在容災(zāi)備份上，廣州市婦女兒童醫(yī)療中心做到了高于衛(wèi)健委標(biāo)準(zhǔn)：“我院在對(duì)容災(zāi)備份的建設(shè)中，特別重視高可用性對(duì)醫(yī)院業(yè)務(wù)連續(xù)性的保障，從網(wǎng)絡(luò)層、主機(jī)層、存儲(chǔ)層等多個(gè)層次設(shè)計(jì)雙活冗余架構(gòu)，能實(shí)現(xiàn)整套信息系統(tǒng)平臺(tái)無(wú)單點(diǎn)故障。

同時(shí)，建立同城的異地容災(zāi)中心，異地容災(zāi)中心實(shí)現(xiàn)準(zhǔn)實(shí)時(shí)的數(shù)據(jù)同步，在極端情況下，能實(shí)現(xiàn)RTO≦15 分鐘， RPO≈0，也高于衛(wèi)健委的標(biāo)準(zhǔn)和要求�！辈軙跃�說(shuō)道。

初創(chuàng)公司利用AI、區(qū)塊鏈等技術(shù)進(jìn)入賽道

正如前文所言，醫(yī)療器械的網(wǎng)絡(luò)安全問(wèn)題不是能夠憑借一個(gè)主體就能保證，第三方公司的介入能夠幫助醫(yī)院更好地應(yīng)對(duì)網(wǎng)絡(luò)攻擊，目前也有一些創(chuàng)業(yè)公司進(jìn)入這個(gè)賽道。

在國(guó)外，從事醫(yī)療健康行業(yè)網(wǎng)絡(luò)安全的創(chuàng)業(yè)公司超過(guò)120家，動(dòng)脈網(wǎng)此前進(jìn)行過(guò)盤(pán)點(diǎn)，動(dòng)脈網(wǎng)發(fā)現(xiàn)其中致力于醫(yī)療設(shè)備的初創(chuàng)公司有9家，他們分別用AI、區(qū)塊鏈等不同的技術(shù)幫助醫(yī)院應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

在HIMSS19大會(huì)上，前美國(guó)首席信息安全官Greg Touhill，為醫(yī)療組織如何應(yīng)對(duì)網(wǎng)絡(luò)安全提供了一些建議，動(dòng)脈網(wǎng)摘編了其中部分為大家提供參考：

1、采取零信任策略�！拔艺J(rèn)為我們所做的很多事情都被認(rèn)為是信任，但這是非常錯(cuò)誤的。”

2、戶(hù)名和密碼在1979年被認(rèn)為是最先進(jìn)的，但是現(xiàn)在應(yīng)該重新考慮訪問(wèn)控制；

3、金融和政府等其他行業(yè)正在使用多因素身份驗(yàn)證來(lái)幫助個(gè)人更好地保護(hù)其信息，醫(yī)療保健行業(yè)應(yīng)該比他們更加強(qiáng)調(diào)這些功能；

4、TCP ／ IP是一個(gè)薄弱的安全基礎(chǔ)：傳輸控制協(xié)議／互聯(lián)網(wǎng)協(xié)議，用于管理計(jì)算機(jī)系統(tǒng)與互聯(lián)網(wǎng)的連接，在20世紀(jì)70年代后期也是最先進(jìn)的，Touhill說(shuō)。但它并不是一個(gè)強(qiáng)大的安全基礎(chǔ)；

5、利用自動(dòng)化來(lái)檢測(cè)和阻止欺詐：有許多工具可用于欺詐檢測(cè)，但Touhill表示最好的工具來(lái)自金融部門(mén)。醫(yī)療保健從業(yè)者應(yīng)該找到金融部門(mén)的解決方案并將其帶到醫(yī)療保健領(lǐng)域；

6、小心飛入云中：Touhill還說(shuō)道了涉及與云計(jì)算相關(guān)的安全性。在與云提供商合作時(shí)，他建議組織訪問(wèn)日志，保留滲透測(cè)試權(quán)并保留引入獨(dú)立第三方審核員的權(quán)利；

7、人工智能可能是一個(gè)黑客垂涎的入口：由于人工智能大熱，很多組織投資于此類(lèi)技術(shù)。但是請(qǐng)記住，使用人工智能會(huì)使您的組織成為網(wǎng)絡(luò)犯罪分子的目標(biāo)；

同樣，曹曉均也給國(guó)內(nèi)醫(yī)院一些網(wǎng)絡(luò)安全建設(shè)的建議：

1、建立醫(yī)院信息安全管理組織機(jī)構(gòu)，明確各安全管理員、機(jī)房管理員、網(wǎng)絡(luò)管理員、應(yīng)用管理員、主機(jī)管理員等安全管理相關(guān)崗位及職責(zé)，建立健全信息安全管理責(zé)任制，使得信息安全各項(xiàng)職責(zé)落實(shí)到人；

2、對(duì)醫(yī)院信息安全管理體系進(jìn)行定期地內(nèi)審和管理評(píng)審，對(duì)各項(xiàng)安全控制措施實(shí)施后的有效性進(jìn)行測(cè)量，并實(shí)施相應(yīng)的糾正和預(yù)防措施，以保證信息安全管理體系持續(xù)的充分性、適宜性、有效性。對(duì)醫(yī)院信息系統(tǒng)中所存在的安全風(fēng)險(xiǎn)進(jìn)行有計(jì)劃的評(píng)估和管理；

3、醫(yī)院業(yè)務(wù)信息系統(tǒng)分等級(jí)保護(hù)。按照國(guó)家等級(jí)保護(hù)有關(guān)要求，對(duì)醫(yī)院信息系統(tǒng)及信息確定安全等級(jí)，并根據(jù)不同的安全等級(jí)實(shí)施分等級(jí)保護(hù)；

