卫生健康行业，如何提高网络安全水平？

12月5日，第四届卫生健康行业网络安全技能大赛在长沙圆满落幕。大赛基于“数字风洞”产品体系，打造医疗设备、数据安全、供应链安全、内网安全等八大数字医疗业务场景测试评估环境，以漏洞修复“数字健康”为闭环目标的“ZHWU证无”新赛制，助力全国卫生健康行业从业人员检验实战水平、提升风险防范化解能力，推动数字化转型背景下医疗行业网络安全保障体系建设。

在医疗行业数字化转型的关键时期，数字技术已成为推动传统医疗实现新突破的重要生产力，但新技术的广泛应用也为数字医疗安全建设带来更多挑战。作为关系国计民生的关键信息基础设施行业，医疗领域的信息系统庞大且包含大量高价值敏感数据，成为勒索病毒等网络攻击的重灾区。

为加强医疗卫生机构网络安全管理，进一步促进“互联网+医疗健康”发展，充分发挥健康医疗大数据作为国家重要基础性战略资源的作用，加强医疗卫生机构网络安全管理，防范网络安全事件发生，2022年8月，有关部门印发《医疗卫生机构网络安全管理办法》(以下简称《办法》)。

《办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求，体现了统筹安全与发展的总体平衡，与此前出台的一系列政策法规一脉相承，为医疗卫生机构指明了网络安全管理的总方向。

同年11月印发的《“十四五”全民健康信息化规划》(以下简称《规划》)提出，要坚持发展与安全并重，完善网络安全和数据安全制度，围绕网络与数据安全全链条、全要素、全周期加强教育培训和宣贯，加大网络安全投入，切实防范化解风险，提高安全防护能力，不断完善网络安全和数据安全综合防范体系。

如何提高卫生健康行业网络安全水平?有业内人士认为，相关能力的培养需要到实际战场中去磨练，去提高。作为国家级医疗行业网络安全赛事演练，本届大赛受到社会各界的热切关注与支持，共吸引了来自全国31个省份的121支战队、463人报名参赛。其中，爱尔眼科医院集团凭借医疗云平台、青少年近视防控系统荣获大赛三等奖。

随着电子病历、互联网医疗、AI医疗影像等应用的普及，医疗数字化浪潮袭来。近年来，医疗系统遭遇网络攻击的事件时有发生，数据泄露也屡见不鲜。自2018年以来，全球已发生500余次公开确认的针对医疗保健组织的勒索软件攻击，造成超920亿美元经济损失。

“为保障医疗数据的安全，我们与中科院共同开展了零信任技术防护的研究。零信任技术防护是一种基于身份和行为的访问控制技术，它不信任任何内部或外部的用户或设备，需要对每个访问请求进行身份验证和授权。这种技术可以有效地防止内部和外部的攻击，保护医疗数据的安全。”爱尔眼科医院集团相关负责人说。

未来我国的医疗将更加互联网化，对于卫生机构而言，网络安全已经成为其切入互联网化途径中必不可缺的一环。本次大赛在“ZHWU证无”赛制下，比赛第一轮次就有1083个风险被消除，随着18个轮次的不断刷新，共发现风险数11737个，总计被测试21847次，最终6622个风险成功被消除，占风险总数56%。所有参赛选手对各种风险进行不断检测和修复，以风险消除为目的进行技能水平比拼，以赛事演练为契机提升医疗行业关键信息基础设施的安全防护水平，为数字医疗实际业务实践积累扎实的技术功底和丰富的实战经验。