随着移动医疗火热市场的推动和政府互联网+对整个医疗行业产生的引导和巨大影响,中国医疗行业正在面临一个全新的从医院内走向医院外的互联网生态格局。而由此引发的互联网安全问题成为这一发展趋势的最大障碍之一:一方面无孔不入的移动医疗应用在缺乏足够的安全规划和保障的情况下在医疗行业内不断渗透;另一方面,医疗行业的资源堡垒—--医院长期积累的院内网络及系统的管理经验面对层出不穷互联网应用缺乏技术储备和管理经验因而常常以“安全问题”为理由,将互联网拒之门外,但是这场“推倒医院围墙的战争”毕竟已经拉开了序幕。
“打通医院”面临的困局
对于众多医疗医疗创业团队以及BAT这样的互联网大佬来说,他们理解医院院内信息系统就是一座金矿,所以在坊间有“打通医院”一说,认为只要接入医院数据,移动医疗就一切皆有可能了。应该说,“打通医院”总体上是一个趋势,但是我们也需要认识到以下几个问题:
1.医院内部系统目前的数据并不理想,至少没有院外的互联网们想象的那样理想。院内信息系统存在多个系统并存并且尚未进行较完备整合的阶段,比如现在“总线接口”工程和“患者主索引”在各医院商在建设中;电子病历也还处于“模板+标签”阶段,并没有足够“专科化”等等
2.“打通医院”要考虑医院自身的信息化情况,包括:网络现状及规划,安全预期和投入以及互联网应用需求等等,最好由医院主导统一规划这个“打通医院”的过程,而不是像现在这样由外界(互联网等)推动被迫“打通”。现在的情况是,各医院就像一条条白花花的大腿,各种蚊子各叮一管血:科室有需求开通一个对外服务接口,预约挂号有需求又开通一个接口,要做支付再开通一个接口,混乱不堪。
3.一切不包含网络安全方案的医院互联网+都是耍流氓。绝大部分移动医疗服务商在推动互联网渗透医院的进程中是抱着“只管杀,不管埋”的短视心态进行的,并没有站在长远发展的立场来帮助医院妥善规划内网与外网连通后的网络格局和安全体系,好在大部分互联网安全问题对医院来说才刚刚开始,安全问题在没有爆发前往往都显得不那么重要的。正如某位前不久跟随北京地区卫生系统去广东地区参观的业内人士告诉笔者的,“广东的这几家样板医院且不说功能实现如何,就其网络安全的配置和部署情况,大部分医院都不敢贸然跟进的”。
安全真空状态下内外网一体化建设的常见形式简析
目前国内绝大部分安全厂商以提供医院内部网络安全方案为主,并未考虑互联网应用服务的安全规划,而医院也绝少考虑内网以外的互联网安全体系建设和规划,这实际上使医院互联网应用的安全需求处于近乎真空的状态。
即便是在当前的安全真空状态下,医院的内外网一体化建设在大量院外“打通医院”的呼声和院内互联网应用需求的萌动发展的双重压力下,还是悄无声息地进行着。从54Doctor参与实施的内外网一体化建设项目来看,基本包含以下三种形式:
第一种:内外网物理隔离
医院互联网应用服务商与医院内部信息系统供应商进行统一接口文件格式的商定,双方系统均建立存取文件功能,在外网(互联网)与内网(院内作业网,通常指承载HIS的内部网络)完全物理隔绝的基础上,通过人工的拷贝文件的方式实现内网信息与外网信息的交换和共享。
内外网物理隔离的方案是当下医院互联网安全真空时期较为普遍也较为务实的一种解决方案。一方面解决了医院内部与外部数据共享和非实时交互的需求,另一方面,这种措施并不影响目前医院的网络格局,医院除了在增加人工上需要专门考量外,并不需要因为实现非实时信息交换的互联网应用需求而加重医院内网的安全负担和在并不关于的信息化预算中增加更多的安全建设预算。对于放在外网的服务器,医院往往考虑将其尽量脱离医院的网络管理范围,比如完全托管到与医院网络无关的IDC或者直接选择云服务。
当然,这种方案一定只是现阶段安全真空状态下的权宜之计,无论从技术角度还是应用需求角度,这个方案都只能作为过渡方案执行。
第二种:通过网闸(GAP)的方式建立内外网连接
网闸(GAP) 是一种针对不同安全级别网络之间(比如医院的内外与外网)实现安全隔离,并提供适度可控的数据交换的软硬件系统。网闸可简单理解为利用安全岛机制将人工拷贝数据(文件)转变为自动获取数据(文件),其使用目标往往是保护内部网络的安全,缺点是无法形成网络之间的会话,并且不接受任何外部网络请求。
