2018年,,醫(yī)療信息化,、互聯(lián)網(wǎng)醫(yī)療重量級政策和標(biāo)準(zhǔn)頻發(fā),這為醫(yī)院進(jìn)入下一個發(fā)展階段奠定了基礎(chǔ),。但無論是醫(yī)院信息化建設(shè),、互聯(lián)網(wǎng)醫(yī)院還是遠(yuǎn)程醫(yī)療,都離不開數(shù)據(jù)安全的問題,。云時代的來臨,,更是讓醫(yī)院保障信息系統(tǒng)和數(shù)據(jù)的安全性,顯得尤為重要,。
醫(yī)療行業(yè)的信息安全市場情況如何,?醫(yī)院目前的信息安全的薄弱點有哪些?醫(yī)院該如何應(yīng)對信息化創(chuàng)新產(chǎn)品下的信息安全,以及日益泛濫的網(wǎng)絡(luò)勒索,?這些問題,,將在本篇文章中得到深度探討。
醫(yī)療信息安全市場缺乏活力,,根本原因是,?
目前三級醫(yī)院的信息安全建設(shè),主要集中在防火墻,、反病毒,、VPN/網(wǎng)閘和容災(zāi)備份這四個方面;建設(shè)較差的主要包括安全審計,、身份認(rèn)證,、隱私保護(hù)、終端安全和網(wǎng)絡(luò)安全,。
針對醫(yī)療行業(yè)信息安全市場的現(xiàn)狀,,廣州市婦女兒童醫(yī)療中心數(shù)據(jù)中心副主任曹曉均給出了自己的觀點。他認(rèn)為,,市場的大小根本原因在于醫(yī)療行業(yè)的安全建設(shè)相對落后,。行業(yè)中,并沒有整體的安全規(guī)劃或建設(shè)思路,。并且,,大部分醫(yī)院的安全建設(shè)都是滿足合規(guī)性要求上的投入。如采購幾臺防火墻,、終端管理軟件再加上管理制度,,就可以通過等保要求,真正用心做安全整體設(shè)計的并不多,。這種現(xiàn)狀,,導(dǎo)致整個醫(yī)療信息安全市場缺乏活力。
此外,,目前國內(nèi)醫(yī)療行業(yè)更關(guān)注業(yè)務(wù)發(fā)展需求,,缺乏專業(yè)的網(wǎng)絡(luò)安全人才儲備,這也是目前比較大的挑戰(zhàn),。
一位業(yè)內(nèi)人士則透露,一方面醫(yī)院信息部門的地位相對弱勢,,信息化建設(shè)大多取決于院方領(lǐng)導(dǎo)的意識,。對醫(yī)院來說,單位網(wǎng)絡(luò)設(shè)備體量不大,,一般是純內(nèi)網(wǎng)的環(huán)境,,當(dāng)前重點建設(shè)基本集中在網(wǎng)絡(luò)基礎(chǔ)設(shè)施完善,安全建設(shè)相對滯后。再加上醫(yī)療行業(yè)屬于財政差額撥款單位,,有相當(dāng)一部分醫(yī)院資金不富裕,,因此安全建設(shè)的優(yōu)先級相對較低。
對于國內(nèi)醫(yī)療信息安全市場現(xiàn)階段的產(chǎn)值規(guī)模,,作為國內(nèi)信息安全企業(yè)的代表,,綠盟科技相關(guān)負(fù)責(zé)人分析了以下兩點原因:
其一,信息安全相關(guān)配套政策和標(biāo)準(zhǔn)較少,。在網(wǎng)絡(luò)安全法正式實施之前,,國內(nèi)對于個人隱私信息的安全要求幾乎空白。而醫(yī)療行業(yè)是涉及個人隱私信息最為深入的領(lǐng)域,,沒有法律法規(guī)上的明確要求,,沒有行業(yè)標(biāo)準(zhǔn)的具體指向,各級醫(yī)療機(jī)構(gòu)很難認(rèn)識到信息安全對自身業(yè)務(wù)的深刻影響,,也就很少會主動考慮在安全方面有所投入,。
