近年來，我國醫(yī)療行業(yè)掀起了“智慧醫(yī)院”建設(shè)高潮，醫(yī)院信息系統(tǒng)（HIS）、實(shí)驗(yàn)室信息系統(tǒng)（LIS）、電子病歷系統(tǒng)（EMR）、醫(yī)學(xué)影像存檔與通信系統(tǒng)（PACS）等業(yè)務(wù)應(yīng)用極大提升了診療效率，讓醫(yī)生工作更輕松，讓群眾看病更方便。

但是，“智慧醫(yī)院”是一把雙刃劍，在提供便捷服務(wù)的同時，網(wǎng)絡(luò)安全問題如影隨形。為了便于醫(yī)生、藥品供應(yīng)商、軟件供應(yīng)商訪問業(yè)務(wù)應(yīng)用，許多應(yīng)用不得不暴露在互聯(lián)網(wǎng)上，網(wǎng)絡(luò)安全風(fēng)險隨之激增。數(shù)據(jù)安全、供應(yīng)鏈攻擊、App/小程序安全防護(hù)等新需求也給醫(yī)療機(jī)構(gòu)的安全防護(hù)提出了新課題。

面對一系列的安全挑戰(zhàn)，醫(yī)療機(jī)構(gòu)迫切需要更安全、更高效、更可靠的業(yè)務(wù)應(yīng)用訪問解決方案，為“智慧醫(yī)院”建設(shè)筑牢安全基石。

建設(shè)“智慧醫(yī)院”，從訪問控制做起

當(dāng)前，醫(yī)療機(jī)構(gòu)在訪問控制上，普遍面臨“四多一大”五大安全挑戰(zhàn)：

1.系統(tǒng)多：醫(yī)療機(jī)構(gòu)不但普遍建設(shè)了HIS、 LIS、PACS、EMR/EHR、HMS等核心業(yè)務(wù)應(yīng)用，還有OA、郵箱、HR系統(tǒng)等滿足日常辦公需求的非核心業(yè)務(wù)應(yīng)用。隨著“智慧醫(yī)院”建設(shè)持續(xù)深入，業(yè)務(wù)應(yīng)用仍在持續(xù)快速增加。

2.角色多：醫(yī)療機(jī)構(gòu)不但要滿足醫(yī)生、行政管理人員、實(shí)習(xí)生等內(nèi)部人員的業(yè)務(wù)訪問需求，還要滿足藥品供應(yīng)商、軟件供應(yīng)商、外包服務(wù)人員等外部人員的訪問需求。內(nèi)外部人員數(shù)量眾多，且每個人員都對應(yīng)不同的角色和訪問權(quán)限，使得醫(yī)療機(jī)構(gòu)的權(quán)限管理非常復(fù)雜。

3.場景多：醫(yī)療機(jī)構(gòu)的業(yè)務(wù)場景眾多，醫(yī)生在問診時需要通過PC訪問電子病歷系統(tǒng)（EMR）、醫(yī)學(xué)影像存檔與通信系統(tǒng)（PACS），行政人員會通過移動辦公App訪問OA系統(tǒng)，患者會通過網(wǎng)站、小程序掛號、查詢信息……醫(yī)療機(jī)構(gòu)需要統(tǒng)籌不同場景下的業(yè)務(wù)需求和安全需求，避免重復(fù)建設(shè)，浪費(fèi)資源。

4.數(shù)據(jù)多：醫(yī)療機(jī)構(gòu)的業(yè)務(wù)應(yīng)用、終端設(shè)備中有大量的敏感數(shù)據(jù)，如患者個人信息、病歷、醫(yī)院的財(cái)務(wù)信息、采購信息等。這些數(shù)據(jù)一直被黑灰產(chǎn)所覬覦。他們不但會直接對醫(yī)療機(jī)構(gòu)發(fā)動網(wǎng)絡(luò)攻擊，還會向藥品供應(yīng)商、軟件供應(yīng)商等第三方下手，以獲取這些高價值數(shù)據(jù)。

5.暴露面大：隨著數(shù)字化技術(shù)與醫(yī)療業(yè)務(wù)深度融合，醫(yī)療機(jī)構(gòu)對互聯(lián)網(wǎng)的依賴程度越來越深，醫(yī)生、患者、第三方人員都通過互聯(lián)網(wǎng)訪問各種業(yè)務(wù)應(yīng)用，導(dǎo)致業(yè)務(wù)資源在互聯(lián)網(wǎng)上的暴露面越來越大，遭受網(wǎng)絡(luò)攻擊的風(fēng)險也隨之增加。

芯盾時代零信任安全網(wǎng)關(guān)（SDP）

面對醫(yī)療機(jī)構(gòu)的訪問控制難題，芯盾時代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商、軟件定義邊界（SDP）市場的頭部玩家，給出了自己的答案——零信任安全網(wǎng)關(guān)（SDP）!

