（1）醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀

第一，網(wǎng)絡(luò)安全設(shè)備多而雜

每家醫(yī)院網(wǎng)絡(luò)安全建設(shè)都不可能一步到位，安全建設(shè)永遠在路上。限于資金預(yù)算不足或政策性安全投入，每段時期或許都會增加不同用途的安全設(shè)備，這些安全設(shè)備有醫(yī)院自籌資金購買的，有政府部門或衛(wèi)生主管部門下發(fā)的，也有公司捐贈或測試的。種類多、品牌多、安裝運維的公司也多。但有一個共同的特點，就是每家公司只做自己的產(chǎn)品，只防護自己的范圍。

第二，設(shè)備自驗收之后，配置基本沒變

設(shè)備上線之初，安全公司技術(shù)人員會針對醫(yī)院網(wǎng)絡(luò)現(xiàn)狀做好相應(yīng)的配置，但醫(yī)院網(wǎng)絡(luò)在后繼運行過程中，會發(fā)生很多改變，很少有醫(yī)院會再去優(yōu)化安全設(shè)備的配置，甚至直到報廢沒有變動過也是常見現(xiàn)象。

第三，設(shè)備規(guī)則庫等沒有升級

很多安全設(shè)備都有內(nèi)置的規(guī)則庫、病毒庫、特征代碼庫等，并且也提供在線或離線升級服務(wù)，但醫(yī)院安全設(shè)備一般都不會主動連接到互聯(lián)網(wǎng)，不發(fā)生問題時或不被明確要求升級，都不會主動去升級設(shè)備的內(nèi)部軟件。

第四，在效率和麻煩中很多安全產(chǎn)品形同虛設(shè)

安全與效率之間是一對矛盾體，要安全一定會犧牲效率，增加麻煩。醫(yī)院領(lǐng)導(dǎo)和信息部門人員的管理初衷是一定要保證醫(yī)院信息系統(tǒng)的絕對安全，但在實際操作過程中，卻屢遭困難和破壞。醫(yī)院領(lǐng)導(dǎo)和信息部門人員是網(wǎng)絡(luò)安全的特權(quán)人員，自身都難以執(zhí)行嚴格的安全規(guī)則，而臨床科室人員，更是有諸多理由，要求開放更大的網(wǎng)絡(luò)安全限制范圍。例如：U盤使用。信息部門封堵所有USB接口禁用U盤，甚至采用膠水物理封堵，被罵得最慘的其實防護得最好的。一旦有例外解封，同類情況的都會找你解封，而信息部門有時也抹不開同事之間的情面，大開方便之門時有發(fā)生。久而久之，發(fā)現(xiàn)醫(yī)院信息網(wǎng)絡(luò)也沒有出什么多大的安全事故，信息部門就疏于管理，導(dǎo)致很多安全產(chǎn)品最終形同虛設(shè)。

第五，只注重合規(guī)性建設(shè)

2017年6月1日，國家《網(wǎng)絡(luò)安全法》頒布之后，醫(yī)院又掀起一波等保測評的熱潮。等保測評公司都是在進行合規(guī)性檢測，然后讓醫(yī)院對漏項的風(fēng)控點進行整改。都是集中在某一點上，沒有從醫(yī)院整體網(wǎng)絡(luò)安全的架構(gòu)上來考慮和建議。這也是導(dǎo)致很多醫(yī)院過了等級保護測評二級或三級，但網(wǎng)絡(luò)安全事故照發(fā)不誤的原因。安全管理一樣遵循木桶理論，只要信息系統(tǒng)有一塊短板或漏洞，其他防護再高，桶里面的水照樣不能保全。

（2）醫(yī)院網(wǎng)絡(luò)安全痛點

第一，沒有整體規(guī)劃，缺乏分級分類建設(shè)方案

網(wǎng)絡(luò)安全有點像頭痛醫(yī)痛，腳痛醫(yī)腳。在不斷攻防之間，迷失了方向，每家安全產(chǎn)品公司都自稱有完整的醫(yī)院解決方案，其實都是為自身產(chǎn)品堆砌尋找的賣點。