其二,信息或網(wǎng)絡(luò)安全對醫(yī)療行業(yè)的實際業(yè)務(wù)推進(jìn)上缺乏直觀的價值感受,。舉例而言,,一所三甲醫(yī)院每年的IT類投資可能達(dá)到千萬級。但醫(yī)院決策者基于業(yè)務(wù)發(fā)展的考慮更多的會對臨床,、研究,、醫(yī)技等業(yè)務(wù)領(lǐng)域方面進(jìn)行投入,原因就在于這些IT投資對業(yè)務(wù)的推進(jìn)和支撐幾乎是肉眼可見,,而信息安全的價值卻很難被感知,。防護(hù)了多少安全攻擊、解決了多少安全漏洞,、抵御了多少次信息泄露,,這些都不會被直接展示到?jīng)Q策者的案桌上。
正因如此,,最近兩年,,各大信息安全廠商均在重點考慮和投入安全運營和效果可視化。
互聯(lián)網(wǎng)醫(yī)院扎堆出現(xiàn),,如何保障它們的信息安全,?
如何保障互聯(lián)網(wǎng)醫(yī)院的信息安全?在回答這一問題前,,首先要明確而其定義和具體要求,。
互聯(lián)網(wǎng)醫(yī)院的概念提出,是為了解決原有傳統(tǒng)醫(yī)療體系中所欠缺的專業(yè)醫(yī)療資源不均衡和醫(yī)療服務(wù)體驗差的問題,。因此互聯(lián)網(wǎng)醫(yī)院為了解決這兩大核心問題,,采用的機(jī)制是借助互聯(lián)網(wǎng)這個強(qiáng)大的資源共享方式,,借助云計算和大數(shù)據(jù)等技術(shù),從模式和能力上對作為傳統(tǒng)醫(yī)療業(yè)務(wù)的補充,。
互聯(lián)網(wǎng)醫(yī)院的管理辦法中提到,,互聯(lián)網(wǎng)醫(yī)院由互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程訪問,會涉及到實體醫(yī)療機(jī)構(gòu)的重要系統(tǒng)數(shù)據(jù)交換,,同時根據(jù)互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)按照國家有關(guān)法律法規(guī)和規(guī)定,,實施第三級信息安全等級保護(hù)。所以,,在滿足醫(yī)院的互聯(lián)網(wǎng)接入和虛擬專用用上,,醫(yī)院還要滿足數(shù)據(jù)安全的要求。
從本質(zhì)上講,,互聯(lián)網(wǎng)醫(yī)院的信息安全所要保障的根本并沒有變,,依然是對于數(shù)據(jù),特別是醫(yī)療臨床等相關(guān)的健康數(shù)據(jù)的保護(hù),,從傳輸,、處理、共享,、存儲各方面考慮其安全性,。因此,要滿足這類安全需求,,絕不是單一的安全產(chǎn)品能實現(xiàn),。醫(yī)院需要充分結(jié)合實際的技術(shù)場景,選擇在各個維度能夠達(dá)到風(fēng)險控制需要的安全產(chǎn)品,。
例如,,在傳輸層面,互聯(lián)網(wǎng)邊界需要考慮訪問控制,、入侵防護(hù),、病毒檢測和防護(hù)、WEB安全防護(hù)等措施,。而在數(shù)據(jù)交換場景下,,醫(yī)院需要考慮數(shù)據(jù)脫敏、數(shù)據(jù)加密,、數(shù)據(jù)防泄漏,、數(shù)據(jù)庫審計或防護(hù)等。所以,,沒有最好的安全產(chǎn)品,,只有最適合業(yè)務(wù)的安全解決方案。
