行业现状

随着技术的发展，医疗信息化程度越来越高，医院从办公设备、查房设备，再到手术设备都和网络相连，这些设备的安全不仅关系着医院的正常运转，甚至影响到患者的生命，因此医院在信息化的同时也必须加强信息安全建设，保障医院的正常运转，确保患者的生命安全和隐私安全。

面临问题

1、信息化安全体系不健全，大量身份特殊的患者挤到了信息安全程度高的医院，造成了一些医院超负荷运行，另一些医院则门可罗雀的局面，医疗资源大大浪费。

2、卫生厅对医院的信息化要求以及一些资质审核要求，医院心有余而力不足：任务重、时间紧，而施行时间长，难度大。最后难以保质完成或半路夭折。

3、运维人员的日常工作重复性高，运维效率低，对软硬件故障排查能力弱。 同时，医院领导 "重应用、轻安全"的传统意识，信息安全部门在医院的地位尴尬。

4、外来设备轻易就可接入内部网络，网络安全系数极低，常造成网络局部瘫痪。内部员工随意使用U盘、移动硬盘等存储设备，造成病毒满天飞，严重影响正常工作。

5、敏感信息随意存储，患者数据频被非法盗取、贩卖，造成了患者对医院的信任危机。

6、没有统一的安全管理体系，医院的中长期安全规划都是外部机构在做，医院本身没理解、没施行，几成摆设。

解决方案

解决方案主要从技术和非技术层面来解决。

1. 非技术层面： 改变传统意识，加深安全教育以及各单位沟通交流。 信息安全制度由科级制度变成医院制度，增加信息安全部门管理人员的话语权， 扩大信息安全投入占比，不省安全的钱，不丢患者的隐私。

2.技术层面： 分为三个阶段：

第一、基础阶段（合规进入）： 内部网络中接入的终端都是合规的，包括网络层准入控制和业务层准入控制，从而确保：接入网络的终端都是可信的、健康的、可控的。

第二、提高阶段（集中运维、授权使用、记录流程）： 提高阶段主要从集中运维、授权使用、记录流程三个层面去实施。

第三、增强阶段（安全存储、加密传输、审核输出）： 这个阶段主要实现安全存储、加密传输和审核输出的问题，以确保数据在存放、传输、使用上都是安全的：存放的位置安全，传输过程是安全的（全程加密），使用是安全的（审批通过才可以输出）。