從健康中國視角解讀醫療網絡安全建設的必要性

健康中國戰略的提出

2021年3月，國家發布《“十四五”規劃和2035年遠景目標綱要》，提出全面推進健康中國建設的目標，把保障人民健康放在優先發展的戰略位置，體現了“以人為本”的思想。

健康中國戰略的背后邏輯

數據顯示，2021年我國人口達14.1億，60歲以上占比18.9%，預計2022年人口負增長，人口紅利消失，而人口是支撐中國經濟快速發展的重要動力，人口老齡化又勢必嚴重沖擊經濟的增長。延遲退休提上日程，保持身體健康至關重要。

而由于生態環境、食品衛生、生活壓力等各方面因素疊加，人民群眾的健康狀況并不樂觀，需要通過醫療保健等手段來提高個體生命質量。因此，整個醫療衛生趨勢由“醫療”救治向“健康”管理轉變，需要醫療機構革新服務模式，重塑服務流程，大健康時代來臨。

醫療信息化是健康中國的支撐和落腳點

國家采取“互聯網+醫療健康”的發展模式，利用人工智能、大數據、云計算等信息化手段，推進健康中國戰略，促進醫療模式變革。信息化促進了中國醫療數十年的快速發展，今后將繼續促進醫療服務的數字化、智能化，更有效地支撐健康中國的發展。

健康中國背景下的醫療網絡安全建設

網絡安全和信息化是一體之兩翼，驅動之雙輪。安全建設與醫療信息化應該同步規劃、同步建設、同步使用。健康中國時代背景下的醫療網絡安全建設，總體上遵循如下兩大原則：

1. 醫療網絡安全應遵循法律合規的框架

為了實現健康中國的宏偉目標，有效地指導健康中國的業務實踐，國務院、衛健委頒發了大量的醫療行業法規政策和標準，并對醫療安全提出了明確的要求。

法律法規層面

2016年，我國發布《網絡安全法》，將網絡安全上升到法律意志的高度。2021年，我國又相繼發布《數據安全法》《個人信息保護法》，對數據安全、個人信息保護提出具體的法律條文要求。醫療行業也需依照上述法律要求開展安全工作，并遵循《健康醫療數據安全指南》，加強健康醫療數據和個人隱私安全管控。

標準層面

醫療機構應遵循《網絡安全等級保護基本要求》《互聯互通標準化成熟度測評方案》《電子病歷系統應用水平分級評價標準》《醫院智慧服務分級評估標準體系》等各項行業標準規范，在互聯互通、電子病歷、智慧醫院等各領域開展合規測評，滿足安全測評要求。

其中，等 保是我國非涉密領域網絡安全建設的重要標準。 東軟NetEye是最早開展醫療等保建設的安 全廠商之一，具有豐富的集成經驗和資質。 曾助力上海某三甲醫院順利通過等保三級測評，為全國首批； 助 力上海某人民醫院扎實落實等保安全體系，高分通過等保測評，并成功抵御了流行病毒攻擊，保障了業務安全。

東軟NetEye在遵循《網絡安全法》《數據安全法》等法律框架基礎上，協助醫療機構分析電子病歷、互聯互通等合規測評差距和風險，落實安全措施，確保順利通過網絡安全合規測評要求。

2.醫療網絡安全應以業務為導向，與業務深度融合

隨著互聯網醫院等業務模式的開展，“互聯網+醫療健康”業務類型不斷豐富。醫療機構對外連接機構不斷增多，業務交互范圍不斷擴大，業務對象、內容等發生變化，單純基于安全產品或技術的簡單粗糲的傳統網絡防護，已無法保障醫療業務發展面臨的安全挑戰。

應從業務視角開展安全建設，秉承“業務驅動安全”的理念，聚焦業務發展變革中的風險，建立與業務發展相適應的安全防御體系。具體而言，以安全咨詢規劃服務引領，圍繞醫療業務發展的戰略目標，基于醫療業務特點，分析信息化對業務的影響。

圖1 東軟NetEye業務驅動安全總體框架

可從醫療機構業務發展所涉及的互聯網醫院等業務場景和互聯網、內網等網絡場景為切入點，分析醫療業務面臨的威脅及其存在的脆弱性，確定安全防護重點。

• 從HIS等核心業務系統角度，對問診、掛號、結算等業務鏈進行風險分析。對業務流轉涉及的醫療健康數據進行分級分類，整合加解密、防泄漏、脫敏、溯源取證等安全技術，實現醫療健康數據采集、傳輸、存儲、處理、交換和共享等全生命周期的防護；
• 從互聯網醫院等業務模式角度，對通信業務鏈進行風險分析。了解互聯網醫院建設方式、業務影響等。若本地建設，將打破原有內網模式，需重新界定內外網交互的網絡邊界，防范以互聯網醫院為跳板對內網進行攻擊；如果上云，需進行不同租戶的安全隔離等。

東軟NetEye基于自身26年豐富的安全技術積累，以及東軟集團在醫療健康行業近30年深厚的醫療業務經驗，圍繞醫療信息化建設的全生命周期，提供場景化的醫療安全解決方案，如下所示。

圖2 東軟NetEye醫療合規與業務安全方案集合

東軟NetEye安全方案覆蓋咨詢規劃、安全產品與服務、體系化的運營防護等，將技術、管理、人員、流程、業務有機整合，助力醫療機構加強網絡安全防護和統籌管理能力，提升對安全事件的響應和預測能力，持續構建主動安全防御體系，保障業務系統安全穩定地運行。