醫療行業解決方案

一、需求背景分析

   當前，國內醫療信息化建設進展如火如荼開展，已成為我國信息化建設一個重要的組成部分。醫療信息系統發展應該為分為三個階段。
   第一階段是以財務核算為中心HIS系統信息化階段
   第二階段是以醫生工作站及電子病歷為核心的臨床信息系統CIS信息化階段。
   第三階段則以信息資源共享為基礎的區域醫療衛生服務GMIS階段。
   目前三級醫院幾乎都開展了信息化建設，二級及以下級別的醫院中80%以上已經開展了信息化建設，大多數以HIS 系統為主。HIS 系統的應用基本成熟并逐步擴展應用，醫生工作站和護士工作站不斷普及，導醫系統更加完善；無線應用技術快速發展，手持終端應用逐漸擴展。CIS 系統正在逐步深入，PACS、RIS 等系統應用逐漸成熟，EMR（電子病歷）正在被越來越多的醫院試用和采用，手術麻醉、重癥監護等系統應用得到推廣。從2007 年開始的數字化醫院集成平臺穩步發展，但是整合難度較大，目前發展較慢。
   而當前我國醫療機構逐漸從第一階段HIS信息化過渡到CIS為主信息化階段。在此同時，醫療的其他系統PACS(影響存檔及通信系統)、RIS（放射科信息系統）、LIS（實驗室信息系統）、病理信息系統（PIS）、手術信息系統（ORIS）以及網絡管理、網絡安全等也得到加強推廣，逐步實現“以收費為中心”到“以病人為中心”的數字化醫療轉變。

   二、行業現狀

   現今大部分三甲醫院都已經實現信息化第一階段，并且已經步入第二階段，也就是說以財務核算為中心的HIS系統，PACS/RIS/LIS等業務相關系統都已經部署。建設階段完成后，保障系統安全穩定的運行是現今醫療行業所關注的。醫院IT的架構也隨著業務級科技進步變得復雜，醫院的 IT系統正面臨如下風險與挑戰。
1. 用戶對業務持續性要求不斷加大。
2. 無法預知的it硬件設備的損壞，造成業務中斷與數據丟失。
3. 難以避免的人為操作失誤，導致意外宕機與關鍵數據丟失。
4. 行業規則變化對企業的業務穩定性更高的要求。
5. 應用業務及服務器隨著公司的發展會逐漸增多帶來雙機成本的增加。
6. 多業務持續性需求。
  三、解決方案

1. 傳統就診解決方案

   互聯網攻擊多種多樣，難以保證絕對安全，因此互聯網防護措施宜采取多層防護，針對不同區域的業務類型的安全風險建立不同的防護措施，同時持續監控安全風險，逐漸完善的防護體系。

• 降低資產價值

  具備條件的醫院可以建立互聯網交換區，單獨部署互聯網業務應用服務器和數據庫服務器，定期將內網部分時間段的數據同步到互聯網服務器中，降低對外提供的資產價值。不具備條件的醫院可將前置服務器等對外提供服務的設備集中部署在前置服務區，便于內網服務器訪問控制措施落實。

• 多級訪問控制

   訪問控制措施是網絡防護的第一步，也是最重要的一步，采取“最小必要原則”建立多級訪問控制措施，保障各級服務器安全，防止病毒傳播擴散?；ヂ摼W用戶僅允許訪問互聯網應用地址，互聯網應用僅允許訪問前置服務器?；跇I務系統使用端口情況，建立訪問控制白名單，僅允許前置服務器訪問內網核心服務器指定端口。

• 多層防御措施

   互聯網訪問量巨大，其中夾雜著眾多非法訪問，給醫院的網絡和設備帶來極大的負擔。因此應對訪問流量進行過濾，
阻斷惡意訪問行為。優先過濾阻斷網站攻擊，包括網站篡改等，維護醫院形象。進行用戶身份驗證，防止數據盜取、
網頁爬蟲等行為，同時對網站的連接行為進行防護，防止DDoS攻擊行為導致網絡擁堵，影響互聯網業務開展。最后
對病毒進行全面檢查和過濾，防止病毒進入內網核心區域，保證內網業務穩定運行。

