2016年至今,从《“健康中国2030”规划纲要》出台到国务院办公厅下发《关于促进“互联网+医疗健康”发展的意见》,从国务院办公厅等文件的下发国家卫健委《互联网诊疗管理办法(试行)》发布至《关于在疫情防控中做好互联网诊疗咨询服务工作的通知》,以“互联网+医疗”为代表的医疗服务领域新业态不断涌现。通过多种信息化手段的应用,挂号结算、远程诊疗、咨询服务等业务环节的服务效率大幅提升,服务内容不断丰富,服务模式也不断创新升级了。与此同时,更加智能化、便捷化、互联网化的医疗服务也为其背后的医院信息系统建设带来了新的机遇和挑战。求新求变构建医疗数字化转型新生产力在东软集团副总裁、网络安全事业部总经理杨继文看来,医院信息化系统的建设和应用存在三个变化。一是从封闭走向开放。从网络服务范围来看,系统逐渐从服务于内部办公人员的封闭内部网络,转变为服务于互联网端的患者、专网、互联网端的医疗卫生机构人员;从网络建设来看,网络连接输入形式逐渐从内部有线网络向Wi-Fi组网、4G通信技术组网、5G多元化业务场景组网转变;从数据流和呼叫的角度来看,数据流逐渐从院内流呼叫向院外流呼叫、多机构移动呼叫过渡。二是从独立到协作。一方面,医院信息系统正逐步从独立向协同、互联转变。例如,原有的医院HIS系统、EMR系统、LIS系统、PACS系统逐渐发展为医院信息化平台,并逐渐从单一的医院内部系统发展为医疗联盟和医疗社区;另一方面,利用信息系统开展医疗服务工作人员也在从过去相对单一的角色、单一部门、单一机构向多角色、多部门、多机构协同转变。例如,医生、护士和行政人员在医院提升智慧医疗患者体验的场景,医疗数据使用和共享的场景,医疗服务将在城市层面进行协调的场景。未来与医疗平台。三是变辅助手段为有力支撑。过去,医院信息系统一般独立承担一定的业务功能,作为医疗服务发展的辅助手段。今天,医疗信息化不仅是对医院HIS和LIS、医院财务系统、办公系统等核心系统的有力支撑,也是医院开展多项业务、满足患者多样化需求的有力支撑。支持决策、科学研究等领域。新信息化意味着赋能医疗行业数字化转型,推动智慧医疗建设将成为行业新的生产力。当前,随着信息化与医疗服务的高度渗透与融合,医院CIO们也将面临更多的挑战:如何在满足人们对提升医疗服务质量需求的同时,兼顾业务保密性、完整性、信息安全合规性等要求。安全将是医院CIO关注的重点,也是医疗行业关键信息基础设施高质量发展的保障和前提。业务驱动安全赋能医院信息化全生命周期目前,在互联网医疗快速发展的趋势下,医院业务通过多种方式与银行、医保、物流、药企、医联体、自助终端设备等进行对接。网点,存在不同程度的安全隐患。对此,医院常用的防护方式是采购下一代防火墙、网闸、IDS、杀毒、流量分析、审计系统等安全产品。但从目前的情况来看,被大量安全产品包裹的医院信息中心仍将面临安全攻击导致的业务终端、数据泄露等事故。安全产品是解决网络基本安全问题的低成本、高效率的手段,但并不是解决网络安全问题的全部手段。当前,医疗业务高度依赖信息化,医疗业务正在加速向互联网化、智能化转型。如果仅从安全技术的角度来考虑医院安全防御体系的建设,会导致两种结果:一是过度防御影响业务便利性,二是防不胜防。对高级威胁的保护不足。比如在一些医院,一些专线的边境安保措施往往极其薄弱。也正因如此,在近年来我国医疗系统遭受的勒索病毒感染案件中,相当一部分病毒传播途径是通过专网而非互联网。这种情况也是由于缺乏有效的顶层设计、系统防护的安全产品,单纯从安全技术和安全产品的角度部署的安全措施在理论上是可行的,但在现实中存在着巨大的安全风险和矛盾。因此,基于东软30年的医疗行业业务积累和25年的安全技术研发积累,东软网安提出了业务驱动的安全理论模型。从设计规划阶段的咨询服务,到建设和整改阶段的产品、安全服务、安全合规集成服务,再到运营阶段的系统防护和安全运营服务,提供全生命周期的安全赋能帮助医院CIO从自身网络环境和网络出口业务特点出发,明确整体安全战略目标,制定安全体系规划,明确安全产品选型,合理配置安全策略,建立安全维护体系,解决合规问题医院网络安全建设风险、事件风险、业务变更新风险等安全风险与挑战。