吳前兵 劉 靜 程西雅

(安徽省第二人民醫(yī)院 合肥 230000) (安徽艾瑞貸信息技術(shù)服務(wù)有限公司 (安徽醫(yī)科大學(xué) 合肥 230000)合肥 230000)

1 引言

信息系統(tǒng)及網(wǎng)絡(luò)設(shè)施的安全性直接關(guān)系到醫(yī)療工作正常進(jìn)行，一旦網(wǎng)絡(luò)出現(xiàn)問題或數(shù)據(jù)泄漏丟失將會(huì)給醫(yī)院帶來巨大損失。醫(yī)院信息系統(tǒng)保存大量患者私密信息，其泄漏和非法傳播將會(huì)給醫(yī)院、社會(huì)和患者帶來風(fēng)險(xiǎn)[1]。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。針對(duì)醫(yī)療衛(wèi)生行業(yè)，原衛(wèi)生部先后發(fā)布《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》以及《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》[2]，明確要求全國所有三甲醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全保護(hù)等級(jí)原則上不低于第3級(jí)，等級(jí)保護(hù)成為醫(yī)院信息安全建設(shè)重要標(biāo)準(zhǔn)[3]。隨著云計(jì)算、移動(dòng)互聯(lián)、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制等先進(jìn)技術(shù)的不斷涌現(xiàn)和發(fā)展，原標(biāo)準(zhǔn)體系難以滿足新形勢下網(wǎng)絡(luò)信息安全等級(jí)保護(hù)工作的需要，標(biāo)準(zhǔn)的適用性、可操作性需要進(jìn)一步完善，“等保2.0”應(yīng)運(yùn)而生[4]。2019年5月13日公安部正式發(fā)布等保2.0相關(guān)標(biāo)準(zhǔn)并于2019年12月1日開始實(shí)施。安徽省第二人民醫(yī)院為安徽省三甲醫(yī)院，高度重視醫(yī)院信息系統(tǒng)安全建設(shè)，積極探索和實(shí)踐符合新標(biāo)準(zhǔn)的安全解決方案，以切實(shí)提升整體信息系統(tǒng)及數(shù)據(jù)的安全性，為醫(yī)院核心業(yè)務(wù)系統(tǒng)如醫(yī)院信息系統(tǒng)(Hospital Information System，HIS)，實(shí)驗(yàn)室信息管理系統(tǒng)(Laboratory Information Management System, LIS)，影像存儲(chǔ)與傳輸系統(tǒng)(Picture Archiving and Communication Systems，PACS)等建設(shè)一個(gè)穩(wěn)定、安全的運(yùn)行環(huán)境。

2 新標(biāo)準(zhǔn)變化及差距分析

2.1 新標(biāo)準(zhǔn)變化

2.1.1 概述 與舊標(biāo)準(zhǔn)體系相比，2.0標(biāo)準(zhǔn)統(tǒng)一了基本要求與設(shè)計(jì)要求的安全框架，包括通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境，充分體現(xiàn)“一個(gè)中心，3重防護(hù)”的縱深防御思路，強(qiáng)化可信計(jì)算安全技術(shù)要求應(yīng)用[5]。

2.1.2 原“信息系統(tǒng)”調(diào)整為“定級(jí)對(duì)象” 新標(biāo)準(zhǔn)體系下，定級(jí)對(duì)象不僅包括原有基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)，范圍進(jìn)一步擴(kuò)展到云計(jì)算平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等新技術(shù)應(yīng)用對(duì)象。

2.1.3 可信驗(yàn)證技術(shù)細(xì)化到每個(gè)等級(jí)需求中 要求針對(duì)計(jì)算資源構(gòu)建保護(hù)環(huán)境：1級(jí)是系統(tǒng)引導(dǎo)程序與系統(tǒng)程序，2級(jí)是重要配置參數(shù)與應(yīng)用程序+審計(jì)記錄，3級(jí)是應(yīng)用程序重要執(zhí)行環(huán)節(jié)，4級(jí)是應(yīng)用程序所有執(zhí)行環(huán)節(jié)。

2.1.4 安全要求調(diào)整為通用和擴(kuò)展要求 安全通用要求針對(duì)共性化保護(hù)需求提出，不管等級(jí)保護(hù)對(duì)象形態(tài)如何，必須響應(yīng)保護(hù)等級(jí)的要求，安全擴(kuò)展要求針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等個(gè)性化保護(hù)需求提出，對(duì)應(yīng)特定技術(shù)或特定應(yīng)用場景[6-7]。

