2016年至今,从《“健康中国2030”规划纲要》出台到国务院办公厅印发《关于促进“互联网+医疗健康”发展的意见》,从国家卫健委印发互联网诊疗管理办法(试行)等文件再到发布《关于在疫情防控中做好互联网诊疗咨询服务工作的通知》,以“互联网+医疗”为代表的医疗服务领域新业态不断涌现。通过应用各类信息化手段,挂号结算、远程诊疗、咨询服务等业务环节服务效率极大提升、服务内容持续丰富、服务模式也不断升级。
与此同时,更加智慧化、便捷化及互联网化的医疗服务也对其背后支撑的医院信息系统建设带来了新的机遇与挑战。
变中谋新 构建医疗数字化转型新生产力
在东软集团副总裁兼网络安全事业部总经理杨纪文看来,医院信息系统建设与应用呈现出三个变化。一是从封闭转向开放。从网络服务范围维度看,系统由封闭的、服务于内部办公人员的内部网络形态逐步向服务互联网端的患者以及服务专有网络、互联网端的医疗卫生机构人员转变;从网络建设维度看,组网接入形式由内部有线网络逐步向Wi-Fi组网、4G通讯技术组网以及5G多元化服务场景组网转变;从数据流动与调用维度看,数据流动由院内流动、调用逐步向院外流动调用、多机构间流动调用转变。二是从独立转向协同。一方面,医院信息系统正由独立逐步向协同互联转变。例如由原本的医院HIS系统、EMR系统、LIS系统、PACS系统逐步向医院信息平台发展,由单一的医院内部系统逐步向医联体、医共体发展;另一方面,利用信息系统开展医疗业务的工作人员也在由过去相对单一角色、单一科室、单一机构向多角色、多科室、多机构协同转变。例如院内医生、护士、行政管理人员针对智慧医疗提升患者就诊体验的场景、医疗数据使用与共享的场景以及随着医疗平台化后未来在城市级医疗服务协同等场景。三是从辅助手段转向有力支撑。过去,医院信息系统一般独立地服务于某个业务功能,作为医疗服务开展的辅助手段。如今,医疗信息化手段不单作为医院HIS、LIS等核心系统、医院财务系统、办公系统等的有力支撑,更是支撑医院开展多元业务、提供满足患者多元化需求的有力支撑,并已深入应用于辅助决策、科研等领域。
赋能医疗行业数字化转型、推进智慧医疗建设的新的信息化手段将会是行业新的生产力。当下,随着信息化与医疗业务高度渗透融合,医院CIO也将面临更多挑战:如何在满足人民群众对医疗服务质量提升的需求下兼顾业务的保密性、完整性及信息安全合规性等要求。
安全,将是医院CIO关注的重点,也是医疗行业关键信息基础设施高质量发展的保障和前提。
业务驱动 为医院信息化全生命周期安全赋能
目前,在互联网医疗快速发展趋势下,医院业务多出口连接银行、医保、物流、药企、医联体及自助终端设备,存在不同程度的安全隐患。
对此,医院常见的防护方式是购置下一代防火墙、网闸、IDS、防病毒、流量分析、审计系统等安全产品。但从现状来看,大量安全产品层层包裹下的医院信息中心仍会面临安全攻击导致的业务终端、数据泄露等事故。安全产品是低成本、高效率解决基本网络安全问题的手段,但并不是解决网络安全问题的全部手段。
当下,医疗业务高度依赖信息化,医疗业务正加快互联网化、智慧化转型,医院安全防御体系构建如果仅从安全技术角度考量则会导致两种结果:一是过度防御影响业务便捷,二是防御不足难以抵御高级威胁。例如,在一些医院中,部分专线的边界安全防范措施往往及其薄弱。也正因如此,近年来我国医疗系统遭受的勒索病毒感染案例中,病毒传播途径有相当比例是经专网而非互联网导致这一现状也是源于医疗行业信息安全建设整体缺乏有效的顶层设计、体系化防护的安全产品,且单纯从安全技术、安全产品视角部署的安全措施理论可行,但实际存在巨大的安全隐患与冲突。
因此,东软网络安全基于东软集团30年医疗行业业务积累、25年安全技术研发积累,提出了业务驱动安全的理论模型。从设计规划阶段的咨询服务,到建设整改阶段的产品、安全服务及安全合规集成服务,再到运营阶段的体系化防护安全运营服务,我们能为医院信息化建设全生命周期安全赋能,帮助医院CIO从自身网络环境及网络出口业务特性出发,明确整体安全战略目标、制定安全体系规划、明晰安全产品选择、合理配置安全策略、建立安全维护制度,解决医院网络安全建设中的合规风险、事件风险、业务变革新风险等安全风险及挑战。
三个驱动力 推动业务安全解决方案有效落地
