互聯網醫(yī)院網絡安全解決方案作者:啟明星辰技術中心行業(yè)營銷部2021-03-09
業(yè)務背景
根據國家衛(wèi)健委2018年發(fā)布的《關于印發(fā)互聯網診療管理辦法(試行)等 3 個文件(國衛(wèi)醫(yī)發(fā)[2018]25 號)》 的定義����,互聯網醫(yī)院、互聯網診療�����、遠程醫(yī)療同屬于互聯網醫(yī)療范疇��。
《互聯網醫(yī)院管理辦法(試行)》要求“互聯網醫(yī)院信息系統按照國家有關法律法規(guī)和規(guī)定�����,實施第三級信息安全等級保護”�����。
《關于印發(fā)互聯網診療管理辦法(試行)等3個文件的通知》����,要求所有承載互聯網醫(yī)療的業(yè)務系統必須通過等保三級����;
2020年,受新冠疫情影響,線上就醫(yī)問診的需求呈現出前所未有的增長趨勢���,線下就診可能存在感染風險�����,而隔離政策使異地患者難以就醫(yī)����,互聯網醫(yī)院這種模式因具有降低患者交叉感染�、實現患者 “非接觸看病”的特殊優(yōu)勢成為了“戰(zhàn)疫先鋒”,互聯網醫(yī)療在疫情防控中所起到的積極作用再次成為行業(yè)關注焦點��。2020年2月正值新冠肺炎疫情的高峰期����,建立的互聯網醫(yī)院也最多達到65家。疫情防控的迫切需要推動了互聯網醫(yī)院建設�,原有互聯網醫(yī)院紛紛開通線上發(fā)熱門診、慢病復診�����、肺炎咨詢����,此外還不斷有互聯網醫(yī)院緊急獲批和上線��。
在疫情推動下�����,互聯網診療���、互聯網醫(yī)院迎來了全新的發(fā)展階段,公立醫(yī)院成為此輪建設熱潮中當之無愧的絕對主角����,同時由于各醫(yī)療機構匆忙上線互聯網診療應用也帶來了較高的網絡安全風險�。
安全需求
● 保護患者信息隱私要求
互聯網醫(yī)療信息系統的信息包括電子病歷、健康檔案����、會診信息、影像數據等���,電子病歷或健康檔案涉及到個人的基本信息���,病史等隱私數據,會診信息是會診專家對患者的診斷信息?��;颊唠[私數據的泄漏直接侵犯患者利益���,影響醫(yī)院的聲譽;患者個人���、診療等信息傳輸�、存儲過程中導致被篡改�����、丟失等直接影響會診結果�,嚴重導致醫(yī)療事故。
要保障這些信息傳輸的完整性��,能檢測�,能恢復;保證系數據傳輸和存儲的保密性�����;本地完全數據備份�,重要數據異地備份���。
●保護互聯網醫(yī)院內部信息安全需求
互聯網醫(yī)院需要依托實體醫(yī)院開展互聯網診療服務,需要在醫(yī)院內網與互聯網之間進行部分連接與限定的信息交互�����,其他大量內網信息則不能外泄���。這使得互聯網醫(yī)院內網安全面臨新的挑戰(zhàn)�,在部分聯通互聯網情況下�����,保證互聯網醫(yī)院內網信息安全無泄漏和防入侵等�,成為互聯網醫(yī)療系統整體安全的重要需求。
需要在醫(yī)院內部網絡與互聯網間進行安全隔離���,進行安全域劃分,邊界處需具備防火墻�����、惡意代碼防護��、邊界完整性保護、入侵檢測等控制措施�����。
●業(yè)務數據庫的安全防護需求
互聯網醫(yī)療系統存儲的會診���、教學等大量業(yè)務信息需要在業(yè)務工作中回溯�、比對和部分患者信息的連續(xù)動態(tài)觀察��,如果存儲的歷史信息因受到外部攻擊而丟失�、損毀或泄漏,則對醫(yī)療業(yè)務帶來重要不良影響����。因此,防御各類網絡攻擊行為�����,實現對網絡層以及業(yè)務系統的安全防護���,保護核心信息資產的免受攻擊危害成為互聯網醫(yī)院醫(yī)療系統信息安全的重要需求之一�。
解決方案
目前互聯網醫(yī)院建設模式主要有醫(yī)院自建�、公用云+本地混搭和衛(wèi)健委統建三種模式��。
1.醫(yī)院自建模式
自建互聯網醫(yī)院模式依托于實體醫(yī)院����,而實體醫(yī)院網絡安全建設多年來主要集中在醫(yī)院內網建設���,因此針對自建互聯網醫(yī)院模式的網絡安全規(guī)劃設計應偏重于重新劃定網絡安全區(qū)域����,明確不同安全區(qū)域間邊界安全建設��。根據互聯網醫(yī)院以APP移動應用及WEB應用為主的產品形態(tài)����,需重點關注云計算安全,醫(yī)療患者數據安全及移動互聯安全�。
2.公有云+本地混搭模式
此模式將醫(yī)院前端業(yè)務和后端數據進行分離部署,掛號��、導診�����、查詢等前端應用部署在云平臺上����,診療數據、患者信息等存在在醫(yī)院內網本地�����,即保證業(yè)務的彈性冗余擴展同時��,也需兼顧數據安全與合規(guī)要求�����。
3.衛(wèi)健委統建模式
衛(wèi)健委統建的區(qū)域互聯網醫(yī)院服務監(jiān)管平臺實現“互聯網診療+監(jiān)管”模式��,各醫(yī)療機構通過在線申請入駐平臺����,由平臺提供在線診療服務,通過數據接入對所有提供互聯網診療服務的機構進行監(jiān)管�,保障互聯網診療全過程的可管可控可追溯。因此���,可通過態(tài)勢感知平臺及安全運營中心��,建設網絡安全監(jiān)管平臺��,實現對互聯網醫(yī)院網絡安全的一體化管理和整體安全態(tài)勢掌控互聯網醫(yī)院運營計劃����,構建起業(yè)務+安全的多維度互聯網醫(yī)院監(jiān)管平臺。