對于目前備受關(guān)注的互聯(lián)網(wǎng)醫(yī)院的信息安全建設(shè),,國內(nèi)知名數(shù)據(jù)安全廠商安華金和醫(yī)療行業(yè)負(fù)責(zé)人認(rèn)為,互聯(lián)網(wǎng)專線和VPN能夠解決一部分的外網(wǎng)接入的安全問題,但從業(yè)務(wù)訪問的角度來講,,業(yè)務(wù)數(shù)據(jù)系統(tǒng)對外提供,,包括遠(yuǎn)程醫(yī)療、醫(yī)保查詢,、預(yù)約掛號等都需要直接訪問業(yè)務(wù)數(shù)據(jù),,對于數(shù)據(jù)本身的訪問安全以及對于內(nèi)網(wǎng)訪問安全也需要加強(qiáng)。
例如,,在數(shù)據(jù)庫安全方面可以采用數(shù)據(jù)庫審計,、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密,、數(shù)據(jù)庫脫敏等手段進(jìn)行安全加固,。整體而言,可以從主動防御體系的思路做安全建設(shè),,這涉及四道防線:
第一道防線:檢查預(yù)警,。通過數(shù)據(jù)庫漏掃產(chǎn)品對數(shù)據(jù)庫威脅進(jìn)行檢查分析,給出安全建議,。
第二道防線:主動防御,。通過數(shù)據(jù)庫安全運維產(chǎn)品的身份識別、運維審批,、流程管理,,防止非法人員操作;防止外部攻擊破壞,;與此同時做好內(nèi)部防護(hù),,防止內(nèi)部超級權(quán)限。
第三道防線:底線防守,。
閾值管控:規(guī)避批量惡意訪問,,針對大批量醫(yī)療泄密進(jìn)行告警控管,防止醫(yī)療數(shù)據(jù)批量查詢,;
數(shù)據(jù)庫加密產(chǎn)品:防止防止醫(yī)患數(shù)據(jù)泄露 “脫庫”,;
數(shù)據(jù)庫脫敏產(chǎn)品:醫(yī)療數(shù)據(jù)去隱私化,防止泄漏真實數(shù)據(jù)給第三方,。
第四道防線:事后追查,。利用數(shù)據(jù)庫審計產(chǎn)品來區(qū)分是外部威脅還是內(nèi)鬼作案,可以對安全事件進(jìn)行責(zé)任追溯,。
對于互聯(lián)網(wǎng)醫(yī)院APP的安全問題,,綠盟科技則認(rèn)為應(yīng)該從應(yīng)用服務(wù)端、網(wǎng)絡(luò)通信和用戶三個層面來整體看待,。
對于服務(wù)端而言,,基于移動應(yīng)用端的APP安全與傳統(tǒng)的WEB安全并無本質(zhì)區(qū)別,,現(xiàn)有的WAF類防護(hù)產(chǎn)品依然適用,能夠防護(hù)來自APP端的攻擊,,網(wǎng)絡(luò)通信端的安全則主要考慮數(shù)據(jù)的保密與完整性,。因此,醫(yī)院可以通過SSL或HTTPS來解決,。
而移動端的安全,,對醫(yī)院這樣的企業(yè)級用戶而言,幾乎不可能通過傳統(tǒng)意義上的安全產(chǎn)品來解決安全漏洞問題,。因為無法要求每個移動端用戶自己按照要求安裝指定的安全軟件,,那會帶來極大的用戶體驗下降。因此,,目前更多的醫(yī)療機(jī)構(gòu)在上線APP應(yīng)用前,,會進(jìn)行系統(tǒng)性的安全評估和安全的黑白盒測試?;跍y試和評估結(jié)果,,安全廠商能夠指導(dǎo)開發(fā)者對不安全的漏洞進(jìn)行及時修復(fù),以此來徹底解決APP的安全問題,。
