超3成醫院未通過等保測評 亞信安全終端一體化賦能醫療行業安全

近年來，醫院信息系統建設快速發展，信息系統已成為醫院運行與管理的基礎支撐和臨床業務應用必不可少的技術手段。同時，隨著互聯網醫療的快速發展、互聯互通建設的不斷深入、臨床科研等需求的增加，信息系統互聯網暴露面日益增大，數據共享的范圍和數據量持續擴大。特別是疫情爆發后，據2020年4月世衛組織統計，醫院遭受的網絡攻擊數量同比增長5倍。內外網數據交互日益頻繁，網絡安全、數據安全、個人信息安全風險持續增加，新型網絡攻擊、程序漏洞、數據庫脫庫、科研數據流失、個人隱私泄漏風險始終存在。這些因素給醫院網絡及信息安全建設帶來了更大的挑戰。

根據《2019-2020年度中國醫院信息化狀況調查報告》顯示，在被調查的390家醫院中，網絡安全年投入在50-100萬元的醫院占比17.18%；年投入在100-200萬元的醫院占比17.69%；年投入200萬元以上的醫院占比15.9%。

數據來源：《2019-2020年度中國醫院信息化狀況調查報告》

據CHIMA《2019-2020年度中國醫院信息化狀況調查報告》顯示，醫院在信息安全方面的投入已占總投入的9.43%，投入顯著增加，有66.18%的醫院通過了網絡安全等級保護測評。由此可看出，醫院對網絡安全的投入相比往年有很大程度提升。但仍有部分醫療機構對網絡安全建設重視程度不足的情況。

從公安機關披露的涉及醫療衛生行業的網絡安全行政執法案例信息來看，大多違法違規案例是由網安建設重視不足導致的建設運維管理疏失和黑客攻擊引發的。建設運維管理疏失主要表現為機構未按照等級保護標準建設、未制定網絡安全管理制度和操作流程，出現問題難以及時處置和恢復。黑客攻擊主要表現為醫院信息系統中存在漏洞無法及時發現處理，導致被黑客攻擊，造成醫院系統癱瘓甚至業務受到影響。

此外，醫療機構安全管理中心人員和職能缺位，導致信息安全管理、監控、審計與綜合分析能力不足。不少醫院僅為通過安全等級保護測評達標配備硬件設備，不注重能力建設，安裝了安全預警系統，但沒有開展安全審計分析；購買了容災系統，卻沒有開展容災演練；采購了數據備份設施，卻未按規定進行定期備份和恢復驗證。

端點閉環管理

面對醫療機構上述問題，亞信安全推出了大終端一體化安全解決方案，將安全防護、終端管理、運維管理、文檔管理“化零為整”。同時，亞信安全建議用戶從現有的防毒系統平臺(OfficeScan)上開始集成，將安全與運維服務進行融合，以提供更低的總體擁有成本(TCO)和更好的運營效率。

亞信安全認為：在遠程訪問、零信任技術應用，以及安全運維的統一管理的需求下，實現運維+管控的UES平臺是大勢所趨，將加速落地與應用。

在桌面管理、數據備份、文件加密等方面，亞信安全提供了與之對應的TSM、TDB、TDE系統，將內部網絡安全、信息安全與終端計算機管理，以及容災恢復云服務和涉密文檔全生命周期管理全面打通，真正實現了更全、更簡的統一管理。

另外，在終端系統平臺支撐方面，大終端一體化方案不僅可以支持Windows、Linux、MacOS、Android，更對通過亞信安全信端端點安全管理系統ESM廣泛地適配x86、ARM和MIPS架構，實現了與主流國產操作系統平臺（麒麟、統信等）的全面兼容，并且已經與麒麟、統信、長城等硬件廠商取得了互認，為用戶的端點安全升級換代提供了平滑過渡與可靠支撐。

信息安全建設任重道遠

醫院網絡安全建設已從單機版走向網絡版，從局域網走向廣域網，從初淺的認知走向更加變幻莫測的未知。在解決網絡安全問題的過程中，不可能一勞永逸。安全產品、安全技術不能光靠名詞的改變來實現轉型升級，而是需要不斷隨著攻擊手段的發展而升級。因此，持續改進、PDCA(Plan、Do、Check、Act)循環、螺旋式上升，是網絡安全建設的原則。構建動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的網絡安全綜合防控體系。信息安全團隊必須建立對風險的“敬畏之心”，不應該總是擔任“救火隊員”，而應該將風險前移，將工作重心放在事前預防、事中控制，重點放在對尚未暴露的風險隱患的排查、發現和及時化解，做到防患于未然。