一、需求的背景：

 

   1、2015年7月，《国务院关于积极推进“互联网+”行动的指导意见》，鼓励发展基于互联网的在线医疗、远程服务和跨医院数据共享。

 

   2、2018年4月，《国务院办公厅关于促进“互联网+医疗健康”发展的意见》提出，二级以上医院在2020年前，普遍提供智能导医、移动支付等线上服务，三级医院在2020年前，实现院内医疗服务信息互通共享。

 

   3、2018年9月，卫健委发布《互联网诊疗管理办法（试行）》、《互联网医院管理办法（试行）》及《远程医疗服务管理规范（试行）》，明确互联网医院性质与实体医疗机构关系，明确互联网诊疗活动准入程序和监管流程，以及互联网医院的法律责任关系。

 

   4、新冠疫情的爆发，加速了互联网医院建设。2020年2月3日，国家卫健委发布了《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》，鼓励医院利用互联网进行线上新冠感染咨询，以及慢病复诊，减少交叉感染，同时明确指出要加强网络信息安全保障。

 

 

 

二、医院互联网医院信息系统安全的需求分析

 

   需求一：政策要求

 

   互联网医院信息系统需按照三级等保标准完成测评，与省级平台对接，并完善数据加密机制。

 

   根据《互联网医院管理办法》要求：

 

   1、建立全省统一的互联网医疗服务平台，取得互联网诊疗服务资质的医疗机构和互联网医院，可直接入驻省互联网医院平台开展互联网医疗服务，自建或与第三方机构合作搭建互联网医疗服务平台的，必须与省互联网医院平台建立数据接口，实现互联网医疗服务数据的实时监管。

 

   2、第十五条：互联网医院信息系统按照国家有关法律法规和规定，实施第三级信息安全等级保护。

 

   3、第二十三条：互联网医院应当严格执行信息安全和医疗数据保密的有关法律法规，妥善保管患者信息，不得非法买卖或者泄露患者信息，发生患者信息和医疗数据泄露时，医疗机构应当及时向主管的卫生健康行政部门报告，并立即采取有效应对措施。

 

   

 

   需求二：文件建设要求

 

   互联网医院建设要求如下 （自建型） ：

 

   1、互联网业务标准服务器不少于两套，至少有两套开展互联网医院业务的音视频通讯系统；

 

   2、业务使用的网络带宽不低于10Mbps，且至少有两家宽带网络供应商提供服务；

 

   3、建立数据访问控制信息系统，与医疗机构的HIS、PACS/RIS、LIS系统实现数据交换与共享；   

 

   4、具备第三级网络安全等级保护的测评报告；

 

   5、具备远程会诊、远程门诊等功能，互联网医院应与卫生健康行政部门管理平台对接；

 

   6、信息系统实施第三级信息安全等级保护。

 

 

 

三、互联网医院信息系统两种不同部署方式下客户痛点分析：

 

    部署方式一：本地DMZ部署

 

   客户痛点：

 

   1、信息科对第三方的互联网业务软件本身的后台漏洞安全无法管控，使得医院DMZ区存在安全风险；

 

   2、医院外网DMZ区域需要承载互联网的高访问流量；

 

   3、需要自行负责互联网业务的三级等保合规，需要额外增加安全设备。

 

 

 

   部署方式二：托管云部署

 

   客户痛点：

 

   1、数据在托管云上 

 

   2、托管云的链路稳定性

 

   

 

四、深信服在互联网医院信息系统两种不同部署方式下的安全解决方案：

 

   部署方式一的解决方案：

 

   1、内外网通过防火墙（或者网闸）进行隔离，与内网HIS等系统实现安全数据共享； 

 

   2、云端部署云安全服务，实时监控业务的安全状况，保障远程会诊、门诊业务安全运行； 

 

   3、DMZ对外发布区，进行等保安全的建设：通过部署出口防火墙，以及安全感知平台和云WAF，实现对互联网医院信息系统安全的检测、预警、防御、响应、处置的闭环，另外部署等保一体机实现等保的合规安全建设；

 

   4、通过部署SSL VPN/零信任，实现远程会诊、门诊的安全接入。

 

   部署方式二的解决方案：

 

   通过在托管云上开通防火墙、数据库审计、日志审计等相关安全组件实现过等保的合规安全建设。