互聯網醫(yī)院本身處于互聯網環(huán)境中，隨時面臨著未知人員的惡意訪問與攻擊行為，自身的安全性難以保障。2018年7月國家衛(wèi)生健康委員會、國家中醫(yī)藥管理局印發(fā)的《互聯網醫(yī)院管理辦法（試行）》提出“互聯網醫(yī)院信息系統按照國家有關法律法規(guī)和規(guī)定，實施第三級信息安全等級保護?！边@是醫(yī)療行業(yè)首次將信息化建設與安全建設進行了捆綁，等級保護建設成為了互聯網醫(yī)院上線的必要條件。

為了解決網絡安全建設與業(yè)務發(fā)展割裂的問題，從網絡安全的角度為醫(yī)療機構提供互聯網醫(yī)院網絡安全規(guī)劃思路，網絡安全事業(yè)部共同發(fā)布《互聯網醫(yī)院安全架構研究報告》，基于目前互聯網醫(yī)院安全建設的現狀，深度剖析互聯網醫(yī)院網絡運營者面臨的網絡安全挑戰(zhàn)與機遇、互聯網醫(yī)院安全保障與技術標準。

核心觀點

1. 互聯網醫(yī)院作為醫(yī)療健康產業(yè)的新物種，剛經歷新一輪的建設高峰，截至2020年4月30日，全國已成立 497家互聯網醫(yī)院；

 

2. 互聯網醫(yī)院系統包括應用層、支撐層以及平臺層三個組成部分。應用層面向用戶提供服務，支撐層提供支撐服務所必須的功能模塊，平臺層主要提供基礎架構服務。目前在平臺層的建設相對比較落后；

 

3. 醫(yī)療機構網絡安全建設落實情況依然不容樂觀。三級醫(yī)院通過等級保護三級測評的僅有52.57%，三級以下醫(yī)院僅有24.92%通過等級保護測評；

 

4. 三級等保是互聯網醫(yī)院的第一道安全防線，涉及定級備案、規(guī)劃設計、建設整改、等保測評以及運營管理五個關鍵步驟。隨著互聯網醫(yī)院建設浪潮，將持續(xù)激發(fā)需求。

目 錄

一、互聯網醫(yī)院建設層級 

1.1. 互聯網醫(yī)院概述 

1.2. 互聯網醫(yī)院建設現狀 

二、互聯網醫(yī)院總體技術架構 

2.1 互聯網醫(yī)院服務體系 

2.2 互聯網醫(yī)院系統架構 

三、互聯網醫(yī)院網絡運營者面臨的網絡安全挑戰(zhàn)與機遇 

3.1 互聯網醫(yī)院安全建設面臨的五大挑戰(zhàn) 

3.2 互聯網醫(yī)院安全建設帶來的重大機遇 

四、互聯網醫(yī)院安全保障與技術標準

4.1 醫(yī)院和企業(yè)共同承擔互聯網醫(yī)院網絡安全建設職責 

4.2 等級保護建設是互聯網醫(yī)院第一道安全防線 

4.3 業(yè)務安全是互聯網醫(yī)院發(fā)展基石 

4.4 網絡安全人才是醫(yī)療機構網絡安全根本 

五、東軟NetEye互聯網醫(yī)院安全最佳實踐 

5.1 以業(yè)務理解為基礎助力互聯網醫(yī)院網絡安全體系規(guī)劃 

5.2 一體化服務助力互聯網醫(yī)院網絡安全建設落地 

5.3 專業(yè)的網絡安全產品助力互聯網醫(yī)院網絡安全建設落地 

5.4 網絡安全人才培養(yǎng)與輸出助力醫(yī)療行業(yè)網絡安全發(fā)展 

一、互聯網醫(yī)院建設現狀

1.1互聯網醫(yī)院概述

互聯網醫(yī)院，是互聯網在醫(yī)療行業(yè)的新應用，其包括了以互聯網為載體和技術手段的健康教育、醫(yī)療信息查詢、電子健康檔案、疾病風險評估、在線疾病咨詢、電子處方、遠程會診、及遠程治療和康復等多種形式的健康醫(yī)療服務，而互聯網醫(yī)院就是互聯網醫(yī)療的載體和平臺?；ヂ摼W醫(yī)院作為醫(yī)療健康產業(yè)的新物種，其誕生之初就帶有三大創(chuàng)新源泉的基因。

利用互聯網、人工智能、大數據等技術，互聯網醫(yī)院構建了一種全新的醫(yī)療服務模式，賦予了醫(yī)療監(jiān)管機構、醫(yī)療服務機構、醫(yī)生、醫(yī)療企業(yè)、患者新功能，重構了醫(yī)療健康價值網絡，嘗試著解決“醫(yī)療不可能三角”難題。

 

根據國家相關政策的規(guī)定，互聯網醫(yī)院主要有兩種模式：一種是醫(yī)院主導型互聯網醫(yī)院，一種是企業(yè)平臺型互聯網醫(yī)院。前者主要以三甲醫(yī)院為代表，主要使用本院的醫(yī)師開展互聯網診療活動；后者以互聯網醫(yī)療企業(yè)為代表，如微醫(yī)、好大夫在線、春雨醫(yī)生等，通過依托線下實體醫(yī)療機構，使用在本機構和其他醫(yī)療機構注冊的醫(yī)師開展互聯網診療活動。

互聯網醫(yī)院作為醫(yī)療健康產業(yè)變革創(chuàng)新的新事物，有效地促進了醫(yī)療資源的流動，賦能基層醫(yī)療水平，提高了分級診療的實施效率，緩解了醫(yī)療資源分布失衡的難題。

 

互聯網醫(yī)院主要優(yōu)勢：

 

1）做強醫(yī)療資源價值鏈條，推動分級診療發(fā)展。

將診療從線下轉至線上拓展醫(yī)療服務空間和業(yè)務范圍，合理引流醫(yī)生與患者，進行精準匹配。促進優(yōu)質醫(yī)療資源流動，擴大醫(yī)院品牌效應。同時面向基層醫(yī)生的輸出技術支持和培訓，提升基層首診能力。

