■ 袁駿毅 潘常青 宓林暉

醫(yī)療行業(yè)是勒索病毒威脅的重點(diǎn)目標(biāo)，患者單體數(shù)據(jù)價(jià)值較高，病案和藥物則成為數(shù)據(jù)泄密的主要內(nèi)容，因此建立安全的網(wǎng)絡(luò)架構(gòu)尤為重要[1]。2007年，公安部等四部門(mén)印發(fā)了《信息安全等級(jí)保護(hù)管理辦法》（以下簡(jiǎn)稱“等保1.0”），為信息安全建設(shè)提供了框架標(biāo)準(zhǔn)的具體要求。在相關(guān)政策文件基礎(chǔ)上，原衛(wèi)生部在2011年發(fā)布的《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》中明確指出，三級(jí)甲等醫(yī)院的核心業(yè)務(wù)系統(tǒng)必須通過(guò)等保的三級(jí)安全測(cè)評(píng)[2]。近些年來(lái)，隨著云計(jì)算、移動(dòng)互聯(lián)和物聯(lián)網(wǎng)等的發(fā)展，既往的安全架構(gòu)面臨越來(lái)越多的挑戰(zhàn)，醫(yī)療機(jī)構(gòu)中各類(lèi)信息安全事故時(shí)有發(fā)生[3]。面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，2019年5月，《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（以下簡(jiǎn)稱“等保2.0”）正式發(fā)布，給醫(yī)療行業(yè)帶來(lái)了全新的安全規(guī)范和要求[4]。

1 等保2.0提出的新要求

等保2.0新規(guī)相比較等保1.0而言，增加了顯著的新變化和建設(shè)要求，主要體現(xiàn)在以下4個(gè)方面：（1）覆蓋對(duì)象的變化。新規(guī)范中的對(duì)象不僅包含傳統(tǒng)對(duì)象，更與時(shí)俱進(jìn)地添加了新興事物主體，例如大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)等[5]。②安全要求的改變。安全擴(kuò)展的邊界更側(cè)重于考慮如大數(shù)據(jù)技術(shù)、互聯(lián)網(wǎng)技術(shù)等便捷性技術(shù)所同步產(chǎn)生的安全隱患。（3）分類(lèi)結(jié)構(gòu)的變化。等保2.0定義了技術(shù)部分和管理部分兩塊內(nèi)容，技術(shù)部分側(cè)重于物理環(huán)境、通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、計(jì)算方面和整體框架；管理部分則包括管理制度、管理機(jī)構(gòu)、管理人員、建設(shè)跟蹤和持續(xù)運(yùn)維。（4）強(qiáng)調(diào)云端連接安全。不僅要求既往基礎(chǔ)設(shè)施與公有云的安全，更增加了虛擬化等私有云的安全內(nèi)容，甚至涉及了云服務(wù)商資質(zhì)和云計(jì)算環(huán)境等制度性強(qiáng)制審核要求。

2 醫(yī)院建設(shè)原則

上海市胸科醫(yī)院是一所以診治心肺疾病為主的三級(jí)甲等專(zhuān)科醫(yī)院，一直對(duì)信息安全非常重視。按照既往要求，醫(yī)院的核心業(yè)務(wù)系統(tǒng)和門(mén)戶網(wǎng)站系統(tǒng)于2018年6月通過(guò)了等保1.0的安全測(cè)評(píng)。醫(yī)院針對(duì)等保2.0要求的新變化，結(jié)合醫(yī)院現(xiàn)有基礎(chǔ)，進(jìn)行了充分的頂層設(shè)計(jì)，制定了全新的整改方案，升級(jí)改造主要體現(xiàn)在3個(gè)重點(diǎn)方面。

