亚洲avav国产av综合av,无码人妻aⅴ一区二区三区蓬泽谣,无码人妻一区二区三区免费看

互聯(lián)網(wǎng)醫(yī)院大門已敞開，信息安全有哪些薄弱點、又該如何保障？

2018-10-22 10:20

2018年，醫(yī)療信息化、互聯(lián)網(wǎng)醫(yī)療重量級政策和標準頻發(fā)，這為醫(yī)院進入下一個發(fā)展階段奠定了基礎。但無論是醫(yī)院信息化建設、互聯(lián)網(wǎng)醫(yī)院還是遠程醫(yī)療，都離不開數(shù)據(jù)安全的問題。云時代的來臨，更是讓醫(yī)院保障信息系統(tǒng)和數(shù)據(jù)的安全性，顯得尤為重要。

醫(yī)療行業(yè)的信息安全市場情況如何？醫(yī)院目前的信息安全的薄弱點有哪些？醫(yī)院該如何應對信息化創(chuàng)新產品下的信息安全，以及日益泛濫的網(wǎng)絡勒索？這些問題，將在本篇文章中得到深度探討。

醫(yī)療信息安全市場缺乏活力，根本原因是？

下面這張表，是動脈網(wǎng)結合2018年《全國醫(yī)院信息化建設標準與規(guī)范（試行）》安全要求，以及中國醫(yī)院協(xié)會信息管理專業(yè)委員會CHIMA發(fā)布的《2017－2018中國醫(yī)院信息化狀況調查報告》中的相關數(shù)據(jù)得出。將兩者相互印證之后，動脈網(wǎng)得出了目前三級醫(yī)院信息安全建設情況：

2018年《全國醫(yī)院信息化建設標準與規(guī)范（試行）》安全要求			2017－2018中國醫(yī)院信息化狀況調查報告情況
數(shù)據(jù)中心安全	防火墻	WEB防火墻	防火墻	應用比例：89．73％
		數(shù)據(jù)庫防火墻
		網(wǎng)絡防火墻
	安全審計設備	網(wǎng)絡安全審計	＼
		數(shù)據(jù)庫審計
		運維審計
		主機安全審計
		漏洞掃描設備	漏洞掃描	應用比例：23．95％
	系統(tǒng)加固設備	漏洞掃描設備
		WEB漏洞掃描設備
	數(shù)據(jù)加固設備	網(wǎng)絡防泄露設備	＼
		存儲數(shù)據(jù)防泄露設備
		數(shù)據(jù)庫加密設備	數(shù)據(jù)加密	應用比例：11．03％
		郵件加密設備
	入侵防范設備	入侵防御設備	入侵監(jiān)測設備	應用比例：46．77％
		入侵檢測設備
		網(wǎng)絡準入控制設備	網(wǎng)絡接入控制	應用比例：39．92％
		防病毒網(wǎng)關設備	防毒墻設備	應用比例：50．57％
		網(wǎng)絡安全入侵防范	網(wǎng)絡版反病毒軟件	應用比例：85．55％
		主機入侵防范
		主機惡意代碼防范
		網(wǎng)頁防篡改
	身份認證系統(tǒng)	統(tǒng)一身份管理	域用戶管理模式	應用比例：47．53％
		電子認證服務	電子簽名（公鑰密匙框架）	應用比例：14．83％
		用戶身份鑒別	身份認證	應用比例：16．73％
		個人隱私保護	＼
		網(wǎng)絡設備身份鑒別
		主機身份鑒別
	訪問控制系統(tǒng)	上網(wǎng)行為管理	上網(wǎng)行為管理	應用比例：57．41％
		虛擬化安全防護	＼
	安全管理系統(tǒng)	文檔安全管理
		日志審計系統(tǒng)	數(shù)據(jù)庫行為審計	應用比例：32．70％
		資產風險管理	＼
		統(tǒng)一安全管理
終端安全	身份認證設備	電子信息鑒別	電子簽名（公鑰密匙框架）	應用比例：20．53％
		生物信息鑒別	生物信息識別技術	應用比例：4．56％
	介質安全設備	安全U盤	＼
		移動存儲介質
	客戶端管理系統(tǒng)	客戶端終端認證
		虛擬專用網(wǎng)絡客戶端管理
	終端安全管理系統(tǒng)	桌面終端安全管理
		移動終端安全管理
		移動存儲介質管理
網(wǎng)絡安全	結構安全設備	單向網(wǎng)閘	網(wǎng)閘設備	應用比例：50．57％
		雙向網(wǎng)閘
	通信加密設備	虛擬專用網(wǎng)絡設備	VPN設備	應用比例：50．95％
		加密機設備	＼
	網(wǎng)絡優(yōu)化設備	廣域網(wǎng)加速設備
		鏈路負載均衡設備
		流量控制
	網(wǎng)絡安全管理	安全策略管理
		網(wǎng)絡設備管理
容災備份	基礎設備災備	本地備用機房	主要服務器雙機熱備	應用比例：77．95％
		異地備用機房
	備用網(wǎng)絡災備	備用網(wǎng)絡鏈路
		備用網(wǎng)絡設備
	數(shù)據(jù)備份與恢復	本地數(shù)據(jù)備份	數(shù)據(jù)庫鏡像備份	應用比例：55．51％
		本地數(shù)據(jù)恢復	數(shù)據(jù)災備	應用比例：62．74％
		異地數(shù)據(jù)備份	集中存儲異地鏡像備份	應用比例：29．28％
		異地數(shù)據(jù)恢復	＼
	應用容災	本地應用高可用	應用系統(tǒng)級災難恢復	應用比例：50．95％
		本地應用恢復
		異地應用容災
		異地應用恢復

