一、医疗行业现状：

信息化安全体系不健全，大量身份特殊的患者挤到了信息安全程度高的医院，造成了一些医院超负荷运行，另一些医院则门可罗雀的局面，医疗资源大大浪费。

卫生厅对医院的信息化要求以及一些资质审核要求，医院心有余而力不足：任务重、时间紧，而施行时间长，难度大。最后难以保质完成或半路夭折。

运维人员的日常工作重复性高，运维效率低，对软硬件故障排查能力弱。

医院领导 "重应用、轻安全"的传统意识，信息安全部门在医院的地位尴尬。

外来设备轻易就可接入内部网络，网络安全系数极低，常造成网络局部瘫痪。

内部员工随意使用U盘、移动硬盘等存储设备，造成病毒满天飞，严重影响正常工作。

敏感信息随意存储，患者数据频被非法盗取、贩卖，造成了患者对医院的信任危机。

没有统一的安全管理体系，医院的中长期安全规划都是外部机构在做，医院本身没理解、没施行，几成摆设。

二、医疗行业信息安全建设目标：

实施国家信息安全等级保护制度。

保障网络信息安全。

保护患者隐私。

三、解决方案:

解决方案主要从技术和非技术层面来解决。

1. 非技术层面：

改变传统意识，加深安全教育以及各单位沟通交流。

信息安全制度由科级制度变成医院制度，增加信息安全部门管理人员的话语权，

扩大信息安全投入占比，不省安全的钱，不丢患者的隐私。

2.技术层面：

分为三个阶段：

第一，基础阶段（合规进入）：

内部网络中接入的终端都是合规的，包括网络层准入控制和业务层准入控制，从而确保：接入网络的终端都是可信的、健康的、可控的。

第二 、提高阶段（集中运维、授权使用、记录流程）：

提高阶段主要从集中运维、授权使用、记录流程三个层面去实施。

集中运维

主要包括软件分发（可以实现差异化多种形式的软件分发和安装模式，提高软件管理的效率，节省管理时间和人力成本）、远程控制（让管理员突破地域和空间的限制，实时有效为终端用户排查故障、解决问题）、安全检查和修复（自动检测不健康的终端并自动实现修复，确保终端的安全的时效性和全面性）。

授权使用

授权使用主要包括软件的授权使用和外设的授权使用。

软件的授权使用主要通过黑、白名单管理来实现软件和进程的禁止运行和运行放行。外设的授权使用一般包括移动存储设备管理以及其他外设的管理（如打印机、投影仪等），可以确保外设的使用更加有序、安全、可控，避免非法人员通过。

记录流程

在终端接入网络到离开网络的过程都有一个全面、完整的记录：可以对接入网络的行为进行记录、对终端的屏幕操作进行记录、对软件安装、外设使用、打印内容、聊天内容等等行为都会进行记录。不仅有详细的内容记录，还有时间记录，让违规操作可观、可控，违规者更是无所遁形。

第三、增强阶段（安全存储、加密传输、审核输出）：

这个阶段主要实现安全存储、加密传输和审核输出的问题，以确保数据在存放、传输、使用上都是安全的：存放的位置安全，传输过程是安全的（全程加密），使用是安全的（审批通过才可以输出）。

四、方案价值

提供了完整全面的信息安全化解决方案，有助于打造医院信息安全体系、缓解医院超负荷运转问题，提高医疗资源的利用率。同时，可以帮助医院通过信息安全等级评审和数字化医院评审。一套系统就解决了网络接入控制和数据防泄露问题，保证了医院安全、高效的运维环境。

五、成功案例

四川大学华西医院、云南省昆华医院、柳州市人民医院、安徽省肿瘤医院、唐山市工人医院、武汉市第一医院等。