（1）醫(yī)院網絡安全現(xiàn)狀

第一，網絡安全設備多而雜

每家醫(yī)院網絡安全建設都不可能一步到位，安全建設永遠在路上。限于資金預算不足或政策性安全投入，每段時期或許都會增加不同用途的安全設備，這些安全設備有醫(yī)院自籌資金購買的，有政府部門或衛(wèi)生主管部門下發(fā)的，也有公司捐贈或測試的。種類多、品牌多、安裝運維的公司也多。但有一個共同的特點，就是每家公司只做自己的產品，只防護自己的范圍。

第二，設備自驗收之后，配置基本沒變

設備上線之初，安全公司技術人員會針對醫(yī)院網絡現(xiàn)狀做好相應的配置，但醫(yī)院網絡在后繼運行過程中，會發(fā)生很多改變，很少有醫(yī)院會再去優(yōu)化安全設備的配置，甚至直到報廢沒有變動過也是常見現(xiàn)象。

第三，設備規(guī)則庫等沒有升級

很多安全設備都有內置的規(guī)則庫、病毒庫、特征代碼庫等，并且也提供在線或離線升級服務，但醫(yī)院安全設備一般都不會主動連接到互聯(lián)網，不發(fā)生問題時或不被明確要求升級，都不會主動去升級設備的內部軟件。

第四，在效率和麻煩中很多安全產品形同虛設

安全與效率之間是一對矛盾體，要安全一定會犧牲效率，增加麻煩。醫(yī)院領導和信息部門人員的管理初衷是一定要保證醫(yī)院信息系統(tǒng)的絕對安全，但在實際操作過程中，卻屢遭困難和破壞。醫(yī)院領導和信息部門人員是網絡安全的特權人員，自身都難以執(zhí)行嚴格的安全規(guī)則，而臨床科室人員，更是有諸多理由，要求開放更大的網絡安全限制范圍。例如：U盤使用。信息部門封堵所有USB接口禁用U盤，甚至采用膠水物理封堵，被罵得最慘的其實防護得最好的。一旦有例外解封，同類情況的都會找你解封，而信息部門有時也抹不開同事之間的情面，大開方便之門時有發(fā)生。久而久之，發(fā)現(xiàn)醫(yī)院信息網絡也沒有出什么多大的安全事故，信息部門就疏于管理，導致很多安全產品最終形同虛設。

第五，只注重合規(guī)性建設

2017年6月1日，國家《網絡安全法》頒布之后，醫(yī)院又掀起一波等保測評的熱潮。等保測評公司都是在進行合規(guī)性檢測，然后讓醫(yī)院對漏項的風控點進行整改。都是集中在某一點上，沒有從醫(yī)院整體網絡安全的架構上來考慮和建議。這也是導致很多醫(yī)院過了等級保護測評二級或三級，但網絡安全事故照發(fā)不誤的原因。安全管理一樣遵循木桶理論，只要信息系統(tǒng)有一塊短板或漏洞，其他防護再高，桶里面的水照樣不能保全。

（2）醫(yī)院網絡安全痛點

第一，沒有整體規(guī)劃，缺乏分級分類建設方案

網絡安全有點像頭痛醫(yī)痛，腳痛醫(yī)腳。在不斷攻防之間，迷失了方向，每家安全產品公司都自稱有完整的醫(yī)院解決方案，其實都是為自身產品堆砌尋找的賣點。

不否認一些大型網絡安全公司具有強大的研發(fā)能力，也開發(fā)出來眾多的產品，但術業(yè)有專攻，這些大型公司的某些產品有時也是應景應標而做出來的，并非有實際介紹的功能，或許比不上專注于這方面產品研究的小型公司。但每家公司都希望用戶全部使用自己的產品。所謂的解決方案，都是為賣更多產品而設的注腳。

這種只從產品和利益出發(fā)而做出的解決方案，不是醫(yī)院真正需要的方案。那么什么是醫(yī)院真正需要的方案呢?

不同類型、不同級別、甚至不同地域的醫(yī)院，對網絡安全的要求是不一樣的。軍隊醫(yī)院和地方醫(yī)院的要求不一樣，三級醫(yī)院和二級醫(yī)院的要求不一樣，專科醫(yī)院也有自己的特點。另外還有兩個決定性因素，一是醫(yī)院信息化建設資金是否充裕；二是醫(yī)院領導是否支持。