网闸方案将医院内外网协作向前又推动了一步,将内网与外网之间的人工数据拷贝转化为基于网闸设置的自动数据摆渡。但是和第一种方案一样,网闸方案并没有考虑暴露在互联网的服务器的安全问题,只是由于网闸方案的实施,外网服务器不得不纳入医院的整体网络规划中,因此医院在投入网闸方案建设时,一般会考虑配套增加防火墙等针对外网安全的设备,该方案需要医院有预算支持。
第三种:内网外延,支持交互式访问的前置服务器模式
通过为内网搭建支持交互式访问web前置服务器的方式,由前置服务器与互联网信息进行实时交互。这种方式是BAT们最期望的方式,有少数“博头彩”的医院在未建立完善安全体系的前提下也大胆采用了此种方式,对于很多实时性要求高的互联网应用如:网上挂号(这里主要强调通过网络方式实现HIS的挂号结果,无论是否预约),处方缴费,手机叫号(对通过短信等迂回实现方式不在这里讨论)等。
医院要实现这种方式,所须的投入是最大的,所须的安全配套体系也是要求最高的。参考当下实施较为成熟的银行整体安全解决方案,可考虑以下四个方面的安全部署:
1.网络层:划分安全域、防火墙系统、入侵检测系统、网络漏洞扫描系统、拨号监视器系统、防拒绝服务攻击系统。
2.系统层:主机访问控制系统、系统漏洞扫描系统、病毒防范系统。
3.应用层:一次性口令身份认证系统(这个对内部系统改造的要求太高,绝大部分系统很难实现)、CA认证中心。
4.管理层:制订安全管理策略,日志分析系统、建立安全管理中心。
另外,我还要强调医院统一互联网出口的重要性:医院业务的复杂性,以互联网门户网站、手机App和微信公众号为代表的互联网新媒体应用需求上呈现多元化趋势,即各业务部门都希望建立独立或相对独立的互联网应用,在缺乏安全规划的情况下往往各自建立内外网的连接通道,这样只会讲医院的互联网安全管理难度增加,成本增加。以医院门户网站(Portal)作为医院连接互联网的唯一出/入口将是未来发展的趋势。
医院对于互联网安全的认识有待提升
前不久在湖北荆州的电梯吞人事件,让人们一下子发现电梯安全的重要性。有网友对比了东京某商场的电梯发现盖板揭开后有专门的保护装置,没有可以让人掉下的空间,更重要的是日本电梯有极高的安全监控系统,哪怕只是衣服夹住电梯,电梯也会停止运转。用电梯业内人士的一句话来说:“电梯最贵的不是电梯本身,而是各种辅助的安全装置。”这句话同样适合信息系统,尤其是承载着大量患者隐私数据和健康信息的医院互联网领域。
一位国字头三甲医院信息中心主任在与笔者交流医院网络安全时曾感慨地说,前几年卫生部推医院安全等级保护时,好几位专家直接站出来反对:医院信息化建设工作已经非常复杂和繁重了,无法分出精力再搞安全等保了,现在看来,医院的网络安全意义重大,即使没有等保要求也应该全力去做。
这里说的“等保”是指《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知-卫办综函〔2011〕1126号》,要求“卫生行业各单位要于2012年5月30日前完成本单位信息系统的定级备案工作”,三级甲等医院的核心业务信息系统安全保护等级原则上不能低于三级。刚刚过去的2014年,中央政府成立了“中央网络安全和信息化小组”,由习近平任组长,同年10月的北京APEC会议期间,公安局和卫计委分别对医疗机构的官方网站进行了网络安全的检查和测评,并提出了新的安全要求。政府的积极推动对医院及行业产生如下效应:
a.很多医院认识到网络安全的重要性
b.同时,很多医院发现自身的网络系统缺乏应对互联网安全的技术和保障体系
c.医院将外网割离医院网络体系,以提高医院内网络的安全等级。比如将医院的如门户网站等互联网应用完全交给54Doctor托管。
结束语
“打通医院”所形成的医院外部应用需求的呼声加上政府互联网+的政策推动与医院薄弱的互联网安全体系之间难以平衡,医院面临这样的选择:在互联网安全没有保障的情况下冒进推动互联网应用,将安全问题留待日后解决;抑或全力保障内网,抓大放小,通过内外网物理隔离的方式先实现部分应用?
归根结底,对安全缺乏足够的认识和同样缺乏的资金预算所形成的医院互联网安全缺失已然成为医院互联网+的发展障碍。笔者在此帮医院问一句,憋着“打通医院”的各路大神,你们免费送这送那的,能帮着把互联网安全方案一起免费送了不?真的是机会啊。
