2016年至今，從《“健康中國2030”規(guī)劃綱要》出臺到國務(wù)院辦公廳印發(fā)《關(guān)于促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》，從國家衛(wèi)健委印發(fā)互聯(lián)網(wǎng)診療管理辦法(試行)等文件再到發(fā)布《關(guān)于在疫情防控中做好互聯(lián)網(wǎng)診療咨詢服務(wù)工作的通知》，以“互聯(lián)網(wǎng)+醫(yī)療”為代表的醫(yī)療服務(wù)領(lǐng)域新業(yè)態(tài)不斷涌現(xiàn)。通過應(yīng)用各類信息化手段，掛號結(jié)算、遠程診療、咨詢服務(wù)等業(yè)務(wù)環(huán)節(jié)服務(wù)效率極大提升、服務(wù)內(nèi)容持續(xù)豐富、服務(wù)模式也不斷升級。

與此同時，更加智慧化、便捷化及互聯(lián)網(wǎng)化的醫(yī)療服務(wù)也對其背后支撐的醫(yī)院信息系統(tǒng)建設(shè)帶來了新的機遇與挑戰(zhàn)。

變中謀新 構(gòu)建醫(yī)療數(shù)字化轉(zhuǎn)型新生產(chǎn)力

在東軟集團副總裁兼網(wǎng)絡(luò)安全事業(yè)部總經(jīng)理楊紀文看來，醫(yī)院信息系統(tǒng)建設(shè)與應(yīng)用呈現(xiàn)出三個變化。一是從封閉轉(zhuǎn)向開放。從網(wǎng)絡(luò)服務(wù)范圍維度看，系統(tǒng)由封閉的、服務(wù)于內(nèi)部辦公人員的內(nèi)部網(wǎng)絡(luò)形態(tài)逐步向服務(wù)互聯(lián)網(wǎng)端的患者以及服務(wù)專有網(wǎng)絡(luò)、互聯(lián)網(wǎng)端的醫(yī)療衛(wèi)生機構(gòu)人員轉(zhuǎn)變;從網(wǎng)絡(luò)建設(shè)維度看，組網(wǎng)接入形式由內(nèi)部有線網(wǎng)絡(luò)逐步向Wi-Fi組網(wǎng)、4G通訊技術(shù)組網(wǎng)以及5G多元化服務(wù)場景組網(wǎng)轉(zhuǎn)變;從數(shù)據(jù)流動與調(diào)用維度看，數(shù)據(jù)流動由院內(nèi)流動、調(diào)用逐步向院外流動調(diào)用、多機構(gòu)間流動調(diào)用轉(zhuǎn)變。二是從獨立轉(zhuǎn)向協(xié)同。一方面，醫(yī)院信息系統(tǒng)正由獨立逐步向協(xié)同互聯(lián)轉(zhuǎn)變。例如由原本的醫(yī)院HIS系統(tǒng)、EMR系統(tǒng)、LIS系統(tǒng)、PACS系統(tǒng)逐步向醫(yī)院信息平臺發(fā)展，由單一的醫(yī)院內(nèi)部系統(tǒng)逐步向醫(yī)聯(lián)體、醫(yī)共體發(fā)展;另一方面，利用信息系統(tǒng)開展醫(yī)療業(yè)務(wù)的工作人員也在由過去相對單一角色、單一科室、單一機構(gòu)向多角色、多科室、多機構(gòu)協(xié)同轉(zhuǎn)變。例如院內(nèi)醫(yī)生、護士、行政管理人員針對智慧醫(yī)療提升患者就診體驗的場景、醫(yī)療數(shù)據(jù)使用與共享的場景以及隨著醫(yī)療平臺化后未來在城市級醫(yī)療服務(wù)協(xié)同等場景。三是從輔助手段轉(zhuǎn)向有力支撐。過去，醫(yī)院信息系統(tǒng)一般獨立地服務(wù)于某個業(yè)務(wù)功能，作為醫(yī)療服務(wù)開展的輔助手段。如今，醫(yī)療信息化手段不單作為醫(yī)院HIS、LIS等核心系統(tǒng)、醫(yī)院財務(wù)系統(tǒng)、辦公系統(tǒng)等的有力支撐，更是支撐醫(yī)院開展多元業(yè)務(wù)、提供滿足患者多元化需求的有力支撐，并已深入應(yīng)用于輔助決策、科研等領(lǐng)域。