不否認一些大型網(wǎng)絡(luò)安全公司具有強大的研發(fā)能力，也開發(fā)出來眾多的產(chǎn)品，但術(shù)業(yè)有專攻，這些大型公司的某些產(chǎn)品有時也是應(yīng)景應(yīng)標而做出來的，并非有實際介紹的功能，或許比不上專注于這方面產(chǎn)品研究的小型公司。但每家公司都希望用戶全部使用自己的產(chǎn)品。所謂的解決方案，都是為賣更多產(chǎn)品而設(shè)的注腳。

這種只從產(chǎn)品和利益出發(fā)而做出的解決方案，不是醫(yī)院真正需要的方案。那么什么是醫(yī)院真正需要的方案呢?

不同類型、不同級別、甚至不同地域的醫(yī)院，對網(wǎng)絡(luò)安全的要求是不一樣的。軍隊醫(yī)院和地方醫(yī)院的要求不一樣，三級醫(yī)院和二級醫(yī)院的要求不一樣，?？漆t(yī)院也有自己的特點。另外還有兩個決定性因素，一是醫(yī)院信息化建設(shè)資金是否充裕；二是醫(yī)院領(lǐng)導(dǎo)是否支持。

所以解決方案是解決醫(yī)院的網(wǎng)絡(luò)安全問題，而不是解決公司賣產(chǎn)品的問題。

第二，醫(yī)院網(wǎng)絡(luò)安全技術(shù)水平低下

今后很長時間，醫(yī)院信息部門技術(shù)水平較低這種情況難以根本改變，其實也不需要改變。網(wǎng)絡(luò)安全不同于醫(yī)院的HIS系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)、服務(wù)器等，平常不會有哪家醫(yī)院經(jīng)常出現(xiàn)網(wǎng)絡(luò)安全事故，所以信息部門的網(wǎng)絡(luò)安全專員，沒有太多問題處理，技術(shù)水平自然也不會增長。而醫(yī)院信息技術(shù)人員又缺乏外出進修培訓(xùn)的機會，除非個人愛好，往往技術(shù)水平比公司人員會相差越來越遠。網(wǎng)絡(luò)安全技術(shù)受病毒日新月異影響而不斷更新變化，這也是醫(yī)院網(wǎng)絡(luò)安全專員無從學(xué)起又永遠跟不上的重要原因。

目前網(wǎng)絡(luò)安全技術(shù)分支越來越細，醫(yī)院不可能招聘和培養(yǎng)不同類型的安全專員，而購買公司的網(wǎng)絡(luò)安全運維服務(wù)，如同買保險一樣，不發(fā)生問題時看不到效益。很多醫(yī)院又舍不得花錢，因為HIS系統(tǒng)好多模塊都還沒有建設(shè)，自然不愿把錢投入到安全保障上面來。

沒錢、沒人、沒技術(shù)，這是共性痛點。

可以說，當(dāng)前網(wǎng)絡(luò)安全廠商、集成商們遇到了最好的發(fā)展機遇。網(wǎng)絡(luò)安全已上升到國家安全，而做為醫(yī)院的信息數(shù)據(jù)，更是重大民生內(nèi)容，從原來極不重視到現(xiàn)在極度重視。

機遇與風(fēng)險是孿生兄弟，原來醫(yī)院沒錢投入網(wǎng)絡(luò)安全，出了問題自然有一堆說辭，醫(yī)院領(lǐng)導(dǎo)也不好追究。但現(xiàn)在投入了經(jīng)費，甚至投入了大量經(jīng)費，結(jié)果還是出了問題，那么這個風(fēng)險誰來承擔(dān)呢?

