从健康中国视角解读医疗网络安全建设的必要性
健康中国战略的提出
2021年3月,国家发布《“十四五”规划和2035年远景目标纲要》,提出全面推进健康中国建设的目标,把保障人民健康放在优先发展的战略位置,体现了“以人为本”的思想。
健康中国战略的背后逻辑
数据显示,2021年我国人口达14.1亿,60岁以上占比18.9%,预计2022年人口负增长,人口红利消失,而人口是支撑中国经济快速发展的重要动力,人口老龄化又势必严重冲击经济的增长。延迟退休提上日程,保持身体健康至关重要。
而由于生态环境、食品卫生、生活压力等各方面因素叠加,人民群众的健康状况并不乐观,需要通过医疗保健等手段来提高个体生命质量。因此,整个医疗卫生趋势由“医疗”救治向“健康”管理转变,需要医疗机构革新服务模式,重塑服务流程,大健康时代来临。
医疗信息化是健康中国的支撑和落脚点
国家采取“互联网+医疗健康”的发展模式,利用人工智能、大数据、云计算等信息化手段,推进健康中国战略,促进医疗模式变革。信息化促进了中国医疗数十年的快速发展,今后将继续促进医疗服务的数字化、智能化,更有效地支撑健康中国的发展。
健康中国背景下的医疗网络安全建设
网络安全和信息化是一体之两翼,驱动之双轮。安全建设与医疗信息化应该同步规划、同步建设、同步使用。健康中国时代背景下的医疗网络安全建设,总体上遵循如下两大原则:
1. 医疗网络安全应遵循法律合规的框架
为了实现健康中国的宏伟目标,有效地指导健康中国的业务实践,国务院、卫健委颁发了大量的医疗行业法规政策和标准,并对医疗安全提出了明确的要求。
法律法规层面
2016年,我国发布《网络安全法》,将网络安全上升到法律意志的高度。2021年,我国又相继发布《数据安全法》《个人信息保护法》,对数据安全、个人信息保护提出具体的法律条文要求。医疗行业也需依照上述法律要求开展安全工作,并遵循《健康医疗数据安全指南》,加强健康医疗数据和个人隐私安全管控。
标准层面
医疗机构应遵循《网络安全等级保护基本要求》《互联互通标准化成熟度测评方案》《电子病历系统应用水平分级评价标准》《医院智慧服务分级评估标准体系》等各项行业标准规范,在互联互通、电子病历、智慧医院等各领域开展合规测评,满足安全测评要求。
其中,等 保是我国非涉密领域网络安全建设的重要标准。 东软NetEye是最早开展医疗等保建设的安 全厂商之一,具有丰富的集成经验和资质。 曾助力上海某三甲医院顺利通过等保三级测评,为全国首批; 助 力上海某人民医院扎实落实等保安全体系,高分通过等保测评,并成功抵御了流行病毒攻击,保障了业务安全。
东软NetEye在遵循《网络安全法》《数据安全法》等法律框架基础上,协助医疗机构分析电子病历、互联互通等合规测评差距和风险,落实安全措施,确保顺利通过网络安全合规测评要求。
2.医疗网络安全应以业务为导向,与业务深度融合
随着互联网医院等业务模式的开展,“互联网+医疗健康”业务类型不断丰富。医疗机构对外连接机构不断增多,业务交互范围不断扩大,业务对象、内容等发生变化,单纯基于安全产品或技术的简单粗粝的传统网络防护,已无法保障医疗业务发展面临的安全挑战。
应从业务视角开展安全建设,秉承“业务驱动安全”的理念,聚焦业务发展变革中的风险,建立与业务发展相适应的安全防御体系。具体而言,以安全咨询规划服务引领,围绕医疗业务发展的战略目标,基于医疗业务特点,分析信息化对业务的影响。
图1 东软NetEye业务驱动安全总体框架
可从医疗机构业务发展所涉及的互联网医院等业务场景和互联网、内网等网络场景为切入点,分析医疗业务面临的威胁及其存在的脆弱性,确定安全防护重点。
- 从HIS等核心业务系统角度,对问诊、挂号、结算等业务链进行风险分析。对业务流转涉及的医疗健康数据进行分级分类,整合加解密、防泄漏、脱敏、溯源取证等安全技术,实现医疗健康数据采集、传输、存储、处理、交换和共享等全生命周期的防护;
- 从互联网医院等业务模式角度,对通信业务链进行风险分析。了解互联网医院建设方式、业务影响等。若本地建设,将打破原有内网模式,需重新界定内外网交互的网络边界,防范以互联网医院为跳板对内网进行攻击;如果上云,需进行不同租户的安全隔离等。
东软NetEye基于自身26年丰富的安全技术积累,以及东软集团在医疗健康行业近30年深厚的医疗业务经验,围绕医疗信息化建设的全生命周期,提供场景化的医疗安全解决方案,如下所示。
图2 东软NetEye医疗合规与业务安全方案集合
东软NetEye安全方案覆盖咨询规划、安全产品与服务、体系化的运营防护等,将技术、管理、人员、流程、业务有机整合,助力医疗机构加强网络安全防护和统筹管理能力,提升对安全事件的响应和预测能力,持续构建主动安全防御体系,保障业务系统安全稳定地运行。
