在容災(zāi)備份上，廣州市婦女兒童醫(yī)療中心做到了高于衛(wèi)健委標準：“我院在對容災(zāi)備份的建設(shè)中，特別重視高可用性對醫(yī)院業(yè)務(wù)連續(xù)性的保障，從網(wǎng)絡(luò)層、主機層、存儲層等多個層次設(shè)計雙活冗余架構(gòu)，能實現(xiàn)整套信息系統(tǒng)平臺無單點故障。

同時，建立同城的異地容災(zāi)中心，異地容災(zāi)中心實現(xiàn)準實時的數(shù)據(jù)同步，在極端情況下，能實現(xiàn)RTO≦15 分鐘， RPO≈0，也高于衛(wèi)健委的標準和要求。”曹曉均說道。

初創(chuàng)公司利用AI、區(qū)塊鏈等技術(shù)進入賽道

正如前文所言，醫(yī)療器械的網(wǎng)絡(luò)安全問題不是能夠憑借一個主體就能保證，第三方公司的介入能夠幫助醫(yī)院更好地應(yīng)對網(wǎng)絡(luò)攻擊，目前也有一些創(chuàng)業(yè)公司進入這個賽道。

在國外，從事醫(yī)療健康行業(yè)網(wǎng)絡(luò)安全的創(chuàng)業(yè)公司超過120家，動脈網(wǎng)此前進行過盤點，動脈網(wǎng)發(fā)現(xiàn)其中致力于醫(yī)療設(shè)備的初創(chuàng)公司有9家，他們分別用AI、區(qū)塊鏈等不同的技術(shù)幫助醫(yī)院應(yīng)對網(wǎng)絡(luò)攻擊。

在HIMSS19大會上，前美國首席信息安全官Greg Touhill，為醫(yī)療組織如何應(yīng)對網(wǎng)絡(luò)安全提供了一些建議，動脈網(wǎng)摘編了其中部分為大家提供參考：

1、采取零信任策略。“我認為我們所做的很多事情都被認為是信任，但這是非常錯誤的�！�

2、戶名和密碼在1979年被認為是最先進的，但是現(xiàn)在應(yīng)該重新考慮訪問控制；

3、金融和政府等其他行業(yè)正在使用多因素身份驗證來幫助個人更好地保護其信息，醫(yī)療保健行業(yè)應(yīng)該比他們更加強調(diào)這些功能；

4、TCP ／ IP是一個薄弱的安全基礎(chǔ)：傳輸控制協(xié)議／互聯(lián)網(wǎng)協(xié)議，用于管理計算機系統(tǒng)與互聯(lián)網(wǎng)的連接，在20世紀70年代后期也是最先進的，Touhill說。但它并不是一個強大的安全基礎(chǔ)；

5、利用自動化來檢測和阻止欺詐：有許多工具可用于欺詐檢測，但Touhill表示最好的工具來自金融部門。醫(yī)療保健從業(yè)者應(yīng)該找到金融部門的解決方案并將其帶到醫(yī)療保健領(lǐng)域；

6、小心飛入云中：Touhill還說道了涉及與云計算相關(guān)的安全性。在與云提供商合作時，他建議組織訪問日志，保留滲透測試權(quán)并保留引入獨立第三方審核員的權(quán)利；

7、人工智能可能是一個黑客垂涎的入口：由于人工智能大熱，很多組織投資于此類技術(shù)。但是請記住，使用人工智能會使您的組織成為網(wǎng)絡(luò)犯罪分子的目標；

同樣，曹曉均也給國內(nèi)醫(yī)院一些網(wǎng)絡(luò)安全建設(shè)的建議：

1、建立醫(yī)院信息安全管理組織機構(gòu)，明確各安全管理員、機房管理員、網(wǎng)絡(luò)管理員、應(yīng)用管理員、主機管理員等安全管理相關(guān)崗位及職責，建立健全信息安全管理責任制，使得信息安全各項職責落實到人；

2、對醫(yī)院信息安全管理體系進行定期地內(nèi)審和管理評審，對各項安全控制措施實施后的有效性進行測量，并實施相應(yīng)的糾正和預(yù)防措施，以保證信息安全管理體系持續(xù)的充分性、適宜性、有效性。對醫(yī)院信息系統(tǒng)中所存在的安全風(fēng)險進行有計劃的評估和管理；

3、醫(yī)院業(yè)務(wù)信息系統(tǒng)分等級保護。按照國家等級保護有關(guān)要求，對醫(yī)院信息系統(tǒng)及信息確定安全等級，并根據(jù)不同的安全等級實施分等級保護；