從表中可以看出，目前三級醫(yī)院的信息安全建設，主要集中在防火墻、反病毒、VPN／網(wǎng)閘和容災備份這四個方面；建設較差的主要包括安全審計、身份認證、隱私保護、終端安全和網(wǎng)絡安全。

針對醫(yī)療行業(yè)信息安全市場的現(xiàn)狀，廣州市婦女兒童醫(yī)療中心數(shù)據(jù)中心副主任曹曉均給出了自己的觀點。他認為，市場的大小根本原因在于醫(yī)療行業(yè)的安全建設相對落后。行業(yè)中，并沒有整體的安全規(guī)劃或建設思路。并且，大部分醫(yī)院的安全建設都是滿足合規(guī)性要求上的投入。如采購幾臺防火墻、終端管理軟件再加上管理制度，就可以通過等保要求，真正用心做安全整體設計的并不多。這種現(xiàn)狀，導致整個醫(yī)療信息安全市場缺乏活力。

此外，目前國內醫(yī)療行業(yè)更關注業(yè)務發(fā)展需求，缺乏專業(yè)的網(wǎng)絡安全人才儲備，這也是目前比較大的挑戰(zhàn)。

一位業(yè)內人士則透露，一方面醫(yī)院信息部門的地位相對弱勢，信息化建設大多取決于院方領導的意識。對醫(yī)院來說，單位網(wǎng)絡設備體量不大，一般是純內網(wǎng)的環(huán)境，當前重點建設基本集中在網(wǎng)絡基礎設施完善，安全建設相對滯后。再加上醫(yī)療行業(yè)屬于財政差額撥款單位，有相當一部分醫(yī)院資金不富裕，因此安全建設的優(yōu)先級相對較低。

對于國內醫(yī)療信息安全市場現(xiàn)階段的產值規(guī)模，作為國內信息安全企業(yè)的代表，綠盟科技相關負責人分析了以下兩點原因：

其一，信息安全相關配套政策和標準較少。在網(wǎng)絡安全法正式實施之前，國內對于個人隱私信息的安全要求幾乎空白。而醫(yī)療行業(yè)是涉及個人隱私信息最為深入的領域，沒有法律法規(guī)上的明確要求，沒有行業(yè)標準的具體指向，各級醫(yī)療機構很難認識到信息安全對自身業(yè)務的深刻影響，也就很少會主動考慮在安全方面有所投入。

其二，信息或網(wǎng)絡安全對醫(yī)療行業(yè)的實際業(yè)務推進上缺乏直觀的價值感受。舉例而言，一所三甲醫(yī)院每年的IT類投資可能達到千萬級。但醫(yī)院決策者基于業(yè)務發(fā)展的考慮更多的會對臨床、研究、醫(yī)技等業(yè)務領域方面進行投入，原因就在于這些IT投資對業(yè)務的推進和支撐幾乎是肉眼可見，而信息安全的價值卻很難被感知。防護了多少安全攻擊、解決了多少安全漏洞、抵御了多少次信息泄露，這些都不會被直接展示到?jīng)Q策者的案桌上。

