2016年至今，從《“健康中國2030”規劃綱要》出臺到國務院辦公廳印發《關于促進“互聯網+醫療健康”發展的意見》，從國家衛健委印發互聯網診療管理辦法(試行)等文件再到發布《關于在疫情防控中做好互聯網診療咨詢服務工作的通知》，以“互聯網+醫療”為代表的醫療服務領域新業態不斷涌現。通過應用各類信息化手段，掛號結算、遠程診療、咨詢服務等業務環節服務效率極大提升、服務內容持續豐富、服務模式也不斷升級。

與此同時，更加智慧化、便捷化及互聯網化的醫療服務也對其背后支撐的醫院信息系統建設帶來了新的機遇與挑戰。

變中謀新 構建醫療數字化轉型新生產力

在東軟集團副總裁兼網絡安全事業部總經理楊紀文看來，醫院信息系統建設與應用呈現出三個變化。一是從封閉轉向開放。從網絡服務范圍維度看，系統由封閉的、服務于內部辦公人員的內部網絡形態逐步向服務互聯網端的患者以及服務專有網絡、互聯網端的醫療衛生機構人員轉變;從網絡建設維度看，組網接入形式由內部有線網絡逐步向Wi-Fi組網、4G通訊技術組網以及5G多元化服務場景組網轉變;從數據流動與調用維度看，數據流動由院內流動、調用逐步向院外流動調用、多機構間流動調用轉變。二是從獨立轉向協同。一方面，醫院信息系統正由獨立逐步向協同互聯轉變。例如由原本的醫院HIS系統、EMR系統、LIS系統、PACS系統逐步向醫院信息平臺發展，由單一的醫院內部系統逐步向醫聯體、醫共體發展;另一方面，利用信息系統開展醫療業務的工作人員也在由過去相對單一角色、單一科室、單一機構向多角色、多科室、多機構協同轉變。例如院內醫生、護士、行政管理人員針對智慧醫療提升患者就診體驗的場景、醫療數據使用與共享的場景以及隨著醫療平臺化后未來在城市級醫療服務協同等場景。三是從輔助手段轉向有力支撐。過去，醫院信息系統一般獨立地服務于某個業務功能，作為醫療服務開展的輔助手段。如今，醫療信息化手段不單作為醫院HIS、LIS等核心系統、醫院財務系統、辦公系統等的有力支撐，更是支撐醫院開展多元業務、提供滿足患者多元化需求的有力支撐，并已深入應用于輔助決策、科研等領域。

[[404944]]

賦能醫療行業數字化轉型、推進智慧醫療建設的新的信息化手段將會是行業新的生產力。當下，隨著信息化與醫療業務高度滲透融合，醫院CIO也將面臨更多挑戰：如何在滿足人民群眾對醫療服務質量提升的需求下兼顧業務的保密性、完整性及信息安全合規性等要求。

安全，將是醫院CIO關注的重點，也是醫療行業關鍵信息基礎設施高質量發展的保障和前提。

業務驅動 為醫院信息化全生命周期安全賦能

目前，在互聯網醫療快速發展趨勢下，醫院業務多出口連接銀行、醫保、物流、藥企、醫聯體及自助終端設備，存在不同程度的安全隱患。

對此，醫院常見的防護方式是購置下一代防火墻、網閘、IDS、防病毒、流量分析、審計系統等安全產品。但從現狀來看，大量安全產品層層包裹下的醫院信息中心仍會面臨安全攻擊導致的業務終端、數據泄露等事故。安全產品是低成本、高效率解決基本網絡安全問題的手段，但并不是解決網絡安全問題的全部手段。

當下，醫療業務高度依賴信息化，醫療業務正加快互聯網化、智慧化轉型，醫院安全防御體系構建如果僅從安全技術角度考量則會導致兩種結果：一是過度防御影響業務便捷，二是防御不足難以抵御高級威脅。例如，在一些醫院中，部分專線的邊界安全防范措施往往及其薄弱。也正因如此，近年來我國醫療系統遭受的勒索病毒感染案例中，病毒傳播途徑有相當比例是經專網而非互聯網導致這一現狀也是源于醫療行業信息安全建設整體缺乏有效的頂層設計、體系化防護的安全產品，且單純從安全技術、安全產品視角部署的安全措施理論可行，但實際存在巨大的安全隱患與沖突。

因此，東軟網絡安全基于東軟集團30年醫療行業業務積累、25年安全技術研發積累，提出了業務驅動安全的理論模型。從設計規劃階段的咨詢服務，到建設整改階段的產品、安全服務及安全合規集成服務，再到運營階段的體系化防護安全運營服務，我們能為醫院信息化建設全生命周期安全賦能，幫助醫院CIO從自身網絡環境及網絡出口業務特性出發，明確整體安全戰略目標、制定安全體系規劃、明晰安全產品選擇、合理配置安全策略、建立安全維護制度，解決醫院網絡安全建設中的合規風險、事件風險、業務變革新風險等安全風險及挑戰。