推动业务安全解决方案有效实施的三大驱动力对于东软网安,其提供的业务安全解决方案紧紧围绕医院网络安全建设的三大驱动要素展开。一种是合规驱动。一方面,从《计算机信息系统安全保护等级划分准则》到《国家信息化领导小组关于加强信息安全保障工作的意见》再到《涉及国家秘密的信息系统分级保护管理办法》,国务院、保密局、密码局相继出台一系列政策,推动分级保护深入实施系统和分级保护系统;一方面,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《个人信息保护法(草案)》等附属法律法规也在有序实施,指导我国信息化建设。以此为基础,国家卫健委关于我国公共卫生机构、医疗机构、基层医疗机构信息化建设标准和规范,以及关键信息基础设施的保障正在逐步实施。目前,几乎所有的医院信息化建设标准都提出了,因此,合规驱动将是当前和未来我国医院网络安全建设的核心驱动力。二是事件驱动。无论是国内还是国外,医疗行业的网络安全问题都呈现出高频率、高影响、高违法收入的特点。一方面说明医疗行业的数据和业务越来越重要。另一方面也说明,医疗行业的整体安全建设远远落后于信息化建设。基于此,有效应对和保障数据泄露、业务中断、勒索软件攻击,将是我国医院网络安全建设的核心驱动力之一。三是业务驱动。随着“互联网+医疗”新商业模式的加速发展,医疗信息化与医疗商业服务的高度融合,我们看到了医疗互联网、数据与业务互联、医疗智能化应用等一系列业务变革。智能设备。新的网络安全风险和挑战,归纳起来,应该归纳为给业务转型带来新的安全风险和挑战。而这些风险也是医院信息化工作者以往较少接触到的系统性风险,而不是单一的技术风险。它们比传统的网络安全问题更具隐蔽性和破坏性,很难从纯粹的安全角度解决此类风险和挑战。因此,构建以业务为驱动的安全防护体系将是医院网络安全建设的重要推动力。基于这三大驱动力,东软网安确立了业务驱动安全的核心理念,结合东软30年的业务积累和25年的安全自主研发能力,旨在解决当前医疗行业客户在业务数字化转型中面临的互联网、合规性、事件和业务风险挑战。东软网安提出结合医疗行业的业务特点,以业务驱动安全为核心,以咨询服务为主导,从中立的角度发现、分析和解决客户实际面临的安全显性和隐性安全问题。将产品和服务作为实施适当处置措施的工具;以安全系统为纲,为医疗行业客户提升数字化转型的组织能力。针对互联网医院建设业务需求、防黄牛注册业务风险??、医疗数据安全、内外网互联网三网建设等维度提供业务安全解决方案、产品和服务;为互联互通、电子病历分级、智慧病房建设、医联体、医联体建设提供整体业务合规网络安全解决方案、产品和服务;为构建等级保护的全生命周期提供安全合规整体解决方案、产品和服务;同时,东软网安针对医疗器械安全风险和医疗物联网安全,推出了业界首个创新的业务安全解决方案和产品。此外,针对医院网络安全事件和事故,东软网安还可以提供涵盖事前、事中和事后的不同安全服务、应急服务和咨询服务。相关业务安全解决方案已在多家医院得到有效实施。据东软集团副总裁、网络安全事业部总经理杨继文介绍,相关业务安全解决方案已在多家医院得到有效落地。以用户实践为例,东软网安连续五年服务三甲医院,在医院建立了以咨询服务为牵引、以安全产品为抓手、以安全运营为导向的业务安全体系保障中心核。以防范安全事件为例,2019年,上海某区医院大面积遭受勒索软件攻击。东软网安服务的医院成功抵御勒索软件攻击。当地卫健委组织其他医院参观学习。这些成功的实践,为东软网络安全业务安全体系的落地奠定了基础。在赢得用户认可的同时,也见证了东软业务安全体系的实施效果。未来,医院信息化建设将更加注重智能化和智能化。如决策智能化、业务体验数字化、多系??统互联融合、平台化、数据高流动关联等,将支撑医疗服务不断升级优化。在这个过程中,一方面,安全既是医院信息化建设和业务发展的基础设施和基本要素,也是构建医院安全运营能力的基础;一个符合业务发展而不影响业务发展,并能形成抵御恶意组织恶意攻击的安全能力的安全体系,可能成为未来患者评价医院医疗水平和医疗设施的重要维度。