正因如此，最近兩年，各大信息安全廠商均在重點考慮和投入安全運營和效果可視化。

互聯(lián)網(wǎng)醫(yī)院扎堆出現(xiàn)，如何保障它們的信息安全？

如何保障互聯(lián)網(wǎng)醫(yī)院的信息安全？在回答這一問題前，首先要明確而其定義和具體要求。

互聯(lián)網(wǎng)醫(yī)院的概念提出，是為了解決原有傳統(tǒng)醫(yī)療體系中所欠缺的專業(yè)醫(yī)療資源不均衡和醫(yī)療服務體驗差的問題。因此互聯(lián)網(wǎng)醫(yī)院為了解決這兩大核心問題，采用的機制是借助互聯(lián)網(wǎng)這個強大的資源共享方式，借助云計算和大數(shù)據(jù)等技術，從模式和能力上對作為傳統(tǒng)醫(yī)療業(yè)務的補充。

互聯(lián)網(wǎng)醫(yī)院的管理辦法中提到，互聯(lián)網(wǎng)醫(yī)院由互聯(lián)網(wǎng)進行遠程訪問，會涉及到實體醫(yī)療機構的重要系統(tǒng)數(shù)據(jù)交換，同時根據(jù)互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)按照國家有關法律法規(guī)和規(guī)定，實施第三級信息安全等級保護。所以，在滿足醫(yī)院的互聯(lián)網(wǎng)接入和虛擬專用用上，醫(yī)院還要滿足數(shù)據(jù)安全的要求。

從本質上講，互聯(lián)網(wǎng)醫(yī)院的信息安全所要保障的根本并沒有變，依然是對于數(shù)據(jù)，特別是醫(yī)療臨床等相關的健康數(shù)據(jù)的保護，從傳輸、處理、共享、存儲各方面考慮其安全性。因此，要滿足這類安全需求，絕不是單一的安全產品能實現(xiàn)。醫(yī)院需要充分結合實際的技術場景，選擇在各個維度能夠達到風險控制需要的安全產品。

例如，在傳輸層面，互聯(lián)網(wǎng)邊界需要考慮訪問控制、入侵防護、病毒檢測和防護、WEB安全防護等措施。而在數(shù)據(jù)交換場景下，醫(yī)院需要考慮數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)防泄漏、數(shù)據(jù)庫審計或防護等。所以，沒有最好的安全產品，只有最適合業(yè)務的安全解決方案。

對于目前備受關注的互聯(lián)網(wǎng)醫(yī)院的信息安全建設，國內知名數(shù)據(jù)安全廠商安華金和醫(yī)療行業(yè)負責人認為，互聯(lián)網(wǎng)專線和VPN能夠解決一部分的外網(wǎng)接入的安全問題，但從業(yè)務訪問的角度來講，業(yè)務數(shù)據(jù)系統(tǒng)對外提供，包括遠程醫(yī)療、醫(yī)保查詢、預約掛號等都需要直接訪問業(yè)務數(shù)據(jù)，對于數(shù)據(jù)本身的訪問安全以及對于內網(wǎng)訪問安全也需要加強。

例如，在數(shù)據(jù)庫安全方面可以采用數(shù)據(jù)庫審計、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫加密、數(shù)據(jù)庫脫敏等手段進行安全加固。整體而言，可以從主動防御體系的思路做安全建設，這涉及四道防線：

第一道防線：檢查預警。通過數(shù)據(jù)庫漏掃產品對數(shù)據(jù)庫威脅進行檢查分析，給出安全建議。

第二道防線：主動防御。通過數(shù)據(jù)庫安全運維產品的身份識別、運維審批、流程管理，防止非法人員操作；防止外部攻擊破壞；與此同時做好內部防護，防止內部超級權限。

第三道防線：底線防守。

閾值管控：規(guī)避批量惡意訪問，針對大批量醫(yī)療泄密進行告警控管，防止醫(yī)療數(shù)據(jù)批量查詢；

數(shù)據(jù)庫加密產品：防止防止醫(yī)患數(shù)據(jù)泄露 “脫庫”；

數(shù)據(jù)庫脫敏產品：醫(yī)療數(shù)據(jù)去隱私化，防止泄漏真實數(shù)據(jù)給第三方。

第四道防線：事后追查。利用數(shù)據(jù)庫審計產品來區(qū)分是外部威脅還是內鬼作案，可以對安全事件進行責任追溯。

對于互聯(lián)網(wǎng)醫(yī)院APP的安全問題，綠盟科技則認為應該從應用服務端、網(wǎng)絡通信和用戶三個層面來整體看待。

對于服務端而言，基于移動應用端的APP安全與傳統(tǒng)的WEB安全并無本質區(qū)別，現(xiàn)有的WAF類防護產品依然適用，能夠防護來自APP端的攻擊，網(wǎng)絡通信端的安全則主要考慮數(shù)據(jù)的保密與完整性。因此，醫(yī)院可以通過SSL或HTTPS來解決。

