医保信息化建设全国一盘棋，安恒信息推出医保信息平台安全体系方案

来源：HIT专家网  供稿：安恒信息

2020年，医保信息化的发展速度已颇为引人瞩目，根据国家医疗保障局的统一部署，2021年底将初步建成全国统一的医保信息平台。国家医保局强调：要形成自上而下的全国医保信息化“一盘棋”格局，按照标准全国统一、数据两级集中、平台分级部署、网络全面覆盖、规范项目建设、安全保障有力这六条原则的要求，从根本上解决系统分散、标准不统一、信息孤岛等问题。

国家医保局业务特点及医疗保障信息平台建设原则如图1所示。

为此，国家医保局印发《医疗保障信息平台建设指南》和《医疗保障核心业务区网络安全接入规范》等多项指导意见，指导地方开展医保信息系统建设工作。如何按照建设指南的要求，加快推进医保信息化建设工作？

安恒信息整理了“医保信息化安全政策法规”，作为“开工大礼包”供您下载。

国内医疗行业网络安全形势不容乐观

日前，安恒信息威胁情报中心发布了《2020年度高级威胁态势研究报告》。报告显示，2020年，政府、金融、军工三大行业仍是高级威胁的重点关注目标，受全球疫情影响，医疗行业成为高级威胁攻击目标的事件占比上升至第四位，其所面临的安全问题不容小觑。

由于医疗行业各机构的特殊性，医疗、医保、医药信息都属于需要紧急使用的信息，一旦这些数据被加密勒索，将造成很大的影响和严重后果。医疗行业的数据库是黑客觊觎的宝藏，欺诈者利用这些精准信息可以进行电信诈骗、虚假医疗广告营销等违法活动。医疗行业面临的网络安全威胁与损失主要表现在以下三个方面。

1.勒索病毒危害严重

2017年以来，医疗行业已成为攻击者实施勒索的最主要目标，29%的勒索软件的攻击目标是各类医疗相关机构。除勒索外，医疗业务资源被黑客滥用于挖矿，也会破坏医疗机构内部IT环境、数据中心的正常运行秩序以及关键应用的交付，同样使得业务连续性遭受极大安全威胁。勒索、挖矿已经成为影响医疗业务连续性的主要威胁。

2.医疗信息泄露不可小觑

随着各类应用的深入，各种移动办公、远程办公、移动挂号等便捷式服务应用的出现，势必会有信息交互交叉进行的情况存在。医院网络具有开放网络的基本特征，存在很大的安全风险，因此医疗信息泄露事件频发。

3.大数据技术衍生新风险

大数据的风险包括数据泄漏和数据滥用，一方面是数据从归集、存储、处理、共享到销毁过程的环节多，任何一个环节的相关操作都可能导致数据泄漏，另一方面是各大数据平台与数据接口的共享交换将原先大量的分散、结构化和非结构化的数据汇集到大数据平台的大数据存储和管理系统，汇集后的高价值数据可能会因为权限管理不清导致“合法人做非法事”的情况出现。

紧跟政策 安恒信息落地医保信息平台安全体系方案

为尽快构建覆盖全国、更加完善的新时代医疗保险体系，彻底解决医保公共服务流通问题，国家医保局坚定不移推进信息系统改革建设，在2019年《关于医疗保障信息化工作的指导意见》中明确提出“一二三四”总规划目标：建设一个系统、搭建两级平台、提高三个水平、突出四类应用，即建设全国统一医保信息系统，搭建国家和省级医保信息平台，支撑提高全国医保标准化、智能化和信息化水平，推进公共服务、经办管理、智能监控、宏观决策四大类14个子系统，势必从基础设施和技术保障的根源着手，推动医保改革前行。

安恒信息以我国网络安全等级保护制度2.0标准中“一个中心三重防护”的保障理念，根据14年网络安全保障经验，提出医疗保障信息平台安全体系方案，重点突出安全管理中心建设，引入整体安全运营理念，整合推进省/地市医疗保障技术体系及管理体系的完善，推进业务与安全能力融合，以切实经验助力用户安全运营，构建优化以安全通信网络、安全区域边界、安全计算环境为主要内容的多重防御架构，持续提供覆盖省/地市医疗保障信息平台整体防护的安全能力。

如图2所示，省/地市医疗保障信息平台数据中心网络系统设计采用分区域安全架构设计，划分为：医疗保障核心业务区、内外网数据交换区、医疗保障公共服务区、纵向接入区、横向接入区五大区域，各网络区域边界部署边界防护设备实现区域隔离。

1.医疗保障核心业务区

核心生产类应用系统均部署在该区域，应用系统部署于虚拟化环境中。由于虚拟化环境下的网络边界越来越模糊，实现虚拟化环境内部的安全防护越来越困难。除传统平台安全建设外，在该区域部署天池云安全平台，通过智能数据引流的方式，实现虚拟化环境内部安全防护。

2.内外网数据交换区

医疗保障核心业务区与医疗保障公共服务区的网络要求实现严格物理隔离，内外网数据交换区采用网闸数据摆渡机制，不仅符合物理隔离的要求，还解决了内外网数据交换访问的切实需求。

3.医疗保障公共服务区

按照网络安全等级保护通用技术要求，对基础支撑平台进行安全建设。对外服务应用系统部署于该区域，其业务系统同样部署在虚拟化环境内部。为解决虚拟化环境内部网络安全问题，通过部署天池云安全平台进行安全防护。出口部署安全防护设备如防火墙、抗DDoS（分布式拒绝服务攻击）设备等，有效对互联网侧的攻击威胁进行安全防护，针对通过互联网对外提供服务的业务系统，采用SaaS云防护技术进行安全监测和防护。

4.纵向接入区

在纵向接入区边界部署防火墙，纵向连接上下级医疗保障部门核心业务网，实现国家、省、市、县四级互联。

5.横向接入区

为建成数据共享、交互协同的全国一体化医疗保障网络体系，在横向接入区部署防火墙，通过专线方式连接同级信息资源共享部门（即与医保部门有信息资源共享和数据交换需求的单位，如人社、卫健、民政、公安、财政、税务等）及医院、药店、商业银行、保险公司等有关外部单位。

除以上五大区域外，集中监控业务系统均部署在省/地市医保数据中心内部。借助AiLPHA大数据智能平台，对云上数据中心内部部署的安全组件，如探针类设备：APT、DPI，传统安全防护设备如防火墙等，与天池云安全平台进行对接，采集云内安全要素数据，采用大数据技术进行建模分析，实现对云上数据中心的网络安全状况的集中监控管理，并对安全事件进行威胁分析，配合安全防护设备实现安全闭环防护。

【责任编辑：闻雨】