三個驅動力 推動業務安全解決方案有效落地

對東軟網絡安全而言，其提供的業務安全解決方案緊緊圍繞著醫院網絡安全建設的三個驅動要素。

一是合規驅動。一方面，從《計算機信息系統安全保護等級劃分準則》到《國家信息化領導小組關于加強信息安全保障工作的意見》再到《涉及國家秘密的信息系統分級保護管理辦法》，國辦、保密局、密碼局等各級行業主管部門發布一系列政策，推動等級保護制度、分級保護制度深入落地執行;另一方面，《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《個人信息保護法(草案)》等法律法規及下位法也正有條不紊地落地指導我國信息化建設。基于此，國家衛健委針對我國公共衛生機構、醫療機構、基層醫療機構的信息化建設標準與規范及關鍵信息基礎設施保護也在逐步落地執行，當前幾乎所有的醫院信息化建設標準中均提出了網絡安全建設合規要求，因此合規驅動將是當前及未來一段時間內我國醫院網絡安全建設最核心的驅動力。

二是事件驅動。無論國內還是國外，醫療行業網絡安全問題正呈高頻次、高影響、高非法收益的發展態勢。一方面表明醫療行業數據及業務越來越重要，另一方面也說明醫療行業整體安全建設遠落后于信息化建設。基于此，如針對數據泄露、業務被攻擊中斷、勒索病毒攻擊等事件作出有效的對抗及保障將是我國醫院網絡安全建設的核心驅動力之一。

三是業務驅動。伴隨著“互聯網+醫療”新業態加快發展，療信息化與醫療業務服務的高度融合，我們看到了醫療互聯網化、數據及業務互聯互通、智能應用智能設備所產生的一系列由于業務變革伴生的新的網絡安全風險與挑戰，總結起來應該歸類為業務變革帶來全新的安全風險與挑戰。而這些風險也是醫院信息化工作者過去接觸較少的系統性風險而非單一技術隱患，其隱蔽性、破壞性高于傳統網絡安全問題，且單純從安全視角難以解決這類風險及挑戰。因此，業務驅動的安全防護體系構建將會是醫院網絡安全建設重要的驅動力。

基于這三個驅動力，東軟網絡安全構建了一套業務驅動安全的核心理念，結合東軟30年的業務積累及25年的安全自主研發能力積累，旨在解決當前醫療行業客戶在業務互聯網化、數字化轉型中面對的合規、事件、業務風險挑戰。東軟網絡安全提出，結合醫療行業業務特性，以業務驅動安全為核心，以咨詢服務為牽引，站在中立的角度發現、分析、解決客戶實際面臨的安全顯性問題及隱性安全問題。以產品、服務為工具，施以合適的處置措施;以安全體系為綱要提升醫療行業客戶數字化轉型的組織級能力。分別提出針對互聯網醫院建設業務需求、防黃牛掛號業務風險、醫療數據安全、內網外網互聯網三網建設等維度提供業務安全解決方案、產品及服務;針對互聯互通、電子病歷評級、智慧病區建設、醫聯體、醫共體建設提供整體的業務合規網絡安全解決方案、產品及服務;針對等級保護全生命周期的建設提供整體的安全合規解決方案、產品及服務;同時，東軟網絡安全推出了業內首個針對醫療器械安全風險、醫療物聯網安全的創新業務安全解決方案及產品。此外，針對醫院網絡安全事件、事故，東軟網絡安全也能夠提供覆蓋事件前中后的不同安全服務、應急服務及咨詢服務。相關業務安全解決方案在很多醫院已有效落地。

據東軟集團副總裁兼網絡安全事業部總經理楊紀文介紹，相關業務安全解決方案在很多醫院已有效落地。

以用戶實踐為例，東軟網絡安全持續5年服務于某三甲醫院，并以咨詢服務為牽引、安全產品為抓手、安全運營為核心，在該醫院建立了業務安全體系化防護中心。以安全事件防范為例，2019年，上海某區醫院大面積遭受勒索病毒攻擊，東軟網絡安全服務的醫院成功抵御勒索病毒攻擊，當地衛健委組織其他醫院參觀學習。這些成功實踐作為東軟網絡安全業務安全體系落地的試金石，贏得用戶認可的同時，也見證了東軟業務安全體系的落地效果。

未來，醫院信息化建設將更關注智慧化、智能化。如智能決策、業務經驗數字化、多系統互聯融合、平臺化、數據高度流動及關聯等都將支撐醫療服務持續升級、優化。這一過程中，一方面，安全既是醫院信息化建設乃至業務開展的基礎設施、基本要素，也是構建醫院安全運營能力的基礎;另一方面，安全也是醫療數字化轉型的關鍵競爭力要素，能夠構建符合業務發展而非影響業務發展的安全體系、能夠形成對抗惡意組織惡意攻擊的安全能力，未來可能成為患者在評估醫院醫技水準、醫療設施以外的重要維度。