近年來，我國醫療行業掀起了“智慧醫院”建設高潮，醫院信息系統（HIS）、實驗室信息系統（LIS）、電子病歷系統（EMR）、醫學影像存檔與通信系統（PACS）等業務應用極大提升了診療效率，讓醫生工作更輕松，讓群眾看病更方便。

但是，“智慧醫院”是一把雙刃劍，在提供便捷服務的同時，網絡安全問題如影隨形。為了便于醫生、藥品供應商、軟件供應商訪問業務應用，許多應用不得不暴露在互聯網上，網絡安全風險隨之激增。數據安全、供應鏈攻擊、App/小程序安全防護等新需求也給醫療機構的安全防護提出了新課題。

面對一系列的安全挑戰，醫療機構迫切需要更安全、更高效、更可靠的業務應用訪問解決方案，為“智慧醫院”建設筑牢安全基石。

建設“智慧醫院”，從訪問控制做起

當前，醫療機構在訪問控制上，普遍面臨“四多一大”五大安全挑戰：

1.系統多：醫療機構不但普遍建設了HIS、 LIS、PACS、EMR/EHR、HMS等核心業務應用，還有OA、郵箱、HR系統等滿足日常辦公需求的非核心業務應用。隨著“智慧醫院”建設持續深入，業務應用仍在持續快速增加。

2.角色多：醫療機構不但要滿足醫生、行政管理人員、實習生等內部人員的業務訪問需求，還要滿足藥品供應商、軟件供應商、外包服務人員等外部人員的訪問需求。內外部人員數量眾多，且每個人員都對應不同的角色和訪問權限，使得醫療機構的權限管理非常復雜。

3.場景多：醫療機構的業務場景眾多，醫生在問診時需要通過PC訪問電子病歷系統（EMR）、醫學影像存檔與通信系統（PACS），行政人員會通過移動辦公App訪問OA系統，患者會通過網站、小程序掛號、查詢信息……醫療機構需要統籌不同場景下的業務需求和安全需求，避免重復建設，浪費資源。

4.數據多：醫療機構的業務應用、終端設備中有大量的敏感數據，如患者個人信息、病歷、醫院的財務信息、采購信息等。這些數據一直被黑灰產所覬覦。他們不但會直接對醫療機構發動網絡攻擊，還會向藥品供應商、軟件供應商等第三方下手，以獲取這些高價值數據。

5.暴露面大：隨著數字化技術與醫療業務深度融合，醫療機構對互聯網的依賴程度越來越深，醫生、患者、第三方人員都通過互聯網訪問各種業務應用，導致業務資源在互聯網上的暴露面越來越大，遭受網絡攻擊的風險也隨之增加。

芯盾時代零信任安全網關（SDP）

面對醫療機構的訪問控制難題，芯盾時代作為領先的零信任業務安全產品方案提供商、軟件定義邊界（SDP）市場的頭部玩家，給出了自己的答案——零信任安全網關（SDP）!

芯盾時代零信任安全網關（SDP）基于軟件定義邊界架構打造，將控制器與網關分離，在安全性、可用性上具備天然優勢。在功能上，芯盾時代SDP采用All in One設計，全面整合自主研發的全類型身份標識技術、智能風險度量技術、切面安全技術、終端密碼安全技術等核心技術，以“身份”為核心構建安全邊界，從網絡、設備、身份、權限、數據五個維度，對每一次業務訪問實施全程的、動態的、細粒度的動態訪問控制，一站式建立安全、便捷、合規的零信任網絡訪問系統。

借助芯盾時代SDP，醫療機構可以在低改造甚至零改造的情況下，一站式實現以下功能：

1.實施動態訪問控制，保證遠程辦公安全

芯盾時代SDP采用流量代理和SPA單包授權技術，只對通過認證的設備、用戶、應用開放端口，從而隱藏業務應用IP和端口，有效收斂資源暴露面，從源頭上攔截惡意掃描和網絡攻擊。

醫生及行政人員通過已有辦公App或PC專屬客戶端，在認證后基于加密隧道安全地訪問業務系統，通過安全沙箱對終端上的數據進行加密、隔離，并通過防截屏和水印等措施，確保敏感數據安全。對于企微/釘釘/飛書/H5應用，無需額外安裝客戶端，也能夠縮減暴露面，還支持在無改造的情況下實現單點登錄及動態增強認證效果。