2.1.5 統(tǒng)一安全技術(shù)規(guī)劃思路 通過確定保護(hù)對(duì)象邊界劃分安全需求，按照縱深防御設(shè)計(jì)物理環(huán)境、通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、主機(jī)設(shè)備、應(yīng)用和數(shù)據(jù)多層級(jí)的技術(shù)防護(hù)措施，通過安全管理中心實(shí)現(xiàn)安全檢測、日常管理、事件處置和分析取證的集中化管控[8]。

2.2 差距分析

安徽省第二人民醫(yī)院核心業(yè)務(wù)系統(tǒng)滿足基于1.0標(biāo)準(zhǔn)的3級(jí)等保要求，具有良好的安全防護(hù)措施，但依然存在一定問題，與新標(biāo)準(zhǔn)要求仍然有一定差距，具體體現(xiàn)在以下4方面：一是終端主機(jī)安全性存在安全漏洞易被人攻擊，應(yīng)對(duì)登錄口令、服務(wù)進(jìn)程、系統(tǒng)補(bǔ)丁、防病毒軟件等進(jìn)行加固升級(jí)。二是核心數(shù)據(jù)均采用本地備份機(jī)制未采用異地備份，在條件允許情況下可采用異地備份，在本地機(jī)房出現(xiàn)災(zāi)難性事故情況下數(shù)據(jù)不丟失。三是部分設(shè)備缺乏有效冗余備份機(jī)制，存在一定單點(diǎn)故障隱患。安全區(qū)域劃分不夠明朗，對(duì)安全區(qū)域和邊界防護(hù)措施未完全達(dá)到等保2.0標(biāo)準(zhǔn)。應(yīng)明確區(qū)域劃分，提高安全技術(shù)防護(hù)措施能力。四是安全技術(shù)防護(hù)措施缺乏有效監(jiān)管，無安全管理平臺(tái)，無法感知整個(gè)網(wǎng)絡(luò)態(tài)勢。需建立安全管理中心，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)狀態(tài)。

3 建設(shè)策略

3.1 制定總體安全框架

對(duì)照等級(jí)保護(hù)2.0標(biāo)準(zhǔn)新要求，根據(jù)第3方專業(yè)測評(píng)公司意見和建議，邀請(qǐng)行業(yè)專家結(jié)合醫(yī)院系統(tǒng)、網(wǎng)絡(luò)、管理和相關(guān)制度實(shí)際情況進(jìn)行探討和分析，充分論證的基礎(chǔ)上制定針對(duì)性強(qiáng)、切實(shí)可行的信息安全總體規(guī)劃和框架，見圖1。

圖1 等級(jí)保護(hù)2.0安全框架

3.2 成立組織管理體系

信息安全建設(shè)推進(jìn)需要專門的組織保障。為明確網(wǎng)絡(luò)信息安全責(zé)任、保證信息化建設(shè)穩(wěn)步發(fā)展，醫(yī)院需成立信息安全領(lǐng)導(dǎo)小組，由一把手擔(dān)任領(lǐng)導(dǎo)小組組長。領(lǐng)導(dǎo)小組統(tǒng)籌規(guī)劃網(wǎng)絡(luò)安全，建立信息安全管理體系，完善各項(xiàng)管理制度和技術(shù)標(biāo)準(zhǔn)，保障信息安全工作正常開展。領(lǐng)導(dǎo)小組下設(shè)信息安全工作組，一般設(shè)在信息中心，由信息中心主任擔(dān)任組長，成員由信息中心人員構(gòu)成。工作組根據(jù)要求建立自己的信息安全組織架構(gòu)，完成領(lǐng)導(dǎo)小組布置的任務(wù)，確保安全措施和各項(xiàng)工作有序開展，保證醫(yī)院網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，見圖2。

圖2 醫(yī)院信息安全組織架構(gòu)

3.3 規(guī)范制度建設(shè)和文檔管理

信息安全建設(shè)必須堅(jiān)持“技術(shù)與管理并重，3分技術(shù)+7分管理”的原則[1]。2.0版本標(biāo)準(zhǔn)要求定級(jí)對(duì)象建立信息安全管理組織機(jī)構(gòu)，制定明確的安全策略、管理制度和工作流程。對(duì)照2.0版本標(biāo)準(zhǔn)要求，醫(yī)院制定相應(yīng)信息安全管理總體策略和方針，指導(dǎo)安全管理工作正常開展。通過4級(jí)文件分級(jí)管理、查漏補(bǔ)缺機(jī)制，完善和修訂多項(xiàng)管理制度，保證制度建設(shè)和管理的合規(guī)性，見圖3。

