隨著“健康中國”戰(zhàn)略的推進實施，“智慧醫(yī)院”等創(chuàng)新實踐推動醫(yī)療行業(yè)的數字化轉型全面提速，通過物聯網技術等新一代信息技術來提升醫(yī)療體系資源配置效率、優(yōu)化社會健康服務水平，已成為醫(yī)療行業(yè)的建設共識。

近年來，我國醫(yī)療物聯網在智慧臨床、智慧患者服務、醫(yī)療機構智慧管理、遠程健康管理等場景上有重要應用并快速發(fā)展，隨之而來的醫(yī)療數據安全、以及物聯網技術在醫(yī)療領域的應用安全等問題也成為關注的焦點。

醫(yī)療物聯網普遍存在三大隱患，易致醫(yī)療機構業(yè)務中斷和數據泄露

今年7月份發(fā)布的業(yè)界首個《醫(yī)療物聯網安全研究報告（2021年）》提到，基于醫(yī)療健康產業(yè)智慧化發(fā)展的迫切需求，醫(yī)療物聯網（IoMT）的應用遍布醫(yī)療行業(yè)的各個環(huán)節(jié)，多類型、多型號的IoMT設備分布在多科室，且設備廠商的遠程運維方式多樣，導致了風險暴露面積的增加，原有安全防護手段難以應對，由此引發(fā)的醫(yī)療網絡安全風險和挑戰(zhàn)與日俱增，整體來看我國醫(yī)療機構的網絡安全形勢不容樂觀。

當前醫(yī)院物聯網設備的安全風險主要有以下方面：

1、外部設備入網不受管控，私接、仿冒隱患大

醫(yī)院網絡中設備類型缺乏梳理歸類和分別管控，導致醫(yī)院物聯網設備、大型醫(yī)療設備、自助掛號機和科室電腦相互混合；同時缺乏針對物聯網設備的類型識別和接入管控的有效措施，導致醫(yī)院網絡大門完全敞開狀態(tài)，在人員混雜的門診大廳可通過插拔門診自助機網線的方式輕易接入醫(yī)院內網，進而通過內網進行網絡攻擊，訪問和下載HIS、電子病歷等系統(tǒng)的敏感數據，給醫(yī)院帶來經濟損失和法律風險。

2、 廠商遠程運維行為不受控，數據泄露風險高

為便于維護和升級，當前醫(yī)院各科室醫(yī)療設備普遍自帶遠程聯網功能，廠商維護人員可隨時隨地遠程接入設備開展升級維護工作，但運維人員做了哪些操作、拿了什么數據、是否進入服務器等對醫(yī)院而言是不可視、不可控的，這使醫(yī)院數據存在安全隱患。

3、 安全漏洞普遍存在，易遭受非法攻擊導致業(yè)務中斷

為保證業(yè)務功能穩(wěn)定運行，醫(yī)療設備的操作系統(tǒng)存在長久無更新的情況，老舊的設備存在較多的安全漏洞，并且設備本身缺乏有效的安全防護能力，存在較大的安全風險。黑客可利用醫(yī)療設備的安全漏洞進行入侵和破壞，造成業(yè)務中斷、病毒傳播和非法控制，嚴重影響醫(yī)療機構的正常運轉。

多維度綜合考量，構建有效的醫(yī)療物聯網安全防護體系

醫(yī)療物聯網安全應從多維度綜合考量，在設備入網時應確保具備可信認證校驗和威脅防護機制、對遠程運維數據進行審計和外發(fā)管控，同時建立完整的IoMT設備安全運營體系。

基于多年對醫(yī)療行業(yè)的深入理解，深信服結合醫(yī)療物聯網應用的實際特點和安全風險，針對IoMT設備入網、遠程運維、安全運營等方面提出了“四步一體”的安全管控思路，并基于此推出深信服醫(yī)療物聯網安全解決方案，幫助用戶提升醫(yī)院物聯網應用的運行安全性，有效應對安全風險。

深信服醫(yī)療物聯網“四步一體”安全管控思路

第一步：摸清家底

創(chuàng)新引入AI技術，可快速識別出在網醫(yī)療物聯網設備類型（如CT、DR、PDA查等）及具體廠商品牌信息，信息部門可在此基礎上標注設備所屬科室、位置等信息，建立起醫(yī)院物聯網設備安全管理臺賬。

第二步：發(fā)現風險

主被動方式結合發(fā)現物聯網設備自身安全隱患，包括但不限于設備漏洞、弱口令等，及時通知設備廠商進行修復；同時監(jiān)測“人－設備－系統(tǒng)”之間的網絡交互行為，并基于實際業(yè)務環(huán)境進一步分析行為的合理性，及時發(fā)現廠商遠程運維和內部人員操作中的異常行為。

第三步：有效管控

在此基礎上，對物聯網設備進行有效管控，通過準入控制技術對新接入的設備進行合法性確認，確保僅科室采購設備和合法運維人員才能審批入網，除此之外的外部人員或仿冒設備都無法接入醫(yī)院網絡。

第四步：閉環(huán)處置

通過統(tǒng)一的安全管理平臺，持續(xù)監(jiān)測物聯網設備的運行安全狀態(tài)，并在發(fā)現可疑的廠商遠程運維行為或內部訪問行為后，能夠快速進行聯動處置，降低對醫(yī)院業(yè)務網絡造成的損失。

截至目前，深信服醫(yī)療物聯網安全解決方案已在全國各地多家大型綜合三甲醫(yī)院落地實施，幫助應對醫(yī)院IoMT設備存在的安全風險，助力構建完整、有效的IoMT安全防護體系。