2023中国智慧医院研究报告

 

在未来，医院将更加积极、主动、自发地与自主可控的信息与网络安全供应商作伙伴建立安全合作机制，共同维护医院信息和网络的安全。

中国医院信息与网络安全研究背景

信息与网络安全宏观政策分析

国家始终高度重视网络安全问题，二十大的顺利召开揭示其已达到国家战略层面

“十二五”期间，中国颁布《国家安全法》，安全一词首次与国家生存发展联系起来，此后的“十三五”和“十四五”时期，国家先后出台并实施了《网络安全法》、《密码法》、《民法典》、《数据安全法》、《个人信息保护法》，“五法一典”构成了中国信息与网络安全的法律法规体系。由此可见，中国政府在网络安全的问题上始终保持高度重视，网络安全是国家安全的重要组成部分。

2022年10月，二十大在北京召开，紧紧围绕发展和安全两件大事，其中安全一词被提及91次，网络安全保障体系建设成为健全国家安全体系的重 点任务之一，深刻表明网络安全已经达到国家战略层面。

医院信息与网络安全发展背景

智慧医联体开始建立，医院信息化方面的投入金额持续上升，信息化建设不断深入

2023年2月国家卫健委和发改委等六部门联合发布《关于开展紧密型城市医疗集团建设试点工作的通知》，再次驱动中国智慧医院的发展，标志着中国开始探索建立智慧医联体，从单个医院的信息化整体架构设计和建设走向区域医疗的信息化，同时网络安全也成为重点工作之一。

据CHIMA统计数据显示，2021-2022年度12.3%的受访医院在信息化方面投入2000万元以上，11.7%的医院投入低于50万元，比2018-2019年度分别增加75.7%和减少42.4%，凸显中国医院对信息化方面的投入愈发重视，各医院结合预算情况加大投入金额。在信息化投入预算占总预算比例方面，不同等级的医院存在明显差异，中国三级医院整体投入占比高于三级以下医院，其中，4%的三级医院投入占比达到5%以上，接近30%的三级医院投入占比1%以上，而三级以下医院对此的比例分别为2.7%和23.6%，超过50%的三级以下医院投入占比为0.2%以下。

医疗机构网络安全事件频发，《医疗卫生机构网络安全管理办法》出台

医疗机构在信息化建设的不断深入中以及凭借其数据的高价值性和系统的脆弱性，一直频繁受到网络攻击，2021年针对全球医疗机构的勒索软件攻击在达到了166起，造成数百亿美元的损失，同时，据相关数据显示，黑客曾对医疗行业的暴露破解达到了单日80万次的高峰，因此，加强医疗机构的网络安全管理已经可不容缓。

在中国，2022年8月，卫健委等三部门为指导医疗卫生机构加强网络安全管理颁布《医疗卫生机构网络安全管理办法》，成为卫健委首个具体的医疗网络安全管理办法，其中提到需要保证医疗行业信息系统建设时安全保护措施同步规划、同步建设和同步使用，该管理办法将大力推动中国医疗行业信息与网络安全的发展。

医院信息与网络安全研究范围

医院医疗设备和信息设备种类繁多，各类业务系统（HIS、LIS、PACS等）和人员构成也相对复杂，因此医院信息与网络安全面临诸多隐患，常见的医院网络攻击方式包括网络钓鱼、勒索攻击、挖矿病毒、数据泄露等。

亿欧智库认为，医院信息与网络安全分为系统安全、数据安全和云安全三个方面。

提升医院信息与网络安全的实现路径

“十四五”相关规划和地方政策驱动医院IT系统国产化替代的进程

在中国国产化替代的进程中，目前已经进入到软件、硬件联动，系统全面升级的阶段，国产化替代也意味着中国IT行业的发展战略调整为自主可控取代借力发展。

“十四五”期间，国务院、卫健委等部门陆续发布《“十四五”数字经济发展规划》、《“十四五”国家信息化规划》和《“十四五”全民健康信 息规划》等相关规划，皆在明确利用国产化替代来加速赋能数字化发展，构建数字中国。