買保險的理論仍適用于醫(yī)院網(wǎng)絡(luò)安全建設(shè)，有N多理由要求醫(yī)院必須上什么什么安全產(chǎn)品，公司亦不遺余力夸大某些方面的風(fēng)險隱患，好像醫(yī)院不采購這些產(chǎn)品就好似身處一群盜賊與病毒之中。所以現(xiàn)在網(wǎng)絡(luò)安全公司的業(yè)務(wù)比以前好做很多，有錢的醫(yī)院也配合公司將自身逐步武裝到牙齒，渾身都是盔甲包裹，手中還有各色武器，但一樣中毒或數(shù)據(jù)被盜取。究其原因，仍是安全產(chǎn)品各自為陣，缺乏聯(lián)動，缺乏交叉驗證，缺乏統(tǒng)一協(xié)調(diào)。

出了問題，或許有公司又會找N多理由為自身開脫，甚至還可以化危為機，再賣更多安全產(chǎn)品給醫(yī)院。或者會把責(zé)任歸結(jié)于其他廠家提供的安全產(chǎn)品，或者又是醫(yī)院網(wǎng)絡(luò)安全專員沒有盡到維護的責(zé)任。這些理由都可能成立或勉強成立，但在目前網(wǎng)絡(luò)安全獲得空前重視的情況下，網(wǎng)絡(luò)安全專業(yè)公司到底要如何自處? 這已不是一個技術(shù)的問題，而是職業(yè)道德的原則性問題。

醫(yī)院做網(wǎng)絡(luò)安全建設(shè)如同買保險，但網(wǎng)絡(luò)安全公司一定不要有僥幸心理，不要指望醫(yī)院上了你的產(chǎn)品，然后祈禱不要出事，或事后推責(zé)。醫(yī)院把自己最重要的身家性命都交給你來保衛(wèi)，一定要做有良心、負責(zé)任、有技術(shù)、有擔(dān)當(dāng)，與用戶榮辱與共的企業(yè)精神。

能認清這一點并愿意吃虧的公司，一定可以在市場混亂之后，走得更遠。

當(dāng)然網(wǎng)絡(luò)安全廠商一路摸爬滾打成長不易，但很多歷史原因也導(dǎo)致成長不足。

以前安全廠商不像一個技術(shù)型的或者說軟件型的公司，倒一直像在賣硬件設(shè)備的廠商。本來純軟件可以解決的安全問題，硬是要整一套硬件設(shè)備集成在里面。不是說這樣做不好，而是一直誤導(dǎo)了市場對安全廠商的認知。所以最終對安全廠商的價值都體現(xiàn)在這臺設(shè)備賣多少錢，而不是技術(shù)服務(wù)值多少錢。

另一點不足就是安全廠商各自為陣，為市場目的，自己定義了很多獨有的協(xié)議或規(guī)則，導(dǎo)致行業(yè)內(nèi)不能共享，既浪費了用戶資金又限制了行業(yè)發(fā)展。

當(dāng)前網(wǎng)絡(luò)安全已不是一個單位、一家公司、一個國家的事情，而是全球性的問題，一種病毒蔓延到世界各地，不用一周的時間。而全世界為此付出的代價，卻是巨大且驚人的。

回到醫(yī)院網(wǎng)絡(luò)安全的話題。醫(yī)院網(wǎng)絡(luò)安全已不是一家公司可以全部解決的問題，而是需要聯(lián)合多方，共同防御，交叉驗證，不留死角來解決。讓技術(shù)問題回歸到技術(shù)來解決，而不是靠產(chǎn)品來堆砌。

新時期下網(wǎng)絡(luò)安全，哪家公司能夠認識到自身不足，開放自己，與競爭對手合作，優(yōu)勢互補，真正為用戶考慮，真正靠技術(shù)服務(wù)贏得用戶的尊重，誰就能在網(wǎng)絡(luò)安全行業(yè)走得更遠。

（未完待續(xù)）