互联网医院扎堆出现，想办法保障它们的信息安全势在必行

主页（http://www.kuwanit.com）：互联网医院扎堆出现，想办法保障它们的信息安全势在必行

图源：图虫创意

　　但无论是医院信息化建设、互联网医院还是远程医疗，都离不开数据安全的问题。云时代的来临，更是让医院保障信息系统和数据的安全性，显得尤为重要。

　　医疗行业的信息安全市场情况如何？医院目前的信息安全的薄弱点有哪些？医院该如何应对信息化创新产品下的信息安全，以及日益泛滥的网络勒索？这些问题，将在本篇文章中得到深度探讨。

　　医疗信息安全市场缺乏活力，根本原因是？

　　目前三级医院的信息安全建设，主要集中在防火墙、反病毒、VPN／网闸和容灾备份这四个方面；建设较差的主要包括安全审计、身份认证、隐私保护、终端安全和网络安全。

　　针对医疗行业信息安全市场的现状，广州市妇女儿童医疗中心数据中心副主任曹晓均给出了自己的观点。他认为，市场的大小根本原因在于医疗行业的安全建设相对落后。行业中，并没有整体的安全规划或建设思路。并且，大部分医院的安全建设都是满足合规性要求上的投入。如采购几台防火墙、终端管理软件再加上管理制度，就可以通过等保要求，真正用心做安全整体设计的并不多。这种现状，导致整个医疗信息安全市场缺乏活力。

　　此外，目前国内医疗行业更关注业务发展需求，缺乏专业的网络安全人才储备，这也是目前比较大的挑战。

　　一位业内人士则透露，一方面医院信息部门的地位相对弱势，信息化建设大多取决于院方领导的意识。对医院来说，单位网络设备体量不大，一般是纯内网的环境，当前重点建设基本集中在网络基础设施完善，安全建设相对滞后。再加上医疗行业属于财政差额拨款单位，有相当一部分医院资金不富裕，因此安全建设的优先级相对较低。

　　对于国内医疗信息安全市场现阶段的产值规模，作为国内信息安全企业的代表，绿盟科技相关负责人分析了以下两点原因：

　　其一，信息安全相关配套政策和标准较少。在网络安全法正式实施之前，国内对于个人隐私信息的安全要求几乎空白。而医疗行业是涉及个人隐私信息最为深入的领域，没有法律法规上的明确要求，没有行业标准的具体指向，各级医疗机构很难认识到信息安全对自身业务的深刻影响，也就很少会主动考虑在安全方面有所投入。

　　其二，信息或网络安全对医疗行业的实际业务推进上缺乏直观的价值感受。举例而言，一所三甲医院每年的IT类投资可能达到千万级。但医院决策者基于业务发展的考虑更多的会对临床、研究、医技等业务领域方面进行投入，原因就在于这些IT投资对业务的推进和支撑几乎是肉眼可见，而信息安全的价值却很难被感知。防护了多少安全攻击、解决了多少安全漏洞、抵御了多少次信息泄露，这些都不会被直接展示到决策者的案桌上。

　　正因如此，最近两年，各大信息安全厂商均在重点考虑和投入安全运营和效果可视化。

　　互联网医院扎堆出现，如何保障它们的信息安全？

　　如何保障互联网医院的信息安全？在回答这一问题前，首先要明确而其定义和具体要求。

　　互联网医院的概念提出，是为了解决原有传统医疗体系中所欠缺的专业医疗资源不均衡和医疗服务体验差的问题。因此互联网医院为了解决这两大核心问题，采用的机制是借助互联网这个强大的资源共享方式，借助云计算和大数据等技术，从模式和能力上对作为传统医疗业务的补充。

　　互联网医院的管理办法中提到，互联网医院由互联网进行远程访问，会涉及到实体医疗机构的重要系统数据交换，同时根据互联网医院信息系统按照国家有关法律法规和规定，实施第三级信息安全等级保护。所以，在满足医院的互联网接入和虚拟专用用上，医院还要满足数据安全的要求。

　　从本质上讲，互联网医院的信息安全所要保障的根本并没有变，依然是对于数据，特别是医疗临床等相关的健康数据的保护，从传输、处理、共享、存储各方面考虑其安全性。因此，要满足这类安全需求，绝不是单一的安全产品能实现。医院需要充分结合实际的技术场景，选择在各个维度能够达到风险控制需要的安全产品。

　　例如，在传输层面，互联网边界需要考虑访问控制、入侵防护、病毒检测和防护、WEB安全防护等措施。而在数据交换场景下，医院需要考虑数据脱敏、数据加密、数据防泄漏、数据库审计或防护等。所以，没有最好的安全产品，只有最适合业务的安全解决方案。

　　对于目前备受关注的互联网医院的信息安全建设，国内知名数据安全厂商安华金和医疗行业负责人认为，互联网专线和VPN能够解决一部分的外网接入的安全问题，但从业务访问的角度来讲，业务数据系统对外提供，包括远程医疗、医保查询、预约挂号等都需要直接访问业务数据，对于数据本身的访问安全以及对于内网访问安全也需要加强。

　　例如，在数据库安全方面可以采用数据库审计、数据库防火墙、数据库加密、数据库脱敏等手段进行安全加固。整体而言，可以从主动防御体系的思路做安全建设，这涉及四道防线：

　　第一道防线：检查预警。通过数据库漏扫产品对数据库威胁进行检查分析，给出安全建议。

　　第二道防线：主动防御。通过数据库安全运维产品的身份识别、运维审批、流程管理，防止非法人员操作；防止外部攻击破坏；与此同时做好内部防护，防止内部超级权限。

　　第三道防线：底线防守。

　　阈值管控：规避批量恶意访问，针对大批量医疗泄密进行告警控管，防止医疗数据批量查询；

　　数据库加密产品：防止防止医患数据泄露 “脱库”；

　　数据库脱敏产品：医疗数据去隐私化，防止泄漏真实数据给第三方。

　　第四道防线：事后追查。利用数据库审计产品来区分是外部威胁还是内鬼作案，可以对安全事件进行责任追溯。

　　对于互联网医院APP的安全问题，绿盟科技则认为应该从应用服务端、网络通信和用户三个层面来整体看待。

　　对于服务端而言，基于移动应用端的APP安全与传统的WEB安全并无本质区别，现有的WAF类防护产品依然适用，能够防护来自APP端的攻击，网络通信端的安全则主要考虑数据的保密与完整性。因此，医院可以通过SSL或HTTPS来解决。

　　而移动端的安全，对医院这样的企业级用户而言，几乎不可能通过传统意义上的安全产品来解决安全漏洞问题。因为无法要求每个移动端用户自己按照要求安装指定的安全软件，那会带来极大的用户体验下降。因此，目前更多的医疗机构在上线APP应用前，会进行系统性的安全评估和安全的黑白盒测试。基于测试和评估结果，安全厂商能够指导开发者对不安全的漏洞进行及时修复，以此来彻底解决APP的安全问题。