2011年，原卫生部办公厅在《关于全面开展卫生行业信息安全等级保护工作的通知》中明确要求：三级甲等医院的核心业务信息系统原则上不低于等保三级，且在2015年12月30日前必须完成整改，并通过等保测评。

　　如果以此为分界线，在医疗信息化发展史上，2016年就是有据可依的网络安全元年。2016在中国网络安全的发展史上也是具有里程碑意义的一年：

　　这些举措都体现出国家层面对网络安全的重视。

　　将2016年与网络安全联系起来，也基于自己的一些主观感受，无论是坊间传闻，还是亲身经历，今年似乎有很多话题都与网络安全相关。

　　经历了2015年“互联网+”医疗的爆发式增长，2016年医疗信息化领域已经步入了后“互联网+”时代。

　　当医院以开放的心态和探索者的勇气打开网络的边界，张开双臂拥抱互联网的时候，风险也随之来临。

　　从个人经历来讲，今年接到了数份红头文件，从行业主管部门、属地政府到网安部门都有，如此密集的强调网络安全，也是近年来少有的。所幸我院历来非常重视网络信息安全，各项要求皆能应对。例如今年我负责医院的安全体系建设项目，不但有国家拨款，医院也很大方地配套了一大笔钱。相信项目完成后从系统的可用性、数据的完整性和安全保密方面都能有显著的提升。

　　但还是有一些隐隐的担忧，从目前了解到的一些入侵方式来看，医院的防护能力还很初级的。加固DMZ区、VPN、无线网等网络出口只是第一步，纵深防御能力仍很薄弱，存在“一点攻破、满盘皆失”的风险。

　　今年网络安全检查的重点是工控设备，原因是现在联网的医疗设备越来越多，从技术层面来讲就是一台计算机终端，但操作系统层面厂商并不向用户开放，如何防护是整个行业必须共同面对的问题。此外，管理方面缺失也很明显，更多的信息部门把主要精力放到了信息化建设上，网络安全往往是“在墙上”，而不在心里。

　　就是人员技能方面也略显不足，网络安全管理员不但要有必要的网络安全专业能力，还要具备全面的软件、硬件、开发、运维的知识，同时还要了解所在医院的信息系统实际部署情况。另外，网络安全员往往只是个技术角色，在需求主导、业务为大的信息化建设环境里，往往并没有职权去阻止潜在的风险的发生。

　　年初，我写过一篇《“医院+互联网”的阿喀琉斯之踵》，最后仍以此故事作为本篇的结尾，借此提醒诸位重视网络安全。

阿喀琉斯刚出生的时候，母亲就将其倒提脚着浸进冥河，使其能刀枪不入。但因母亲捏着的脚后跟不慎露在水外，所以脚踵就成了唯一没有防护的地方。长大后，拥有不死之身的阿喀琉斯作战英勇无比、无人能敌，但当敌人知道他脚踵的秘密后，一箭射中其脚后跟，举世无双的英雄就因此而身亡。