[[404944]]

賦能醫(yī)療行業(yè)數(shù)字化轉(zhuǎn)型、推進智慧醫(yī)療建設(shè)的新的信息化手段將會是行業(yè)新的生產(chǎn)力。當下，隨著信息化與醫(yī)療業(yè)務(wù)高度滲透融合，醫(yī)院CIO也將面臨更多挑戰(zhàn)：如何在滿足人民群眾對醫(yī)療服務(wù)質(zhì)量提升的需求下兼顧業(yè)務(wù)的保密性、完整性及信息安全合規(guī)性等要求。

安全，將是醫(yī)院CIO關(guān)注的重點，也是醫(yī)療行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施高質(zhì)量發(fā)展的保障和前提。

業(yè)務(wù)驅(qū)動 為醫(yī)院信息化全生命周期安全賦能

目前，在互聯(lián)網(wǎng)醫(yī)療快速發(fā)展趨勢下，醫(yī)院業(yè)務(wù)多出口連接銀行、醫(yī)保、物流、藥企、醫(yī)聯(lián)體及自助終端設(shè)備，存在不同程度的安全隱患。

對此，醫(yī)院常見的防護方式是購置下一代防火墻、網(wǎng)閘、IDS、防病毒、流量分析、審計系統(tǒng)等安全產(chǎn)品。但從現(xiàn)狀來看，大量安全產(chǎn)品層層包裹下的醫(yī)院信息中心仍會面臨安全攻擊導(dǎo)致的業(yè)務(wù)終端、數(shù)據(jù)泄露等事故。安全產(chǎn)品是低成本、高效率解決基本網(wǎng)絡(luò)安全問題的手段，但并不是解決網(wǎng)絡(luò)安全問題的全部手段。

當下，醫(yī)療業(yè)務(wù)高度依賴信息化，醫(yī)療業(yè)務(wù)正加快互聯(lián)網(wǎng)化、智慧化轉(zhuǎn)型，醫(yī)院安全防御體系構(gòu)建如果僅從安全技術(shù)角度考量則會導(dǎo)致兩種結(jié)果：一是過度防御影響業(yè)務(wù)便捷，二是防御不足難以抵御高級威脅。例如，在一些醫(yī)院中，部分專線的邊界安全防范措施往往及其薄弱。也正因如此，近年來我國醫(yī)療系統(tǒng)遭受的勒索病毒感染案例中，病毒傳播途徑有相當比例是經(jīng)專網(wǎng)而非互聯(lián)網(wǎng)導(dǎo)致這一現(xiàn)狀也是源于醫(yī)療行業(yè)信息安全建設(shè)整體缺乏有效的頂層設(shè)計、體系化防護的安全產(chǎn)品，且單純從安全技術(shù)、安全產(chǎn)品視角部署的安全措施理論可行，但實際存在巨大的安全隱患與沖突。

因此，東軟網(wǎng)絡(luò)安全基于東軟集團30年醫(yī)療行業(yè)業(yè)務(wù)積累、25年安全技術(shù)研發(fā)積累，提出了業(yè)務(wù)驅(qū)動安全的理論模型。從設(shè)計規(guī)劃階段的咨詢服務(wù)，到建設(shè)整改階段的產(chǎn)品、安全服務(wù)及安全合規(guī)集成服務(wù)，再到運營階段的體系化防護安全運營服務(wù)，我們能為醫(yī)院信息化建設(shè)全生命周期安全賦能，幫助醫(yī)院CIO從自身網(wǎng)絡(luò)環(huán)境及網(wǎng)絡(luò)出口業(yè)務(wù)特性出發(fā)，明確整體安全戰(zhàn)略目標、制定安全體系規(guī)劃、明晰安全產(chǎn)品選擇、合理配置安全策略、建立安全維護制度，解決醫(yī)院網(wǎng)絡(luò)安全建設(shè)中的合規(guī)風(fēng)險、事件風(fēng)險、業(yè)務(wù)變革新風(fēng)險等安全風(fēng)險及挑戰(zhàn)。

