一、需求的背景:
1、2015年7月,《国务院关于积极推进“互联网+”行动的指导意见》,鼓励发展基于互联网的在线医疗、远程服务和跨医院数据共享。
2、2018年4月,《国务院办公厅关于促进“互联网+医疗健康”发展的意见》提出,二级以上医院在2020年前,普遍提供智能导医、移动支付等线上服务,三级医院在2020年前,实现院内医疗服务信息互通共享。
3、2018年9月,卫健委发布《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》及《远程医疗服务管理规范(试行)》,明确互联网医院性质与实体医疗机构关系,明确互联网诊疗活动准入程序和监管流程,以及互联网医院的法律责任关系。
4、新冠疫情的爆发,加速了互联网医院建设。2020年2月3日,国家卫健委发布了《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》,鼓励医院利用互联网进行线上新冠感染咨询,以及慢病复诊,减少交叉感染,同时明确指出要加强网络信息安全保障。
二、医院互联网医院信息系统安全的需求分析
需求一:政策要求
互联网医院信息系统需按照三级等保标准完成测评,与省级平台对接,并完善数据加密机制。
根据《互联网医院管理办法》要求:
1、建立全省统一的互联网医疗服务平台,取得互联网诊疗服务资质的医疗机构和互联网医院,可直接入驻省互联网医院平台开展互联网医疗服务,自建或与第三方机构合作搭建互联网医疗服务平台的,必须与省互联网医院平台建立数据接口,实现互联网医疗服务数据的实时监管。
2、第十五条:互联网医院信息系统按照国家有关法律法规和规定,实施第三级信息安全等级保护。
3、第二十三条:互联网医院应当严格执行信息安全和医疗数据保密的有关法律法规,妥善保管患者信息,不得非法买卖或者泄露患者信息,发生患者信息和医疗数据泄露时,医疗机构应当及时向主管的卫生健康行政部门报告,并立即采取有效应对措施。
需求二:文件建设要求
互联网医院建设要求如下 (自建型) :
1、互联网业务标准服务器不少于两套,至少有两套开展互联网医院业务的音视频通讯系统;
2、业务使用的网络带宽不低于10Mbps,且至少有两家宽带网络供应商提供服务;
3、建立数据访问控制信息系统,与医疗机构的HIS、PACS/RIS、LIS系统实现数据交换与共享;
4、具备第三级网络安全等级保护的测评报告;
5、具备远程会诊、远程门诊等功能,互联网医院应与卫生健康行政部门管理平台对接;
6、信息系统实施第三级信息安全等级保护。
三、互联网医院信息系统两种不同部署方式下客户痛点分析:
部署方式一:本地DMZ部署
客户痛点:
1、信息科对第三方的互联网业务软件本身的后台漏洞安全无法管控,使得医院DMZ区存在安全风险;
2、医院外网DMZ区域需要承载互联网的高访问流量;
3、需要自行负责互联网业务的三级等保合规,需要额外增加安全设备。
部署方式二:托管云部署
客户痛点:
1、数据在托管云上
2、托管云的链路稳定性
四、深信服在互联网医院信息系统两种不同部署方式下的安全解决方案:
部署方式一的解决方案:
1、内外网通过防火墙(或者网闸)进行隔离,与内网HIS等系统实现安全数据共享;
2、云端部署云安全服务,实时监控业务的安全状况,保障远程会诊、门诊业务安全运行;
3、DMZ对外发布区,进行等保安全的建设:通过部署出口防火墙,以及安全感知平台和云WAF,实现对互联网医院信息系统安全的检测、预警、防御、响应、处置的闭环,另外部署等保一体机实现等保的合规安全建设;
4、通过部署SSL VPN/零信任,实现远程会诊、门诊的安全接入。
部署方式二的解决方案:
通过在托管云上开通防火墙、数据库审计、日志审计等相关安全组件实现过等保的合规安全建设。