芯盾時代零信任安全網(wǎng)關(guān)（SDP）基于軟件定義邊界架構(gòu)打造，將控制器與網(wǎng)關(guān)分離，在安全性、可用性上具備天然優(yōu)勢。在功能上，芯盾時代SDP采用All in One設(shè)計(jì)，全面整合自主研發(fā)的全類型身份標(biāo)識技術(shù)、智能風(fēng)險度量技術(shù)、切面安全技術(shù)、終端密碼安全技術(shù)等核心技術(shù)，以“身份”為核心構(gòu)建安全邊界，從網(wǎng)絡(luò)、設(shè)備、身份、權(quán)限、數(shù)據(jù)五個維度，對每一次業(yè)務(wù)訪問實(shí)施全程的、動態(tài)的、細(xì)粒度的動態(tài)訪問控制，一站式建立安全、便捷、合規(guī)的零信任網(wǎng)絡(luò)訪問系統(tǒng)。

借助芯盾時代SDP，醫(yī)療機(jī)構(gòu)可以在低改造甚至零改造的情況下，一站式實(shí)現(xiàn)以下功能：

1.實(shí)施動態(tài)訪問控制，保證遠(yuǎn)程辦公安全

芯盾時代SDP采用流量代理和SPA單包授權(quán)技術(shù)，只對通過認(rèn)證的設(shè)備、用戶、應(yīng)用開放端口，從而隱藏業(yè)務(wù)應(yīng)用IP和端口，有效收斂資源暴露面，從源頭上攔截惡意掃描和網(wǎng)絡(luò)攻擊。

醫(yī)生及行政人員通過已有辦公App或PC專屬客戶端，在認(rèn)證后基于加密隧道安全地訪問業(yè)務(wù)系統(tǒng)，通過安全沙箱對終端上的數(shù)據(jù)進(jìn)行加密、隔離，并通過防截屏和水印等措施，確保敏感數(shù)據(jù)安全。對于企微/釘釘/飛書/H5應(yīng)用，無需額外安裝客戶端，也能夠縮減暴露面，還支持在無改造的情況下實(shí)現(xiàn)單點(diǎn)登錄及動態(tài)增強(qiáng)認(rèn)證效果。

在訪問控制上，SDP提供多種風(fēng)險策略模型，醫(yī)療機(jī)構(gòu)能夠靈活定義模型，綜合設(shè)備、IP、時間、行為、賬號、位置等維度的風(fēng)險信息，對每一次訪問實(shí)施動態(tài)訪問控制，實(shí)現(xiàn)“安全訪問全程無感，不確定訪問強(qiáng)化認(rèn)證，不安全訪問直接拒絕”。

2.強(qiáng)化第三方人員管控，避免數(shù)據(jù)泄露

對于藥品供應(yīng)商、軟件供應(yīng)商、外包服務(wù)人員等第三方人員，芯盾時代SDP能夠從四個層面對其進(jìn)行安全管控，保證遠(yuǎn)程訪問、遠(yuǎn)程運(yùn)維的安全。

首先，芯盾時代SDP支持多種權(quán)限管理模型，對于業(yè)務(wù)資源的管理能力細(xì)至URL級。醫(yī)療機(jī)構(gòu)能夠基于第三方人員的業(yè)務(wù)需求對其授予“最小化權(quán)限”，實(shí)現(xiàn)對訪問權(quán)限的精細(xì)化、差異化管理。

其次，將服務(wù)器、虛擬機(jī)等資源隱藏在內(nèi)網(wǎng)，結(jié)合多因素認(rèn)證、終端準(zhǔn)入控制、可信應(yīng)用識別，同時對身份、設(shè)備、應(yīng)用進(jìn)行認(rèn)證，確保只有可信的設(shè)備、人員和應(yīng)用才能接入并執(zhí)行操作。

