互联网医院（远程诊疗）网络安全设计方案

一、建设背景

远程会诊与到院面诊是目前国家倡导推广的两大就医模式。面对2019年底以来武汉及全国各地由新型冠状病毒引发的肺炎疫情，远程会诊是当前更加推荐的就医模式。远程医疗信息系统对突发公共事件、非常时期或特殊环境下的伤员救治工作可提供有效的支持。在这种特殊环境中建立起的应急机动远程医疗信息系统完全可以做到不受地面通信条件的影响，迅速构建起与后方医疗机构及卫生管理部门的联系，将事件发生地区以外的各类医疗卫生资源集中到事发现场，对提高事发地的疾病预防、治疗和应急救治水平，控制传染病源和切断传播途径，以及加强医务人员的安全防护，最大限度的挽救人民群众和医护人员的生命具有积极意义。

早在2018年已完成互联网医院一系列标准政策制定，远程诊疗是互联网医院的重要组成部分。得益于近年来5G、物联网、人工智能和大数据等技术的成熟，互联网医院建设得到更多医疗机构的重视，面对突如其来的疫情，将更加推动远程医疗在ToB端（医疗机构对医疗机构）和ToC（医疗机构对患者）端的快速落地应用。信息及系统安全是远程医疗系统重要保障，必须方便实用、安全可靠。信息安全状况涉及的技术与业务层面很广，一般包括物理安全，网络安全、 操作系统安全、数据库安全、应用系统安全和安全策略等。

二、网络安全需求

（一）保护患者信息隐私要求

远程医疗信息系统的信息包括电子病历、健康档案、会诊信息、影像数据等，电子病历或健康档案涉及到个人的基本信息，病史等隐私数据，会诊信息是会诊专家对患者的诊断信息。患者隐私数据的泄漏直接侵犯患者利益，影响医院的声誉；远程医疗信息等传输、存储过程中导致被篡改、丢失等直接影响会诊结果，严重导致医疗事故。

要保障这些信息传输的完整性，能检测，能恢复；保证数据传输和存储的保密性；本地完全数据备份，重要数据异地备份。因此数据安全需求是远程医疗信息系统重要需求。

（二）保护会诊医疗机构内部信息安全需求

参与远程医疗的医疗机构需要在医疗内网与远程医疗外网之间进行部分连接与限定的信息交互，其他大量内网信息则不能外泄。这使得医疗机构内网安全面临新的挑战，在部分联通外网情况下，保证医疗机构内网信息安全无泄漏和防入侵等，成为远程医疗系统整体安全的重要需求。

基层医院通过互联网接入省级或地市级数据中心，需要在医院内部网络与互联网间进行安全隔离，进行安全域划分，边界处具备防火墙、恶意代码防护、边界完整性保护、入侵检测等控制措施。

（三）业务数据库的安全防护需求

远程医疗系统存储的会诊、教学等大量业务信息需要在业务工作中回溯、比对和部分患者信息的连续动态观察，如果存储的历史信息因受到外部攻击而丢失、损毁或泄漏，则对医疗业务带来重要不良影响。因此，防御各类网络攻击行为，实现对网络层以及业务系统的安全防护，保护核心信息资产的免受攻击危害成为远程医疗系统信息安全的重要需求之一。

（四）安全管理需求

由于缺乏有效的安全管理措施，系统内部的病毒，通过内部网络、U 盘等的传播，影响系统的完整性及可用性；缺乏专业安全服务优化安全系统配置策略，发挥最大的安全防护及预警作用；滥用权限过度使用系统资源、滥用权限非正常修改系统配置或数据；运维人员维护错误、操作失误等安全问题。

三、安全方案总体设计

（一）系统总体架构

远程医疗信息系统由两级远程医疗服务与资源监管中心、三级医疗机构终端站点、一个专用业务网络以及一套应用系统等组成，如图 3-1 所示。

两级远程医疗服务与资源监管中心分为国家级远程医疗服务与资源监管中心、省级远程医疗服务与资源监管中心。两级远程医疗服务与资源监管中心在整个体系中居于后台管理的角色，是整个远程医疗信息系统的核心管理要素。设立国家级远程医疗服务与资源监管中心，其主要作用是业务协调和监管，从宏观上指导和监管各级远程医疗系统的建设与运营情况，提出整体建设规划与改进措施，实现全国远程医疗资源的合理调配和统一管理。

设立省级远程医疗服务与资源监管中心，其主要作用在于：一是提供统一业务应用平台，协调医疗资源并支撑具体远程医疗应用，并为建立特色医疗服务平台提供条件，如疑难重症专科会诊系统、应急指挥系统等；二是履行监管职责，指导和监督本省内各级远程医疗系统的建设与运营情况，建立与国家监管服务中心的信息互通，组建全国统一的服务与监管网络。

三级医疗机构终端站点：分为省级医院服务站、市（县）级医院服务站点、基层医疗卫生机构服务站点。根据国家级远程医疗服务与资源监管中心、省级远程医疗监管与服务和中心、远程医疗应用系统等需求，需要对各省级医院、各市（县）级医院、基层医疗卫生机构配置相应的图像采集设备、音视频终端、医疗数据采集和显示设备以及医生工作站。各级医疗机构作为远程医疗终端站点，具体实施与承载各项医疗业务服务，进行各类医疗信息交互，共享各类医疗资源，并保障业务活动中的服务质量与医疗安全。

一个专用业务网络：远程医疗信息网络以国家级远程医疗服务与资源监管中心为骨干网络的核心节点，向下接入省级医院、市（县）级医院、乡镇卫生院、社区卫生服务中心、救护车等业务单元，实现入网机构互联互通。接入机构为远程医疗信息系统的基本组成单位，通过专线，MPLS VPN，Internet，4G/5G，卫星等多种手段接入省级远程医疗服务与资源监管中心。

一套应用系统：是由省远程医疗服务与资源监管中心、远程医疗信息资源中心、9 类远程医疗应用子系统组成的软硬件与业务应用一体化的体系。

接口：远程医疗信息系统与国家卫生信息平台、省级卫生信息平台、区域卫生信息平台以及医院信息平台通过接口实现互联互通，信息共享。

信息安全保障：信息安全建设是远程医疗系统建设的重要内容，直接影响远程医疗系统的应用和发展，为了有效地实现远程医疗信息的安全性，更好地发挥远程医疗服务的作用，可通过相关的技术和管理手段达到信息安全保障的目的，保障远程医疗信息系统安全。

（二）系统安全框架设计

远程诊疗是互联网医疗的重要组成部分，网络安全方案应在满足国家相关法律法规要求和相关监管机构的网络安全要求基础上，按照卫生行业标准规范进行相关设计。安全框架设计如图3-2所示：

总体安全保护架构设计以等级保护“一个中心、三重防护”为核心指导思想，构建集防护、检测、响应、恢复于一体的全面的安全保障体系。互联网医院依托于实体医院，而实体医院网络安全建设多年来主要集中在医院内网建设，因此远程诊疗网络安全规划设计应偏重于重新划定网络安全区域，明确不同安全区域间边界安全建设，遵循国家密码管理要求规范，采用专线或虚拟专网的方式保障远程诊疗通信网络。