医疗行业解决方案 蓝皮书 BlueBook 目录 1 医疗行业数字安全发展趋势 3 典型客户案例 数字安全建设总结05 未来发展趋势及建议05 2 安恒信息医疗行业解决方案 某省卫健委全民健康信息平台态势感知实践21 某省卫健委全省卫生专网态势感知实践22 某疾控中心网络安全加固项目实践23 某医院数据安全项目实践24 某医院网络安全运营项目实践25 某医院网络安全体系建设实践28 更多典型客户29 卫健委卫生专网态势感知建设解决方案06 医院数据安全建设解决方案09 医院等级保护建设解决方案11 医院安全运营建设解决方案13 县域医共体网络安全建设解决方案15 医院密码应用解决方案17 版权声明 本文的所有内容,其版权属于杭州安恒信息技术股份有限公司(以下简称“安恒信息”)所有,未经安恒信息的许可,任何人不得防制、拷贝、转译或任意引用。本文没有任何形式的担保、立场倾向或其他暗示。 若因本文或其所提到的任何信息引起的直接或间接的资料流失、利益损失,安恒信息及其员工恕不承担任何责任。本文所提到的解决方案仅供参考,不构成任何要约或承诺,有关内容可能会随时更新,安恒信息恕不承担另行通知之义务。 版权所有不得翻印 ©安恒信息 医疗行业解决方案-蓝皮书-2024 第一章 医疗行业数字安全发展趋势 数字安全建设总结 我国医疗信息化经过30多年的发展,大致可以分成以下4个阶段: ●医院管理信息化阶段(1990年代初期至中期):此阶段主要以财务管理和收费系统为核心,实现了医院内部的财务管理信息化,提高了医院的经济效益和管理效率。 ●临床管理信息化阶段(1990年代中后期至2000年代初):此阶段开始关注临床业务的信息化,如电子病历、医嘱管理、护理管理等,实现了以病人为中心的临床业务支持,提高了医疗服务的质量和效率。 第一章 医疗行业数字安全发展趋势 ●区域医疗信息化阶段(2000年代中期至今):此阶段开始将医疗信息化从医院内部扩展到区域范围,实现了区域内医疗资源的共享和协同,提高了区域医疗服务的整体水平和效率。 ●智慧医疗信息化阶段(近年来):此阶段以物联网、云计算、大数据、人工智能等新技术为支撑,实现了医疗服务的智能化、个性化和精准化,提高了医疗服务的品质和效率。 随着医疗信息化的发展,信息安全需求开始产生,2011年原国家卫生部发布《卫生行业信息安全等级保护工作的指导意见》,提出三级甲等医院的核心业务信息系统、跨省全国联网运行的信息系统、国家、省、地市三级卫生信息平台等国家级数据中心必须通过等级保护三级测评。 进入十三五期间,医疗行业信息化建设发展如火如荼,国家卫健委加强医院、基层医疗和公共卫生信息化规范建设,并在规范中对未来5—10年的信息安全建设提出建议与要求。十三五期间医疗行业信息化建设规范已经初步形成,医疗行业网络安全规范尚未形成体系,滞后于信息化建设。十三五期间医疗行业网络安全主要围绕等保合规建设。 进入十四五时期,国家卫健委和国家医保局都提出了要加强网络安全和数据安全的指导意见。2022年8月8日,国家卫健委推出了医疗行业首个关于网络安全的管理办法《医疗卫生机构网络安全管理办法》,为医疗卫生机构网络安全管理提供了工作指南,对医疗行业网络安全和数据安全发展具有重要意义。 总体而言,十三五以来国家对网络安全和数据安全逐渐重视,陆续推出多部法律,使安全有法可依。相应地,医疗行业监管部门也陆续推出相应的管理办法促进医疗行业数字安全的发展,但整体而言,医疗行业的数字安全建设尚未形成体系,在数据保护和隐私防泄漏方面仍存在较大风险。 未来发展趋势及建议 随着技术的不断进步,医疗卫生行业信息化将朝着智能化与自动化的方向发展,利用人工智能和机器学习等技术优化医疗流程。数据将在医疗决策中发挥越来越重要的作用,推动精准医疗的实现。同时,5G、物联网等新技术将推动远程医疗和移动医疗的普及,为患者提供更为便捷的服务。此外,跨学科融合将成为行业发展的重要趋势,融合生物信息学、医学影像学等领域的知识,为医疗服务注入新的活力。 