互联网+背景下连锁药店网络信息系统安全策略

高红玉

（国药集团山西有限公司 山西省太原市 030012）

1 引言

医药零售大药房连锁企业以互联网为依托，对线上服务、线下体验以及现代物流进行深度融合，进而重塑业态结构与生态圈，这种新型零售服务与每个人的生活息息相关，电商交易系统不仅存在海量的用户敏感数据，而且直接涉及到资金交易。因此，医药连锁药店行业面临多种多样的安全威胁。

随着医保发〔2021〕28 号《国家医保局 国家卫生健康委 关于建立完善国家医保谈判药品“双通道”管理机制的指导意见》下发后，首次从国家层面提出完善双通道管理政策，并明确用遴选方式选择定点药店。国家医保函〔2021〕182 号《国家医保局 国家卫生健康委关于适应国家医保谈判常态化持续做好谈判药品落地工作的通知》明确要求2021年10 月底前，确定药品目录；2021 年11 月底前，每地市至少有1 家“双通道”药店。国家雷霆之势下，各省积极响应，虽然医院处方流转模式不一，有省医保信息平台电子处方流转，有外接第三方信息平台流转，还有部份纸质流转，但顺应“双通道”、处方外流成为大趋势。众所周知，医院的信息化建设具有一定特殊性，医疗信息涉及个人隐私，而新零售模式下，零售连锁药店零售服务及健康管理平台系统包括了许多“医”和“药”对接的信息。在信息安全体系建设方面，大多数企业未对信息系统和基础设施进行有效的安全评估，安全与合规因素方面考虑不周全，这些都为互联网背景下零售连锁企业的信息安全保护工作带来了极大的挑战。为进一步提高认识，切实执行国家有关法律法规，落实网络安全等级保护制度和定期对应用系统和基础设施进行安全测试和评估监测，本文结合国药山西国康大药房连锁有限公司信息安全建设的具体实践进行研究，供同行借鉴。

2 互联网+背景下连锁药店信息安全面临的挑战

2.1 更加严峻的网络环境

网络安全关乎国家安全，作为发展中大国，我国的网络安全形势异常严峻。当前，各零售连锁企业坚持零售诊疗发展战略定力，加速网络布局，承接医疗机构处方外流的市场机会。连锁药房基于互联网进行业务开展的同时，接入了连锁总部专线和省市医保专线，形成网络结构较为复杂的场景，连接互联网本身就使得公司网络暴露在外部风险之下，特别是患者的基本信息、结算信息等关键信息的存在，网络经常会受到攻击。近年来，互联网医院还包括了在线复诊、在线处方、检查预约、药品配送等功能。与传统的医药零售服务系统相比，互联网+背景下连锁药店提供的系统功能更多，需要集成的信息系统数量、外部接口数量、暴露在互联网上的消费者敏感信息也越来越多。严峻的网络环境给连锁药房的网络信息系统安全带来了极大的挑战。

2.2 系统的复杂性增强

连锁药房从经营模式上分为DTP 药房(特药药房）、院边药房（主要用于承接医院处方及慢性病管理服务）；社区药房（承接社区医院门诊药房功能，以社区为单位进行全民健康覆盖）；5+x 药房（大型药房涵盖西药、中药、中医、西医、医疗器械+多元化健康服务）；从连锁管理及产权结构又分为：连锁直营门店、连锁加盟店、连锁管理下的独立法人店。

经过20 年的发展，我国医药连锁企业信息化取得巨大成就，信息技术与零售经营业务、医疗业务深度融合，信息子系统的数量庞大，涉及连锁药店日常运营的方方面面。

在医保接口方面，业务要求是与医保平台进行业务对接和数据交互，满足医保业务的正常开展以及对各种服务管理的需求。具体功能包括：医保目录下载、读卡结算、费用查询、小票打印、月度结算等。

在处方管理方面，业务要求是处方获取，通过手工录入、高拍仪扫描存档、服务对接外部平台等。职业药师远程审方，远程登录系统后，通过指纹验证审方，在POS 界面调取处方，进行销售收款，并提供配送管理。

在药学服务方面，要建立基础数据，包括疾病类别、药品类别及内容、患者基本信息、病历档案和用药评估。还要进行回访治疗，如日常咨询、用药干预和不良反应管理、回访管理、工单管理等。

近年来为满足连锁药店互联网业务发展和便捷操作，信息技术部门进行了多次面向服务的开发，例如，通过互联网电子商务平台接口，实现电商订单直接转入ERP 系统，便于网络订单结算和统计；通过专线进行省市医保接口对接，实现系统直接进行医保结算，缩短顾客医保结算时间；通过接入互联网医院，实现电子处方订单及时售药及配送等。这些功能的实现使连锁药店核心ERP 系统有众多连接，形成了接口多、设计结构复杂的系统架构。