而移動端的安全，對醫(yī)院這樣的企業(yè)級用戶而言，幾乎不可能通過傳統(tǒng)意義上的安全產品來解決安全漏洞問題。因為無法要求每個移動端用戶自己按照要求安裝指定的安全軟件，那會帶來極大的用戶體驗下降。因此，目前更多的醫(yī)療機構在上線APP應用前，會進行系統(tǒng)性的安全評估和安全的黑白盒測試。基于測試和評估結果，安全廠商能夠指導開發(fā)者對不安全的漏洞進行及時修復，以此來徹底解決APP的安全問題。

曹主任的觀點與綠盟科技類似，他認為，在遠程移動的訪問上，采用SSL VPN（國密）實現(xiàn)遠程訪問的卻是較好的方案。在互聯(lián)網(wǎng)醫(yī)院與偏遠地區(qū)醫(yī)療機構、基層醫(yī)療衛(wèi)生機構、全科醫(yī)生與�？漆t(yī)生的數(shù)據(jù)資源共享和業(yè)務協(xié)同上，可以考慮采用安全一體機部署在基礎醫(yī)療機構本地，實現(xiàn)VPN安全組網(wǎng)和數(shù)據(jù)加密傳輸。

VPN和防火墻，醫(yī)院青睞的兩大香餑餑

在騰訊最近發(fā)布的醫(yī)療行業(yè)安全指數(shù)報告中提到，目前醫(yī)療行業(yè)的網(wǎng)絡安全設備首選防火墻和VPN設備。

造成這個結果的原因，綠盟科技負責人認為主要有兩個：一是這兩類產品的使用范圍更多，凡是有網(wǎng)絡邊界的地方幾乎都要用到防火墻進行邏輯隔離。而VPN則是目前最為低成本和穩(wěn)定的專用網(wǎng)絡解決方案，凡是涉及到有需要遠程接入訪問內網(wǎng)的場景，都需要借助VPN實現(xiàn)，這造成了巨大的需求基數(shù)。

另外一方面，醫(yī)療用戶普遍對網(wǎng)絡安全的認識還不夠深刻。特別在廣大的基層醫(yī)療機構，因為網(wǎng)絡規(guī)模較小、信息數(shù)據(jù)量也不大，認為邊界防護有防火墻，通信數(shù)據(jù)保障有VPN即可確保整體網(wǎng)絡安全。

但其實無論醫(yī)療機構的大小，涉及到病患隱私信息數(shù)據(jù)、臨床信息數(shù)據(jù)等敏感數(shù)據(jù)的重要程度都是不言而喻。對這類數(shù)據(jù)的保護除了防火墻和VPN之外，還需要考慮邊界的縱深防護，諸如入侵防護、病毒過濾、針對WEB應用的WAF產品，針對數(shù)據(jù)庫保護的數(shù)據(jù)庫防火墻和安全審計等環(huán)節(jié)，等需要考慮建設。

對于目前醫(yī)院VPN的使用現(xiàn)狀，安華金和負責人在與某三級醫(yī)院信息科主任溝通之后，也給出了自己的觀點：VPN一方面用于遠程維護，另外一個主要的用途是區(qū)域聯(lián)網(wǎng)。但目前區(qū)域聯(lián)網(wǎng)更傾向于專線，只有條件不夠，醫(yī)院才選擇走VPN。比如不少醫(yī)院與市衛(wèi)健委、省衛(wèi)健委的連接方式就采用專線，而條件達不到的醫(yī)院，則只能使用VPN實現(xiàn)連接。

此外，在實際使用中，醫(yī)院不僅要考慮互聯(lián)網(wǎng)訪問的接入安全，還需考慮數(shù)據(jù)平臺的安全。如果用戶的VPN賬戶被盜取或者邊界被入侵，那么核心的數(shù)據(jù)將直接暴露在攻擊者面前。因此在對訪問進行準入控制的同時，也需要通過數(shù)據(jù)安全手段對核心數(shù)據(jù)進行專業(yè)的防護。

