(cè)申請(qǐng)人、用戶和信息技術(shù)服務(wù)商的共同努力和通力合作才干得以保證。但是這并不意味著注冊(cè)申請(qǐng)人可以免除醫(yī)療器械網(wǎng)絡(luò)平安的相關(guān)責(zé)任，注冊(cè)申請(qǐng)人應(yīng)當(dāng)保證醫(yī)療器械產(chǎn)品自身的網(wǎng)絡(luò)平安，并明確與其預(yù)期相連設(shè)備或系統(tǒng)的接口要求，從而保證醫(yī)療器械產(chǎn)品的平安性和有效性。

曹曉均副主任告訴動(dòng)脈網(wǎng)：應(yīng)對(duì)網(wǎng)絡(luò)平安的時(shí)候，而關(guān)于國(guó)內(nèi)醫(yī)院和醫(yī)療器械廠家應(yīng)對(duì)網(wǎng)絡(luò)平安攻擊的模式。有經(jīng)驗(yàn)的第三方公司依照醫(yī)院的具體環(huán)境和情況制定平安方案，院內(nèi)審批后協(xié)同執(zhí)行平安建設(shè)。

大部分醫(yī)院并未達(dá)到現(xiàn)行最高規(guī)范

發(fā)現(xiàn)對(duì)于醫(yī)療平安維護(hù)的規(guī)范，動(dòng)脈網(wǎng)記者查閱了相關(guān)資料。2018年衛(wèi)健委發(fā)布的全國(guó)醫(yī)院信息化建設(shè)規(guī)范與規(guī)范（試行）中有著規(guī)范和全面要求。

衛(wèi)健委對(duì)于不同等級(jí)的醫(yī)院提出了不同的規(guī)范要求。從數(shù)據(jù)中心平安（防火墻、平安審計(jì)設(shè)備、系統(tǒng)加固設(shè)備、數(shù)據(jù)加固設(shè)備、入侵防范設(shè)備、身份認(rèn)證系統(tǒng)、訪問控制系統(tǒng)、平安管理系統(tǒng)、終端平安（身份認(rèn)證設(shè)備、介質(zhì)平安設(shè)備、客戶端管理系統(tǒng)、終端平安管理系統(tǒng)）網(wǎng)絡(luò)平安（結(jié)構(gòu)平安設(shè)備、通信加密設(shè)備、網(wǎng)絡(luò)優(yōu)化設(shè)備、網(wǎng)絡(luò)平安管理）容災(zāi)備份（基礎(chǔ)設(shè)備災(zāi)備、備用網(wǎng)絡(luò)災(zāi)備、數(shù)據(jù)備份與恢復(fù)、應(yīng)用容災(zāi)）四個(gè)方面提供了規(guī)范和要求。

依據(jù)騰訊智慧安全、中國(guó)醫(yī)院協(xié)會(huì)信息管理專業(yè)委員會(huì)（CHIMA 聯(lián)合研究發(fā)布《醫(yī)療行業(yè)平安指數(shù)演講》中指出，但是根據(jù)現(xiàn)實(shí)情況來說。衛(wèi)健委指導(dǎo)下，全國(guó)醫(yī)院信息平安建設(shè)水平不時(shí)提升。演講》顯示，國(guó)內(nèi)38%醫(yī)院指數(shù)值處于良好水平，22%醫(yī)院處于優(yōu)秀水平，顯示出在衛(wèi)健委指導(dǎo)下，全國(guó)醫(yī)院信息平安建設(shè)水平正在不時(shí)提升 

醫(yī)療行業(yè)以及部分醫(yī)療器械廠家信息平安建設(shè)意識(shí)單薄，但是也有一些問題暴露。核心數(shù)據(jù)缺乏有效的平安防護(hù)。問題主要表示為：網(wǎng)絡(luò)空間資產(chǎn)端口開放較多，隱患大，如開放遠(yuǎn)程登錄服務(wù)的比例高達(dá)50%外網(wǎng)電腦的平安風(fēng)險(xiǎn)較多，可能會(huì)給不法訪問者以可乘之機(jī)；線上服務(wù)平臺(tái)及第三方醫(yī)療服務(wù)平臺(tái)脆弱性會(huì)提升醫(yī)療數(shù)據(jù)泄露的風(fēng)險(xiǎn)；醫(yī)療行業(yè)已經(jīng)成為勒索病毒攻擊的主要目標(biāo)，醫(yī)療業(yè)務(wù)連續(xù)性受到挑戰(zhàn)。