三個驅(qū)動力 推動業(yè)務(wù)安全解決方案有效落地

對東軟網(wǎng)絡(luò)安全而言，其提供的業(yè)務(wù)安全解決方案緊緊圍繞著醫(yī)院網(wǎng)絡(luò)安全建設(shè)的三個驅(qū)動要素。

一是合規(guī)驅(qū)動。一方面，從《計算機信息系統(tǒng)安全保護等級劃分準則》到《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》再到《涉及國家秘密的信息系統(tǒng)分級保護管理辦法》，國辦、保密局、密碼局等各級行業(yè)主管部門發(fā)布一系列政策，推動等級保護制度、分級保護制度深入落地執(zhí)行;另一方面，《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《個人信息保護法(草案)》等法律法規(guī)及下位法也正有條不紊地落地指導(dǎo)我國信息化建設(shè)。基于此，國家衛(wèi)健委針對我國公共衛(wèi)生機構(gòu)、醫(yī)療機構(gòu)、基層醫(yī)療機構(gòu)的信息化建設(shè)標準與規(guī)范及關(guān)鍵信息基礎(chǔ)設(shè)施保護也在逐步落地執(zhí)行，當前幾乎所有的醫(yī)院信息化建設(shè)標準中均提出了網(wǎng)絡(luò)安全建設(shè)合規(guī)要求，因此合規(guī)驅(qū)動將是當前及未來一段時間內(nèi)我國醫(yī)院網(wǎng)絡(luò)安全建設(shè)最核心的驅(qū)動力。

二是事件驅(qū)動。無論國內(nèi)還是國外，醫(yī)療行業(yè)網(wǎng)絡(luò)安全問題正呈高頻次、高影響、高非法收益的發(fā)展態(tài)勢。一方面表明醫(yī)療行業(yè)數(shù)據(jù)及業(yè)務(wù)越來越重要，另一方面也說明醫(yī)療行業(yè)整體安全建設(shè)遠落后于信息化建設(shè)。基于此，如針對數(shù)據(jù)泄露、業(yè)務(wù)被攻擊中斷、勒索病毒攻擊等事件作出有效的對抗及保障將是我國醫(yī)院網(wǎng)絡(luò)安全建設(shè)的核心驅(qū)動力之一。

三是業(yè)務(wù)驅(qū)動。伴隨著“互聯(lián)網(wǎng)+醫(yī)療”新業(yè)態(tài)加快發(fā)展，療信息化與醫(yī)療業(yè)務(wù)服務(wù)的高度融合，我們看到了醫(yī)療互聯(lián)網(wǎng)化、數(shù)據(jù)及業(yè)務(wù)互聯(lián)互通、智能應(yīng)用智能設(shè)備所產(chǎn)生的一系列由于業(yè)務(wù)變革伴生的新的網(wǎng)絡(luò)安全風(fēng)險與挑戰(zhàn)，總結(jié)起來應(yīng)該歸類為業(yè)務(wù)變革帶來全新的安全風(fēng)險與挑戰(zhàn)。而這些風(fēng)險也是醫(yī)院信息化工作者過去接觸較少的系統(tǒng)性風(fēng)險而非單一技術(shù)隱患，其隱蔽性、破壞性高于傳統(tǒng)網(wǎng)絡(luò)安全問題，且單純從安全視角難以解決這類風(fēng)險及挑戰(zhàn)。因此，業(yè)務(wù)驅(qū)動的安全防護體系構(gòu)建將會是醫(yī)院網(wǎng)絡(luò)安全建設(shè)重要的驅(qū)動力。