對此曹主任也給予了認同，他表示，在目前醫(yī)院的安全建設中，醫(yī)院內網(wǎng)及遠程醫(yī)療的發(fā)展尤為重要。因此，防火墻和VPN自然就作為剛需或首先。但隨著如大數(shù)據(jù)、云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術的發(fā)展，安全技術同樣需要發(fā)展和更新。

曹主任建議，醫(yī)院可以進行體系化的安全建設，包括安全技術體系、管理體系、運營體系（服務體系），三者相輔相成。在方案上，可以采用融合安全、立體保護的架構，比如采用一體化的安全設備，減少設備運維管理壓力。另外，在端點安全、網(wǎng)絡邊界安全、云端安全、安全服務、安全管理制度等，醫(yī)院都應該及時加強。

保護醫(yī)院數(shù)據(jù)安全，都有哪些妙招？

根據(jù)2018年《全國醫(yī)院信息化建設標準與規(guī)范（試行）》安全的要求，三級醫(yī)院的數(shù)據(jù)安全保護主要包括以下8大措施：

1、防火墻

2、安全審計設備

3、系統(tǒng)加固設備

4、數(shù)據(jù)加固設備

5、入侵防范設備

6、身份認證系統(tǒng)

7、訪問控制系統(tǒng)

8、安全管理系統(tǒng)

對于現(xiàn)階段三級醫(yī)院建設較弱的身份認證環(huán)節(jié)，綠盟科技負責人表示，目前這部分醫(yī)院普遍使用4A產品如堡壘機，來解決院內的統(tǒng)一認證的問題。通過將賬號、認證、授權、審計四個過程，來解決對數(shù)據(jù)的訪問權限的問題。

而認證的方式則可以根據(jù)所訪問的數(shù)據(jù)和系統(tǒng)，醫(yī)院可以自行選擇強度適合的方式。例如針對核心的HIS數(shù)據(jù)，訪問可以采用多人、多因素的認證方式，兩個或兩個以上的人員保存一副密鑰的部分，通過靜態(tài)密碼結合短信令牌、CA證書、指紋或其他生物特征識別技術來實現(xiàn)強認證方式。針對醫(yī)院的醫(yī)護工作人員，則僅進行靜態(tài)密碼的認證來實現(xiàn)，以保障業(yè)務的順暢性。

在2018版的《電子病歷應用管理規(guī)范（試行）》解讀中，首都醫(yī)科大學附屬北京天壇醫(yī)院信息中心主任王韜曾闡述了現(xiàn)有數(shù)字簽名在電子病歷數(shù)據(jù)保護上存在的兩大隱患：

1、簽名內容的專屬性，目前尚未出臺電子病歷簽名內容的標準，這導致CA（證書授權中心）在簽名時不考慮提交簽名的內容是否存在問題，這到這患者存在“被掉包”的可能性。

2、簽名內容完整性。由于醫(yī)院簽名次數(shù)較多，CA在驗簽時無法發(fā)現(xiàn)醫(yī)院是否每次提交內容中有包含不利信息。

以上兩種隱患，王主任認為可以通過簽名＋時間戳的方式進行解決。如此一來，就能保證每次的操作人員和操作時間可查詢、可追溯。

但據(jù)曹主任所言，目前普遍的認證方式都沒真正在醫(yī)院用起來。比如內網(wǎng)中采用最多的CA認證，雖然它可以實現(xiàn)雙因素認證，提高認證的安全性，但因為使用起來比較麻煩，并且還存在兼容性問題，因此醫(yī)院采用的其實并不多。

而在數(shù)據(jù)的查詢、追溯、管理上，醫(yī)院可以采用日志審計、堡壘機、數(shù)據(jù)庫審計等方式進行管理，實現(xiàn)一定程度上的數(shù)據(jù)保護。但是在大數(shù)據(jù)上，非結構化的數(shù)據(jù)會存在一定的問題。并且多設備的部署，醫(yī)院在管理運維方面也會比較麻煩。因此曹主任認為，在新的安全技術方向上，醫(yī)院可以采用軟件定義安全的模式進行部署。

面對日益泛濫的勒索攻擊，醫(yī)院該如何應對？

2018年1月15日，位于印第安納州漢考克健康的Greenfield受到勒索軟件攻擊，這促使技術人員關閉了整個網(wǎng)絡。在醫(yī)院電腦屏幕上出現(xiàn)勒索軟件通知后不久。黑客竟然猖狂地表示，在技術人員支付比特幣贖金前，他會長期“保管”一定數(shù)量的系統(tǒng)“人質”。