 

2）便捷患者就醫(yī)，降低醫(yī)療支出。

通過優(yōu)化醫(yī)療服務流程，打破時間和空間限制，節(jié)省排隊掛號、候診就醫(yī)時間，可提高診療效率。尤其在農村和偏遠地區(qū)，使患者可以“家門口”便捷就醫(yī)，真正實現足不出戶求診名醫(yī)名家，緩解區(qū)域間醫(yī)療資源不平衡和醫(yī)療需求劇增之間的矛盾。

 

3）提高醫(yī)生收入，拓寬多點執(zhí)業(yè)的渠道，促進醫(yī)師資源流動。

緩解了醫(yī)生的工作壓力，彌補了醫(yī)生資源的不足，有效提高醫(yī)生的工作效率，塑造醫(yī)生個人品牌，將醫(yī)生的價值發(fā)揮到最大化。

 

4）助推醫(yī)院信息化建設，加快醫(yī)療大數據共享。

通過云平臺、移動智能端，獲取患者健康數據和既往病例實現健康監(jiān)控和病歷共享，便于打通院間的信息壁壘和信息不對稱。

 

5）可降低醫(yī)患糾紛發(fā)生的機會概率。

互聯網能夠全程留痕，服務過程更加透明。加強在線醫(yī)患之間的溝通，也改善醫(yī)患關系，擴大醫(yī)院病人來源，形成口碑效應。

 

1.2互聯網醫(yī)院建設現狀

數據截至2020年4月30日，從多個公開渠道搜集到目前497家互聯網醫(yī)院的資料。互聯網醫(yī)院根據申辦主體的不同，分為實體醫(yī)院主導型和企業(yè)主導型。497家互聯網醫(yī)院中，有415家是實體醫(yī)院主導，占83.5%。

 

由于全國各地醫(yī)療資源、醫(yī)療水平、醫(yī)療信息化水平不盡相同，各地建設互聯網醫(yī)院的情況也有較大差別。

從上圖可看出，現階段互聯網醫(yī)院主要分布在東部、南部沿海省份，這些區(qū)域優(yōu)質醫(yī)療資源集中、醫(yī)療信息化程度也較高，有良好的基礎。其中，山東、江蘇、安徽、浙江、福建、廣東等省份還被國家衛(wèi)健委確定為“互聯網+醫(yī)療健康”示范省?；ヂ摼W醫(yī)院最多的幾個區(qū)域，原本就是進行行業(yè)探索較早的地區(qū)。目前，山東的互聯網醫(yī)院已達到133家。

從目前互聯網醫(yī)院類型來看，綜合醫(yī)院和中醫(yī)院占主流，?？漆t(yī)院類型多樣。綜合醫(yī)院科室齊全，能滿足患者多種就診需求。中醫(yī)院雖然在線上無法把脈，同樣可以開出在線處方。婦幼保健院、兒童醫(yī)院和婦產醫(yī)院也是占比較高的醫(yī)院類型。其他的?？漆t(yī)院中，以慢病或口腔、眼科這類消費需求較強的?？茷橹?，這些醫(yī)院能夠滿足患者醫(yī)療、健康管理、消費等的多層次需求。

 

可以看出，成立數量整體呈上升趨勢，2019年4月迎來第一個高峰，在8月國家醫(yī)保局《關于完善“互聯網+”醫(yī)療服務價格和醫(yī)保支付政策的指導意見》出臺后，12月又迎來第二個高峰。

 

到2020年，2月建立的互聯網醫(yī)院最多，達到65家。這或許也是互聯網醫(yī)院誕生以來，單月建設數量最多的階段。2月正值新冠肺炎疫情的高峰期，疫情防控的迫切需要推動了互聯網醫(yī)院建設。疫情期間，原有互聯網醫(yī)院紛紛開通線上發(fā)熱門診、慢病復診、肺炎咨詢，此外還不斷有互聯網醫(yī)院緊急獲批和上線。隨著疫情平穩(wěn)，2020年3月開始，互聯網醫(yī)院增長速度放緩，4月回落到疫情之前的水平。

 

疫情期間，互聯網醫(yī)院滿足了大量慢病患者的用藥需求，提供在線復診、開方、藥品配送服務，部分還可醫(yī)保報銷。然而，互聯網醫(yī)院不能只靠疫情防控來推動，盡管行業(yè)在此期間進行了很好的用戶教育、習慣培養(yǎng)，但疫情之后，在線問診對患者的吸引力是否能維持，充滿不確定性。

二、互聯網醫(yī)院總體技術架構

2.1互聯網醫(yī)院服務體系

互聯網醫(yī)院建設主要包括醫(yī)療機構主導和企業(yè)主導兩種。由于醫(yī)療機構和企業(yè)自身的資源和傾向性，醫(yī)療機構主導更加偏重于醫(yī)療機構與互聯網醫(yī)院信息聯通，互聯網醫(yī)院實現醫(yī)療機構服務外延。企業(yè)主導更加偏重互聯網醫(yī)院與第三方機構連接包括藥房、藥品采購、商業(yè)保險等，最大發(fā)揮互聯網醫(yī)院商業(yè)價值。從全局出發(fā)，互聯網醫(yī)院建設應該從目前醫(yī)療行業(yè)面臨的問題角度考慮，利用互聯網技術解決部分醫(yī)療行業(yè)存在的問題。因此，整體服務體系建設至少應實現以下效果：

 

第一， 推動醫(yī)療機構從“醫(yī)療”到“健康”的轉變

 