在訪問控制上，SDP提供多種風險策略模型，醫療機構能夠靈活定義模型，綜合設備、IP、時間、行為、賬號、位置等維度的風險信息，對每一次訪問實施動態訪問控制，實現“安全訪問全程無感，不確定訪問強化認證，不安全訪問直接拒絕”。

2.強化第三方人員管控，避免數據泄露

對于藥品供應商、軟件供應商、外包服務人員等第三方人員，芯盾時代SDP能夠從四個層面對其進行安全管控，保證遠程訪問、遠程運維的安全。

首先，芯盾時代SDP支持多種權限管理模型，對于業務資源的管理能力細至URL級。醫療機構能夠基于第三方人員的業務需求對其授予“最小化權限”，實現對訪問權限的精細化、差異化管理。

其次，將服務器、虛擬機等資源隱藏在內網，結合多因素認證、終端準入控制、可信應用識別，同時對身份、設備、應用進行認證，確保只有可信的設備、人員和應用才能接入并執行操作。

再次，疊加指令級權限控制、IP/時間/地點等行為管控，實現動態按需增強認證，并記錄所有操作日志，實現對業務訪問的閉環管理。

最后，使用安全沙箱在第三方人員的終端設備中創建安全空間，僅允許在空間內執行操作，禁止數據外發、保存至本地、截屏/錄屏等違規操作，防止數據泄露。

3.0改造提升移動安全，移動應用更安全

當前，各類移動應用與服務在醫療行業廣泛普及。例如，省/市醫保局通過網站、小程序為居民提供自助服務；醫院則通過APP、網站及小程序等多種渠道為患者提供便捷服務。由于移動應用通常采用http方式訪問且直接暴露在互聯網，如果用戶訪問終端存在病毒、惡意軟件，或有攻擊者惡意攻擊，移動應用將面臨內容篡改、系統癱瘓、數據泄露等風險。

芯盾時代SDP針對APP及網站/小程序提供不同解決方案，對移動APP提供安全加固SDK，屏蔽惡意篡改、病毒/木馬/廣告植入、計費破解、敏感信息泄露、代碼竊取等風險，結合移動終端威脅感知能力識別DNS欺詐、釣魚欺詐、攻擊框架等風險；對網站/小程序提供零改造方案，提供https安全連接訪問方式，識別SQL注入、XSS攻擊、機器人數據爬取等web攻擊，及時阻斷并告警，保障服務穩定運行。

4.AI大模型加持，安全能力自進化

芯盾時代將SDP與AI大模型深度融合，賦予了SDP強大的“自進化”能力和優秀的操作體驗。

AI大模型通過持續學習海量風險事件（如新型釣魚攻擊、AI 偽造生物特征突破），驅動風險評估模型動態優化。在零信任的動態授權環節，系統基于大模型的對抗性訓練能力，自動生成“設備環境異常+高危操作疊加”等復合風險判定規則，并聯動沙箱隔離、數據脫敏強度調整等處置動作。同時，大模型通過分析歷史策略有效性，提出“最小化授權”策略的灰度迭代建議，實現防護能力的自迭代。

借助AI大模型的推理能力，芯盾時代SDP新增了“智能問答助手”功能，通過RAG（檢索增強生成）構建企業知識庫，讓AI大模型從向量數據庫中檢索相關性最強的文檔片段，生成針對性的回答，為醫生、行政人員、第三方人員提供針對性的建議，幫助他們更簡單、更高效的成各種業務操作，從而快速響應員工需求，減少人工支持成本。

衛健委發布的《全國醫院信息化建設標準與規范（試行）》、《醫療衛生機構網絡安全管理辦法》等規章制度，已明確要求在身份鑒別、加密傳輸、訪問控制等方面進行建設與規范。芯盾時代SDP已在多家三甲醫院投入應用，在替換VPN、遠程辦公與運維、防范供應鏈攻擊等場景下，展現出了良好的應用效果，為“智慧醫院”建設提供了有力保障。

如果您的醫院也想讓每一位醫生在任何時間、任何地點，使用任何網絡和設備，都能安全、便捷地訪問內網，芯盾時代零信任安全網關（SDP）是您的理想選擇。