互联网医院网络安全解决方案作者：启明星辰技术中心行业营销部2021-03-09

业务背景

根据国家卫健委2018年发布的《关于印发互联网诊疗管理办法（试行）等 3 个文件（国卫医发[2018]25 号）》 的定义，互联网医院、互联网诊疗、远程医疗同属于互联网医疗范畴。

《互联网医院管理办法（试行）》要求“互联网医院信息系统按照国家有关法律法规和规定，实施第三级信息安全等级保护”。

《关于印发互联网诊疗管理办法（试行）等3个文件的通知》，要求所有承载互联网医疗的业务系统必须通过等保三级；

2020年，受新冠疫情影响，线上就医问诊的需求呈现出前所未有的增长趋势，线下就诊可能存在感染风险，而隔离政策使异地患者难以就医，互联网医院这种模式因具有降低患者交叉感染、实现患者 “非接触看病”的特殊优势成为了“战疫先锋”，互联网医疗在疫情防控中所起到的积极作用再次成为行业关注焦点。2020年2月正值新冠肺炎疫情的高峰期，建立的互联网医院也最多达到65家。疫情防控的迫切需要推动了互联网医院建设，原有互联网医院纷纷开通线上发热门诊、慢病复诊、肺炎咨询，此外还不断有互联网医院紧急获批和上线。

在疫情推动下，互联网诊疗、互联网医院迎来了全新的发展阶段，公立医院成为此轮建设热潮中当之无愧的绝对主角，同时由于各医疗机构匆忙上线互联网诊疗应用也带来了较高的网络安全风险。

安全需求

● 保护患者信息隐私要求

互联网医疗信息系统的信息包括电子病历、健康档案、会诊信息、影像数据等，电子病历或健康档案涉及到个人的基本信息，病史等隐私数据，会诊信息是会诊专家对患者的诊断信息。患者隐私数据的泄漏直接侵犯患者利益，影响医院的声誉；患者个人、诊疗等信息传输、存储过程中导致被篡改、丢失等直接影响会诊结果，严重导致医疗事故。

要保障这些信息传输的完整性，能检测，能恢复；保证系数据传输和存储的保密性；本地完全数据备份，重要数据异地备份。

●保护互联网医院内部信息安全需求

互联网医院需要依托实体医院开展互联网诊疗服务，需要在医院内网与互联网之间进行部分连接与限定的信息交互，其他大量内网信息则不能外泄。这使得互联网医院内网安全面临新的挑战，在部分联通互联网情况下，保证互联网医院内网信息安全无泄漏和防入侵等，成为互联网医疗系统整体安全的重要需求。

需要在医院内部网络与互联网间进行安全隔离，进行安全域划分，边界处需具备防火墙、恶意代码防护、边界完整性保护、入侵检测等控制措施。

●业务数据库的安全防护需求

互联网医疗系统存储的会诊、教学等大量业务信息需要在业务工作中回溯、比对和部分患者信息的连续动态观察，如果存储的历史信息因受到外部攻击而丢失、损毁或泄漏，则对医疗业务带来重要不良影响。因此，防御各类网络攻击行为，实现对网络层以及业务系统的安全防护，保护核心信息资产的免受攻击危害成为互联网医院医疗系统信息安全的重要需求之一。

解决方案

目前互联网医院建设模式主要有医院自建、公用云+本地混搭和卫健委统建三种模式。

1.医院自建模式

自建互联网医院模式依托于实体医院，而实体医院网络安全建设多年来主要集中在医院内网建设，因此针对自建互联网医院模式的网络安全规划设计应偏重于重新划定网络安全区域，明确不同安全区域间边界安全建设。根据互联网医院以APP移动应用及WEB应用为主的产品形态，需重点关注云计算安全，医疗患者数据安全及移动互联安全。

2.公有云+本地混搭模式

此模式将医院前端业务和后端数据进行分离部署，挂号、导诊、查询等前端应用部署在云平台上，诊疗数据、患者信息等存在在医院内网本地，即保证业务的弹性冗余扩展同时，也需兼顾数据安全与合规要求。

3.卫健委统建模式

卫健委统建的区域互联网医院服务监管平台实现“互联网诊疗+监管”模式，各医疗机构通过在线申请入驻平台，由平台提供在线诊疗服务，通过数据接入对所有提供互联网诊疗服务的机构进行监管，保障互联网诊疗全过程的可管可控可追溯。因此，可通过态势感知平台及安全运营中心，建设网络安全监管平台，实现对互联网医院网络安全的一体化管理和整体安全态势掌控互联网医院运营计划，构建起业务+安全的多维度互联网医院监管平台。