《健康中國2030規(guī)劃綱要》頒布標志著我國醫(yī)療向健康的轉變。當前醫(yī)療機構格局依然以治療為主，對于慢性病、常見病的預防、康復以及健康管理等方面依然存在不足。互聯網醫(yī)院是保證供給側結構性改革的一個重要舉措，醫(yī)療機構需要借助互聯網這個工具，與藥品供應等第三方服務商及其藥店合作實現藥品配送，與支付機構連接實現智能化線上支付，與康復機構連接解決患者術后康復問題，同時引入可穿戴設備對居民進行健康監(jiān)控與管理?；ヂ摼W平臺通過這些新的資源配置方式能夠實現更優(yōu)化更智慧的會診流程和服務模式。

 

第二， 實現患者需求與醫(yī)療資源的智能匹配

 

當前智慧醫(yī)院建設更多的從醫(yī)療機構信息化角度出發(fā)，提高診療效率。而這僅僅是信息化，而非智慧化。應該以互聯網醫(yī)院為依托利用5G、物聯網、“互聯網+”等技術，實現患者需求和醫(yī)療資源的智能匹配，才能夠真正將醫(yī)療機構所沉淀的醫(yī)院管理標準變?yōu)橹腔?、智能醫(yī)院的基礎。

 

第三， 推動醫(yī)聯體、醫(yī)共體落實

 

通過互聯網醫(yī)院將省一級到各地各個診所，再到衛(wèi)生室、社區(qū)衛(wèi)生服務中心等醫(yī)療機構進行連接，把醫(yī)聯體構建起來。再通過精尖設備下沉，影像診斷資源下沉，服務規(guī)范標準建設，提高基層醫(yī)療機構的診療能力。把基層的患者留在基層，同時把優(yōu)質醫(yī)療資源下沉到底，把藥送到基層的老百姓身邊，把管理規(guī)范，把宣教落實，還要把醫(yī)療的費用降到最低。

 

由此可以看出，互聯網醫(yī)院應該是涵蓋政府、中心醫(yī)院、基層醫(yī)療機構、第三方獨立機構、保險公司，面向居民提供醫(yī)療和健康管理的服務體系。

 

2.2互聯網醫(yī)院系統架構

以互聯網醫(yī)院服務體系為目標，互聯網醫(yī)院系統建設應該是全面的、體系化的，其主要包括以下兩方面的建設內容：

互聯網醫(yī)院系統建設

互聯網醫(yī)院系統包括應用層、支撐層以及平臺層三個組成部分。

 

應用層面向用戶提供服務，主要包含患者APP、醫(yī)生APP、瀏覽器、基于微信、支付寶的應用服務。

 

支撐層提供支撐服務所必須的功能模塊，主要包含互聯網醫(yī)院基礎服務、互聯網醫(yī)院增值服務、互聯網醫(yī)療集團資源共享服務共計3個服務層級，實現以下功能。

 

1) 以院內院外患者用戶體驗為核心開展互聯網醫(yī)院服務?；凇叭鞒獭钡囊苿踊?，提升患者的就診體驗、減少排隊的困擾、降低平均等候時間，獲取更多醫(yī)療資源相關的信息。

 

2) 構建院內院外、線上線下，一體化的信息共享診療服務；將醫(yī)生診療服務、藥師咨詢及藥品審核服務等合理的應用到線上，釋放臨床、醫(yī)技、藥劑等多類型醫(yī)療資源，提高醫(yī)院服務價值與能力，擴大服務輻射范圍。

 

3) 構建共享化的醫(yī)療資源服務體系。對跨機構診療資源重新進行整合與利用。通過開放性的服務平臺，提升各個醫(yī)療機構診療資源的利用率，提升患者就醫(yī)的便捷性。

 

平臺層主要是為互聯網醫(yī)院多維度應用提供基礎架構服務，保證線下、線上診療業(yè)務數據的一致性，并為互聯網診療業(yè)務的正常運營提供技術支撐。主要包含：自助服務平臺、預約服務平臺、云診室工作平臺、隨訪服務平臺、藥品物流配送服務平臺、健康監(jiān)獄服務平臺、醫(yī)院支付平臺、在線服務平臺、醫(yī)療資源共享平臺、醫(yī)療資源協作平臺，共計10個基礎平臺。

醫(yī)療機構信息集成平臺建設

醫(yī)療機構信息化建設始于上世紀90年代，經過將近30年的發(fā)展，大型醫(yī)療機構已擁有幾十個功能模型的醫(yī)院信息系統。醫(yī)療機構信息系統在不同階段建設，建設之初只關注信息的采集不關注信息的共享和利用。在子系統數量較多的情況，系統間的關系線已經形成了網狀結構，并且不同系統間的很多信息是重復的。

調查顯示，當前已有70%以上的醫(yī)院實現了醫(yī)療信息化，但僅有不到3%的醫(yī)院實現了院內信息的數據互通。面對互聯網醫(yī)院與內網數據融合需求，必須要實現院內信息整合，否則醫(yī)療機構內外網系統連接將錯綜復雜，系統間網狀結構的情況將更加嚴重，內外網邊界也將越來越模糊。可基于ESB、SOA、XML等建設醫(yī)療機構信息集成平臺，實現各子系統的互聯互通，消除信息孤島，使醫(yī)療機構信息系統數據實現充分的共享。同時基于信息集成平臺打通內外網數據，滿足互聯網醫(yī)院業(yè)務擴展需求。

 

三、互聯網醫(yī)院網絡運營者面臨的網絡安全挑戰(zhàn)與機遇

3.1互聯網醫(yī)院安全建設面臨的五大挑戰(zhàn)

挑戰(zhàn)1：互聯網醫(yī)院將進一步增加醫(yī)院面臨的安全風險

2011年至今，我國推出《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》（衛(wèi)辦發(fā)[2011]85號）、《關于印發(fā)醫(yī)療質量安全核心制度要點的通知》（國衛(wèi)醫(yī)發(fā)[2018]8號）、《關于印發(fā)全國醫(yī)院信息化建設標準與規(guī)范（試行）的通知》等一系列文件以等級保護建設為中心推動醫(yī)療機構網絡安全建設。同時在《電子病歷系統功能應用水平分級評價方法及標準（修訂征求意見稿）》、《國家醫(yī)療健康信息醫(yī)院信息互聯互通標準化成熟度測評方案（2017年版）》《國家醫(yī)療健康信息區(qū)域衛(wèi)生信息互聯通標準化成熟度測評方案（2017年版）》等多項評級要求中對醫(yī)療機構的網絡安全建設也提出了要求。