2.1 擴(kuò)大覆蓋范圍，延展新場(chǎng)景

醫(yī)院信息系統(tǒng)在原有基礎(chǔ)上進(jìn)行了分類(lèi)擴(kuò)展，增加了特定的技術(shù)領(lǐng)域，重新劃分為傳統(tǒng)應(yīng)用和新型應(yīng)用兩個(gè)范圍[6]。傳統(tǒng)應(yīng)用指支撐醫(yī)院所需的基本業(yè)務(wù)系統(tǒng)，包括醫(yī)療業(yè)務(wù)系統(tǒng)（HIS）、實(shí)驗(yàn)室系統(tǒng)（LIS）、放射檢查系統(tǒng)（RIS）、行政辦公系統(tǒng)以及后勤運(yùn)維系統(tǒng)等。新型應(yīng)用指圍繞特定新技術(shù)展開(kāi)的應(yīng)用，包括人機(jī)交互系統(tǒng)、數(shù)據(jù)分析平臺(tái)和云數(shù)據(jù)存儲(chǔ)平臺(tái)等應(yīng)用。

2.2 分類(lèi)結(jié)構(gòu)細(xì)化，保證標(biāo)準(zhǔn)性

醫(yī)院依據(jù)等保2.0中的基本要求、設(shè)計(jì)要求和測(cè)評(píng)要求產(chǎn)生了相應(yīng)的分類(lèi)結(jié)構(gòu)[7]。相應(yīng)的分類(lèi)結(jié)構(gòu)下綜合考慮安全、流程、制度和人員的相關(guān)要求，通過(guò)合規(guī)性檢查加強(qiáng)管理規(guī)范，配置安全設(shè)備阻斷內(nèi)外攻擊，設(shè)定防御策略保護(hù)數(shù)據(jù)，定期災(zāi)難演練提升應(yīng)急處理能力，從而形成安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心的防護(hù)體系架構(gòu)。

2.3 內(nèi)嵌可信計(jì)算，全流程管理

醫(yī)院強(qiáng)化了可信計(jì)算技術(shù)使用的要求，在1 4級(jí)中都提出了可信建模空間。將可信驗(yàn)證完全列入等保測(cè)評(píng)的級(jí)別中，逐級(jí)提出各環(huán)節(jié)的主要信任鏈實(shí)體內(nèi)容?；诳尚鸥O(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等對(duì)數(shù)據(jù)流進(jìn)行傳遞，涵蓋應(yīng)用程序的所有采集和執(zhí)行環(huán)節(jié)，并將最終驗(yàn)證結(jié)果形成審計(jì)記錄發(fā)送至安全管理中心，方便醫(yī)院的信息管理人員動(dòng)態(tài)感知環(huán)節(jié)中關(guān)聯(lián)細(xì)節(jié)。強(qiáng)化醫(yī)院自主可控的可信應(yīng)用，從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的全閉環(huán)，實(shí)時(shí)安全動(dòng)態(tài)監(jiān)控[8]。

3 醫(yī)院建設(shè)情況

醫(yī)院信息系統(tǒng)按照等保2.0標(biāo)準(zhǔn)的合規(guī)要求，圍繞以“安全管理平臺(tái)”為中心，建立了“安全計(jì)算環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡(luò)通信”的三重防御體系，設(shè)計(jì)內(nèi)外網(wǎng)信息交互的安全可信互聯(lián)模型，確保整改后安全的應(yīng)用交互和數(shù)據(jù)傳輸。

3.1 安全管理平臺(tái)

安全管理平臺(tái)負(fù)責(zé)針對(duì)整體系統(tǒng)提出安全管理方面的技術(shù)控制要求，并通過(guò)相應(yīng)手段實(shí)現(xiàn)安全的集中化管理。醫(yī)院經(jīng)過(guò)授權(quán)的安全管理平臺(tái)，以此作為整體安全管理系統(tǒng)的中樞神經(jīng)。同時(shí)，利用云存儲(chǔ)保存患者的醫(yī)療影像數(shù)據(jù)，如將檢查圖像上傳到云端進(jìn)行備份，也催生云端互聯(lián)的應(yīng)用實(shí)踐。為了保證云平臺(tái)的安全可靠，安全管理平臺(tái)不僅囊括了傳統(tǒng)的信息機(jī)房及網(wǎng)絡(luò)基礎(chǔ)設(shè)施，還重點(diǎn)加強(qiáng)了對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、隔離設(shè)備和虛擬化終端的在線評(píng)估，做到日常運(yùn)維管理與實(shí)時(shí)監(jiān)控一體化。

