新冠疫情期间，互联网医院因具有降低患者交叉感染、实现患者 “非接触看病” 的特殊优势成为了“战疫先锋”，互联网医院必将迎来批量建设高潮。全国各级各类医疗机构正在加快实现互联网化的步伐，网络安全和信息化是一体之两翼、驱动之双轮，互联网医院建设时必须统一谋划、统一部署、统一推进、统一实施。

什么是互联网医院

互联网医院是指实体医院为依托，以复诊和常规咨询为主，**问诊、处方、支付与配药于一体的一站式互联网医疗中心；必须有实体医院为主体结合互联网，但严禁首诊，以慢性病和部分常见病复诊为主，服务范围覆盖检查报告解读、复诊开方、康复指导等其他线下服务均可在互联网医院实现。

互联网医院包括作为实体医疗机构第二名称的互联网医院，以及依托实体医疗机构独立设置的互联网医院。

政策要求刚需明确

《互联网医院管理办法（试行）》要求“互联网医院信息系统按照国家有关法律法规和规定，实施第三级信息安全等级保护”。

《国务院办公厅关于促进“互联网+医疗健康”发展的实施意见》要求“严格执行信息安全和健康医疗数据保密规定，建立完善个人隐私信息保护制度，严格管理患者信息、用户资料、基因数据等，对非法买卖、泄露信息行为依法依规予以惩处”。

《国家卫生健康委办公厅关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》要求加强网络信息安全工作，以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点，畅通信息收集发布渠道，保障数据规范使用，切实保护个人隐私安全，防范网络安全突发事件互联网医院管理办法?严禁首诊，为疫情防控工作提供可靠支撑。

安全事件异常突出

医疗行业高度依赖信息系统运营，近年已经成为黑客重点关注和定向攻击的行业之一。医疗行业勒索病毒和网络事件呈现持续上升态势，老的勒索病毒持续活跃，新的勒索病毒频繁爆发，外网渗透到内网的攻击也层出不穷。医疗数据高价值的特点也引起大量黑客关注。

疫情期间，APT组织借新冠疫情对我国医疗机构发起定向攻击，攻击者利用新冠肺炎疫情相关题材作为诱饵文档，进行鱼叉式攻击时，医疗机构、医疗工作领域无疑成为此次攻击的最大受害者。一旦其“攻击阴谋”得逞，轻则丢失数据、引发计算机故障，重则影响各地疫情防控工作的有序推进，危及个人乃至等各机构的网路安全。

国家互联网应急中心发布的《我国互联网网络安全态势综述》中统计，云平台上的 DDoS 攻击次数、被植入后门的网站数量、被篡改网站数量均占比超过 50%，云平台成为发生网络攻击的重灾区。

业务安全迫在眉睫

互联网医院依托实体医疗机构，将业务延伸到互联网，和实体医疗机构、互联网医疗服务监管平台、支付平台、卫健委、医保、医联体、物流、药企等单位间的互联互通增加了业务对外的暴露面，系统漏洞和泛在网络网络边界增加了病毒蔓延、网络攻击、数据泄露等安全风险。

互联网医院网络安全建设方案

图注：互联网医院云环境模式

图注：互联网医院本地自建模式

1、凡事预则立，不预则废。互联网医院要以等级保护三级要求为基础（重点关注等级保护安全通用要求、云计算安全扩展要求、移动互联安全扩展要求），制定网络安全总体规划，落实网络安全责任制，建设安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，确保网络安全与信息化建设项目同步规划、同步建设、同步运行。（可选用安全咨询、安全规划、等保测评等相关服务）

2、以风险治理为核心，根据业务目标，开展差距分析评估当前安全状态，确定识别风险及处理优先级互联网医院管理办法?严禁首诊，确定建设路径和实施计划，规划为降低网络安全风险而投入的资源等。（可选用安全风险评估、差距测评等）

3、互联网医院高度依赖业务系统，需重点关注业务连续性和可用性，包括两条以上互联网链路负载和冗余、服务器负载均衡及冗余备份、备用电力供应、数据备份、关键设备冗余等保障措施。（可选用应用交付、数据备份软件、双机或集群技术、UPS等）