 

但是目前我國醫(yī)療機構網絡安全建設落實情況依然不容樂觀。三級醫(yī)院通過等級保護三級測評的僅有52.57%，三級以下醫(yī)院僅有24.92%通過等級保護測評（包括二級和三級）。多數醫(yī)療機構尤其是三級以下醫(yī)院仍然未開展網絡安全等級保護建設。

 

在對疾病預防控制中心，衛(wèi)生監(jiān)督所，衛(wèi)生和計劃生育委員會，醫(yī)學會，公立醫(yī)院，私立醫(yī)院進行調研過程中發(fā)現，醫(yī)療機構自身的網絡安全防護能力依然薄弱，面臨網絡安全風險依然嚴峻。青海省、海南省、內蒙古自治區(qū)、西藏自治區(qū)、寧夏回族自治區(qū)等地區(qū)網絡安全風險相對嚴重。山東省和四川省網絡安全風險較低。

 

互聯網醫(yī)院本身處于互聯網環(huán)境中，隨時面臨著未知人員的惡意訪問與攻擊行為，并且在于多方機構進行連接的過程中惡意流量極易進入互聯網醫(yī)院系統，因此互聯網醫(yī)院自身的安全性難以保障。其次，面對互聯網醫(yī)院線上線下的醫(yī)療信息互聯互通共享的需求，傳統的相對封閉的內網醫(yī)療信息環(huán)境與外部互聯網對接融合。原本呈現網格狀連接的院內系統與互聯網醫(yī)院連接后，內外網邊界更加模糊。內網面臨的網絡入侵和信息泄露風險將明顯增大。目前醫(yī)療機構網絡安全防護能力存在不足的情況下，無法應對互聯網化帶來的安全風險，醫(yī)療機構整體安全風險將進一步增加。

挑戰(zhàn)2：網絡安全人才短缺制約互聯網醫(yī)院安全體系防護效果

網絡安全建設核心理念是“誰主管誰負責”，誰提供互聯網醫(yī)療健康的服務，誰就必須要負責任，所以互聯網醫(yī)院要實行安全責任制，這也是互聯網醫(yī)院建設的一個基本原則。在互聯網醫(yī)院網絡安全建設方面雖然強調了第三方平臺的責任。但是互聯網醫(yī)院是以實體醫(yī)療機構為依托，責任主體依然是實體醫(yī)療機構。所以明確公立醫(yī)療機構主導模式、資源融合模式、互聯網企業(yè)主導模式三種建設模式實體醫(yī)療機構和企業(yè)所需承擔的責任，并根據本地部署、云部署等不同的部署方式選擇互聯網醫(yī)院網絡安全建設的內容是互聯網醫(yī)院網絡安全建設的關鍵。

 

醫(yī)療行業(yè)網絡安全建設并不是剛剛起步，絕大多數醫(yī)院已經具備防火墻、上網行為管理等主要網絡安全產品。因此面對互聯網醫(yī)院網絡安全建設，合理進行安全規(guī)劃，提高安全產品利舊率，一方面將節(jié)約成本，另一方面將避免重復產品和管理制度增加運維人員負擔。

 

絕大部分醫(yī)療服務商在推動互聯網醫(yī)院的進程中抱著“只管殺，不管埋”的心態(tài)，并沒有站在長遠發(fā)展的立場來幫助醫(yī)療機構妥善規(guī)劃內網與外網連通后以及能夠應對互聯網醫(yī)院未來發(fā)展引入的安全風險的網絡格局和安全體系。大部分網絡安全廠商不了解醫(yī)院的業(yè)務，更多地站在網絡安全從業(yè)者的角度考慮互聯網醫(yī)院網絡安全建設，導致網絡安全建設與實際業(yè)務錯配，網絡安全措施無法落實。

 

綜合以上三點，專業(yè)的網絡安全人才是醫(yī)療機構尤其是互聯網醫(yī)院建設后的網絡安全建設關鍵，只有專業(yè)的網絡安全人才能夠幫助醫(yī)療機構合理進行互聯網醫(yī)院網絡安全規(guī)劃。然而根據調查，50%以上的三級醫(yī)院信息中心人員僅有7-15人，而將近80%的二級醫(yī)院信息中心人員在6人以內。醫(yī)院信息中心負責信息化建設以及應用系統和硬件的維護等工作，在這樣的人員配比情況下，信息中心人員的工作已經十分緊張。在重業(yè)務，輕安全的情況下，醫(yī)院信息中心真正負責網絡安全建設的人員更是寥寥無幾。

 

2019年6月網絡安全人才市場需求的規(guī)模達到2016年1月需求的24.6倍，相比2018年7月也增長了3倍，增長速度堪稱驚人。在網絡安全人才市場整體短缺的情況下，更多的網絡安全從業(yè)者向北京、上海等一線城市涌入，向收入更高的民營企業(yè)涌入。在這樣的情況下，醫(yī)療機構尋找到專業(yè)的網絡安全人才本就是一件困難的事情。同時網絡安全人才需要更長時間的培養(yǎng)才能了解醫(yī)院業(yè)務。因此現階段醫(yī)療機構難以滿足上述網絡安全人才需求，最終影響醫(yī)療機構網絡安全建設效果。

