我國非常重視網絡空間的安全，推出了系列法律法規和政策?！笆奈濉逼陂g，國家層面網絡空間安全推出了以下法律法規和政策：2021年1月，發布《中華人民共和國個人信息保護法》；2021年9月，發布《中華人民共和國數據安全法》；2021年9月，發布《關鍵信息基礎設施保護條例》；2022年2月，發布 《網絡安全審查辦法》?！跋嚓P統計數據顯示，醫療行業總體處于‘較大風險’級別，發生安全事件頻率較高?！? 中南大學湘雅二醫院信息網絡中心主任朱洪濤強調，通過對15339家醫療行業相關單位的觀測，存在僵尸、木馬或蠕蟲等惡意程序的單位共計1029家，應用服務端口暴露在公共互聯網中的單位有6446家，網站存在被篡改安全隱患的單位有4546家，其中261家單位已發生網站被篡改情況。

　　“醫療行業發生網絡安全事件的原因以漏洞利用和惡意程序為主，漏洞利用占比 66.0%，惡意程序占比 29.7%，其他類型占比 4.3%。”朱洪濤介紹，從醫療行業被攻陷系統的損失來看，數據丟失占比最高，達 29.8%；其次是系統(網絡) 不可用，占比 16.7%；生產效率低下排第三，占比 11.9%。

面臨的主要安全問題及應對策略

　　朱洪濤強調，醫院在網絡安全方面，目前主要面臨以下挑戰：網絡結構不合理，網絡邊界不明確；網絡訪問控制策略未細化；缺少基礎安全防護設備或者配置使用不到位；內外網未進行嚴格的隔離措施；無線網絡未實現實名制、訪問審計。對此，朱洪濤提出了以下應對建議：明確清晰的網絡結構，劃分明確Vlan，梳理網絡邊界，各Vlan和邊界細化網絡訪問控制網絡訪問控制策略未細化以合規性為基礎，部署網絡安全防護及審計設備，以自身業務安全需求加強防護措施內、外網需要嚴格的隔離措施無線接入實現實名制，及網絡訪問審計。

　　在主機安全方面，醫院主要面臨以下挑戰：系統(操作系統、數據庫)弱口令；未及時更新系統補?。晃窗惭b統一的防病毒系統或未定期升級，未對桌面安全進行管控，未關閉USB口和實施準入；未對操作行為進行運維審計。為保障主機安全，朱洪濤提出了以下建議：必須設置復雜口令，打好補丁，加強病毒防護，做好桌面管理和運維審計。

　　在數據安全方面，醫院主要面臨以下挑戰：數據備份不及時，未進行異地備份；生產系統與備份系統未隔離和異構。對此，朱洪濤提出如下應對建議：按照一份多個副本，本地生產副本和備份副本(數據庫設置在線備份)，異地有一份副本；生產系統和備份系統不在同一個存儲上，備份操作系統異構，并且IP和端口設定了嚴格的訪問協議。

　　在安全管理方面，醫院主要面臨以下挑戰：未對醫院員工網絡安全教育培訓；欠缺專業的安全管理、運維人員；新系統未進行上線安全測試，未定期開展安全評估；網絡運行日志未留存六個月；安全管理中心沒有集中管控的工具。對此，朱洪濤提出如下應對建議：加強安全管理和意識；合規化的安全防護及審計設備；定級、備案、等級保護測評；全面化的風險評估；安全方面人才隊伍；專業安全服務外包，可考慮采用MSS安全運營服務和其他專項服務結合的方式；采用專業的網管軟件以及具有APT探測功能的SOC平臺進行集中化、可視化的管理。

應用層面安全問題及應對

　　朱洪濤進一步指出，醫院應用層面主要面臨以下安全問題：業務系統弱口令；應用接口缺乏身份認證；SQL注入漏洞；文件上傳漏洞；跨站腳本漏洞；越權訪問(信息泄露)；Docker Remote API未授權訪問漏洞；shiro反序列化漏洞；log4j遠程代碼執行漏洞等。

　　針對業務系統弱口令這一挑戰，朱洪濤認為：“必須設置復雜口令，建議8位以上，數字、大、小寫字母、特殊符號等至少三種組合；初始口令符合密碼復雜度要求；用戶第一次登錄必須修復初始口令。應用程序應滿足密碼復雜度要求，同時做好登錄失敗策略?！?/p>

　　對于接口未進行身份認證這一挑戰，朱洪濤建議：“對接口必須進行身份認證處理。接口上線前進行安全性評估，涉及內網的接口，外網需要訪問，建議使用網閘或訪問控制設備進行隔離或控制?！?/p>

　　針對SQL注入漏洞，朱洪濤提出了如下應對措施：服務器端對客戶端提交數據進行嚴格校驗，對于數字型參數進行是否為數字檢驗；對于字符型參數可以根據參數類別進行判斷校驗，限制參數長度，過濾SQL語句及特殊字符等；前端不使用完整的拼接式語句，只傳遞對應參數；程序實現以預編譯方式執行語句將有效避免SQL注入攻擊；使用WEB應用防護系統進行防護(保持最新的特征庫)。

　　為保障醫院軟件供應鏈安全，朱洪濤認為可使用軟件成分分析Software Compostition Analysis(SCA)安全檢測工具，對供應商、外包開發商提供軟件系統進行安全漏洞檢測，確定知識產權許可正規合法、暴露軟件中開源組件的安全風險，從而進行安全漏洞修復保證軟件質量。

　　“只要醫院的服務器和終端還連在網絡上，我們的信息系統和數據就處在風險之中。網絡安全與醫院業務應用系統共生存。安全和便捷將作為矛盾存在。網絡安全問題往往是一系列的疏忽造成的。網絡安全絕對不是簡單的設備堆砌，使用和管理更重要。只要網絡還存在，醫院安全就是一個永恒的主題。”朱洪濤表示。