来源:HIT专家网 作者:朱小兵
步入南昌大学第一附属医院象湖院区信息处办公区,迎面可见多块网络安全运营大屏,全院网络安全运行状况实时更新,一览无余。网络安全专家值守在屏幕前,从容处置各种安全事件。
“以前,医院需要不停地购买安全产品,产品总在更新升级。结果等到护网行动时,医院又不得不求助厂商——买得越多,求得越多。”南昌大学第一附属医院信息处处长曹磊坦言。
智慧医院建设如火如荼的背后,医院网络安全和业务连续性压力与日俱增,信息部门的安全技术能力短板凸显。
“安全即服务”,补齐医院网络安全能力短板
关于医院网络安全的建设模式,曹磊有着深入的思考:究竟哪种模式才能承载医院所需要的安全能力?如何驱动安全厂商为最终效果服务?如何让医院的安全投入,真正产生相应的价值?
2019年6月,南昌大学第一附属医院象湖院区开业。针对医院普遍存在的安全建设痛点——虽然每年都有购买安全设备的预算,但仍然无法解决医院自身网络安全管理策略持续更新和技术能力不足的问题,南昌大学第一附属医院根据国外网络安全服务整体运营占据市场主流的发展态势,在年度安全预算与以往基本持平的情况下,与紫光股份旗下新华三集团共建“安全即服务”运营新模式。
曹磊处长介绍,医院探索整体安全运营服务4年来,不断深化安全合作内容,从最初的网络安全等级保护等合规建设,到多个专项建设、攻防实战、网络安全领域的AI应用创新等,渐次落地。全院网络安全工作在五个方面取得明显提升:
打造安全监测中心:部署态势感知平台,实时监测、分析、处置各院区安全事件。
构建一体化安全运营体系:构建安全运营调度平台,实现安全全集化工作的可跟踪、可量化、可视化。
强化安全意识宣传:开展全院安全意识专项展示和宣传活动,提升医护人员、病患网络安全防范意识。
构筑数据安全防线:以“识、控、用”数据安全方法论为指导,有序开展数据安全建设工作,对业务数据全生命周期做到“可视、可管、可控”。
完善技术和安全管理:建立85项安全管理制度、33个表单,并新编8项制度,完善4项制度,加强终端防护及一体化防御能力。
尤为可喜的是,南昌大学第一附属医院信息处安全团队开始在医疗行业各类网络安全赛事中崭露头角:荣获由CHIMA承办的第二届全国卫生健康行业网络安全技能大赛一等奖、第三届全国卫生健康行业网络安全技能大赛三等奖、2023年“赣网杯”网络安全大赛全省三等奖。
探索场景化、标准化的网络安全服务交付模式
在网络安全等级保护合规阶段,标准化的产品就可以满足大部分医疗机构的合规需求。但现实需求是,安全防护产品需要和业务场景紧密融合,网络安全解决方案和服务的医疗行业属性需要增强。
新华三集团高级副总裁、新华三信息安全技术有限公司总裁孙松儿表示,新华三集团始终倡导“安全即服务”的理念,积极与医院探索安全运营新模式,并努力形成标准化的安全服务,明确到底哪些责任和安全风险由服务方承担,实现医院安全管理效益最大化。
孙松儿指出,由于医院业务场景丰富、多变,新华三安全运营服务必须融入医院的业务系统。新华三安全团队通过深入了解医院业务系统,设计场景化、标准化的安全服务,为医院业务系统的平稳有序运行,切实起到保驾护航的作用。
目前,新华三比较关注的场景有两个:一是业务系统数据的分级分类,二是医院各类终端的管控。
近年来,保护患者隐私数据相关法律陆续出台,医院数据安全保护需求与日俱增,数据要素交易市场未来可期。孙松儿认为,数据是当下开展医院安全运营服务的重要切入点。
新华三帮助南昌大学第一附属医院进行HIS、LIS等核心业务系统的数据分级分类管理。但是,医院业务信息系统供应商数量众多,每家系统的设计和采用的数据标准都不一样。因此,要开展数据分级分类管理服务,必须针对不同的业务系统进行打磨。
此外,面对医院各类患者自助服务终端、业务终端,如何做到统一管理、统一防护,全行业尚无统一标准。与此同时,不同网络安全厂商所提供的终端防护产品,很难适用医院的现实安全困境,这就要求安全厂商能够为医院量体裁衣,针对每家医院的实际情况定制终端的统一管理和防护方案。
