新冠疫情期間�����,互聯(lián)網(wǎng)醫(yī)院因具有降低患者交叉感染�、實現(xiàn)患者 “非接觸看病” 的特殊優(yōu)勢成為了“戰(zhàn)疫先鋒”��,互聯(lián)網(wǎng)醫(yī)院必將迎來批量建設(shè)高潮���。全國各級各類醫(yī)療機構(gòu)正在加快實現(xiàn)互聯(lián)網(wǎng)化的步伐��,網(wǎng)絡(luò)安全和信息化是一體之兩翼�����、驅(qū)動之雙輪����,互聯(lián)網(wǎng)醫(yī)院建設(shè)時必須統(tǒng)一謀劃、統(tǒng)一部署����、統(tǒng)一推進、統(tǒng)一實施�。
什么是互聯(lián)網(wǎng)醫(yī)院
互聯(lián)網(wǎng)醫(yī)院是指實體醫(yī)院為依托,以復(fù)診和常規(guī)咨詢?yōu)橹鳎?*問診����、處方、支付與配藥于一體的一站式互聯(lián)網(wǎng)醫(yī)療中心�;必須有實體醫(yī)院為主體結(jié)合互聯(lián)網(wǎng),但嚴禁首診��,以慢性病和部分常見病復(fù)診為主�,服務(wù)范圍覆蓋檢查報告解讀、復(fù)診開方���、康復(fù)指導(dǎo)等其他線下服務(wù)均可在互聯(lián)網(wǎng)醫(yī)院實現(xiàn)�����。
互聯(lián)網(wǎng)醫(yī)院包括作為實體醫(yī)療機構(gòu)第二名稱的互聯(lián)網(wǎng)醫(yī)院����,以及依托實體醫(yī)療機構(gòu)獨立設(shè)置的互聯(lián)網(wǎng)醫(yī)院�����。
政策要求剛需明確
《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》要求“互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)按照國家有關(guān)法律法規(guī)和規(guī)定�����,實施第三級信息安全等級保護”��。
《國務(wù)院辦公廳關(guān)于促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的實施意見》要求“嚴格執(zhí)行信息安全和健康醫(yī)療數(shù)據(jù)保密規(guī)定����,建立完善個人隱私信息保護制度,嚴格管理患者信息����、用戶資料�����、基因數(shù)據(jù)等����,對非法買賣�����、泄露信息行為依法依規(guī)予以懲處”��。
《國家衛(wèi)生健康委辦公廳關(guān)于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》要求加強網(wǎng)絡(luò)信息安全工作��,以防攻擊�、防病毒、防篡改����、防癱瘓、防泄密為重點�,暢通信息收集發(fā)布渠道,保障數(shù)據(jù)規(guī)范使用���,切實保護個人隱私安全����,防范網(wǎng)絡(luò)安全突發(fā)事件互聯(lián)網(wǎng)醫(yī)院管理辦法?嚴禁首診,為疫情防控工作提供可靠支撐�����。
安全事件異常突出
醫(yī)療行業(yè)高度依賴信息系統(tǒng)運營�,近年已經(jīng)成為黑客重點關(guān)注和定向攻擊的行業(yè)之一。醫(yī)療行業(yè)勒索病毒和網(wǎng)絡(luò)事件呈現(xiàn)持續(xù)上升態(tài)勢���,老的勒索病毒持續(xù)活躍,新的勒索病毒頻繁爆發(fā)���,外網(wǎng)滲透到內(nèi)網(wǎng)的攻擊也層出不窮����。醫(yī)療數(shù)據(jù)高價值的特點也引起大量黑客關(guān)注�。
疫情期間,APT組織借新冠疫情對我國醫(yī)療機構(gòu)發(fā)起定向攻擊���,攻擊者利用新冠肺炎疫情相關(guān)題材作為誘餌文檔���,進行魚叉式攻擊時�,醫(yī)療機構(gòu)����、醫(yī)療工作領(lǐng)域無疑成為此次攻擊的最大受害者。一旦其“攻擊陰謀”得逞�,輕則丟失數(shù)據(jù)、引發(fā)計算機故障��,重則影響各地疫情防控工作的有序推進��,危及個人乃至等各機構(gòu)的網(wǎng)路安全��。
國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》中統(tǒng)計��,云平臺上的 DDoS 攻擊次數(shù)��、被植入后門的網(wǎng)站數(shù)量��、被篡改網(wǎng)站數(shù)量均占比超過 50%�,云平臺成為發(fā)生網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)。
業(yè)務(wù)安全迫在眉睫
互聯(lián)網(wǎng)醫(yī)院依托實體醫(yī)療機構(gòu)�����,將業(yè)務(wù)延伸到互聯(lián)網(wǎng),和實體醫(yī)療機構(gòu)����、互聯(lián)網(wǎng)醫(yī)療服務(wù)監(jiān)管平臺、支付平臺�、衛(wèi)健委、醫(yī)保����、醫(yī)聯(lián)體、物流���、藥企等單位間的互聯(lián)互通增加了業(yè)務(wù)對外的暴露面���,系統(tǒng)漏洞和泛在網(wǎng)絡(luò)網(wǎng)絡(luò)邊界增加了病毒蔓延、網(wǎng)絡(luò)攻擊��、數(shù)據(jù)泄露等安全風(fēng)險�。
互聯(lián)網(wǎng)醫(yī)院網(wǎng)絡(luò)安全建設(shè)方案
圖注:互聯(lián)網(wǎng)醫(yī)院云環(huán)境模式
圖注:互聯(lián)網(wǎng)醫(yī)院本地自建模式
1�����、凡事預(yù)則立�,不預(yù)則廢。互聯(lián)網(wǎng)醫(yī)院要以等級保護三級要求為基礎(chǔ)(重點關(guān)注等級保護安全通用要求����、云計算安全擴展要求、移動互聯(lián)安全擴展要求)���,制定網(wǎng)絡(luò)安全總體規(guī)劃���,落實網(wǎng)絡(luò)安全責(zé)任制,建設(shè)安全技術(shù)體系和安全管理體系���,構(gòu)建具備相應(yīng)等級安全保護能力的網(wǎng)絡(luò)安全綜合防御體系���,確保網(wǎng)絡(luò)安全與信息化建設(shè)項目同步規(guī)劃、同步建設(shè)���、同步運行����。(可選用安全咨詢�����、安全規(guī)劃、等保測評等相關(guān)服務(wù))
2�����、以風(fēng)險治理為核心�,根據(jù)業(yè)務(wù)目標,開展差距分析評估當前安全狀態(tài)��,確定識別風(fēng)險及處理優(yōu)先級互聯(lián)網(wǎng)醫(yī)院管理辦法?嚴禁首診�����,確定建設(shè)路徑和實施計劃����,規(guī)劃為降低網(wǎng)絡(luò)安全風(fēng)險而投入的資源等。(可選用安全風(fēng)險評估���、差距測評等)
3����、互聯(lián)網(wǎng)醫(yī)院高度依賴業(yè)務(wù)系統(tǒng)�,需重點關(guān)注業(yè)務(wù)連續(xù)性和可用性�����,包括兩條以上互聯(lián)網(wǎng)鏈路負載和冗余、服務(wù)器負載均衡及冗余備份����、備用電力供應(yīng)、數(shù)據(jù)備份����、關(guān)鍵設(shè)備冗余等保障措施。(可選用應(yīng)用交付��、數(shù)據(jù)備份軟件��、雙機或集群技術(shù)����、UPS等)