曹曉均也分享了廣州市婦女兒童醫(yī)療中心的網(wǎng)絡(luò)平安方面的建設(shè)經(jīng)驗(yàn)。廣州市婦女兒童醫(yī)療中心作為全國(guó)第四家通過HIMSS7級(jí)認(rèn)證的醫(yī)院。

對(duì)數(shù)據(jù)中心的平安防護(hù)從防火墻、平安審計(jì)、系統(tǒng)加固、數(shù)據(jù)加固等八個(gè)大方面進(jìn)行提出詳細(xì)的要求，表示：衛(wèi)健委發(fā)布的全國(guó)醫(yī)院信息化建設(shè)規(guī)范與規(guī)范（試行）中。國(guó)內(nèi)并不是所有的三甲醫(yī)院都能完全滿足所有的推薦要求，特別是入侵防護(hù)和身份認(rèn)證方面，很多醫(yī)院并未做到非常完善。院在建立云上醫(yī)院的起初，就非常重視數(shù)據(jù)中心的平安防護(hù)，因?yàn)樵粕系臄?shù)據(jù)中心更容易出現(xiàn)平安漏洞，導(dǎo)致平安事故。因此，院依照衛(wèi)健委對(duì)三甲醫(yī)院的要求，對(duì)云上數(shù)據(jù)中心提出平安建設(shè)的要求，并通過多期建設(shè)逐步完善，已經(jīng)初步達(dá)到全國(guó)醫(yī)院信息化建設(shè)規(guī)范與規(guī)范（試行）八個(gè)方面平安規(guī)范。

廣州市婦女兒童醫(yī)療中心做到高于衛(wèi)健委標(biāo)準(zhǔn)：醫(yī)院在對(duì)容災(zāi)備份的建設(shè)中，容災(zāi)備份上。特別重視高可用性對(duì)醫(yī)院業(yè)務(wù)連續(xù)性的保證，從網(wǎng)絡(luò)層、主機(jī)層、存儲(chǔ)層等多個(gè)層次設(shè)計(jì)雙活冗余架構(gòu)，能實(shí)現(xiàn)整套信息系統(tǒng)平臺(tái)無單點(diǎn)故障。

建立同城的異地容災(zāi)中心，同時(shí)。異地容災(zāi)中心實(shí)現(xiàn)準(zhǔn)實(shí)時(shí)的數(shù)據(jù)同步，極端情況下，能實(shí)現(xiàn)RTO≦15分鐘，RPO≈0也高于衛(wèi)健委的規(guī)范和要求。曹曉均說道。

初創(chuàng)公司利用AI區(qū)塊鏈等技術(shù)進(jìn)入賽道

醫(yī)療器械的網(wǎng)絡(luò)平安問題不是能夠憑借一個(gè)主體就能保證，正如前文所言。第三方公司的介入能夠協(xié)助醫(yī)院更好地應(yīng)對(duì)網(wǎng)絡(luò)攻擊，目前也有一些守業(yè)公司進(jìn)入這個(gè)賽道。

從事醫(yī)療健康行業(yè)網(wǎng)絡(luò)平安的守業(yè)公司超越120家，國(guó)外。動(dòng)脈網(wǎng)此前進(jìn)行過盤點(diǎn)，動(dòng)脈網(wǎng)發(fā)現(xiàn)其中致力于醫(yī)療設(shè)備的初創(chuàng)公司有9家，分別用AI區(qū)塊鏈等不同的技術(shù)協(xié)助醫(yī)院應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

前美國(guó)首席信息平安官GregTouhil為醫(yī)療組織如何應(yīng)對(duì)網(wǎng)絡(luò)平安提供了一些建議，HIMSS19大會(huì)上。動(dòng)脈網(wǎng)摘編了其中局部為大家提供參考：