4、規(guī)范醫(yī)院信息資產(chǎn)（包括硬件、軟件、服務(wù)等）管理流程，建立信息資產(chǎn)管理臺帳，明確資產(chǎn)所有者、使用者與維護者，對所有信息資產(chǎn)進行標記，實現(xiàn)對信息資產(chǎn)購買、使用、變更、報廢整個周期的安全管理；

5、保障機房物理與環(huán)境安全。實施包括門禁、視頻監(jiān)控、報警等安全防范措施，確保機房物理安全。部署機房專用空調(diào)、UPS等環(huán)境保障設(shè)施，對機房設(shè)施運轉(zhuǎn)情況進行定期巡檢和維護。嚴格對機房人員和設(shè)備的出入管理， 進出需登記，外來人員需由相關(guān)管理人員陪同方能訪問機房；

6、加強對信息系統(tǒng)外包業(yè)務(wù)與外包方的管理，在與信息系統(tǒng)外包方簽署的服務(wù)協(xié)議中，對信息系統(tǒng)安全加以要求。通過審批、訪問控制、監(jiān)控、簽署保密協(xié)議等措施，加強外部方訪問業(yè)務(wù)信息系統(tǒng)的管理，防止外部方危害信息系統(tǒng)安全；

7、在醫(yī)院網(wǎng)絡(luò)中統(tǒng)一部署網(wǎng)絡(luò)防惡意代碼軟件，并進行惡意代碼庫的統(tǒng)一更新，防范惡意代碼、木馬等惡意代碼對業(yè)務(wù)信息系統(tǒng)的影響。通過強化惡意代碼防范的管理措施，如加強介質(zhì)管理，嚴禁擅自安裝軟件，加強人員安全意識教育，定期進行惡意代碼檢測等，提高業(yè)務(wù)信息系統(tǒng)對惡意代碼的防范能力；

8、對重要的信息和信息系統(tǒng)進行備份，并對備份介質(zhì)進行安全地保存，以及對備份數(shù)據(jù)定期進行備份測試驗證，保證各種備份信息的保密性、完整性和可用性，確保所有重要信息系統(tǒng)和重要數(shù)據(jù)在故障、災(zāi)難后及其它特定要求下進行可靠的恢復(fù)；

9、采用技術(shù)和管理兩方面的控制措施，加強對網(wǎng)絡(luò)的安全控制，不斷提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。醫(yī)院辦公網(wǎng)絡(luò)與互聯(lián)網(wǎng)進行邏輯隔離。通過實施網(wǎng)絡(luò)訪問控制等技術(shù)防范措施，對接入進行嚴格審批，加強使用安全管理，加強對網(wǎng)絡(luò)使用的安全培訓(xùn)和教育，確保網(wǎng)絡(luò)信息的安全；

10、按照“僅知”原則，通過功能和技術(shù)配置，對重要信息系統(tǒng)、數(shù)據(jù)等實施訪問控制。進一步推廣數(shù)字證書的使用，以及安全的授權(quán)管理制度，并落實授權(quán)責任人。對系統(tǒng)特殊權(quán)限和系統(tǒng)實用工具的使用進行嚴格的審批和監(jiān)管；

11、進一步重視軟件開發(fā)安全。在醫(yī)院各業(yè)務(wù)信息系統(tǒng)立項和審批過程中，同步考慮信息安全需求和目標。應(yīng)保證系統(tǒng)設(shè)計、開發(fā)過程的安全，重點加強對軟件代碼安全性的管理。屬于外包軟件開發(fā)的，應(yīng)與服務(wù)提供商簽署保密協(xié)議。系統(tǒng)開發(fā)完成后，應(yīng)要求通過第三方安全機構(gòu)對軟件安全性的測評；

12、在符合國家密碼管理相關(guān)規(guī)定的條件下，合理使用密碼技術(shù)和密碼設(shè)備，嚴格密鑰生成、分發(fā)、保存等方面的安全管理，保障密碼技術(shù)使用的安全性；

13、重視對IT服務(wù)連續(xù)性的管理，建立對各類信息安全事件的預(yù)防、預(yù)警、響應(yīng)、處置、恢復(fù)機制，編寫針對業(yè)務(wù)外網(wǎng)等重要系統(tǒng)的應(yīng)急預(yù)案，并定期進行測試和演練，在信息系統(tǒng)發(fā)生故障或事故時，能迅速、有序地進行應(yīng)急處置，最大限度地降低因信息系統(tǒng)突發(fā)事件或意外災(zāi)害給醫(yī)院業(yè)務(wù)信息系統(tǒng)所帶來的影響；

14、對所適用的國家信息安全相關(guān)法律法規(guī)進行定期的識別、記錄和更新，并對醫(yī)院信息安全管理現(xiàn)狀與法律法規(guī)的符合性進行檢查，確保各項信息安全工作符合國家信息安全相關(guān)法律法規(guī)要求。