2018年刚开年，一个勒索病毒将医院信息科推到风口浪尖上，相信医院信息科的同仁今天还心有余悸。其实这一次的勒索病毒与2017年的永恒之蓝原理基本类似，为啥却有更多的医院中招了呢？面对未来的各种安全威胁，医院应该如何应对呢？是不是真如很多人说的，这病毒基本上没法防范？相信在未来，网络威胁会越来越多，我们是不是就只有束手无策，甚至求签保佑呢？

在2018年3月9日举办的“第三届西部医院信息化大会”上，重庆大坪医院信息中心副主任黄昊分析了医院网络安全问题新挑战，他说：“医院应该从知识体系、技术体系、管理体系三方面构建网络安全体系，全面提升网络安全的预防措施。”

重庆大坪医院信息中心副主任黄昊

坚实的基础--知识体系

随着信息技术的发展，现在的网络安全已不是原来购买一个杀毒软件，安装一台防火墙这种模式了。不仅如此，网络攻击手段多样化、复杂化以及机房设备老化的问题，使得医院信息部门的技术人员在危机出现时面临更大的考验。另外，安全知识储备不足，也使得技术人员缺乏处理安全事故的实战经验，因此医院信息部门技术人员知识储备的不足也成为影响医院信息安全的不利因素。

“其实，《ISO27001》、《信息安全等级保护管理办法》、《网络安全法》等网络标准和法律法规才是我们保障网络安全的平安符。”医院信息科的人员要掌握相关的安全知识、操作技能、国家法律法规及国际标准这些知识体系，更要经常参加一些安全培训，进行知识储备。黄昊在演讲中介绍，通过知识储备、实战学习之后能够对医院的信息系统进行安全管控分析，从而能够有效的应对各样的安全问题。

强劲的筋骨--技术体系

网络的开放、数据的利用、医疗设备的加入让安全隐患越来越大。黄昊介绍到，在技术水平上，一方面要提高医院信息科人员的专业技术水平，另一方面是要提高对硬件、软件和网络的技术支持能力。

医院信息系统主要包括：HIS、PACS、LIS、电子病历等系统，这些系统所包含的数据基本囊括了医院所有的数据。这样就要求医院要加强信息安全技术的完善，例如：物理安全、系统安全、应用安全、认证授权等技术。通过完善这些方面的技术支持能力，才能建立完善的信息安全系统，保证信息的安全性、完整性、时效性，确保数据能长期保存，且不被非法访问。

缜密的大脑--管理体系

“三分技术、七分管理”，再好的技术方案均需通过管理落地。没有一个稳固的信息安全管理制度，就无法规范信息管理过程中的各种操作、行为，必然会存在更多的安全隐患，因此建设管理体系是信息主管部门的重要工作。

“我们要将安全融入到日常工作中，融入到运维工作中的每一个环节。”黄昊谈到，医院应该每年做一次风险评估，同时，医院在安全管理上，要加大投入，加强对医护人员安全意识的管理和培训。对于众多的合作伙伴，医院也要做系统地统一管理。信息科要根据医院安全技术发展及各类安全威胁与隐患增加，逐步研究、制定、部署医院安全防御措施，从而建立医院持续改进能力。

信息时代技术更替交叠，变化非常快，一个勒索病毒会带给医院想象不到的变化黑客们的行为难以琢磨，谁都不知道下一个遭殃的是谁。黄昊最后谈到，医院信息化安全建设之路没有尽头，从技术上也无法做到绝对安全；技术在发展和更新的同时，安全隐患也在动态的变化。医院信息化建设的路上，先把信息网络安全做到位，再将信息化方案付诸实施，也为时不晚!

[本文根据“第三届西部医院信息化大会”现场速记整理。]