西京医院实践录：医疗物联网应用建设思路及安全防护设计

将医疗管理和质量监控由“人盯人”向“计算机盯人”转变。...

作者

空军军医大学西京医院信息中心主任蒋昆

医疗质量安全是医疗管理永恒的追求——在国内，2018年4月国家卫生健康委员会发布《关于印发医疗质量安全核心制度要点的通知》，提出十八项核心医疗质量管理制度；国际上，JCI将正确识别患者身份、改进有效沟通、改进高警讯药品的安全性、确保手术安全、降低医源性感染的风险、降低患者因跌倒导致伤害的风险列入了患者安全目标。可以说医疗质量和安全是医疗管理中永恒的追求。

但现状是医疗资源总量不足、分布不均与公民日益增长的健康需求仍然是当前国内医疗行业面临的重大矛盾。我国卫生资源的配置过多集中在城市、城市又相对集中在大中型医院，一方面医疗资源存在浪费，“看病难、看病贵、看病烦”始终得不到解决；一方面又使医务人员不堪重负，“霍桑效应”使传统的质控手段面临日益严峻的挑战。Hawthorne Effect，或称霍索恩效应，是指那些意识到自己正在被别人观察的个人具有改变自己行为的倾向。心理学上的一种实验者效应。这一名词起源于1924年至1933年间的一系列实验研究，霍桑一词源于用于实验的工厂，它是美国西部电气公司坐落在芝加哥的一间工厂的名称。实验最开始研究的是工作条件与生产效率之间的关系，包括外部环境影响条件（如照明强度、湿度）以及心理影响因素（如休息间隔、团队压力、工作时间、管理者的领导力）。历时九年的实验和研究，学者们意识到人不仅仅受到外在因素的刺激，更有自身主观上的激励，从而诞生了管理行为理论。信息化是支撑医改的“四梁八柱”，面临挑战，信息技术又能给出什么解决方案呢？

首先，基于有线网的信息技术手段不能完全满足医疗质量和安全管理的要求。

利用信息技术手段提升管理水平，已经成为众多行业的共识。但传统的、基于有线网的医疗信息化建设项目主要面向解决医疗工作流程的规范化和医疗文书电子化存储的问题。即以“流程”为核心。如：挂号、收费、入院登记、医生工作站、护士工作站等。数据收集的颗粒度受制于流程节点划分的粗细程度。流程节点划分过细，会带来工作人员额外的负担，划分粗疏又无法满足管理日益精细化的需求，传统的基于“流程”的信息技术和实际需求之间出现了矛盾，遇到了发展瓶颈。

其次，传统的信息技术手段难以解决医疗质量与安全管理中存在的重点、难点问题。

医院是个相对开放的场所，医护人员与患者均存在一定程度的良莠不齐，大型医院更是由于医疗区域广、门诊量大、人群复杂，为医疗质量与安全管理带来了较大的困难，如：临床医生三级查房、访视谈话等医疗核心制度的落实情况；医生手卫生监督、感染源早期发现等一系列医院感染管理的难题；药品从采购、调配、医嘱、校对到应用到患者身上的全过程是否符合用药安全和合理用药的要求；对急重症、手术后或高危患者生命体征监测、症状早期发现、预警求助和及时干预；对精神病患者、新生儿或其他医嘱遵从性较差的患者的行为控制问题；婴儿室、ICU、手术室、非探视期间的病房等重点区域的通行控制问题。

上述问题均围绕人或物发生，其结果更多依靠一线医务工作者对制度落实的自觉性，很难用传统的信息系统约束。

物联网技术最核心的理念在于联网的物品能够相互“感知”，具有小型化、集成化、智能化的特点，可以使医疗信息系统在移动性、连续性、实时性方面表现更好，在填补医疗管理漏洞方面有着传统信息技术手段所不能比拟的优势，因而更适合提升医疗质量和保障医疗安全，物联网也已成为医疗信息技术一个重要前沿。医疗物联网的应用建设思路是：深入分析医院信息发展现状，探索运用物联网技术、云计算技术和大数据技术，进一步将医疗管理和质量监控由“人盯人”向“计算机盯人”转变，实时监控和规范医疗服务行为，提高医疗质量，降低医务人员工作强度。通过监控最具代表性的医疗行为、关键指标，利用物联网将多途径采集的数据整合进入医疗数据中心，利用云计算、大数据技术进行分析挖掘。