对东软网络安全而言,其提供的业务安全解决方案紧紧围绕着医院网络安全建设的三个驱动要素。
一是合规驱动。一方面,从《计算机信息系统安全保护等级划分准则》到《国家信息化领导小组关于加强信息安全保障工作的意见》再到《涉及国家秘密的信息系统分级保护管理办法》,国办、保密局、密码局等各级行业主管部门发布一系列政策,推动等级保护制度、分级保护制度深入落地执行;另一方面,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《个人信息保护法(草案)》等法律法规及下位法也正有条不紊地落地指导我国信息化建设。基于此,国家卫健委针对我国公共卫生机构、医疗机构、基层医疗机构的信息化建设标准与规范及关键信息基础设施保护也在逐步落地执行,当前几乎所有的医院信息化建设标准中均提出了网络安全建设合规要求,因此合规驱动将是当前及未来一段时间内我国医院网络安全建设最核心的驱动力。
二是事件驱动。无论国内还是国外,医疗行业网络安全问题正呈高频次、高影响、高非法收益的发展态势。一方面表明医疗行业数据及业务越来越重要,另一方面也说明医疗行业整体安全建设远落后于信息化建设。基于此,如针对数据泄露、业务被攻击中断、勒索病毒攻击等事件作出有效的对抗及保障将是我国医院网络安全建设的核心驱动力之一。
三是业务驱动。伴随着“互联网+医疗”新业态加快发展,疗信息化与医疗业务服务的高度融合,我们看到了医疗互联网化、数据及业务互联互通、智能应用智能设备所产生的一系列由于业务变革伴生的新的网络安全风险与挑战,总结起来应该归类为业务变革带来全新的安全风险与挑战。而这些风险也是医院信息化工作者过去接触较少的系统性风险而非单一技术隐患,其隐蔽性、破坏性高于传统网络安全问题,且单纯从安全视角难以解决这类风险及挑战。因此,业务驱动的安全防护体系构建将会是医院网络安全建设重要的驱动力。
基于这三个驱动力,东软网络安全构建了一套业务驱动安全的核心理念,结合东软30年的业务积累及25年的安全自主研发能力积累,旨在解决当前医疗行业客户在业务互联网化、数字化转型中面对的合规、事件、业务风险挑战。东软网络安全提出,结合医疗行业业务特性,以业务驱动安全为核心,以咨询服务为牵引,站在中立的角度发现、分析、解决客户实际面临的安全显性问题及隐性安全问题。以产品、服务为工具,施以合适的处置措施;以安全体系为纲要提升医疗行业客户数字化转型的组织级能力。分别提出针对互联网医院建设业务需求、防黄牛挂号业务风险、医疗数据安全、内网外网互联网三网建设等维度提供业务安全解决方案、产品及服务;针对互联互通、电子病历评级、智慧病区建设、医联体、医共体建设提供整体的业务合规网络安全解决方案、产品及服务;针对等级保护全生命周期的建设提供整体的安全合规解决方案、产品及服务;同时,东软网络安全推出了业内首个针对医疗器械安全风险、医疗物联网安全的创新业务安全解决方案及产品。此外,针对医院网络安全事件、事故,东软网络安全也能够提供覆盖事件前中后的不同安全服务、应急服务及咨询服务。相关业务安全解决方案在很多医院已有效落地。
据东软集团副总裁兼网络安全事业部总经理杨纪文介绍,相关业务安全解决方案在很多医院已有效落地。
以用户实践为例,东软网络安全持续5年服务于某三甲医院,并以咨询服务为牵引、安全产品为抓手、安全运营为核心,在该医院建立了业务安全体系化防护中心。以安全事件防范为例,2019年,上海某区医院大面积遭受勒索病毒攻击,东软网络安全服务的医院成功抵御勒索病毒攻击,当地卫健委组织其他医院参观学习。这些成功实践作为东软网络安全业务安全体系落地的试金石,赢得用户认可的同时,也见证了东软业务安全体系的落地效果。
未来,医院信息化建设将更关注智慧化、智能化。如智能决策、业务经验数字化、多系统互联融合、平台化、数据高度流动及关联等都将支撑医疗服务持续升级、优化。这一过程中,一方面,安全既是医院信息化建设乃至业务开展的基础设施、基本要素,也是构建医院安全运营能力的基础;另一方面,安全也是医疗数字化转型的关键竞争力要素,能够构建符合业务发展而非影响业务发展的安全体系、能够形成对抗恶意组织恶意攻击的安全能力,未来可能成为患者在评估医院医技水准、医疗设施以外的重要维度。