再次，疊加指令級權(quán)限控制、IP/時間/地點(diǎn)等行為管控，實(shí)現(xiàn)動態(tài)按需增強(qiáng)認(rèn)證，并記錄所有操作日志，實(shí)現(xiàn)對業(yè)務(wù)訪問的閉環(huán)管理。

最后，使用安全沙箱在第三方人員的終端設(shè)備中創(chuàng)建安全空間，僅允許在空間內(nèi)執(zhí)行操作，禁止數(shù)據(jù)外發(fā)、保存至本地、截屏/錄屏等違規(guī)操作，防止數(shù)據(jù)泄露。

3.0改造提升移動安全，移動應(yīng)用更安全

當(dāng)前，各類移動應(yīng)用與服務(wù)在醫(yī)療行業(yè)廣泛普及。例如，省/市醫(yī)保局通過網(wǎng)站、小程序?yàn)榫用裉峁┳灾?wù)；醫(yī)院則通過APP、網(wǎng)站及小程序等多種渠道為患者提供便捷服務(wù)。由于移動應(yīng)用通常采用http方式訪問且直接暴露在互聯(lián)網(wǎng)，如果用戶訪問終端存在病毒、惡意軟件，或有攻擊者惡意攻擊，移動應(yīng)用將面臨內(nèi)容篡改、系統(tǒng)癱瘓、數(shù)據(jù)泄露等風(fēng)險。

芯盾時代SDP針對APP及網(wǎng)站/小程序提供不同解決方案，對移動APP提供安全加固SDK，屏蔽惡意篡改、病毒/木馬/廣告植入、計(jì)費(fèi)破解、敏感信息泄露、代碼竊取等風(fēng)險，結(jié)合移動終端威脅感知能力識別DNS欺詐、釣魚欺詐、攻擊框架等風(fēng)險；對網(wǎng)站/小程序提供零改造方案，提供https安全連接訪問方式，識別SQL注入、XSS攻擊、機(jī)器人數(shù)據(jù)爬取等web攻擊，及時阻斷并告警，保障服務(wù)穩(wěn)定運(yùn)行。

4.AI大模型加持，安全能力自進(jìn)化

芯盾時代將SDP與AI大模型深度融合，賦予了SDP強(qiáng)大的“自進(jìn)化”能力和優(yōu)秀的操作體驗(yàn)。

AI大模型通過持續(xù)學(xué)習(xí)海量風(fēng)險事件（如新型釣魚攻擊、AI 偽造生物特征突破），驅(qū)動風(fēng)險評估模型動態(tài)優(yōu)化。在零信任的動態(tài)授權(quán)環(huán)節(jié)，系統(tǒng)基于大模型的對抗性訓(xùn)練能力，自動生成“設(shè)備環(huán)境異常+高危操作疊加”等復(fù)合風(fēng)險判定規(guī)則，并聯(lián)動沙箱隔離、數(shù)據(jù)脫敏強(qiáng)度調(diào)整等處置動作。同時，大模型通過分析歷史策略有效性，提出“最小化授權(quán)”策略的灰度迭代建議，實(shí)現(xiàn)防護(hù)能力的自迭代。

借助AI大模型的推理能力，芯盾時代SDP新增了“智能問答助手”功能，通過RAG（檢索增強(qiáng)生成）構(gòu)建企業(yè)知識庫，讓AI大模型從向量數(shù)據(jù)庫中檢索相關(guān)性最強(qiáng)的文檔片段，生成針對性的回答，為醫(yī)生、行政人員、第三方人員提供針對性的建議，幫助他們更簡單、更高效的成各種業(yè)務(wù)操作，從而快速響應(yīng)員工需求，減少人工支持成本。

衛(wèi)健委發(fā)布的《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）》、《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》等規(guī)章制度，已明確要求在身份鑒別、加密傳輸、訪問控制等方面進(jìn)行建設(shè)與規(guī)范。芯盾時代SDP已在多家三甲醫(yī)院投入應(yīng)用，在替換VPN、遠(yuǎn)程辦公與運(yùn)維、防范供應(yīng)鏈攻擊等場景下，展現(xiàn)出了良好的應(yīng)用效果，為“智慧醫(yī)院”建設(shè)提供了有力保障。

如果您的醫(yī)院也想讓每一位醫(yī)生在任何時間、任何地點(diǎn)，使用任何網(wǎng)絡(luò)和設(shè)備，都能安全、便捷地訪問內(nèi)網(wǎng)，芯盾時代零信任安全網(wǎng)關(guān)（SDP）是您的理想選擇。