曹主任的觀點與綠盟科技類似,,他認(rèn)為,在遠(yuǎn)程移動的訪問上,,采用SSL VPN(國密)實現(xiàn)遠(yuǎn)程訪問的卻是較好的方案,。在互聯(lián)網(wǎng)醫(yī)院與偏遠(yuǎn)地區(qū)醫(yī)療機(jī)構(gòu)、基層醫(yī)療衛(wèi)生機(jī)構(gòu),、全科醫(yī)生與??漆t(yī)生的數(shù)據(jù)資源共享和業(yè)務(wù)協(xié)同上,可以考慮采用安全一體機(jī)部署在基礎(chǔ)醫(yī)療機(jī)構(gòu)本地,,實現(xiàn)VPN安全組網(wǎng)和數(shù)據(jù)加密傳輸,。
VPN和防火墻,醫(yī)院青睞的兩大香餑餑
在騰訊最近發(fā)布的醫(yī)療行業(yè)安全指數(shù)報告中提到,,目前醫(yī)療行業(yè)的網(wǎng)絡(luò)安全設(shè)備首選防火墻和VPN設(shè)備,。
造成這個結(jié)果的原因,綠盟科技負(fù)責(zé)人認(rèn)為主要有兩個:一是這兩類產(chǎn)品的使用范圍更多,,凡是有網(wǎng)絡(luò)邊界的地方幾乎都要用到防火墻進(jìn)行邏輯隔離,。而VPN則是目前最為低成本和穩(wěn)定的專用網(wǎng)絡(luò)解決方案,凡是涉及到有需要遠(yuǎn)程接入訪問內(nèi)網(wǎng)的場景,,都需要借助VPN實現(xiàn),,這造成了巨大的需求基數(shù)。
另外一方面,,醫(yī)療用戶普遍對網(wǎng)絡(luò)安全的認(rèn)識還不夠深刻,。特別在廣大的基層醫(yī)療機(jī)構(gòu),,因為網(wǎng)絡(luò)規(guī)模較小、信息數(shù)據(jù)量也不大,,認(rèn)為邊界防護(hù)有防火墻,,通信數(shù)據(jù)保障有VPN即可確保整體網(wǎng)絡(luò)安全。
但其實無論醫(yī)療機(jī)構(gòu)的大小,,涉及到病患隱私信息數(shù)據(jù)、臨床信息數(shù)據(jù)等敏感數(shù)據(jù)的重要程度都是不言而喻,。對這類數(shù)據(jù)的保護(hù)除了防火墻和VPN之外,,還需要考慮邊界的縱深防護(hù),諸如入侵防護(hù),、病毒過濾,、針對WEB應(yīng)用的WAF產(chǎn)品,針對數(shù)據(jù)庫保護(hù)的數(shù)據(jù)庫防火墻和安全審計等環(huán)節(jié),,等需要考慮建設(shè),。
對于目前醫(yī)院VPN的使用現(xiàn)狀,安華金和負(fù)責(zé)人在與某三級醫(yī)院信息科主任溝通之后,,也給出了自己的觀點:VPN一方面用于遠(yuǎn)程維護(hù),,另外一個主要的用途是區(qū)域聯(lián)網(wǎng)。但目前區(qū)域聯(lián)網(wǎng)更傾向于專線,,只有條件不夠,,醫(yī)院才選擇走VPN。比如不少醫(yī)院與市衛(wèi)健委,、省衛(wèi)健委的連接方式就采用專線,,而條件達(dá)不到的醫(yī)院,則只能使用VPN實現(xiàn)連接,。
此外,,在實際使用中,醫(yī)院不僅要考慮互聯(lián)網(wǎng)訪問的接入安全,,還需考慮數(shù)據(jù)平臺的安全,。如果用戶的VPN賬戶被盜取或者邊界被入侵,那么核心的數(shù)據(jù)將直接暴露在攻擊者面前,。因此在對訪問進(jìn)行準(zhǔn)入控制的同時,,也需要通過數(shù)據(jù)安全手段對核心數(shù)據(jù)進(jìn)行專業(yè)的防護(hù)。