挑戰(zhàn)3：網絡安全資金投入不足，限制了互聯網醫(yī)院安全的落實

近年來醫(yī)療行業(yè)信息化建設得到大力發(fā)展，但相對于金融、政府等其他行業(yè)，醫(yī)療行業(yè)信息化建設依然相對落后。HIS、EMR等核心系統、智慧病房等提高患者滿意度的系統、自助終端等提高醫(yī)生效率的系統依然是醫(yī)療機構亟需落實的信息化建設內容。絕大多數醫(yī)療機構，尤其是三級以下醫(yī)院，信息化建設資金主要來源于財政補款，這部分資金用于建設能夠提升醫(yī)療機構效率的系統已經捉襟見肘，用于網絡安全建設的資金更是微乎其微。并且根據2020年國家衛(wèi)健委發(fā)布的部門預算，公立醫(yī)院整體預算將下降四成。在資金不足的情況下，無法為醫(yī)療機構帶來直接效益的網絡安全建設更是難以推動。醫(yī)療機構網絡安全建設中第一阻礙因素仍然是缺乏充分的信息化資金支持。

挑戰(zhàn)4：亟需新興技術應對醫(yī)院互聯網轉型過程中的新挑戰(zhàn)

互聯網醫(yī)院網上問診、預約掛號、學術分享等業(yè)務都需要系統良好的穩(wěn)定性作為支撐。因此多數醫(yī)療機構在互聯網醫(yī)院建設之初便充分考慮了應用系統性能的問題，甚至很多醫(yī)療機構選擇使用企業(yè)提供的云環(huán)境部署互聯網醫(yī)院系統，便于應用系統性能擴容。

然而在網絡環(huán)境方面，互聯網醫(yī)院面對未知的互聯網環(huán)境，就好像人們在面對復雜的城市交通一樣，沒有人能夠確切知道交通的狀況并做出有效的預測，往往選擇一條錯誤道路就導致了堵車。面對這樣的問題，互聯網醫(yī)院往往采取提高帶寬或采取專線、MPLS的方式提高網絡穩(wěn)定性。這一做法導致醫(yī)療機構面臨高額的網絡建設費用。

同時在互聯網醫(yī)院服務范圍和服務內容不斷擴展的情況下，網絡帶寬擴展往往需要較長時間。部分醫(yī)療機構采取云計算、SaaS服務，這些服務具有天然的互聯網屬性，而MPLS及其它形式的專線建網及部署方式讓其很難規(guī)?；膽糜谠朴嬎慵癝aaS，并且完全無法連接移動應用。

 

重點醫(yī)療機構一號難求的狀態(tài)一直存在，網上預約掛號、現場自助掛號、24小時咨詢掛號服務熱線等手段很大程度上緩解了這一問題。但是號販子仍然活躍在醫(yī)療機構門診大廳非法倒賣號源，屢禁不止?；ヂ摼W醫(yī)院的建設，其根本是實現網上就醫(yī)?！包S牛”利用他人身份證件或偽造身份證信息在互聯網醫(yī)院平臺進行預約掛號，醫(yī)院放號時通過專業(yè)設備快速“秒殺”囤號，之后開始進行倒賣。這一做法，將直接影響互聯網醫(yī)院對于患者的可用性，進而影響互聯網醫(yī)院的推廣。

 

居民生活習慣的改變是一個漸變的過程，并不會一蹴而就?；ヂ摼W醫(yī)院發(fā)展的根本是患者從實體醫(yī)院向互聯網醫(yī)院的轉變。因此通過增強信息系統可用性，保護居民的權益，讓群眾對互聯網醫(yī)療建立信心，是現階段互聯網醫(yī)院發(fā)展刻不容緩的問題。無法解決將導致使用者信任度的降低，亦將對國家推動互聯網醫(yī)院建設力度造成影響，最終將影響互聯網醫(yī)院整合行業(yè)的發(fā)展。

挑戰(zhàn)5：數據共享引發(fā)的數據泄露問題將面臨行政處罰

互聯網醫(yī)院將原本在醫(yī)院內部流通的醫(yī)生筆記、處方、檢查信息等與診療相關的全部放到了互聯網環(huán)境中，患者數據更加集中，更易獲得。互聯網醫(yī)院與保險機構、藥企、健康管理中心、物流配送等第三方機構進行數據共享，患者數據在各機構之間流轉?；颊邤祿婕盎颊唠[私和利益，一旦泄露不僅影響患者對互聯網醫(yī)院的信任，也將對實體醫(yī)院形象造成嚴重影響，甚至面臨監(jiān)管部門的處罰。

互聯網醫(yī)院所依托的實體醫(yī)院和企業(yè)作為互聯網醫(yī)院網絡運營者，采集和控制患者數據，承擔著數據防護的職責。在數據防護方面，由于醫(yī)療數據的復雜性，脫敏、加密等技術難以落實，分級分類管理也缺乏明確的標準，數據安全管理成為了互聯網醫(yī)院網絡安全建設的難點。面對不可控的互聯網環(huán)境和多機構的數據共享，患者身份認證信息丟失、第三方機構數據保管不當、互聯網醫(yī)院系統被攻擊都可能導致患者數據泄露。如何明確各方職責，界定數據泄露責任，進一步增加了數據管理的難度。在立法方面，我國目前尚未出臺統一的保護隱私信息的法律法規(guī)，對保護患者醫(yī)療信息、個人隱私的規(guī)定都是碎片化的，缺乏實質性的立法，互聯網醫(yī)療醫(yī)療信息安全面臨巨大挑戰(zhàn)。

3.2互聯網醫(yī)院安全建設帶來的重大機遇

2018年7月國家衛(wèi)生健康委員會、國家中醫(yī)藥管理局印發(fā)的《互聯網醫(yī)院管理辦法（試行）》提出“互聯網醫(yī)院信息系統按照國家有關法律法規(guī)和規(guī)定，實施第三級信息安全等級保護?！边@是醫(yī)療行業(yè)首次將信息化建設與安全建設進行了捆綁，等級保護建設成為了互聯網醫(yī)院上線的必要條件。擺脫了業(yè)務先行，安全滯后的困境。在互聯網醫(yī)院按照等級保護進行建設的同時醫(yī)院外網環(huán)境安全防護水平也將明顯得到提高。

 