为确保医疗卫生行业信息化稳健发展,网络安全与数据安全不容忽视。安恒信息建议客户可从立法、技术、人员培训、数据共享与隐私保护以及跨学科合作等多个维度综合施策。首先,完善行业相关法律法规体系,为网络安全和数据安全提供坚实的法律保障;其次 06 ,加强技术防护,利用先进的加密技术和安全防护措施,确保医疗数据的安全性和完整性,同时强化人员培训,提升医疗机构工作人员的网络安全意识和应急处理能力;此外,建立数据共享与隐私保护机制,在推动医疗数据流通的同时,保障患者隐私不被侵犯;最后,加强跨学科合作,与计算机科学、网络安全等领域的研究人员共同研发创新技术,提升医疗卫生行业在网络安全和数据保护方面的能力。通过综合施策,能够为医疗卫生行业信息化提供有力的安全保障,推动其健康、可持续发展。 0405 医疗行业解决方案-蓝皮书-2024 第二章 医疗行业解决方案 医疗行业解决方案 卫健委卫生专网态势感知建设解决方案 方案背景 第二章 安恒信息医疗行业解决方案 卫健委作为卫生医疗行业主管单位,同时也负责运维卫生专网,卫生专网作为全省/市卫生医疗机构的主要业务支撑系统,其自身的安全能力也需要满足实际业务需求。 国家卫健委2022年8月颁发《医疗卫生机构网络安全管理办法》,进一步规范了医疗卫生机构网络和数据安全管理、促进“互联网+医疗健康”发展,加快推动卫生健康行业高质量发展进程。要求全国各省/市的卫健委建立网络安全防护、监测、处置、保障协同的综合防控格局。在安全防护方面,形成“动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控”的安全防护态势。及时收集、汇总、分析各方网络安全信息,在安全处置方面,形成监督管理、安全检查、应急预案、联防联控协同体系。各省的卫健委需要通过建立有效的网络安全监管体系来落实工作。 痛点分析 卫生专网网络环境复杂,边界众多,边界范围涵盖各医院、下属卫健委、医保、银行、上级单位、电子政务外网和互联网等。随着互联网+医疗健康以及移动医疗等新型卫生医疗场景的快速发展,卫健委越来越多的业务系统通过互联网向公众和用户提供服务,这些面向互联网开放的业务系统为公众和用户带来便利的同时也成了国际国内各种黑客组织实施攻击的目标,各类网络攻击越来越频繁,一旦这些面向互联网开放的业务系统被黑客攻陷并加以利用将可能会导致公民医疗隐私数据泄露等各种安全问题,也会导致卫生专网面临的网络安全风险增加,严重的甚至可能上升到影响社会稳定和国家安全。 目前各地众多卫生专网仍存在等级保护工作落实情况不佳、整体安全风险较高等问题。卫生专网网络安全建设能力参差不齐,网络安全防护体系存在各种不足,普遍缺少有效的监测预警手段,无法整合各类安全数据,实现卫生专网安全威胁有效监测、处置和预警。同时防御设备安全能力以孤岛形式发挥作用,缺少情报共享与大数据监测预警能力支撑。 卫生专网作为重要的关键信息基础设施,需要全面提升网络整体监测预警与安全防护能力。应当由卫健委建立健全卫生专网的网络安全监测预警制度,掌握卫生专网运行状况、安全态势,预警通报卫生专网内可能出现的网络安全威胁和隐患,做好安全防范工作,建设一套卫生专网大数据监测预警平台,整合卫生专网网络现有安全防护体系,加强卫生专网的整体安全监测预警能力,进一步建设完善卫生专网网络的整体安全防护体系。 方案介绍 在省/市卫健委核心机房安全管理区部署网络安全态势感知平台,安全态势感知平台采用多台服务器进行部署,提供所有数据的存储与计算。平台用于存储流量采集探针、日志采集探针等提交的安全相关数据和告警等,并同时提供应用交互界面。 省/市卫健委网络安全监管平台对卫健委本地和下属医院或区县卫健委进行网络安全相关数据采集,主要采集的数据源为网络信息系统日志数据、流量数据、资产数据、弱点数据等,通过部署态势感知平台相关探针进行采集。 