對此，衛(wèi)生系統(tǒng)的IT團隊立即關閉了包括醫(yī)生辦公室和健康中心在內的所有網(wǎng)絡，以隔離病毒。相關技術人員表示，黑客正試圖讓醫(yī)院無法運營，使用“數(shù)字掛鎖”來限制人員對系統(tǒng)部分功能的訪問。

McAfee首席科學家Raj Samani表示：“就勒索軟件而言，醫(yī)療行業(yè)遭受的損失可能是最多的。勒索軟件的爆炸式增長，其發(fā)源也是醫(yī)療領域。黑客們或將從傳統(tǒng)形式的勒索軟件，轉向更多的網(wǎng)絡破壞和服務中斷型攻擊�！�

據(jù)動脈網(wǎng)了解，勒索病毒和挖礦病毒之所以威力巨大，一般是由于利用了永恒之藍等遠程攻擊方式，能夠自我傳播。因此，一個有趣的現(xiàn)象是，即所謂的內外網(wǎng)隔離的內網(wǎng)環(huán)境反倒更多地遭到侵襲，病毒也更泛濫。原因在于，相比于跟互聯(lián)網(wǎng)直接接觸的場景，純內網(wǎng)的生產環(huán)境對安全少了對危機的敏感度。因此，被攻擊或遭到病毒的侵襲也就成為必然結果。

在應對勒索病毒一事上，曹主任認為安全事件并非遙遠不及。安全建設也不是單單的滿足合規(guī)性建設，因為，哪怕很多醫(yī)院通過等級保護三級的驗收，也一樣會中勒索病毒。原因是安全技術的發(fā)展，傳統(tǒng)的防御技術對新型的威脅或者病毒是逐步失效的，所以需要加強監(jiān)測與響應的能力。

在針對勒索病毒或者挖礦軟件的風險上，曹主任認為可以采用四個階段的防護措施：

第一階段：加強端點安全的建設，包括主機（PC＼服務器）的系統(tǒng)補丁管理、安全基線管理、病毒查殺軟件等。可以部署下一代端點安全系統(tǒng)，如EDR軟件，可以通過人工智能、大數(shù)據(jù)技術實現(xiàn)勒索病毒變種及未知威脅的防護。

第二階段：加強全網(wǎng)流量風險監(jiān)控及安全可視化的能力，通過整體安全感知平臺，通過流量分析實現(xiàn)網(wǎng)絡中的風險可視化，例如出現(xiàn)病毒感染時，可以通過全網(wǎng)的主機風險展示進行管理。

第三階段，在網(wǎng)絡邊界處部署下一代防火墻設備，需要支持IPS、僵尸網(wǎng)絡識別、AV防護等一體化的設備，并且可以和感知平臺實現(xiàn)聯(lián)動，當平臺發(fā)現(xiàn)問題后下方策略到防火墻上進行阻斷。

第四階段，加強全網(wǎng)應急響應及應急演練的能力，可以通過采購第三方專業(yè)的安全服務，實現(xiàn)快速的事件響應。對勒索病毒進行預防和應急處置。

醫(yī)療信息安全雖有政策加持，但仍是一個長期過程

醫(yī)療行業(yè)性政策標準和近兩年隨著網(wǎng)絡安全法正式實施，以及一些跟個人信息保護、關鍵信息基礎設施保護等相關的法規(guī)、條例和標準，都對于醫(yī)療行業(yè)整體的網(wǎng)絡安全環(huán)境形成有著非常正向的作用。細化行業(yè)政策和標準的出臺，從頂層設計到具體實現(xiàn)各個層面進行了一定的歸一化和標準化，統(tǒng)一共性問題的認識，統(tǒng)一解決思路，這不管是對于醫(yī)院還是安全廠商都是非常利好的事情。

醫(yī)院用戶具有了在細分業(yè)務上權威的信息網(wǎng)絡安全參考，安全廠商也可以在解決行業(yè)需求的問題上，更多的朝同一個大方向上的不同維度和領域來擴充和輸出優(yōu)勢能力，對產業(yè)和行業(yè)用戶來說，是一個多贏的結果。

雖然行業(yè)形勢一片大好，但曹主任也給出了自己的一點建議：

雖然目前幾乎所有的安全企業(yè)都在積極的學習和解讀這些安全標準和政策，并根據(jù)自己的安全實踐提煉出切實可行的醫(yī)療安全方案。但也應該清醒地看到，政策標準到具體執(zhí)行落地還需要一定的時間，短期內對應醫(yī)院的信息化建設上效應不明顯，這是一個長期的過程。