互聯網醫(yī)院將原本在醫(yī)院內部的診療行為轉移到互聯網環(huán)境中，將病人與醫(yī)生從原始的就醫(yī)制度中解放出來。為了實現診療業(yè)務向互聯網環(huán)境中遷移，傳統的醫(yī)院信息系統不得不打破原來的“煙囪”式的建設模式和已經形成的內外網隔離的信息“孤島”狀態(tài)。由于互聯網醫(yī)院系統存在與院內系統連接的情況，部分地區(qū)對建設互聯網醫(yī)院的實體醫(yī)院的內網核心系統提出了安全要求，進一步推動了醫(yī)院內網安全建設。例如部分地區(qū)對于互聯網醫(yī)院建設增加了附加規(guī)定，要求建設互聯網醫(yī)院的醫(yī)療機構內網核心系統需達到等級保護三級要求。

 

由此可以看出，互聯網醫(yī)院對于醫(yī)院整體網絡安全建設起到了極大的推動作用。我國醫(yī)療行業(yè)整體網絡安全水平，有望在互聯網醫(yī)院建設過程中得到全面提高。

 

四、互聯網醫(yī)院安全保障與技術標準

4.1醫(yī)院和企業(yè)共同承擔互

聯網醫(yī)院網絡安全建設職責

互聯網醫(yī)院網絡安全建設需要醫(yī)療機構和企業(yè)共同來分擔。但是整體的互聯網醫(yī)院網絡安全管理，則需要醫(yī)療機構自己來把控。所以互聯網醫(yī)院網絡安全建設需要醫(yī)療機構發(fā)揮網絡安全的指導作用，再結合企業(yè)優(yōu)質的產品和服務。雙方結合在一起，才能更好地落地。

按照“誰主管誰負責”的原則，無論互聯網醫(yī)院系統歸屬方是誰，只要實體醫(yī)療機構是互聯網醫(yī)院網絡運營者之一（即互聯網醫(yī)院依托其存在）實體醫(yī)療機構均承擔著其互聯網醫(yī)院的網絡安全職責。在互聯網醫(yī)院建設中，存在企業(yè)提供互聯網醫(yī)院基礎設施（如運營商提供基礎設施）或提供互聯網醫(yī)院系統（如寧夏銀川互聯網醫(yī)院、天津微醫(yī)互聯網醫(yī)院等）或企業(yè)直接收購私立醫(yī)院獨立發(fā)起（如丁香園、阿里健康網絡醫(yī)院等）的情況，因此落實互聯網醫(yī)院等級保護建設過程中，需強調企業(yè)的職責。根據常見的互聯網醫(yī)院建設模式，按照等級保護三級建設要求，明確醫(yī)療機構和企業(yè)在不同模式下的等級保護三級網絡安全建設責任。

1) 資源融合模式

資源融合模式，企業(yè)提供互聯網醫(yī)院應用系統，實體醫(yī)院僅通過業(yè)務終端接入互聯網醫(yī)院平臺。此種模式下提供互聯網醫(yī)院系統的企業(yè)平臺和應用系統需通過等級保護三級測評。實體醫(yī)院需根據具體的部署情況，承擔以下網絡安全建設內容：

① 醫(yī)療機構網絡安全建設責任：包括i互聯網醫(yī)院業(yè)務終端安全、互聯網醫(yī)院與內網核心系統交互安全、業(yè)務終端與互聯網醫(yī)院通信安全。

 

② 企業(yè)網絡安全建設責任：企業(yè)建設云計算平臺包括設施、硬件、資源抽象控制層、虛擬化計算資源、軟件平臺和應用軟件。企業(yè)承擔云平臺側全部安全建設，企業(yè)應按照SaaS模式落實等級保護三級建設。

2) 醫(yī)療機構主導模式

① 利用第三方機構提供的基礎設施：包括醫(yī)療機構實體環(huán)境側、云平臺側

 

② 利用醫(yī)療機構現有機房：包括醫(yī)療機構網絡安全建設責任

 

互聯網醫(yī)院合規(guī)建設中所有的安全建設內容均由實體醫(yī)院承擔，應按照《GBT22239-2019信息安全技術 網絡安全等級保護基本要求》中通用要求部分落實等級保護三級建設內容，包括技術部分中的安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心以及管理部分中的安全管理機構等。

 

3) 互聯網企業(yè)主導模式

互聯網企業(yè)主導模式下承擔互聯網醫(yī)院運營職責的實體醫(yī)療機構，包括互聯網企業(yè)收購的醫(yī)療機構或依托的公立醫(yī)療機構，需落實等級保護三級建設。具體的建設內容可參考資源融合模式落實。而接入互聯網醫(yī)院平臺的醫(yī)療機構，僅作為互聯網醫(yī)院系統使用方，不承擔互聯網醫(yī)院運營職責，因此無需按照等級保護三級要求進行建設。

4.2等級保護建設是互聯網醫(yī)院第一道安全防線

明確互聯網醫(yī)院等級保護建設時間

等級保護建設涉及定級備案、規(guī)劃設計、建設整改、等保測評以及運營管理五個關鍵步驟。在這五個關鍵步驟中涉及定級材料準備與上報、網絡安全調研與規(guī)劃、招投標、等保測評材料準備與審批等一系列工作。其中《網絡安全等級保護條例（征求意見稿）》將定級備案材料審核時間由原來的30個工作日縮短到10個工作日內。但由于等級保護建設涉及工作內容較多，仍然需要至少1至3個月才能完成。因此為避免由于等級保護建設導致互聯網醫(yī)院上線延期，互聯網醫(yī)院等級保護建設工作應在項目啟動階段就開始落實，與互聯網醫(yī)院信息系統建設同步進行。信息中心人員較少且網絡安全建設基礎較差的醫(yī)院，至少應提前完成定級備案工作。