4、規(guī)范醫(yī)院信息資產(chǎn)（包括硬件、軟件、服務(wù)等）管理流程，建立信息資產(chǎn)管理臺(tái)帳，明確資產(chǎn)所有者、使用者與維護(hù)者，對(duì)所有信息資產(chǎn)進(jìn)行標(biāo)記，實(shí)現(xiàn)對(duì)信息資產(chǎn)購(gòu)買(mǎi)、使用、變更、報(bào)廢整個(gè)周期的安全管理；

5、保障機(jī)房物理與環(huán)境安全。實(shí)施包括門(mén)禁、視頻監(jiān)控、報(bào)警等安全防范措施，確保機(jī)房物理安全。部署機(jī)房專(zhuān)用空調(diào)、UPS等環(huán)境保障設(shè)施，對(duì)機(jī)房設(shè)施運(yùn)轉(zhuǎn)情況進(jìn)行定期巡檢和維護(hù)。嚴(yán)格對(duì)機(jī)房人員和設(shè)備的出入管理， 進(jìn)出需登記，外來(lái)人員需由相關(guān)管理人員陪同方能訪問(wèn)機(jī)房；

6、加強(qiáng)對(duì)信息系統(tǒng)外包業(yè)務(wù)與外包方的管理，在與信息系統(tǒng)外包方簽署的服務(wù)協(xié)議中，對(duì)信息系統(tǒng)安全加以要求。通過(guò)審批、訪問(wèn)控制、監(jiān)控、簽署保密協(xié)議等措施，加強(qiáng)外部方訪問(wèn)業(yè)務(wù)信息系統(tǒng)的管理，防止外部方危害信息系統(tǒng)安全；

7、在醫(yī)院網(wǎng)絡(luò)中統(tǒng)一部署網(wǎng)絡(luò)防惡意代碼軟件，并進(jìn)行惡意代碼庫(kù)的統(tǒng)一更新，防范惡意代碼、木馬等惡意代碼對(duì)業(yè)務(wù)信息系統(tǒng)的影響。通過(guò)強(qiáng)化惡意代碼防范的管理措施，如加強(qiáng)介質(zhì)管理，嚴(yán)禁擅自安裝軟件，加強(qiáng)人員安全意識(shí)教育，定期進(jìn)行惡意代碼檢測(cè)等，提高業(yè)務(wù)信息系統(tǒng)對(duì)惡意代碼的防范能力；

8、對(duì)重要的信息和信息系統(tǒng)進(jìn)行備份，并對(duì)備份介質(zhì)進(jìn)行安全地保存，以及對(duì)備份數(shù)據(jù)定期進(jìn)行備份測(cè)試驗(yàn)證，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進(jìn)行可靠的恢復(fù)；

9、采用技術(shù)和管理兩方面的控制措施，加強(qiáng)對(duì)網(wǎng)絡(luò)的安全控制，不斷提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。醫(yī)院辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行邏輯隔離。通過(guò)實(shí)施網(wǎng)絡(luò)訪問(wèn)控制等技術(shù)防范措施，對(duì)接入進(jìn)行嚴(yán)格審批，加強(qiáng)使用安全管理，加強(qiáng)對(duì)網(wǎng)絡(luò)使用的安全培訓(xùn)和教育，確保網(wǎng)絡(luò)信息的安全；

10、按照“僅知”原則，通過(guò)功能和技術(shù)配置，對(duì)重要信息系統(tǒng)、數(shù)據(jù)等實(shí)施訪問(wèn)控制。進(jìn)一步推廣數(shù)字證書(shū)的使用，以及安全的授權(quán)管理制度，并落實(shí)授權(quán)責(zé)任人。對(duì)系統(tǒng)特殊權(quán)限和系統(tǒng)實(shí)用工具的使用進(jìn)行嚴(yán)格的審批和監(jiān)管；

11、進(jìn)一步重視軟件開(kāi)發(fā)安全。在醫(yī)院各業(yè)務(wù)信息系統(tǒng)立項(xiàng)和審批過(guò)程中，同步考慮信息安全需求和目標(biāo)。應(yīng)保證系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)過(guò)程的安全，重點(diǎn)加強(qiáng)對(duì)軟件代碼安全性的管理。屬于外包軟件開(kāi)發(fā)的，應(yīng)與服務(wù)提供商簽署保密協(xié)議。系統(tǒng)開(kāi)發(fā)完成后，應(yīng)要求通過(guò)第三方安全機(jī)構(gòu)對(duì)軟件安全性的測(cè)評(píng)；

12、在符合國(guó)家密碼管理相關(guān)規(guī)定的條件下，合理使用密碼技術(shù)和密碼設(shè)備，嚴(yán)格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術(shù)使用的安全性；

13、重視對(duì)IT服務(wù)連續(xù)性的管理，建立對(duì)各類(lèi)信息安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機(jī)制，編寫(xiě)針對(duì)業(yè)務(wù)外網(wǎng)等重要系統(tǒng)的應(yīng)急預(yù)案，并定期進(jìn)行測(cè)試和演練，在信息系統(tǒng)發(fā)生故障或事故時(shí)，能迅速、有序地進(jìn)行應(yīng)急處置，最大限度地降低因信息系統(tǒng)突發(fā)事件或意外災(zāi)害給醫(yī)院業(yè)務(wù)信息系統(tǒng)所帶來(lái)的影響；

14、對(duì)所適用的國(guó)家信息安全相關(guān)法律法規(guī)進(jìn)行定期的識(shí)別、記錄和更新，并對(duì)醫(yī)院信息安全管理現(xiàn)狀與法律法規(guī)的符合性進(jìn)行檢查，確保各項(xiàng)信息安全工作符合國(guó)家信息安全相關(guān)法律法規(guī)要求。