2.3 互联网+背景下连锁药房面临的信息安全风险及特点分析

在互联网背景下，连锁药店在提供药学服务的同时，患者的个人信息、身份信息都需要通过互联网进行传输同时诊疗过程中的人脸信息、病历信息、隐私信息也都通过互联网进行传输，存在较大的信息安全和数据泄露隐患。

当下连锁药店的建设模式大致分为本地建设及云服务模式两种。本地建设的方式为将系统部署在本地，通过配置内外网之间的安全策略实现与内部核心系统的交互。药店这种打破了原本纯内网结构模式的行为加剧了信息安全的风险，同时患者个人隐私信息、诊疗信息的数据安全也将面临巨大的泄露风险。因此除了面临的传统架构上的网络安全风险外，对患者隐私、诊疗信息等敏感数据的保护更为迫切。

连锁药店管理半径扩大至全省范围，且总部IT 运维人员只有几个人，运维工作量急剧增加；个人加盟店数量快速增加，分支门店IT 运维能力薄弱，且无法承担复杂的组网部署操作，部署上线缓慢；直营旗舰店工作人员上网行为难以管控。此外，连锁药店在提货、转账、医保类应用方面采用互联网传输安全性低。无论是个人加盟店，还是直营旗舰店，都需要访问到连锁总部端的提货转账、收银、医保结算应用，会员信息、销售数据、物流配送信息、客户社保信息此类重要数据基于互联网传输面临着泄露、篡改的风险。

2.4 参与者信息安全意识薄弱

总结过去发生的安全事件，首要因素是安全意识的错位，事后补救而不是事前监控和预防，把内网隔离等同于安全，缺乏对数据进行定期备份的意识以及安全责任的缺位，导致参与者对信息安全意识整体薄弱。连锁药店进行零售服务及健康管理的应用场景越发丰富多彩，势必会导致没有信息安全就没有医药零售服务的业务安全。同时，连锁药店在加速门店扩张的过程中，同样面临一系列的网络运维难题：参与管理和使用连锁药店信息系统的许多人，对信息安全的认识不深，危机意识、紧迫意识、参与意识不强，导致制度落实不到位、管理手段不执行。还有些参与者摆脱不了传统的思维模式，不能正确使用网络。这些问题都给信息安全管理工作带来了极大的挑战。

3 连锁药店信息安全的对策分析

笔者所在的公司经过对零售连锁信息管理平台系统进行现状调研和评估，确立了等级保护建设路径。在设计阶段，全面识别安全风险及安全需求，进行差距分析和风险评估，提出符合内部发展和外部监管相结合的安全方案，进行系统定级备案。在整改建设阶段，通过安全管理、安全防御、安全响应、安全运维能力建设，基于等级保护和其它合规要求，对现有系统进行安全整改，建立起安全防护体系框架。

3.1 建立健全信息安全的组织及制度体系

由于连锁药房信息系统依托于互联网，其体系结构上就存在着开放、脆弱、易受攻击等安全缺陷；而门店使用用户密集且活跃、各种网络应用非常普及，这些都使得网络的安全管理更为复杂和困难。本着技术和管理相辅相成的建设理念，围绕着“依托技术优势、规范管理制度和健全保障体系”的建设方针，逐步建立起一套比较完整的连锁药房信息化安全保障体系（如图1），力争从网络环境、应用系统和信息资源等多方面保障连锁药房管理信息化应用的正常运行。

图1：连锁药房网络和应用系统安全保障体系

3.1.1 信息安全组织及人员保障

公司总部信息部依托项目团队模式，成立了网络信息安全领导小组和安全工作小组，安全领导小组、安全工作小组和各中心安全工作执行人员分别从决策、监督和具体执行三个层面为网络信息安全工作提供了完整的人员保障。

加强信息队伍建设。各级公司加强对信息网络使用、管理人员的培训和管理，重视对计算机信息队伍的建设和计算机安全员的选任培养和教育管理工作，特别要注意做好零售药店前台操作人员的培训工作，实行挂牌上岗，切实把好“选人关、上岗关、教育关”，确保信息网络管理队伍的素质。信息部人员应明确权限设置，各零售药店操作人员不得多人使用同一个账号进行操作，要严格落实岗位目标责任制，明确网络管理员、系统管理员、终端操作员、程序员的权限和操作范围，确保信息网络安全。

3.1.2 信息安全制度保障

良好的网络信息安全保障离不开规范严谨的管理制度。通过制定《系统安全管理方案》、《数据安全规范管理办法》、《安全应急处置预案》、《密码安全管理办法》等一系列规范，首先保障了网络信息安全工作的“有章可循，有据可查”。