以風險為中心筑牢等級保護建設安全防線

根據《GB/T 20984—2007信息安全技術信息安全風險評估規(guī)范》對互聯網醫(yī)院環(huán)境進行風險評估。根據風險重點加強互聯網醫(yī)院安全，一是加強網絡邊界安全技術防護，做好網絡邊界訪問控制、入侵防范、病毒檢測等基本安全措施，確保無新的互聯網邊界死角。二是加強數據安全技術防護，采用數據防泄漏、數據庫審計、數據脫敏等技術手段，確保醫(yī)療數據存儲、提取、分析和發(fā)布等不同環(huán)節(jié)的保密性和完整性，同時需要關注醫(yī)療數據在不同階段的訪問控制權限應界定清晰。

 

可根據互聯網醫(yī)院自身面臨的安全風險，從技術和管理兩方面落實防護措施，完善網絡安全防護體系。

 

1）技術措施

 

① 等級保護通用要求技術部分要求對應措施

 

② 等級保護云擴展要求技術部分對應措施

 

2） 管理措施

 

現階段醫(yī)院等級保護建設中要求的管理措施更多的是通用的制度，并沒有根據系統重要程度進行拆分。所以對于完成內網核心系統等級保護建設的實體醫(yī)療機構，管理制度可以全部復用。對于未進行過等級保護建設的實體醫(yī)療機構，雖然不同建設模式下，管理制度僅需圍繞實體醫(yī)院負責的部分落實。但由于管理制度之間的關聯性，難以明確區(qū)分，因此實體醫(yī)院宜按照等級保護管理部分要求落實管理制度。

 

4.3業(yè)務安全是互聯網醫(yī)院發(fā)展基石

等級保護是我國非涉密領域基本標準，是一套體系化的標準，更具指導性和全面性。但等級保護由于考慮普遍適用性，制定之初并沒有考慮特定行業(yè)特殊場景的安全風險。因此互聯網醫(yī)院網絡安全建設需要在等保建設的基礎上從業(yè)務角度識別互聯網醫(yī)院的安全風險。在全面建立安全防護體系的基礎上，增加互聯網醫(yī)院業(yè)務安全防護措施。解決以下醫(yī)療機構、居民、第三方機構在互聯網醫(yī)院建設中的擔憂，才能保證互聯網醫(yī)院業(yè)務穩(wěn)定、順利開展。

互聯網醫(yī)院對內網安全影響最小化

在復雜的攻擊形勢下，60%的醫(yī)療行業(yè)網絡安全事故，都是因為同一個誤區(qū)：認為隔離就是安全。面對互聯網醫(yī)院與內網核心系統的交互需求，單純地隔離已無法保障院內系統安全。內網與互聯網交互安全應該從以下兩個方面落實：

 

1）降低外部風險

 

降低互聯網醫(yī)院對內網安全性影響的關鍵是梳理，互聯網醫(yī)院與內網的連接點。將連接點控制在安全范圍內，醫(yī)療機構內網安全性將大幅度提升。現階段建立醫(yī)院集成信息平臺仍需一段時間，因此當前互聯網醫(yī)院與院內核心系統的交互，仍以部署前置機的形式落實，前置機作為連接內外網的橋梁。其次，部分醫(yī)療機構業(yè)務終端并未進行內外網隔離，部分業(yè)務終端既可以訪問互聯網醫(yī)院也可以訪問內網。

 

因此降低互聯網醫(yī)院對內網安全影響應主要從前置機和業(yè)務終端兩個方面入手。首先應通過主機加固、病毒檢測等手段，確保前置機和業(yè)務終端安全性。其次，前置機與內網交互涉及數據傳輸，因此應加強前置機與內網流量安全防護，根據業(yè)務傳輸需求，利用單向網閘或雙向網閘實現數據擺渡，并通過防病毒網關等設備對病毒進行過濾。對于業(yè)務終端與內網交互，主要是訪問行為，這也是醫(yī)療機構常常忽視的安全建設內容。2018年醫(yī)療機構被勒索病毒攻擊，絕大多數是終端設備先被攻擊，然后通過端口對系統發(fā)起攻擊。因此應限制內網核心系統對互聯網以及業(yè)務終端暴露的端口，并關閉445等高危端口。

 

2） 提高自身防護能力

 

面向不斷擴展的互聯網醫(yī)院服務，內網與互聯網的邊界將越來越模糊。單點的防護只能解決一時的問題。應該落實院內核心系統等級保護建設工作，建立內網完善的安全防護體系，全面提高院內核心系統安全防護能力。

保證互聯網醫(yī)院面向用戶的可用性

1) 多種技術結合解決醫(yī)療機構長期面臨的“黃牛搶號”問題

 

“黃牛搶號”根本原因是我國醫(yī)療資源分配嚴重不均等。目前醫(yī)療機構更多從分級診療、提升醫(yī)院就診效率等維度嘗試解決這一問題。但整體推進依然需要一定時間。伴隨著人民生活質量的提高，大醫(yī)院的醫(yī)療資源與患者需求的差距將越來越顯著。因此在提高醫(yī)療資源的同時，利用號源隨機釋放、加大驗證碼強度，設計行為識別系統等技術手段，是目前醫(yī)療機構解決“黃牛搶號”問題的有效手段。

 

號源隨機釋放就是指患者取消預約或者退號的號源不會立即釋放到資源池中，而是經過一段隨機時間后，通過相應技術手段將這些號源重新釋放到資源池中，以便其他患者再次預約和掛號。通過這種技術手段隨機放號，也就意味著號販子想把之前已經預約好的號源退掉時，就無法輕易用他的買主的帳號再預約回來，這樣就大大增加了其他患者預約的成功率。但是隨機釋放的號源也不一定能為真正需要的用戶所約到，相反，“號販”有可能利用外掛程序不斷的查詢號源，從而給網站服務器帶來一定的壓力。

 