圖3 安全管理制度與文檔建設(shè)

3.4 強(qiáng)化安全防護(hù)措施

3.4.1 提升安全物理環(huán)境 物理環(huán)境是網(wǎng)絡(luò)安全的基石，等級(jí)保護(hù)標(biāo)準(zhǔn)要求醫(yī)院機(jī)房建設(shè)至少達(dá)到C級(jí)，其位置選擇和建筑結(jié)構(gòu)能夠保障設(shè)備不被外界環(huán)境干擾和危害，具有防雷、防噪聲、防電磁干擾、防火、防靜電、防塵、防水、防盜等措施，同時(shí)需要部署精密空調(diào)保證機(jī)房溫濕度在標(biāo)準(zhǔn)范圍內(nèi)。增加不間斷電源(Uninterruptible Power Supply, UPS)等設(shè)備，保證機(jī)房設(shè)備在市電停電情況下可繼續(xù)運(yùn)行，提高機(jī)房續(xù)電能力。建立機(jī)房環(huán)境監(jiān)控平臺(tái)，實(shí)時(shí)監(jiān)控機(jī)房環(huán)境狀態(tài)。使用視頻監(jiān)控系統(tǒng)和門禁系統(tǒng)，對(duì)出入機(jī)房人員進(jìn)行管理控制。通過為機(jī)房配置完善的基礎(chǔ)設(shè)施，降低物理環(huán)境安全風(fēng)險(xiǎn)，提高安全性，保障網(wǎng)絡(luò)、主機(jī)和業(yè)務(wù)的連續(xù)性。

3.4.2 加固安全通信網(wǎng)絡(luò) 安全通信網(wǎng)絡(luò)要求進(jìn)行總體規(guī)劃和詳細(xì)設(shè)計(jì)，完善網(wǎng)絡(luò)拓?fù)?，?duì)關(guān)鍵鏈路建立冗余，優(yōu)化配置，提高傳輸速率，定期進(jìn)行設(shè)備和線路巡查，排除隱患，使用防火墻、網(wǎng)絡(luò)加密、鑒別和訪問控制等安全防護(hù)技術(shù)提升網(wǎng)絡(luò)穩(wěn)定性和安全性。在業(yè)務(wù)優(yōu)化訪問方面，通過應(yīng)用負(fù)載網(wǎng)關(guān)選擇最優(yōu)訪問路徑，應(yīng)用交付控制器實(shí)現(xiàn)應(yīng)用性能優(yōu)化，為大流量業(yè)務(wù)系統(tǒng)提供高可靠性冗余能力，提升服務(wù)器、帶寬效率和用戶體驗(yàn)，提高系統(tǒng)可用性和業(yè)務(wù)連續(xù)性。

3.4.3 明確劃分安全區(qū)域 根據(jù)“1個(gè)中心，3重防護(hù)”解決方案，醫(yī)院需要按照差異性的業(yè)務(wù)類型和功能劃分安全域，確定各安全域的物理邊界和邏輯邊界，明確不同安全域之間的信任關(guān)系。在安全域邊界配置不同安全策略，體現(xiàn)不同防護(hù)強(qiáng)度，加強(qiáng)訪問控制和攻擊檢測力度，實(shí)現(xiàn)安全域之間隔離與防護(hù)，為業(yè)務(wù)運(yùn)行創(chuàng)造更安全可靠的環(huán)境，見圖4。