根据其不同的工作职责对安全工作的具体执行进行了相应的划分，通过整体统一、分工合作、实施安全事故/故障的分级处理和上报机制，有效和最大限度地保障了网络基础、系统开发建设和运行维护等方面的安全。

工作小组则通过定期通报安全工作情况、对安全工作进行审计等检查和督促措施使信息办人员的安全意识和责任心有了很大的改观；为最大限度保证系统上线后的安全运行，每一系统正式上线前还必须制定系统上线运行标准，并由安全工作小组负责组织实施安全方案的评审，经评审通过的《系统安全运行方案》也是将来系统安全审计的依据。

针对不同岗位、不同业务、不同环节的特点，制定出切实可行的规章制度，用来规范每个计算机管理人员、技术人员、操作人员的行为。要实行定期和岗位轮换制度，实行轮岗人员离岗稽核和对业务系统进行不定期的监督检查，以便及时发现问题，堵塞漏洞。计算机不得一机两用，即业务计算不得上互联网；不得将存储涉密信息的计算机硬盘与国际互联网连接；要建立安全事故报警制度，进行日志审计，实施网络实时监控。

3.2 完善信息安全技术措施

连锁药店需要使用一系列技术工具和手段来保障网络信息安全，这些保障措施具体包括：

3.2.1 组网建设安全策略

门店SD-WAN组网主要有高效运维部署、数据安全传输、业务访问连续三个方面的需求，实现全网极简运维。主要需求包括：简化部署药店IT 设备上线流程，实现个人加盟店及直营店快速部署上线；总部端部署集中管理平台，实现对全部门店的设备、链路运行状态可视化及远程运维；支持通过集中管理平台向分支门店统一下发访问控制策略，防止部分门店工作人员访问与工作无关的事情。

个人加盟店组网建设：新增个人加盟店，部署如深信服SDW-MIG 设备，通过一条ADSL 互联网线路组建VPN 隧道实现与总部端互联，安全访问总部端医保系统、提货/物流系统、会员系统。

直营旗舰店组网建设：部分直营店为保障业务连续，采用2 条ADSL 线路接入，通过SDW-MIG 设备的主备线路切换机制实现业务高可用。

分公司组网建设：分布在各省的分公司部署深信服SSL VPN 设备，满足移动访问需求。

主仓库/分仓库组网建设：部署上网行为管理设备，除对仓库工作人员上网行为进行安全审计外，利用设备自带的VPN 组网功能同总部实现安全组网互联。

总部端组网建设：总部端部署SC（Secure Center）集中管理平台，集中管理全省门店多台SDW-MIG 设备，通过VPN 策略下发、系统配置策略下发、单点登录等功能实现集中远程管理，还能针对直营门店统一下发URL 访问控制策略，防止门店药师在工作时间访问与工作无关的应用。

总部端统一部署多台医保前置机，与省市医保局实现数据互通，各分支药店通过客户端访问对应的医保系统实现医保结算；总部端有2 条电信100M MPLS 线路，2 条联通100M MPLS 线路，由于主要业务是交易系统、提货转账系统、医保系统，数据传输量较少，能够满足分支门店同时接入的带宽需求。

3.2.2 严格落实防病毒工作

使用具备旁路监听技术的设备过滤、限制访问不良网络信息；使用防火墙网关进行邮件过滤，并根据举报分析垃圾邮件特征和设置过滤规则。使用双层防火墙防护托管服务器群，使用网络流量监控软件，对服务器进行流量、CPU/内存/IO 使用情况监控。

通过网络版、单机版的防病毒软件以及在线杀毒软件减少病毒的影响；使用专用漏洞扫描软件定期对系统进行漏洞扫描，并生成报告提醒管理员对存在漏洞的系统进行整改；同时建立通过防病毒软件发布计算机病毒预报和安全漏洞等安全公告、分发安全补丁等。

3.2.3 做好数据分类分级、加密传输，确保客户及患者隐私

开展互联网诊疗，将原先线下的诊疗模式搬到线上，通过网络为患者做诊断、开处方。患者隐私数据和健康数据在互联网上传输，隐私泄露的风险大大增加。2021 年初正式实施的《民法典》明确提出患者个人信息和健康信息属于医院保密范围，造成信息泄露将承担法律责任。2020 年10月提出的《个人信息保护法草案》指出，个人信息保护需通过数据库安全的技术手段实现，核心数据加密存储，通过数据库防火墙实现批量数据防泄漏，通过数据脱敏实现批量个人数据的匿名化，通过数字水印实现溯源处理。所以，一方面是建立异地数据备份和容灾方案等，另一方面是做好分类分级，结合常规诊疗服务中的数据保护模式，对互联网背景下，连锁药店信息系统涉及的患者隐私信息、诊疗、处方等数据做到数据脱敏。结合《中华人民共和国密码法》的要求，还通过可靠的密码算法，从数据采集、数据传输、数据存储等各个层面对数据进行加密。