• 持續安全審計

   隨著黑客技術的發展和醫院業務發展，不同階段面臨著不同的網絡安全風險。因此應持續審計網絡流量，識別可能
存在的惡意行為，對惡意行為進行分析，調整安全防護策略，持續優化安全防護體系。

 2.自助終端解決方案

    網絡安全領域，漏洞是重點。沒有漏洞，也就沒有了可被攻擊的弱點。但是漏洞本身并非活躍威脅，而且漏洞數量實
在太多，用戶難以分辨需解決什么漏洞，又該按何種順序處理。同時，漏洞修復后是否會影響自助終端設備功能正常
運行也是醫療領域一大問題。針對這些問題，可通過風險識別、診斷分析、攻擊阻斷、漏洞修復四個步驟做到風險可
知、安全可控保證自助終端設備全生命周期安全運行。

• 分險識別

   全面掃描自助發卡機、打印工作站、多功能一體機、掛號繳費機等各類自助終端，檢查設備存在漏洞生成漏洞掃描報
告，為用戶提供增強網絡安全性的解決方案。從結果分析來看，國外的同類產品在漏洞判斷上通常會有上千條的報
警，但這里面不全是真正能成功的注入點，會產生大量的噪音，給管理員帶來很大的壓力。自助終端防護僅報告真正
意義上風險點，讓管理員更能集中精力來解決問題。

• 診斷分析

   快速識別各類網絡攻擊，通過智能分析發現被攻擊主機、攻擊類型以及被利用的漏洞。打破傳統監控類平臺因采集到
的數據無法互相溝通、彼此關聯所造成的各司其職的尷尬狀況，站在運維人員關注風險變化的視角，將所有采集的數
據統一整合并建立科學的時間軸前后關聯分析策略，將安全監控與IT系統各種細微變化聯系在一起，以至于將安全風
險監控深入到每個細節。

• 攻擊防御

   通過診斷分析結果確定被攻擊主機和詳細的攻擊類型，攻擊類型顯示出基于哪種漏洞進行了攻擊，發現后及時阻斷攻
擊源頭，避免病毒擴散，保證整體業務不受影響，并記錄被攻擊漏洞。

• 漏洞修復

    通過機器統一下發或者人工操作的方式對所有終端設備的被利用漏洞進行修復?？紤]自助終端設備的應用性，漏洞修
復需要結合管理措施進行落實，其中管理措施主要包括安排專有人員與自助服務終端設備廠商進行聯系，及時協調進
行漏洞修復。

3.遠程醫療解決方案

    遠程醫療服務實現了多個醫療機構間的網絡互聯互通和信息共享，因此防護的核心在于保障醫療機構內網安全、防止
數據泄露和保障業務的穩定性。東軟NetEye結合多年的醫療行業經驗從邊界防護、業務保障和數據防護三個維度設計
了一整套遠程醫療安全解決方案。

• 邊界防護

通過網絡分區，明確不同網絡區域之間的安全關系，在不同中心之間數據共享關口設置安全設備，保障網絡的高擴展

性、可管理性和彈性，達到了一定程度的安全性；用網閘隔離各安全區域實現阻斷網絡中的異常流量，應用系統間訪
問控制功能。

• 業務保障

遠程醫療信息系統數據中心的出口采取防DDoS措施進行安全防護，對于進入數據中心的流量采用實時檢測和清洗的
方式，能夠有效防御針對web、視頻等遠程醫療業務系統的應用DDoS攻擊。

• 數據防護

遠程醫療信息系統數據中心的出口采取防DDoS措施進行安全防護，對于進入數據中心的流量采用實時檢測和清洗的
方式，能夠有效防御針對web、視頻等遠程醫療業務系統的應用DDoS攻擊。