1.让IT部门参与采购

让It部门从一开始就参与采购，可以就新技术如何与现有网络相适应以及可能需要哪些额外的安全措施提出建议，确保在技术采购过程的每一步都考虑到网络安全。

 

2.实施漏洞识别和管理流程


 

医疗系统经常出现漏洞，这些漏洞是已知或尚未发现的。制定适当的策略来管理所有设备生命周期中的漏洞，可以帮助安全团队控制潜在的安全隐患。

 

3.制定硬件和软件更新策略

安全研究人员经常会发现设备和操作系统中的新漏洞。然而，医疗机构在打补丁方面一直很差，这也是WannaCry勒索软件对医疗机构造成如此严重影响的原因之一。因此我们建议IT部门确定在网络中打补丁的最佳时机，并确定无法补丁的变通办法，例如分段。

 

4.增强无线通信的安全控制

应当严格控制对医院网络和系统的访问，应该监视和了解所连接设备的数量，分析审核访问身份， 以便识别访问意图和权限。禁止未经授权的人员访问网络和系统，密码设置的不要过于简单，并定期更换。

 

5.建立测试机制

医院应建立一套最低限度的安全测试机制，以对添加到网络中的新设备和程序进行测试，包括不同级别的渗透测试，以模拟黑客的攻击路径和攻击手段，做到防患未然。

 

6.建立应急响应机制

制定和完善业务连续性计划和应急响应机制，以应对系统发生故障或者遭受网络攻击对医院核心业务的影响和破坏。定期备份核心数据，并联系网络安全服务商做到快速止损和系统恢复。

 

7.定期进行咨询评估

定期对医疗系统的基础环境、安全环境和管理系统进行咨询和评估，全面分析系统中的风险，并及时处置和整改。符合医疗行业信息安全等级保护要求，具备安全保障能力。

 

8.启用安全组件的测试

对系统内所有安全组件进行定期测试，确保它们提供良好的安全性能，同时兼顾易用性和安全性。例如，IT部门应确保用户未将复杂密码更改为更简单密码。这些都应在测试过程中进行检查。

 

9.允许审核和记录

保留访问和活动的日志，可以确保在受到威胁的情况下，更容易跟踪发生的事件以及攻击者访问系统的方式，能够评估哪些信息受到了破坏，保持日志的安全和完整是最重要的安全任务之一。

 

10.加密敏感个人数据

为了确保业务系统的安全，并确保患者和医护人员的信息安全，应对敏感信息进行静态和动态加密，信息加密后即便外部人员访问了内部系统，获取的信息对他们来说也是毫无用处的。