圖4 醫(yī)院安全區(qū)域防護(hù)解決方案

(1)外網(wǎng)區(qū)域安全防護(hù)策略。部署下一代防火墻、入侵防御IPS(Intrusion Prevention System)設(shè)備，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行L2-L7層安全檢測，有效防御來自內(nèi)外網(wǎng)的分布式拒絕服務(wù)(Distributed Denial of Service，DDoS)攻擊、應(yīng)用層等攻擊；同時(shí)在外網(wǎng)交換機(jī)鏡像部署流量/威脅探針，通過和安全管理中心管理平臺(tái)聯(lián)動(dòng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)東西南北流量分析，讓管理員直觀了解當(dāng)前網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢。(2)外聯(lián)區(qū)域及醫(yī)療單位接入?yún)^(qū)域安全防護(hù)策略。部署下一代防火墻設(shè)備、入侵防御IPS設(shè)備，綜合運(yùn)用病毒過濾、入侵防護(hù)等技術(shù)提供綜合性安全防護(hù)和檢測能力。(3)服務(wù)器區(qū)域安全防護(hù)策略。配置反病毒(Anti Virus，AV)/IPS等功能模塊，實(shí)現(xiàn)對(duì)應(yīng)用層攻擊過濾；在虛擬化內(nèi)部部署安全防護(hù)軟件,實(shí)現(xiàn)對(duì)虛擬化內(nèi)部的可視、隔離防護(hù)作用，搭建虛擬化平臺(tái)，滿足云計(jì)算區(qū)域邊界環(huán)境訪問控制、入侵防范、安全日志合規(guī)性要求；部署數(shù)據(jù)庫審計(jì)與防護(hù)設(shè)備，對(duì)操作數(shù)據(jù)庫的行為進(jìn)行有效審計(jì)，實(shí)時(shí)監(jiān)控、識(shí)別、阻斷外部黑客攻擊以及來自內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取行為；部署防毒墻網(wǎng)關(guān)對(duì)進(jìn)出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)進(jìn)行檢測，發(fā)現(xiàn)病毒立即采取手段進(jìn)行隔離或查殺，保護(hù)網(wǎng)絡(luò)內(nèi)進(jìn)出數(shù)據(jù)安全；部署操作系統(tǒng)漏洞掃描和補(bǔ)丁設(shè)備，定期對(duì)服務(wù)器和網(wǎng)絡(luò)操作系統(tǒng)進(jìn)行掃描，根據(jù)結(jié)果對(duì)漏洞進(jìn)行分析，對(duì)高危漏洞立即修復(fù)，減少潛在危險(xiǎn)。(4)對(duì)外服務(wù)器區(qū)域安全防護(hù)策略。在對(duì)外服務(wù)器區(qū)域邊界部署下一代防火墻設(shè)備，實(shí)現(xiàn)對(duì)進(jìn)出流量進(jìn)行精細(xì)化的策略管控功能；部署防邊界部件檢測系統(tǒng)、Web應(yīng)用防火墻設(shè)備和安全日志審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)外業(yè)務(wù)系統(tǒng)安全防護(hù)，有效抵御針對(duì)Web類的攻擊；部署應(yīng)用交付設(shè)備提供對(duì)超文本傳輸安全協(xié)議(Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS)站點(diǎn)的安全套接層協(xié)議(Secure Sockets Layer，SSL)卸載能力，減輕站點(diǎn)性能壓力；部署內(nèi)外網(wǎng)隔離設(shè)備網(wǎng)閘，在內(nèi)外網(wǎng)之間建立特殊協(xié)議傳輸通道，既可實(shí)現(xiàn)內(nèi)外網(wǎng)之間數(shù)據(jù)傳輸，又能實(shí)現(xiàn)內(nèi)外網(wǎng)之間的物理隔離，保障核心業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器安全。(5)核心交換區(qū)域安全防護(hù)策略。核心交換區(qū)關(guān)鍵設(shè)備和鏈路做冗余以提高業(yè)務(wù)容錯(cuò)能力；鏡像模式部署流量/威脅探針，通過和安全管理中心管理平臺(tái)聯(lián)動(dòng)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)東西南北流量的分析，讓管理員直觀了解當(dāng)前網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢；部署入侵檢測和防御系統(tǒng)，對(duì)流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測，實(shí)現(xiàn)事前危險(xiǎn)分析和阻斷；部署網(wǎng)絡(luò)審計(jì)設(shè)備，對(duì)用戶操作行為進(jìn)行記錄和跟蹤審計(jì)，實(shí)現(xiàn)事后追蹤功能。(6)內(nèi)外網(wǎng)辦公區(qū)域安全防護(hù)策略。以代理模式部署終端探針設(shè)備，通過與安全管理中心管理平臺(tái)聯(lián)動(dòng)，實(shí)時(shí)分析監(jiān)控終端風(fēng)險(xiǎn)態(tài)勢；在辦公區(qū)域電腦安裝殺毒軟件和桌面管理軟件，實(shí)現(xiàn)對(duì)終端設(shè)備防護(hù)和安全策略設(shè)置，保證辦公區(qū)域環(huán)境安全。