對此曹主任也給予了認(rèn)同,,他表示,,在目前醫(yī)院的安全建設(shè)中,醫(yī)院內(nèi)網(wǎng)及遠(yuǎn)程醫(yī)療的發(fā)展尤為重要,。因此,,防火墻和VPN自然就作為剛需或首先,。但隨著如大數(shù)據(jù)、云計算,、移動互聯(lián)網(wǎng),、物聯(lián)網(wǎng)等新技術(shù)的發(fā)展,安全技術(shù)同樣需要發(fā)展和更新,。
曹主任建議,,醫(yī)院可以進(jìn)行體系化的安全建設(shè),包括安全技術(shù)體系,、管理體系,、運營體系(服務(wù)體系),三者相輔相成,。在方案上,,可以采用融合安全、立體保護(hù)的架構(gòu),,比如采用一體化的安全設(shè)備,,減少設(shè)備運維管理壓力。另外,,在端點安全,、網(wǎng)絡(luò)邊界安全、云端安全,、安全服務(wù),、安全管理制度等,醫(yī)院都應(yīng)該及時加強(qiáng),。
保護(hù)醫(yī)院數(shù)據(jù)安全,,都有哪些妙招?
根據(jù)2018年《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》安全的要求,,三級醫(yī)院的數(shù)據(jù)安全保護(hù)主要包括以下8大措施:
1,、防火墻
2、安全審計設(shè)備
3,、系統(tǒng)加固設(shè)備
4,、數(shù)據(jù)加固設(shè)備
5、入侵防范設(shè)備
6,、身份認(rèn)證系統(tǒng)
7,、訪問控制系統(tǒng)
8、安全管理系統(tǒng)
對于現(xiàn)階段三級醫(yī)院建設(shè)較弱的身份認(rèn)證環(huán)節(jié),,綠盟科技負(fù)責(zé)人表示,,目前這部分醫(yī)院普遍使用4A產(chǎn)品如堡壘機(jī),來解決院內(nèi)的統(tǒng)一認(rèn)證的問題。通過將賬號,、認(rèn)證,、授權(quán)、審計四個過程,,來解決對數(shù)據(jù)的訪問權(quán)限的問題,。
而認(rèn)證的方式則可以根據(jù)所訪問的數(shù)據(jù)和系統(tǒng),醫(yī)院可以自行選擇強(qiáng)度適合的方式,。例如針對核心的HIS數(shù)據(jù),,訪問可以采用多人、多因素的認(rèn)證方式,,兩個或兩個以上的人員保存一副密鑰的部分,,通過靜態(tài)密碼結(jié)合短信令牌、CA證書,、指紋或其他生物特征識別技術(shù)來實現(xiàn)強(qiáng)認(rèn)證方式。針對醫(yī)院的醫(yī)護(hù)工作人員,,則僅進(jìn)行靜態(tài)密碼的認(rèn)證來實現(xiàn),,以保障業(yè)務(wù)的順暢性。
在2018版的《電子病歷應(yīng)用管理規(guī)范(試行)》解讀中,,首都醫(yī)科大學(xué)附屬北京天壇醫(yī)院信息中心主任王韜曾闡述了現(xiàn)有數(shù)字簽名在電子病歷數(shù)據(jù)保護(hù)上存在的兩大隱患:
1,、簽名內(nèi)容的專屬性,目前尚未出臺電子病歷簽名內(nèi)容的標(biāo)準(zhǔn),,這導(dǎo)致CA(證書授權(quán)中心)在簽名時不考慮提交簽名的內(nèi)容是否存在問題,,這到這患者存在“被掉包”的可能性。