加大驗證碼的強度，不但要增加長度，至少到8位以上，而且必須對驗證碼進行扭曲、污染，必要時可以加入中文漢字，使得外掛使用者在需要輸入驗證碼的環(huán)節(jié)無法用外掛識別，只能通過人工識別并輸入。但是面對年老或不熟悉上網操作的用戶，過于復雜的驗證碼無疑增加了其網上掛號的難度。

 

互聯網預約環(huán)境下號販子主要利用退號、綁定、搶號等環(huán)境的漏洞進行技術搶號。醫(yī)院管理和技術部門針對這些情況制定應對方案，在單個賬號管理、號源管理退號管理等維度上利用大數據技術識別正常用戶操作行為，封堵和限制異常操作。例如控制單個用戶在單位時間內的掛號次數等。但是機器學習精確度將直接影響封堵和限制的準確率，對于個別用戶的特別操作，例如不熟悉上網操作導致重復掛號將可能導致誤殺。

 

2） SD-WAN為互聯網醫(yī)院業(yè)務連續(xù)性提供技術支撐

 

廣域網具有網絡狀態(tài)波動性大、隨機性強的。隨著互聯網醫(yī)院生態(tài)的快速發(fā)展，各種互聯網醫(yī)院服務將大量增加，服務內容、連接邊界將不斷擴大，關鍵業(yè)務需要選擇一條可靠路徑進行傳輸，降低延遲和丟包率。利用SD-WAN，互聯網醫(yī)院業(yè)務可以在廣域網上實現不同等級的QoS（服務質量），實現按需分配網絡資源，實現彈性網絡，實現網絡切片與分層。面對持續(xù)發(fā)展的互聯網醫(yī)院業(yè)務，業(yè)務的多樣性決定了SD-WAN技術對于互聯網醫(yī)院建設的重要性。

SD-WAN是基于互聯網的，雖然有多POP接入點的調度智能，但仍存在高峰期丟包或時延增大的風險，所以使用SD-WAN替換專線仍然有一定風險。但是《互聯網醫(yī)院管理辦法》規(guī)定，互聯網醫(yī)院網絡至少由兩家寬帶網絡供應商提供服務，便解決了這一問題，同時SD-WAN增加了智能負載、無縫切換等非常好的場景，讓互聯網醫(yī)院的網絡容災更具自動性。

解決個人健康數據安全問題

互聯網醫(yī)院安全防護從本質上講依然是對于數據，尤其是檢驗、醫(yī)生筆記等涉及患者隱私及重要信息的數據。因此必須加強互聯網醫(yī)院信息安全體系建設，保障數據信息安全，防止醫(yī)療健康數據泄露。目前，我國互聯網醫(yī)院正處于發(fā)展初期，在保障醫(yī)療信息隱私與安全的前提下，應本著鼓勵發(fā)展的原則，在共享數據的同時，尋找“隱私保護”與“開放利用”之間的平衡。建議從制度建設和信息技術兩個維度來構建互聯網醫(yī)院信息安全保障體系。

 

1) 制度建設方面

 

需要制定互聯網醫(yī)院信息安全規(guī)范和醫(yī)療數據分級分類審查制度，對醫(yī)療數據的采集、傳輸、儲存、應用、轉讓等全周期進行監(jiān)管。醫(yī)療數據分級可根據數據重要程度和風險級別以及對個人健康醫(yī)療數據主體可能造成的損害以及影響的級別。根據《健康醫(yī)療數據安全指南》健康醫(yī)療數據可以分為個人屬性數據、健康狀況數據、醫(yī)療應用數據、醫(yī)療支付數據、衛(wèi)生資源數據以及公共衛(wèi)生數據等類別。

 

2) 信息技術保障方面

 

數據傳輸：綜合利用身份認證、傳輸加密等技術確保數據傳輸安全性。

 

數據存儲：利用數據審計、數據加密、授權管理、訪問控制、身份認證等技術手段從安全評估、實時監(jiān)測、主動防御、全面審計五個方面確保數據存儲安全性，防止患者隱私數據泄露。

 

數據共享：可參考《信息安全技術 個人信息去標識化指南》，對共享數據進行去標識化處理。去標識化的數據應用于受控公開共享或領地公開共享（控制者完全控制的環(huán)境），宜通過數據使用協議約定數據使用目的、方式、期限、安全保障措施等。去標識化策略從不對個人造成危害這個角度落實，解決數據可用性和數據安全的平衡問題。

4.4網絡安全人才是醫(yī)療機構網絡安全根本

網絡安全人才培養(yǎng)

任何規(guī)范化的企業(yè)管理，都不可避免地需要引入流程，醫(yī)療機構運維管理也不例外。完全基于個人經驗和判斷的操作，往往隱藏著重大的故障風險。醫(yī)療機構信息中心要強化流程管理。任何重要的操作，必須嚴格按照流程執(zhí)行。建立流程文化是數據中心規(guī)范化管理的一個重要環(huán)節(jié)。數據中心最重要的三類流程是標準操作流程(SOP)，維護保養(yǎng)操作流程(MOP)，和應急相應流程(EOP)。

同時醫(yī)療機構數據中心基礎設施牽涉到電力、暖通、弱電、消防、建筑等諸多專業(yè)，每一個數據中心的配置和特定的操作流程都不完全相同，因此對于醫(yī)療機構信息中心來說，在數據中心運維方面需要學習的專業(yè)知識非常多。

定期的培訓與學習應該成為醫(yī)院運維團隊管理的一個重要組成部分。

網絡安全人才引進

 

網絡安全人才的培養(yǎng)具有特殊性，從學習的角度來說，網絡安全的攻防是不對稱的，科班出身的人普遍接受的教育是怎么防御，很少知道怎么進攻。不知道攻擊的防御，容易落到紙上談兵。因此醫(yī)療機構在培養(yǎng)自己網絡安全人才的同時，應該注意網絡安全人才的引進。適當選擇安全廠商提供的安全服務，彌補醫(yī)院專業(yè)安全技術人員不足。最大程度減少因網絡安全事件所帶來的醫(yī)院運營中斷以及管理成本增加的風險。