醫療衛生行業網絡安全論壇：推動信息技術與醫療衛生融合發展 - 網安

8月18日，醫療衛生行業網絡安全論壇在2022北京網絡安全大會大灣區峰會上順利舉辦。本次論壇由深圳市衛生健康信息協會和奇安信集團主辦，旨在通過匯各界之智，聚各業之力，搭建多邊對話平臺，探討疫情下醫療衛生行業的安全防護模式，分享冬奧網絡安全“零事故”能力在醫療衛生行業升級實踐，守護醫療衛生網絡安全，推動新一代信息技術與醫療衛生行業融合發展。

國家衛生健康委規劃發展與信息化司司長毛群安在致辭中表示，在我國全民健康信息化發展迅速、國家有關網絡、數據、個人信息保護的法律體系不斷完善的背景下，推進醫療衛生行業網絡安全問題，具有重要意義。

希望本次論壇在《醫療衛生機構網絡安全管理辦法》的指導下，為相關監管政策制定出謀劃策，提供實踐樣本，共同提升衛生健康行業網絡安全和數據安全管理水平和防護能力，為建設健康中國、推動衛生健康事業高質量發展提供堅強的技術支撐。

深圳市衛生健康委二級巡視員林漢城在致辭中分享了深圳市衛生健康委員會數字健康網絡安全建設的三點體會，一是要加強網絡安全保障頂層規劃設計，以體系化思路構建動態綜合防御能力。二是要完善網絡基礎設施縱深防御能力，推進安全能力集約化建設。三是要加大統一安全威脅監測和檢測能力，強化網絡安全運行服務能力，實現醫療衛生行業技術、人才、產業融合創新發展。

奇安信集團副總裁何新飛指出，當前我國掀起數字化建設熱潮，智慧醫療、數字醫療的發展前景一片大好，而網絡安全是數字化建設的底板工程，數字醫療的優勢想要得到充分發揮，網絡安全能力必須與時俱進。目前，奇安信已經基于冬奧網絡安全“零事故”能力和多個國內重點醫療單位合作打造醫療衛生行業網絡安全“中國模式”。

未來，奇安信將繼續以“零事故”為目標，深入推進醫療衛生行業安全運營中心建設，并努力做到“三個堅持”：堅持培育統一的安全運營能力、堅持打造無懈可擊的終端一體化安全運營方案、堅持用實戰演練提升安全運營效果，為我國的醫療衛生行業網絡安全建設，提供更加優質的技術、服務、方案。

深圳市衛生健康發展研究和數據管理中心副主任、深圳市衛生健康信息協會會長林德南在演講中詳細介紹了近年來深圳市衛生健康行業網絡安全工作做法和工作成效。

他指出，通過開展理論和技術的培訓、實施應急演練、完善安全措施等手段，深圳市衛生健康行業的網絡安全的意識、網絡安全管理制度、網絡安全設施、突發事件的應急響應能力、網絡安全隊伍人員的技術水平都得到了一定程度的完善和提高。

而四川大學華西第二醫院信息管理部主任吳邦華則在演講中表示，依靠裝幾個安全設備和安全軟件想要永保安全的時代已經過去，在境內醫院網絡安全形勢不容樂觀的今天，我們應該以“零事故”為目標，構建以人員和組織建設為本的醫院網絡安全能力，并著力培養有攻防視角，懂安全，懂業務，懂運營的能力型人才。

“目前，國家及行業法規政策已經將安全提升到新高度，疫情常態化和新型技術發展也對衛生安全提出更高要求。”南方醫科大學南方醫院信息中心主任嚴靜東在演講中結合個人經驗，分享了目前醫療衛生安全防護模式的建設思路、醫療衛生安全防護模式落地實踐的具體步驟和細節。她表示，在這樣的新形勢下，確立網絡安全管理體系、安全技術體系、安全運營體系、安全監管體系的統一網絡安全管控藍圖至關重要。

“后疫情時代，移動辦公、移動診療、互聯網醫院已成為吉林大學口腔醫院標準業務內容，與此同時數據泄露、網絡釣魚、勒索病毒、網絡詐騙等網絡風險問題日益凸顯，互聯網業務系統的安全問題進一步暴露，互聯網診療系統安全防護能力需進一步提升”。吉林大學口腔醫院信息中心主任李蘇吉在演講中分享了目前吉林大學口腔醫院的網絡安全現狀，并展示了受到奇安信“零事故”運營模式啟發建立的吉林大學口腔醫院安全運營新模式和其建設效果。