2023年是中国信创的第四年，重点行业升级成为重中之重。医疗行业国产化替代速度远不及党政、金融、电力等行业，但2022年下半年起，随着各地逐步响应“十四五”相关规划，规定医院禁止采购进口设备的政策陆续出台，大力支持国产系统自主创新、自主研发，从而推动智慧医院网络安全关键技术发展。

医院各业务系统替换顺序为由边缘至核心，先易后难，逐步实现“应替尽替，真替真用”

医院国产化替代的顺序将从不直接涉及医院诊疗业务的信息系统开始，至不提供诊疗服务的业务系统。目前，这两类业务所对应的应用系统将和行政办公类电脑终端设备一起，率先完成国产化改造，即承载该类业务的基础硬件、基础软件和网络安全产品将全部替换为符合信创要求的产品，并达到“应替尽替，真替真用”的目标。

医疗特殊性使医院IT设备国产替换难度高、周期长，保障信息与网络安全是重中之重

国产化替代政策对全国医疗卫生的影响受地域不同，目前国家已经开始进行区域试点，一些沿海城市的医院在2023年将会优先采购整套供应链均 是信创名录中的产品来进行对与诊疗业务无关的信息系统的改造。

医院立足于民生，开展的各类业务与人的生命健康和幸福度密切挂钩。亿欧智库认为，医院完成国产化改造的最终目的是要加强对医院信息与网络安全的保障，但是结合医疗行业的特点，医院完成国产化改造之路仍很漫长，这其中，需要国产厂商加快人才培养，掌握关键核心技术，并完成技术创新和协同合作。

医院信息与网络安全细分领域市场规模

亿欧智库认为，国产化替代意味着国产厂商将产生数千亿规模的订单，面临千亿级的的市场空间，正式成为中国IT行业发展的主力军。

在国家和地方政府的不断推动下，医院开始根据业务场景逐步对相应系统进行国产化替代，并逐渐从中小规模医院扩展至大型医院。因此，计算机信创行业将紧跟党政、金融等领域，在医疗领域全面爆发，未来3-5年内，市场规模呈现指数级增长，其中在2025年后，进入全面爆发增长阶段。

亿欧智库结合中国医院终端类和服务器类设备数量，预计2023年中国医院国产操作系统市场规模达到5.7亿元，此后受托于政策红利和技术的成熟保持高速增长，并于2027年达到近百亿规模。在中国医院国产CPU芯片方面，亿欧智库预计2023年市场规模达到40.9亿元，而CPU芯片由于其更高的研发难度导致其前期增长率略落后于国产操作系统，2026年的增幅达到150%，并于2027年达到521.9亿元。

中国医院信息与网络安全发展现状

医院系统安全现状

医院系统安全现状：保证医院系统安全需要建立多条防线，审计和管控不容忽视

医院常见的系统安全防线有内部网络防线、外部网络防线、应用程序防线和数据库防线等，为了建立这些防线，医院需要配备相应的软硬件设备， 同时，也需要指定相应的安全策略和流程，加强员工安全意识培训和管理，以提高系统的安全性、稳定性和可靠性。

在访问路径上，医院常用的网络访问路径分为以患者为主要参与者的从外网到内网的访问路径以及以医院工作人员为主要参与者的从内网到内网的访问路径。

合规驱动下，中国医院系统安全逐渐由“产品进入”过渡到“服务至上”

亿欧智库认为，目前三级以下医院在信息与网络安全的建设中仍处于“产品进入”的阶段，且存在较大的合规性需求，其中产品需求大于服务需求， 这为国内软硬件和安全设备厂商提供了产品开发、制造和销售的机会，而三级医院在信息与网络安全的建设中服务需求大于产品需求。

以下是报告节选正文内容：

 

作者：王若琛；王思晗

来源公众号：亿欧智库（ID：EOintelligence2017）