医疗物联网技术架构可以包括感知层、网络传输层、物联网应用系统平台、云计算平台、大数据管理平台、云服务平台。与现有的信息化基础设施、应用系统结合面很大。随着物联网在医院深入应用，大量的IoT设备上线，设备种类繁杂，数量庞大，且多为永久在线实时连接，容易被攻击者击破，如果视频监控、门禁、物资管理等系统被击破，会对医院运营、管理造成难以估计的影响。从某种意义上讲，使用物联网解决医疗质量和安全问题的尝试，从另一方面放大了安全威胁，不容忽视。

目前多样的物联网产品迫于“开发生产标准不统一”和“系统、硬件轻量化”等原因，仍未实现在统一的安全规范下进行开发生产，且无法在轻量化的产品中预制安全模块，因而从物联网的基础网络层和数据中心层面加强安全管控力度，提升攻击成本、缩小被攻击区域，成为相对现实的思路。

1.模块化设计

物联网可以采用分区设计思路，分为边界防护区、物联网应用中心区、业务内网数据中心区三部分。通过三个区域构建集中统一、安全的第三方业务平台，满足第三方业务系统的接入访问。

• 边界防护区设计

将互联网IoT终端产生的数据安全、可靠、及时地传输到物联网前置机，在传输过程中，考虑访问控制、应用攻击以及DDOS攻击等安全隐患，通过前端部署抗DDOS、入侵防御系统以及防火墙设备提高黑客攻击成本，且所有数据通过物联网前置机处中转，可有效地将被攻击范围控制在一个点上，不影响整网业务正常运行，达到物联网在互联网层面接入的安全。对于医院内的IoT终端，相对于互联网IoT终端，可信程度较高，当接入物联网应用中心时，通过接入的防火墙实现访问控制、应用攻击以及病毒防护等，即可满足院内IoT终端的接入安全。

• 物联网应用中心区

物联网应用部署于物联网应用中心的虚拟机上，虚拟机通过虚拟机防护系统保障物联网应用的安全；通过漏洞扫描系统查找可能存在的漏洞并验证漏洞，及时提交给应用厂商打补丁，有效提升应用的安全级别；应用数据库的安全可通过数据库防火墙进行数据库访问的权限控制，并通过数据库审计针对数据库的所有操作进行记录，用于事后事件追溯；保障物联网应用中心与IoT终端的数据交互可靠、稳定、安全进行。

业务内网数据中心的安全继承已有的安全措施，重点防护与物联网应用中心的数据交互时的网络层安全，主要设置业务系统前置机，当物联网应用数据要进入到内网数据中心时，数据必须通过隔离网闸先传输至业务系统前置机，再由前置机经过业务数据中心区已设的安全防护和检测传输至内网数据中心，保障核心业务数据的安全性。

2.分策略管理

考虑目前物联网终端设备不具备不可复制性，缺乏内置的安全模块，且产品工艺质量尚待时间验证，恐因恶意攻击或产品本身故障对网络造成影响。考虑上述潜在威胁，结构规划上利用VLAN的合理划分、自定义端口安全策略、ACL访问控制列表等网络技术手段，避免如广播风暴、非授权用户接入等安全威胁，导致全网业务瘫痪。

• 楼宇AP的安全接入

在楼宇接入交换上开启端口安全策略，只允许授权的AP接入楼宇POE交换机，其余端口关闭，防止私接。

• 楼宇汇聚上的访问控制

线上物联网AP根据物理位置合理划分VLAN，建议以单体楼或楼层为单独的VLAN段，在汇聚网关上配置ACL访问控制列表，只允许网段内的AP互访，防止该网段在收到攻击时同时影响到全网用户。对个别需要访问的服务器及业务内网的用户做单独放通，其他流量均拒绝访问。

• 服务器段的安全访问

在服务器汇聚交换机上配置ACL访问控制列表，针对物联网业务流量进行识别、放通，对其他非授权的流量默认拒绝。

3.分权限管理

俗语说得好，“三分技术七分管理”，应当重视档案建设，遵循最小授权原则，细心设计权限控制方案。在尽量降低管理风险的基础上，提升运维效率。

物联网技术的应用，让医院管理的颗粒度只受限于传感器的体积大小和传感网的覆盖面积，促进医疗安全水平整体提升，推进医院向“智慧型医院”转型。但同时应当正视、重视物联网自身的安全风险，两手都硬才能推进医疗物联网有好又快的应用推广。

“安全+”专题

医学装备智能化带来数据管理新命题，多维度医院信息安全建设至关重要

从1.0到2.0，医疗行业的信息安全如何升级？（上篇）

从1.0到2.0，医疗行业的信息安全如何升级？（下篇）

医疗行业成为遭受典型网络攻击最多的关键行业，安全建设为什么越来越难？

支招儿！医院如何积极应对信息安全建设难题？

©以上文章来源

e医疗原创文章，转载请注明来源。

    关注 e医疗