3.4.4 優(yōu)化安全計(jì)算環(huán)境 安全計(jì)算管理要求在系統(tǒng)、應(yīng)用和數(shù)據(jù)方面進(jìn)行全面防護(hù)，對(duì)不同業(yè)務(wù)系統(tǒng)與安全區(qū)域劃分不同虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)，通過設(shè)置訪問控制、建立身份鑒別、提供安全審計(jì)、配置入侵防范、部署惡意代碼防范和設(shè)備防范措施、進(jìn)行資源有效控制，對(duì)數(shù)據(jù)進(jìn)行備份和恢復(fù)，定期進(jìn)行應(yīng)急預(yù)案演練，保證醫(yī)院數(shù)據(jù)安全，提高系統(tǒng)可用性。

3.4.5 建立安全管理中心 基于安全技術(shù)要求，部署安全管理平臺(tái)、大數(shù)據(jù)分析平臺(tái)，提供有效的集中安全管理及大數(shù)據(jù)分析，降低用戶運(yùn)維管理成本。綜合運(yùn)用全局性日志管理、統(tǒng)一策略管理、設(shè)備狀態(tài)集中監(jiān)控、監(jiān)控?cái)?shù)據(jù)匯總和報(bào)表統(tǒng)計(jì)等手段，解決網(wǎng)絡(luò)安全狀況不直觀、管理混亂、響應(yīng)慢、故障定位難等問題，為醫(yī)院管理提供全面的解決方案，同時(shí)滿足安全管理中心集中管控的合規(guī)性要求。

3.5 加強(qiáng)網(wǎng)絡(luò)安全保障

為確保醫(yī)院信息系統(tǒng)處于安全環(huán)境之中，應(yīng)強(qiáng)化隊(duì)伍建設(shè)、教育培訓(xùn)、經(jīng)費(fèi)保障和應(yīng)急預(yù)案4方面措施。一是配備高技術(shù)人才作為堅(jiān)強(qiáng)后盾，隊(duì)伍建設(shè)要合理、多元化，根據(jù)網(wǎng)絡(luò)安全要求劃分不同類別和級(jí)別的技術(shù)人員。二是加強(qiáng)專業(yè)技術(shù)培訓(xùn)，提高人員網(wǎng)絡(luò)安全意識(shí)，提升專業(yè)技能和應(yīng)急處置能力，提高醫(yī)院整體網(wǎng)絡(luò)信息安全水平。三是提供經(jīng)費(fèi)保障用于網(wǎng)絡(luò)維護(hù)以及設(shè)備投入和更換，這是醫(yī)院網(wǎng)絡(luò)信息安全健康發(fā)展的永續(xù)動(dòng)力。四是應(yīng)急預(yù)案的制定和演練可提高突發(fā)事件處置能力，確保在發(fā)生危險(xiǎn)時(shí)可及時(shí)控制并快速恢復(fù)正常。依據(jù)應(yīng)急演練過程中發(fā)現(xiàn)的問題及時(shí)完善應(yīng)急流程，為醫(yī)院正常業(yè)務(wù)運(yùn)行創(chuàng)造安全、穩(wěn)定、可靠的網(wǎng)絡(luò)環(huán)境。

4 結(jié)語

醫(yī)院信息安全沒有絕對(duì)性，隨著時(shí)間推移，管理理念、信息技術(shù)以及醫(yī)院信息化程度的不斷變化，醫(yī)院等級(jí)保護(hù)建設(shè)需與時(shí)俱進(jìn)。新標(biāo)準(zhǔn)的發(fā)布與實(shí)施一方面帶來挑戰(zhàn)，另一方面也是切實(shí)提升醫(yī)院安全能力的機(jī)會(huì)。本文根據(jù)等級(jí)保護(hù)2.0新標(biāo)準(zhǔn)要求，分析醫(yī)院當(dāng)前存在的問題與差距，制定相應(yīng)應(yīng)對(duì)策略，提出建立“基于1個(gè)中心的多重防護(hù)體系”，一定程度上消除技術(shù)薄弱和管理疏忽環(huán)節(jié)，降低安全風(fēng)險(xiǎn)，為醫(yī)院后續(xù)開展基于2.0標(biāo)準(zhǔn)3級(jí)等保工作提供支撐。