但這是非常錯(cuò)誤的采取零信任策略。認(rèn)為我所做的很多事情都被認(rèn)為是信任。

醫(yī)療保健行業(yè)以及醫(yī)療器械廠家應(yīng)該比他更加強(qiáng)調(diào)這些功能；金融和政府等其他行業(yè)正在使用多因素身份驗(yàn)證來協(xié)助個(gè)人更好地維護(hù)其信息。

用于管理計(jì)算機(jī)系統(tǒng)與互聯(lián)網(wǎng)的連接，4TCP/IP一個(gè)薄弱的平安基礎(chǔ)：傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議。20世紀(jì)70年代后期也是最先進(jìn)的Touhil說。但它并不是一個(gè)強(qiáng)大的平安基礎(chǔ)；

但Touhil表示最好的工具來自金融部門。醫(yī)療保健從業(yè)者應(yīng)該找到金融部門的解決方案并將其帶到醫(yī)療保健領(lǐng)域；5利用自動(dòng)化來檢測(cè)和阻止欺詐：有許多工具可用于欺詐檢測(cè)。

建議組織訪問日志，小心飛入云中：Touhil還說道了涉及與云計(jì)算相關(guān)的平安性。與云提供商合作時(shí)。保管滲透測(cè)試權(quán)并保管引入獨(dú)立第三方審核員的權(quán)利； 

很多組織投資于此類技術(shù)。但是請(qǐng)記住，人工智能可能是一個(gè)黑客垂涎的入口：由于人工智能大熱。使用人工智能會(huì)使您的組織成為網(wǎng)絡(luò)犯罪分子的目標(biāo)；

曹曉均也給國(guó)內(nèi)醫(yī)院一些網(wǎng)絡(luò)平安建設(shè)的建議：同樣。明確各平安管理員、機(jī)房管理員、網(wǎng)絡(luò)管理員、應(yīng)用管理員、主機(jī)管理員等平安管理相關(guān)崗位及職責(zé)，建立醫(yī)院信息平安管理組織機(jī)構(gòu)。建立健全信息平安管理責(zé)任制，使得信息平安各項(xiàng)職責(zé)落實(shí)到人；

對(duì)各項(xiàng)平安控制措施實(shí)施后的有效性進(jìn)行丈量，對(duì)醫(yī)院信息平安管理體系進(jìn)行定期地內(nèi)審和管理評(píng)審。并實(shí)施相應(yīng)的糾正和預(yù)防措施，以保證信息平安管理體系繼續(xù)的充分性、適宜性、有效性。對(duì)醫(yī)院信息系統(tǒng)中所存在平安風(fēng)險(xiǎn)進(jìn)行有計(jì)劃的評(píng)估和管理；

對(duì)醫(yī)院信息系統(tǒng)及信息確定平安等級(jí)，醫(yī)院業(yè)務(wù)信息系統(tǒng)分等級(jí)保護(hù)。依照國(guó)家等級(jí)維護(hù)有關(guān)要求。并根據(jù)不同的平安等級(jí)實(shí)施分等級(jí)保護(hù)；

建立信息資產(chǎn)管理臺(tái)帳，規(guī)范醫(yī)院信息資產(chǎn)（包括硬件、軟件、服務(wù)等）管理流程。明確資產(chǎn)所有者、使用者與維護(hù)者，對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)志，實(shí)現(xiàn)對(duì)信息資產(chǎn)購(gòu)買、使用、變卦、報(bào)廢整個(gè)周期的平安管理；

