随着医疗卫生建设的重点逐渐转向信息化和数字化，国内越来越多的医院正加速实施基于信息化平台和医疗信息系统(HIS)的业务体系建设，以提高医院的服务水平与核心竞争力。作为国内领先的信息安全厂商，启明星辰致力于帮助医疗卫生企业建立稳定的信息安全保障体系，提升企业IT系统的生产效能。

　　医疗卫生行业安全现状和安全需求

　　医疗卫生行业的信息安全建设主要受两方面的驱动，一方面是外部的合规性要求，另一方面是内部安全管理的需求。

　　从外部来看，国家政策明确强调我国的信息安全保障工作实施等级保护制度。医疗机构作为涉及国计民生的重要组成部分，其安全保障事关社会稳定，因此必须按照国家政策的相关要求，全面实施信息安全等级保护。从目前来看，各区域的主管部门均要求医疗机构在其信息系统中尽快落实等级保护的相关措施。譬如，上海市卫生局信息中心和上海市信息安全测评认证中心联合制定了《医疗机构信息系统安全等级保护基本要求》，对各级医疗信息系统的定级和实施进行指导。

　　从企业内部管理来看，医院的信息系统也面临着很大的安全风险，迫切需要建立起完整的信息安全防护体系。这些风险主要在于：

　　1. 医院的信息系统不是一个孤立的系统，同合作单位(如社保部门)甚至互联网都存在接口，存在被黑客入侵、网络攻击的风险。

　　2. 作为医院最核心的业务系统，HIS系统的运营缺少有效的安全保护措施和审计机制，存在账号滥用、业务数据被非法读取的风险。譬如，由于HIS系统缺乏权限管理，任何有机会接触HIS终端的人员均可以通过HIS系统进行药物使用情况的查询，即非法获取“统方”。

　　3. 内外网划分不清晰，缺少内外网隔离措施，有可能存在医院的核心业务信息通过互联网泄密的风险。

　　4. 大部分医院未部署终端安全管理和审计系统，导致不合规的终端也能随时接入内部网络，且出现终端安全事故时无法追查。

　　5. 医院的门户网站缺少必要的安全保护措施，存在被SQL注入攻击、网站挂马的风险。

　　针对上述的安全风险，目前大多数医疗卫生机构的安全措施仅仅是部署了防火墙和终端防病毒软件，远未达到等级保护、纵深防御的政策要求，也没有建立起一个完整的安全防护体系。不管是从政策合规还是业务保障层面来看，医疗卫生机构信息安全建设的要求都是非常迫切的。