基于這三個驅(qū)動力，東軟網(wǎng)絡(luò)安全構(gòu)建了一套業(yè)務(wù)驅(qū)動安全的核心理念，結(jié)合東軟30年的業(yè)務(wù)積累及25年的安全自主研發(fā)能力積累，旨在解決當前醫(yī)療行業(yè)客戶在業(yè)務(wù)互聯(lián)網(wǎng)化、數(shù)字化轉(zhuǎn)型中面對的合規(guī)、事件、業(yè)務(wù)風(fēng)險挑戰(zhàn)。東軟網(wǎng)絡(luò)安全提出，結(jié)合醫(yī)療行業(yè)業(yè)務(wù)特性，以業(yè)務(wù)驅(qū)動安全為核心，以咨詢服務(wù)為牽引，站在中立的角度發(fā)現(xiàn)、分析、解決客戶實際面臨的安全顯性問題及隱性安全問題。以產(chǎn)品、服務(wù)為工具，施以合適的處置措施;以安全體系為綱要提升醫(yī)療行業(yè)客戶數(shù)字化轉(zhuǎn)型的組織級能力。分別提出針對互聯(lián)網(wǎng)醫(yī)院建設(shè)業(yè)務(wù)需求、防黃牛掛號業(yè)務(wù)風(fēng)險、醫(yī)療數(shù)據(jù)安全、內(nèi)網(wǎng)外網(wǎng)互聯(lián)網(wǎng)三網(wǎng)建設(shè)等維度提供業(yè)務(wù)安全解決方案、產(chǎn)品及服務(wù);針對互聯(lián)互通、電子病歷評級、智慧病區(qū)建設(shè)、醫(yī)聯(lián)體、醫(yī)共體建設(shè)提供整體的業(yè)務(wù)合規(guī)網(wǎng)絡(luò)安全解決方案、產(chǎn)品及服務(wù);針對等級保護全生命周期的建設(shè)提供整體的安全合規(guī)解決方案、產(chǎn)品及服務(wù);同時，東軟網(wǎng)絡(luò)安全推出了業(yè)內(nèi)首個針對醫(yī)療器械安全風(fēng)險、醫(yī)療物聯(lián)網(wǎng)安全的創(chuàng)新業(yè)務(wù)安全解決方案及產(chǎn)品。此外，針對醫(yī)院網(wǎng)絡(luò)安全事件、事故，東軟網(wǎng)絡(luò)安全也能夠提供覆蓋事件前中后的不同安全服務(wù)、應(yīng)急服務(wù)及咨詢服務(wù)。相關(guān)業(yè)務(wù)安全解決方案在很多醫(yī)院已有效落地。

據(jù)東軟集團副總裁兼網(wǎng)絡(luò)安全事業(yè)部總經(jīng)理楊紀文介紹，相關(guān)業(yè)務(wù)安全解決方案在很多醫(yī)院已有效落地。

以用戶實踐為例，東軟網(wǎng)絡(luò)安全持續(xù)5年服務(wù)于某三甲醫(yī)院，并以咨詢服務(wù)為牽引、安全產(chǎn)品為抓手、安全運營為核心，在該醫(yī)院建立了業(yè)務(wù)安全體系化防護中心。以安全事件防范為例，2019年，上海某區(qū)醫(yī)院大面積遭受勒索病毒攻擊，東軟網(wǎng)絡(luò)安全服務(wù)的醫(yī)院成功抵御勒索病毒攻擊，當?shù)匦l(wèi)健委組織其他醫(yī)院參觀學(xué)習(xí)。這些成功實踐作為東軟網(wǎng)絡(luò)安全業(yè)務(wù)安全體系落地的試金石，贏得用戶認可的同時，也見證了東軟業(yè)務(wù)安全體系的落地效果。

未來，醫(yī)院信息化建設(shè)將更關(guān)注智慧化、智能化。如智能決策、業(yè)務(wù)經(jīng)驗數(shù)字化、多系統(tǒng)互聯(lián)融合、平臺化、數(shù)據(jù)高度流動及關(guān)聯(lián)等都將支撐醫(yī)療服務(wù)持續(xù)升級、優(yōu)化。這一過程中，一方面，安全既是醫(yī)院信息化建設(shè)乃至業(yè)務(wù)開展的基礎(chǔ)設(shè)施、基本要素，也是構(gòu)建醫(yī)院安全運營能力的基礎(chǔ);另一方面，安全也是醫(yī)療數(shù)字化轉(zhuǎn)型的關(guān)鍵競爭力要素，能夠構(gòu)建符合業(yè)務(wù)發(fā)展而非影響業(yè)務(wù)發(fā)展的安全體系、能夠形成對抗惡意組織惡意攻擊的安全能力，未來可能成為患者在評估醫(yī)院醫(yī)技水準、醫(yī)療設(shè)施以外的重要維度。