所以解決方案是解決醫(yī)院的網絡安全問題，而不是解決公司賣產品的問題。

第二，醫(yī)院網絡安全技術水平低下

今后很長時間，醫(yī)院信息部門技術水平較低這種情況難以根本改變，其實也不需要改變。網絡安全不同于醫(yī)院的HIS系統(tǒng)、數(shù)據庫、網絡、服務器等，平常不會有哪家醫(yī)院經常出現(xiàn)網絡安全事故，所以信息部門的網絡安全專員，沒有太多問題處理，技術水平自然也不會增長。而醫(yī)院信息技術人員又缺乏外出進修培訓的機會，除非個人愛好，往往技術水平比公司人員會相差越來越遠。網絡安全技術受病毒日新月異影響而不斷更新變化，這也是醫(yī)院網絡安全專員無從學起又永遠跟不上的重要原因。

目前網絡安全技術分支越來越細，醫(yī)院不可能招聘和培養(yǎng)不同類型的安全專員，而購買公司的網絡安全運維服務，如同買保險一樣，不發(fā)生問題時看不到效益。很多醫(yī)院又舍不得花錢，因為HIS系統(tǒng)好多模塊都還沒有建設，自然不愿把錢投入到安全保障上面來。

沒錢、沒人、沒技術，這是共性痛點。

可以說，當前網絡安全廠商、集成商們遇到了最好的發(fā)展機遇。網絡安全已上升到國家安全，而做為醫(yī)院的信息數(shù)據，更是重大民生內容，從原來極不重視到現(xiàn)在極度重視。

機遇與風險是孿生兄弟，原來醫(yī)院沒錢投入網絡安全，出了問題自然有一堆說辭，醫(yī)院領導也不好追究。但現(xiàn)在投入了經費，甚至投入了大量經費，結果還是出了問題，那么這個風險誰來承擔呢?

買保險的理論仍適用于醫(yī)院網絡安全建設，有N多理由要求醫(yī)院必須上什么什么安全產品，公司亦不遺余力夸大某些方面的風險隱患，好像醫(yī)院不采購這些產品就好似身處一群盜賊與病毒之中。所以現(xiàn)在網絡安全公司的業(yè)務比以前好做很多，有錢的醫(yī)院也配合公司將自身逐步武裝到牙齒，渾身都是盔甲包裹，手中還有各色武器，但一樣中毒或數(shù)據被盜取。究其原因，仍是安全產品各自為陣，缺乏聯(lián)動，缺乏交叉驗證，缺乏統(tǒng)一協(xié)調。

出了問題，或許有公司又會找N多理由為自身開脫，甚至還可以化危為機，再賣更多安全產品給醫(yī)院。或者會把責任歸結于其他廠家提供的安全產品，或者又是醫(yī)院網絡安全專員沒有盡到維護的責任。這些理由都可能成立或勉強成立，但在目前網絡安全獲得空前重視的情況下，網絡安全專業(yè)公司到底要如何自處? 這已不是一個技術的問題，而是職業(yè)道德的原則性問題。

醫(yī)院做網絡安全建設如同買保險，但網絡安全公司一定不要有僥幸心理，不要指望醫(yī)院上了你的產品，然后祈禱不要出事，或事后推責。醫(yī)院把自己最重要的身家性命都交給你來保衛(wèi)，一定要做有良心、負責任、有技術、有擔當，與用戶榮辱與共的企業(yè)精神。

能認清這一點并愿意吃虧的公司，一定可以在市場混亂之后，走得更遠。

當然網絡安全廠商一路摸爬滾打成長不易，但很多歷史原因也導致成長不足。

以前安全廠商不像一個技術型的或者說軟件型的公司，倒一直像在賣硬件設備的廠商。本來純軟件可以解決的安全問題，硬是要整一套硬件設備集成在里面。不是說這樣做不好，而是一直誤導了市場對安全廠商的認知。所以最終對安全廠商的價值都體現(xiàn)在這臺設備賣多少錢，而不是技術服務值多少錢。

另一點不足就是安全廠商各自為陣，為市場目的，自己定義了很多獨有的協(xié)議或規(guī)則，導致行業(yè)內不能共享，既浪費了用戶資金又限制了行業(yè)發(fā)展。

當前網絡安全已不是一個單位、一家公司、一個國家的事情，而是全球性的問題，一種病毒蔓延到世界各地，不用一周的時間。而全世界為此付出的代價，卻是巨大且驚人的。

回到醫(yī)院網絡安全的話題。醫(yī)院網絡安全已不是一家公司可以全部解決的問題，而是需要聯(lián)合多方，共同防御，交叉驗證，不留死角來解決。讓技術問題回歸到技術來解決，而不是靠產品來堆砌。

新時期下網絡安全，哪家公司能夠認識到自身不足，開放自己，與競爭對手合作，優(yōu)勢互補，真正為用戶考慮，真正靠技術服務贏得用戶的尊重，誰就能在網絡安全行業(yè)走得更遠。

（未完待續(xù)）