2,、簽名內(nèi)容完整性,。由于醫(yī)院簽名次數(shù)較多,CA在驗簽時無法發(fā)現(xiàn)醫(yī)院是否每次提交內(nèi)容中有包含不利信息,。
以上兩種隱患,,王主任認(rèn)為可以通過簽名+時間戳的方式進(jìn)行解決。如此一來,,就能保證每次的操作人員和操作時間可查詢,、可追溯。
但據(jù)曹主任所言,,目前普遍的認(rèn)證方式都沒真正在醫(yī)院用起來,。比如內(nèi)網(wǎng)中采用最多的CA認(rèn)證,雖然它可以實現(xiàn)雙因素認(rèn)證,,提高認(rèn)證的安全性,,但因為使用起來比較麻煩,并且還存在兼容性問題,,因此醫(yī)院采用的其實并不多,。
而在數(shù)據(jù)的查詢,、追溯、管理上,,醫(yī)院可以采用日志審計,、堡壘機(jī)、數(shù)據(jù)庫審計等方式進(jìn)行管理,,實現(xiàn)一定程度上的數(shù)據(jù)保護(hù),。但是在大數(shù)據(jù)上,非結(jié)構(gòu)化的數(shù)據(jù)會存在一定的問題,。并且多設(shè)備的部署,,醫(yī)院在管理運維方面也會比較麻煩。因此曹主任認(rèn)為,,在新的安全技術(shù)方向上,,醫(yī)院可以采用軟件定義安全的模式進(jìn)行部署。
面對日益泛濫的勒索攻擊,,醫(yī)院該如何應(yīng)對,?
2018年1月15日,位于印第安納州漢考克健康的Greenfield受到勒索軟件攻擊,,這促使技術(shù)人員關(guān)閉了整個網(wǎng)絡(luò) ,。在醫(yī)院電腦屏幕上出現(xiàn)勒索軟件通知后不久。黑客竟然猖狂地表示,,在技術(shù)人員支付比特幣贖金前,,他會長期“保管”一定數(shù)量的系統(tǒng)“人質(zhì)”。
對此,,衛(wèi)生系統(tǒng)的IT團(tuán)隊立即關(guān)閉了包括醫(yī)生辦公室和健康中心在內(nèi)的所有網(wǎng)絡(luò),,以隔離病毒。相關(guān)技術(shù)人員表示,,黑客正試圖讓醫(yī)院無法運營,,使用“數(shù)字掛鎖”來限制人員對系統(tǒng)部分功能的訪問。
McAfee首席科學(xué)家Raj Samani表示:“就勒索軟件而言,,醫(yī)療行業(yè)遭受的損失可能是最多的,。勒索軟件的爆炸式增長,其發(fā)源也是醫(yī)療領(lǐng)域,。黑客們或?qū)膫鹘y(tǒng)形式的勒索軟件,,轉(zhuǎn)向更多的網(wǎng)絡(luò)破壞和服務(wù)中斷型攻擊?!?/p>
據(jù)動脈網(wǎng)了解,,勒索病毒和挖礦病毒之所以威力巨大,一般是由于利用了永恒之藍(lán)等遠(yuǎn)程攻擊方式,能夠自我傳播,。因此,,一個有趣的現(xiàn)象是,即所謂的內(nèi)外網(wǎng)隔離的內(nèi)網(wǎng)環(huán)境反倒更多地遭到侵襲,,病毒也更泛濫,。原因在于,相比于跟互聯(lián)網(wǎng)直接接觸的場景,,純內(nèi)網(wǎng)的生產(chǎn)環(huán)境對安全少了對危機(jī)的敏感度,。因此,被攻擊或遭到病毒的侵襲也就成為必然結(jié)果,。
在應(yīng)對勒索病毒一事上,,曹主任認(rèn)為安全事件并非遙遠(yuǎn)不及。安全建設(shè)也不是單單的滿足合規(guī)性建設(shè),,因為,,哪怕很多醫(yī)院通過等級保護(hù)三級的驗收,也一樣會中勒索病毒,。原因是安全技術(shù)的發(fā)展,,傳統(tǒng)的防御技術(shù)對新型的威脅或者病毒是逐步失效的,所以需要加強(qiáng)監(jiān)測與響應(yīng)的能力,。