確保機(jī)房物理平安。布置機(jī)房專用空調(diào)、UPS等環(huán)境保證設(shè)施，保證機(jī)房物理與環(huán)境安全。實(shí)施包括門禁、視頻監(jiān)控、報(bào)警等平安防范措施。對(duì)機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢和維護(hù)。嚴(yán)格對(duì)機(jī)房人員和設(shè)備的出入管理，進(jìn)出需登記，外來人員需由相關(guān)管理人員陪同方能訪問機(jī)房；與信息系統(tǒng)外包方簽署的服務(wù)協(xié)議中，6加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)與外包方的管理。對(duì)信息系統(tǒng)平安加以要求。通過審批、訪問控制、監(jiān)控、簽署失密協(xié)議等措施，加強(qiáng)外部方訪問業(yè)務(wù)信息系統(tǒng)的管理，防止外部方危害信息系統(tǒng)平安；并進(jìn)行惡意代碼庫(kù)的統(tǒng)一更新，醫(yī)院網(wǎng)絡(luò)中統(tǒng)一布置網(wǎng)絡(luò)防惡意代碼軟件。防范惡意代碼、木馬等惡意代碼對(duì)業(yè)務(wù)信息系統(tǒng)的影響。通過強(qiáng)化惡意代碼防范的管理措施，如加強(qiáng)介質(zhì)管理，嚴(yán)禁擅自裝置軟件，加強(qiáng)人員平安意識(shí)教育，定期進(jìn)行惡意代碼檢測(cè)等，提高業(yè)務(wù)信息系統(tǒng)對(duì)惡意代碼的防范能力；

并對(duì)備份介質(zhì)進(jìn)行平安地保存，對(duì)重要的信息和信息系統(tǒng)進(jìn)行備份。以及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)試驗(yàn)證，保證各種備份信息的失密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進(jìn)行可靠的恢復(fù)；

加強(qiáng)對(duì)網(wǎng)絡(luò)的平安控制，采用技術(shù)和管理兩方面的控制措施。不時(shí)提高網(wǎng)絡(luò)的平安性和穩(wěn)定性。醫(yī)院辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行邏輯隔離。通過實(shí)施網(wǎng)絡(luò)訪問控制等技術(shù)防范措施，對(duì)接入進(jìn)行嚴(yán)格審批，加強(qiáng)使用平安管理，加強(qiáng)對(duì)網(wǎng)絡(luò)使用的平安培訓(xùn)和教育，確保網(wǎng)絡(luò)信息的平安；

通過功能和技術(shù)配置，依照“僅知”原則。對(duì)重要信息系統(tǒng)、數(shù)據(jù)等實(shí)施訪問控制。進(jìn)一步推廣數(shù)字證書的使用，以及平安的授權(quán)管理制度，并落實(shí)授權(quán)責(zé)任人。對(duì)系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管；

同步考慮信息平安需求和目標(biāo)。應(yīng)保證系統(tǒng)設(shè)計(jì)、開發(fā)過程的平安，11進(jìn)一步重視軟件開發(fā)平安。醫(yī)院各業(yè)務(wù)信息系統(tǒng)立項(xiàng)和審批過程中。重點(diǎn)加強(qiáng)對(duì)軟件代碼平安性的管理。屬于外包軟件開發(fā)的應(yīng)與服務(wù)提供商簽署失密協(xié)議。系統(tǒng)開發(fā)完成后，應(yīng)要求通過第三方平安機(jī)構(gòu)對(duì)軟件平安性的測(cè)評(píng)；

合理使用密碼技術(shù)和密碼設(shè)備，符合國(guó)家密碼管理相關(guān)規(guī)定的條件下。嚴(yán)格密鑰生成、分發(fā)、保管等方面的平安管理，保證密碼技術(shù)使用的平安性；

建立對(duì)各類信息平安事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，重視對(duì)IT服務(wù)連續(xù)性的管理。編寫針對(duì)業(yè)務(wù)外網(wǎng)等重要系統(tǒng)的應(yīng)急預(yù)案，并定期進(jìn)行測(cè)試和演練，信息系統(tǒng)發(fā)生故障或事故時(shí)，能迅速、有序地進(jìn)行應(yīng)急處置，最大限度地降低因信息系統(tǒng)突發(fā)事件或意外災(zāi)害給醫(yī)院業(yè)務(wù)信息系統(tǒng)所帶來的影響；

做為醫(yī)療器械的上游層，醫(yī)療器械廠家更要從源頭做好網(wǎng)絡(luò)安全，建立健全客戶數(shù)據(jù)保密系列制度，嚴(yán)格杜絕客戶相關(guān)資料的外泄，第一時(shí)間樹立起最強(qiáng)大的網(wǎng)絡(luò)安全防火墻。