医疗设备网络安全隐患多，医院信息部门应如何

在当前无法完全控制外部设备的行业形势下，“加强医院自身安全壁垒”是最好的办法。

2022年3月，国家药监局器审中心发布《医疗器械网络安全注册审查指导原则（2022年修订版）》，顿时受到了医院信息部门的热切关注。业内人士纷纷感叹多年来一直困扰医院信息中心的医疗设备网络安全管理问题，终于有了明确的政策依据！为何医疗设备的网络安全问题让医院信息人备感困惑？《指导原则》修订版出台后，将对这一局面产生何种影响？医院信息部门又该如何找准“发力点”，逐一突破固有难题，为医疗设备进行有效的网络安全加固？

医疗设备网络安全管理的“三不一难”

“之前针对医疗设备的网络安全监管是非常缺失的。”首都医科大学宣武医院信息中心主任梁志刚认为，医疗设备的网络安全问题之所以难管，是因为其中存在两组“不对等的关系”。

从院内来看，医疗设备与信息化分属两条不同的行政管理条线。医疗设备归属设备、医工部门管理，管理侧重点在于医疗设备的应用与质量控制，在网络安全方面存在“监管真空”，但医院信息部门往往对此缺乏话语权。

从院外来看，医院面对大型进口医疗设备供应商时处于弱势地位。供应商不配合、不接受院方的网络安全监管，往往会以“质保作废”等方式拒绝院方在医疗设备服务器、工作站加设安全措施，而院方不敢冒险、只能妥协。，从采购、使用、运维到数据传输，很多医疗设备都处于“黑箱”状态，网络安全形势不容乐观。

首都医科大学宣武医院信息中心主任梁志刚

河北医科大学第一医院首席信息官刘新平曾先后担任医院医疗设备部门与信息部门负责人，从医疗设备管理者和信息管理者的双重身份出发，她对医疗设备网络安全监管的特殊性有更深刻的体会，目前医疗设备整体面临的网络安全风险包括

（1）漏洞利用风险一般医疗设备的使用年限都在6-8年甚至更长，医院现有设备的操作系统较为老旧，普遍存在安全漏洞，因医护人员缺乏安全意识使用简单密码，导致极易被攻击入侵。

（2）资产管理问题医疗设备终端数量众多且类型繁杂，设备科室增加和更换设备较为频繁，大部分医院缺乏统一的资产管理办法，无论设备部门还是信息部门都不清楚接入业务网络的医疗设备有多少、在线的有多少，更不知道有多少医疗设备是不安全的。

（3）数据泄露风险医疗设备存储部分患者数据或与数据库直连，大部分CT、核磁设备供应商为国外厂商，远程运维过程的数据安全性无法保证。

河北医科大学第一医院首席信息官刘新平

深信服医疗事业部网络安全运营总监王成雨将医疗设备网络安全问题为“三不一难”科室自购医疗设备入网不可见、医疗设备自身安全漏洞不可知、厂商远程运维常态化不可控、医疗设备和IT资产相混杂难防护。医疗机构需要解决的问题包括如何有效识别和管理众多的医疗设备？如何发现医疗设备老旧系统中的现存漏洞？如何“看清”远程运维人员在运维过程中都干了什么？

“其中，摸清家底是管好医疗设备网络安全的第一步，但摸清家底往往又是很难的。”王成雨介绍，深信服与中国信通院共同发布的《2021医疗物联网安全研究报告》指出医疗机构缺乏全面的资产台账，导致安全风险黑盒化。“根据我们的用户调研，医院信息部门或设备部门对内网存在的医疗设备信息与状态是不了解的，遇到问题难以定位，更难以快速解决。当医院对自身情况都不能知根知底的话，安全也就无从谈起。”

深信服医疗事业部网络安全运营总监王成雨

《指导原则》帮助信息部门“提要求”，老旧设备仍需重点关注

《医疗器械网络安全注册审查指导原则（2022年修订版）》（推火网以下简称《指导原则》）的发布，为医院的医疗设备网络安全管理提供了政策依据，其从医疗器械电子接口、网络安全能力、网络安全验证与确认、网络安全可追溯分析、网络安全事件应急响应、网络安全更新、数据安全尤其是境外数据访问等方面，提出了具体要求。

“《指导原则》的出台非常及时，让医院在医疗设备采购、部署、运维时有章可依、有制可循。”梁志刚认为，《指导原则》从设备准入、漏洞评估、远程访问、数据安全等多个维度，给出了标准化的医疗设备网络安全风险处置办法，医疗机构需要进一步细化其中的关键点，将其从国家规范转变为可落地的院级管理制度。，《指导原则》帮助医院信息部门“提要求”，规定了设备到院时应达到的网络安全基本要求。这有助于改变以前医院信息部门对设备部门、医院对医疗设备厂商的不对等关系。

不过，等待依照《指导原则》注册的医疗设备进入市场还需要一定时间。刘新平认为，当前最应关注的是院内老旧医疗设备的网络安全问题。“老旧设备的识别、清点、统一管理，以及操作系统的漏洞修复等，仍然是医院信息部门需要重点着力的。”王成雨持同样观点“《指导原则》从出台到落地还需要一定周期，但安全威胁近在咫尺、迫在眉睫。在现有条件下做好现有医疗设备的网络安全加固，是非常必要的。”他建议医疗机构应发挥主观能动性，在政策完全落地之前先行一步，结合医院现状提前启动安全防护建设，积极行动起来。

“网络安全七到八成是管理问题，只有一到两成是技术问题。这一点也同样适用于医疗设备的网络安全。”梁志刚认为“多部门联合”是医疗设备管理的重要基础。宣武医院信息部门和设备部门紧密合作、形成共识，如将医疗设备网络安全纳入医院网络安全体系，大型医疗设备进入医院网络时，不允许开放远程诊断模块；加强人员内部管理，不允许U口与网络端口的无序应用；规范数据管理流程，临床提出数据需求并经审批、论证后由信息部门帮助导出，不允许私自导出数据等。刘新平建议医院要建立跨部门、跨职能的医疗设备管理流程，在准入、使用、运维、监控等阶段进行全方位管理，确保无死角、无缺位；相关人员签订《医疗设备业务网准入安全责任书》，确保安全保障责任落实到人。