在針對勒索病毒或者挖礦軟件的風(fēng)險上,曹主任認(rèn)為可以采用四個階段的防護(hù)措施:
第一階段:加強(qiáng)端點安全的建設(shè),,包括主機(jī)(PC\服務(wù)器)的系統(tǒng)補丁管理,、安全基線管理、病毒查殺軟件等,??梢圆渴鹣乱淮它c安全系統(tǒng),如EDR軟件,,可以通過人工智能,、大數(shù)據(jù)技術(shù)實現(xiàn)勒索病毒變種及未知威脅的防護(hù)。
第二階段:加強(qiáng)全網(wǎng)流量風(fēng)險監(jiān)控及安全可視化的能力,,通過整體安全感知平臺,,通過流量分析實現(xiàn)網(wǎng)絡(luò)中的風(fēng)險可視化,例如出現(xiàn)病毒感染時,,可以通過全網(wǎng)的主機(jī)風(fēng)險展示進(jìn)行管理,。
第三階段,在網(wǎng)絡(luò)邊界處部署下一代防火墻設(shè)備,,需要支持IPS,、僵尸網(wǎng)絡(luò)識別、AV防護(hù)等一體化的設(shè)備,并且可以和感知平臺實現(xiàn)聯(lián)動,,當(dāng)平臺發(fā)現(xiàn)問題后下方策略到防火墻上進(jìn)行阻斷,。
第四階段,加強(qiáng)全網(wǎng)應(yīng)急響應(yīng)及應(yīng)急演練的能力,,可以通過采購第三方專業(yè)的安全服務(wù),,實現(xiàn)快速的事件響應(yīng)。對勒索病毒進(jìn)行預(yù)防和應(yīng)急處置,。
醫(yī)療信息安全雖有政策加持,,但仍是一個長期過程
醫(yī)療行業(yè)性政策標(biāo)準(zhǔn)和近兩年隨著網(wǎng)絡(luò)安全法正式實施,以及一些跟個人信息保護(hù),、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等相關(guān)的法規(guī),、條例和標(biāo)準(zhǔn),都對于醫(yī)療行業(yè)整體的網(wǎng)絡(luò)安全環(huán)境形成有著非常正向的作用,。細(xì)化行業(yè)政策和標(biāo)準(zhǔn)的出臺,,從頂層設(shè)計到具體實現(xiàn)各個層面進(jìn)行了一定的歸一化和標(biāo)準(zhǔn)化,統(tǒng)一共性問題的認(rèn)識,,統(tǒng)一解決思路,,這不管是對于醫(yī)院還是安全廠商都是非常利好的事情。
醫(yī)院用戶具有了在細(xì)分業(yè)務(wù)上權(quán)威的信息網(wǎng)絡(luò)安全參考,,安全廠商也可以在解決行業(yè)需求的問題上,,更多的朝同一個大方向上的不同維度和領(lǐng)域來擴(kuò)充和輸出優(yōu)勢能力,對產(chǎn)業(yè)和行業(yè)用戶來說,,是一個多贏的結(jié)果,。
雖然行業(yè)形勢一片大好,但曹主任也給出了自己的一點建議:
雖然目前幾乎所有的安全企業(yè)都在積極的學(xué)習(xí)和解讀這些安全標(biāo)準(zhǔn)和政策,,并根據(jù)自己的安全實踐提煉出切實可行的醫(yī)療安全方案,。但也應(yīng)該清醒地看到,政策標(biāo)準(zhǔn)到具體執(zhí)行落地還需要一定的時間,,短期內(nèi)對應(yīng)醫(yī)院的信息化建設(shè)上效應(yīng)不明顯,,這是一個長期的過程。