深圳大學總醫院信息中心主任張嘯表示，十四五規劃以來，醫療行業數字化發展大幅加快，但是在大量業務系統數字化過程中，出現了重業務、輕安全的情況，引入了新的風險。醫院數據正面臨著不可知、不可控、不可聯、不可信4大問題。而通過統籌規劃、基于實戰威脅抓出安全痛點、確定安全需求梳理關鍵能力、評估建設方案，做到有序推進，重點先行的方案可有效改善此類問題。

隨后，奇安信集團技術總監李寧在演講中分享了冬奧模式引領醫療衛生行業網絡安全建設方案。他表示，北京冬奧會涉及業務環境異常復雜、業務系統類型跨度大、工作不能中斷、建設與運行快速交替，短時間就要經歷全生命周期。

而這樣經歷重重困難，成功守護冬奧網絡安全，實現“零事故”承諾的冬奧模式正好可以為醫療衛生行業網絡安全建設提供經驗和幫助。奇安信為醫療衛生行業打造的“中國方案“，可從動、密、全、精四方面幫助醫療衛生行業進行全方位網絡安全建設，讓醫療機構遠離數據泄露和網絡攻擊。

論壇上，奇安信集團衛生行業部總經理王國強還發布了由奇安信行業安全研究中心聯合補天漏洞響應平臺等團隊聯合完成的《2022年醫療衛生行業數字安全建設報告》。

他表示，醫衛行業網絡安全建設水平近年來得到了快速提升，數據安全也已成為醫衛行業網絡安全建設不容忽視的重要一環。但惡意程序和漏洞利用仍然是醫衛行業面臨的最主要的網絡安全風險，弱口令問題也仍是困擾醫衛行業網絡安全建設的痛點和難點。

在奇安信集團安服團隊參與處置的醫療衛生行業網絡安全應急響應事件中，相關機構自行發現的網絡安全事件占96.4%，其中16.7%通過內部安全運營巡檢的方式自主查出，79.7%是因為其網絡系統已經出現了顯著的入侵跡象，或者已遭到了攻擊者的敲詐勒索，因此醫衛行業應高度重視信息化設備的日常規范使用和管理。

論壇的圓桌環節中，北京大學深圳醫院院長、北京大學深圳醫院智慧醫院研究院院長陳蕓表示，高質量醫院發展過程中，信息化建設是必要且重要的。首先，管理層就需要做好對信息安全的認知。有了認知才有重視，有了重視才會有解決方案，有了方案就有投入，才會有全民參與和上下互動，進而落實醫衛行業網絡安全、信息安全的“零事故”。

深圳市衛生健康發展研究和數據管理中心技術總監、深圳市衛生健康信息協會副會長鄭靜表示，奇安信“零事故”的成績是業界非常難以達成的成就，令人贊嘆。同時，目前很多醫療衛生機構的網絡安全模式還處是自衛式防護，希望未來業界可以擺脫這一模式，讓安全防護可以從國家、城市、行業和企業出發，集合集體的力量，守護網絡安全。

南方醫科大學附屬第三醫院信息中心主任張家慶認為，當前醫院網絡安全面臨技術、人才、管理制度三個方面的挑戰。其中，信息管理制度更多停留在紙面，缺乏明確的信息安全目標，加上自身的安全意識不夠，往往不能有效發現安全隱患。

南方科技大學醫院信息中心主任馬冬表示，隨著《數據安全法》和《個人信息保護法》的落實，醫院安全建設的重點也有所傾斜。針對“零事故”目標，醫院正嘗試通過“定期培訓，隨機檢查，季度考核，掛鉤績效”16字，讓全院每位員工認識到網絡安全、數據安全的重要性，只有我們信息工作者做好本職份內安全工作，醫院每個人都具有過硬的安全意識，我們才能無限趨近于“零事故”的理想。

上海交通大學醫學院附屬同仁醫院信息中心主任查佳凌表示，網絡安全投入大，怎樣在資金有限的情況下，以最小成本達到相對“零事故”是管理者需要思考的問題。而奇安信集團副總裁何新飛則表示，有問題解決問題的方法論已經過時，漏洞是客觀存在的，無法消失，所以“有事件，無事故”才是我們應該真正追求的結果。

作為首屆BCS2022大灣區網絡安全峰會，本次大會以“共筑安全底板，守護數字生態”為主題，邀請了大灣區及全國各地的20余個政府部門、10余所知名高校、近20家研究機構、150余家行業龍頭企業、20余家安全企業的200余位政府部門領導、企業家、知名學者和頂級安全專家共同參與研討及發表演講，對聚焦產業生態、數據安全、行業應用及人才培養四大方向的多個議題貢獻了重要觀點，有力地推動了大灣區網絡安全體系的建設。