0806 ●日志采集系统:在安全运维区部署日志采集探针设备,确保各类设备IP地址跟日志采集探针设备路由可达即可,用于采集本地IDC日志类数据(含网络设备、安全设备、服务器系统、应用系统和终端安全管理系统等),进行日志解析和标准化处理后提供至态势感知平台进行存储、处理和分析。 07 医疗行业解决方案 医院数据安全建设解决方案 ●流量采集系统:在核心网络节点部署流量采集设备,通过旁路部署采集网络核心节点和边界网络流量,包括全流量审计和高级威胁检测,用于对整网威胁分析、应用协议识别、应用访问审计、行为还原、敏感信息识别、登录行为识别、加密流量解析、流量趋势分 析。并具备WEB攻击深度检测、邮件攻击深度检测、文件攻击深度检测、基于DGA域名请求的识别能力、动态沙箱功能等。通过镜像或分光的方式从交换机处获取流量信息,进行分析处理后传输至态势感知平台。 & *N & + *N + …… …… + …… *N + …… …… + …… + & 方案背景 现代人生活方式的不健康,和生活环境的影响,导致疾病复杂多变,加上我国人口众多,医疗资源分布不均,医疗行业面临着前所未有的巨大压力。在慢病高发的今天,中国医疗卫生事业从未遇到如此多的挑战。但与此同时,随着移动互联网、大数据、云计算等多领域技术与医疗领域跨界融合,新兴技术与新服务模式快速渗透到医疗各个环节,并让人们的就医方式出现重大变化,也为中国医疗带来了新的发展机遇。 医院设备之间、卫生机构之间的互联互通、信息共享与交换,检验、影像、超声等数据的相互之间的使用,在医院早已经成为常规的诊疗手段,比如诊断一个病人,需要影像资料、病理报告、检验数据、超声情况等等数据的综合分析,利用信息化手段,把这么多综合数据整理得更细致,梳理得更缜密,这个就是在原来传统医疗基础上的一个整合和提升。 痛点分析 方案价值 满足相关法律法规要求 卫健委卫生专网态势感知建设方案架构图 随着国家数据安全的立法进程发展,目前陆续发布实施了《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等围绕数据安全、个人信息保护等维度的合规要求。《医疗卫生机构网络安全管理办法》要求各医疗卫生机构应按照有关法律法规的规定,参照国家网络安全标准,履行数据安全保护义务,坚持保障数据安全与发展并重,通过管理和技术手段保障数据安全和数据应用的有效平衡。关键信息基础设施运营者应拟定关键信息基础设施安全保护计划,建立健全数据安全和个人信息保护制度。基于一系列的数据安全法律法规要求,医院迫切需要规划建设体系化的数据安全技术防护能力,满足数据安全的防护需求。 随着医疗大数据的集中、数据开放性更高,大数据安全的“脆弱性”逐渐凸显,国内外数据泄露事件频发,用户隐私受到极大挑战。在数据驱动环境下,网络攻击也更多地转向存储重要敏感信息的信息化系统,数据安全防护俨然成为大数据应用发展的一项重要课题。 卫生专网态势感知大数据监测预警平台的建设,帮助卫健委建立健全网络安全监测预警和信息通报制度,对卫生专网实行重点保护。全面满足《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《医疗卫生机构网络安全管理办法》和《关于落实卫生健康行业网络信息与数据安全责任的通知》等相关法律法规和行业政策的要求。 有效提升卫生专网监测预警能力 卫生专网态势感知大数据监测预警平台的建设,实现对卫生专网中的恶意流量、病毒木马、高级持续性威胁攻击、数据篡改、数据泄露和数据破坏等网络威胁有效分析和监测。运用监管手段、技术手段、管理手段、安全运营实现卫生专网的网络安全保障能力,有效降低卫生专网网络安全威胁,进一步提升监测、预警、响应处置能力,保证卫生专网重要信息化系统及所承载的数据机密性、完整性、可用性。 提供保姆式安全运营服务 通过提供安全数据分析、协助问题处置与加固、安全驻场、应急响应和安全培训等安全运营服务,实现卫生专网大数据监测预警平台的有效安全运营,有效解决卫生专网运维管理人员能力不足,无法有效发挥卫生专网大数据监测