3.3 落实信息安全等级保护制度工作

信息安全等级保护是根据我国国情，在现有的人、财、资源环境下，为保障信息系统安全，实行的一项基本制度和方法。对照卫生信息安全等级保护安全监管技术的要求，连锁药店信息安全等级保护安全监管技术存在一定的滞后性。现有的安全监管技术独当一面，未能进行有效的综合分析判断。三级等保对系统的基本安全要求分为两大部分，一是管理方面的要求，包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理；二是技术方面要求做到物理安全、网络安全、主机安全、应用安全、数据安全。基于以上安全监测要求，形成适用于连锁药店信息系统三级等保测评工作的整改方案。

在技术整改方面：

（1）物理位置选择上，满足防雷击、防火、防水、防潮、防静电，温湿度控制，电力供应，电子门禁等机房建设前提下，按要求加入动环监测设备；

（2）网络安全方面，进行入侵防范、访问控制、网络设备防护控制等；

（3）主机安全方面，要求做好敏感操作标记及设置，重要客户端进行审计，重要服务器监测、记录、报警，重要程序完整性，主机与网络的防范产品不同等；

（4）应用系统安全方面，基本身份鉴定，密码双认证，会话传输加密等；

（5）数据安全方面，在每日数据备份、异地实时备份，网络、硬件冗余的基础上，增加数据库日志审计，确保数据完整，可追溯。

随着信息安全理论和技术的发展，各种新技术和新方法不断涌现。由于信息系统是不断变化和发展的，信息系统的风险是无法绝对消除的，公司的指导思想是以安全保发展、在发展中求安全，在进行安全方案选择时，要在满足安全等级保护要求，有效对抗风险的同时考虑信息安全方案的投入成本。要建立健全信息安全管理制度体系，在连锁药店信息系统建设、产品改造过程中，相应做好安全规划；同时通过网络信息安全管理中心，进行安全事件分类分级响应，完善应急预案及演练机制。

3.4 加强管理及信息安全教育

随着数字化转型，连锁药店要打造有粘性的流量入口、创造新的盈利模式，必须建立更个性化的全渠道会员体系，包括全渠道的一体化服务，全面整合的电子钱包，个性化的产品建议，自营APP 专属优惠，会员健康指导和教育。要打通医生、药剂师、患者之间的病史、数据、信息流，这就需要利用智能化技术，实现一流的药房后端运营，促进“医”和“药”无缝对接，打造全新基层医疗入口。随着企业内部运营开始“打开”，网络、应用、数据环境向外开放，互联网应用和企业管理等新场景带来更多的安全威胁。为此，企业必须将网络信息安全与业务结合，提升到企业战略层面。

要转变信息安全管理理念。在安全建设上，从被动建设到转变为规划牵引；在安全能力上，从静态安全能力转变为到动态安全能力建设；在安全姿态上，从事后应急到事前防御姿态转变；在安全责任上，从“信息安全部门责任”到“全员责任”转变； 在内外协同上，从零散割裂转变为体系化协同，并与国家有关机构协同联动，构建网络信息安全的新管理模式。

要加强信息安全教育。企业可通过信息安全知识、技能、法律法规培训，以及专家讲座、互联网学习平台、知识竞赛等方式，广泛传播安全知识，引导企业员工参与国家网络安全宣传周各项活动，提高网络信息安全意识和信息化专业素养。

同时注重加强专业人才培养。公司应增加网络信息安全岗位，培养引进专业人才，以安全运营管理实际需求为导向，建立网络安全人才培养体系，普及信息安全知识，转变企业网络安全管理和运营模式，要将工作重心从以点为主的威胁对抗模式延伸到以面为主的综合防御能力建设模式。

4 结语

互联网背景下连锁药房经营模式创新为顾客及患者带来了极大的便利，也为企业的信息安全管理工作带来了极大的挑战。随着数字化转型，新的IT 基础设施建设和新技术应用，新老信息化技术和传统领域的业务融合，带来了新的安全风险，医药零售服务、健康管理及医药商品供应链复杂化也带来新的安全威胁。只有通过建立健全网络信息安全体系建设、加强技术防护、做好信息安全等级保护、加强管理及信息安全教育，才能尽量降低互联网背景下连锁药店的网络安全风险，保障各个信息系统的正常运行，持续为顾客及患者提供安全、合规、优质的配送服务及药学服务。