新华三集团安全产品线副总裁、安全技术服务部部长巫继雨介绍,新华三为南昌大学第一附属医院提供的安全运营服务,涵盖一系列安全能力建设:添置必要的安全设备,提供相应的安全解决方案,配备相应的专业运维人员,承接医院整体的网络安全建设与运维,提供从合规、建设、安全评估到攻防实战检验等全生命周期的安全服务。
比如,对于安全设备产生的攻击日志,由新华三专业团队协助分析;对于攻防演练、护网行动,由新华三专业人员提供帮助;针对护网出现的安全隐患,新华三帮助排除。4年下来,这种模式取得了很好的效果。“至少,用户对于整个设备层面的日常运维,不需要再操心了。”巫继雨说。
安全运营,机遇与挑战并存
4年试水,南昌大学第一附属医院的实践表明,医院整体安全运营服务有着很大的发展空间。
其一,医院场景化、标准化安全服务充满潜力。
巫继雨坦言,由于医疗行业有其特殊性,这4年“踩了很多的坑”。比如,终端防护之所以是一个场景,是因为医疗终端本身就有分级分类要求,而且还有很多医疗器械、物联网设备等需要纳入安全管理。如果没有实践,很难定义相应的安全服务标准。新华三正在和南昌大学第一附属医院一起开发一款医院智能终端防护产品,构建一个针对设备网、物联网、无线网等智能终端的安全防护体系,确保智能终端信息传播的安全性和可靠性。未来,将推行至其他医院。
而在AI赋能网络安全方面,孙松儿认为,国内主要以AI技术赋能安全运营为主,比如做一些配路负载、效率分析等,未来可以尝试利用大模型赋能数据要素的分级分类与攻防对抗等。
其二,让医院网络安全投入效果显性化。
值得注意的是,新华三正在帮助南昌大学第一附属医院探索建立医院网络安全运营成熟度和健康度的评价方法,这是新华三在“安全即服务”实践中联合用户开启的又一次创新性探索。
巫继雨说,成熟度,就是当前安全建设达到了什么样的水平,比如,设备有没有、制度全不全、防护策略用没用;健康度,重点评估网络安全管理制度和相关产品技术方案实际性能指标和运行效果好不好。通过这两个维度,可以有效帮助医院对整个安全能力进行全面评估,并将网络安全运行情况予以量化,促进医院从单一购买产品和服务方案,向购买安全运营实际效果转变,使得医院对安全投入的效果显性化。
然而,网络安全整体运营服务仍面临挑战。
一是网络安全运营服务在产品化、标准化之路上还需要持续打磨。
医院HIS数据的分级分类管理,目前还没有具体的标准可循,只有一些指导性的原则。每家医院都有大量不同厂商提供的业务系统,如果不深入现场,很难制定适合的数据分级分类标准。
二是网络安全运营服务的边界,依然有待摸索。
孙松儿说:“我们不断探索安全运营服务的边界到底在哪里,希望针对不同用户、不同场景,努力做到基于业务场景的标准化交付——只有这样,服务才能分级分类,进而提供给不同的客户群。”
考虑到网络安全领域存在诸多不确定性,新华三在提供安全整体运营服务的同时,会再购买一份商业险作为兜底保障。
三是“安全即服务”需要持续投入,短期内还难以形成规模化效应。
孙松儿表示,基于医院的场景做定制化开发,需要持续投入,才有可能见到经济效益。新华三安全作为专业的安全产品开发者,始终坚持以客户需求为中心,深度结合医院自身实际安全现状和不同业务场景,定制化开发“设备+服务”整体解决方案,进一步提升医院网络安全防御体系建设。
2024年8月,新华三联合清华长庚医院发布了基于百业灵犀大模型的灵犀医学脑血管病专病大模型。新华三集团医疗事业部总经理李化表示,新华三在智慧医院领域坚持“以ICT基础设施为数字底座,医疗大数据+AI双轮驱动”的建设思路,更为中立地帮助医院规划设计,尽可能发挥基础设施投资和数据的效能,也因此赢得了包括许多家“国考”百强医院在内的医疗行业用户的认可。
相信在双方的共同努力下,南昌大学第一附属医院将进一步筑牢数字医疗安全防线,为患者提供更加安全、便捷、高效的医疗服务。这一创新型探索和实践,或将引领整个医疗健康行业迈向更加安全、智能的未来。
【医疗信息化企业资源对接意向调查】
HIT专家网坚持通过分享前瞻、实用的信息,努力搭建起医疗信息化用户和企业之间的专业交流桥梁。
如您希望对HIT专家网报道的企业产品技术方案做进一步了解,或有重要的需求反馈,请花1分钟填写问卷,我们将尽可能转达相关企业与您取得联系。
【责任编辑:陈曦】
评论前必须登录!
注册