3.2 安全計(jì)算環(huán)境

通過(guò)安全計(jì)算環(huán)境的控制節(jié)點(diǎn)，規(guī)定了醫(yī)院信息系統(tǒng)所需要達(dá)到安全要求的各個(gè)維度。在不同的視角維度，相應(yīng)地設(shè)定了相關(guān)的目標(biāo)要求。例如，在醫(yī)護(hù)人員身份鑒別中，部署了兩種組合的鑒別技術(shù)對(duì)用戶身份進(jìn)行鑒別，以達(dá)到身份認(rèn)證的維度要求[9]；在安全審計(jì)維度，對(duì)物理機(jī)、宿主機(jī)、虛擬機(jī)、數(shù)據(jù)庫(kù)系統(tǒng)等進(jìn)行計(jì)算安全控制。通過(guò)發(fā)揮網(wǎng)絡(luò)計(jì)算環(huán)境中的安全框架，首先滿足所有計(jì)算實(shí)體完整性的有效度量?jī)?yōu)勢(shì)，同時(shí)也保證了用戶終端在域間數(shù)據(jù)計(jì)算交互中的動(dòng)態(tài)安全管控。

3.3 安全區(qū)域邊界

醫(yī)院現(xiàn)存多套網(wǎng)絡(luò)，包括內(nèi)網(wǎng)、外網(wǎng)和視頻監(jiān)控網(wǎng)等。為更好地打造安全區(qū)域邊界，使用了區(qū)塊隔離的方法來(lái)達(dá)到網(wǎng)絡(luò)邊界的有效控制和防御，邊界間增加了包括附加的防毒墻和入侵檢測(cè)等設(shè)備。不同區(qū)域劃清邊界，通過(guò)應(yīng)用服務(wù)、中間件、鏡像文件和用戶隱私鑒別等手段來(lái)跨越邊界和數(shù)據(jù)互聯(lián)。區(qū)域內(nèi)的業(yè)務(wù)盡量采用虛擬化控制策略來(lái)防止非授權(quán)情況下的接入，安裝虛擬機(jī)防火墻（virtual application firewall，VAF）防止病毒越界蔓延，以保證出現(xiàn)問(wèn)題后風(fēng)險(xiǎn)最小化的控制原則。

3.4 安全網(wǎng)絡(luò)通信

加強(qiáng)在網(wǎng)絡(luò)層次的安全防護(hù)和通信建立，通過(guò)人員、制度和流程的有機(jī)結(jié)合，構(gòu)建對(duì)重要業(yè)務(wù)活動(dòng)的管理。安全網(wǎng)絡(luò)通信保證了各應(yīng)用的安全鏈接，通過(guò)內(nèi)外網(wǎng)隔離和服務(wù)器隔離（demilitarized zone，DMZ）等通信物理來(lái)保障數(shù)據(jù)通信的加密[10]。尤其針對(duì)云計(jì)算和互聯(lián)網(wǎng)業(yè)務(wù)，像郵箱、官網(wǎng)預(yù)約和掌上醫(yī)院等應(yīng)用，實(shí)施了網(wǎng)絡(luò)通信上的網(wǎng)頁(yè)應(yīng)用安全防護(hù)。不同類(lèi)型的網(wǎng)絡(luò)制定了不同的安全等級(jí)，尤其是對(duì)外鏈接的外網(wǎng)、政務(wù)網(wǎng)、醫(yī)聯(lián)網(wǎng)和干保網(wǎng)，在外聯(lián)端和院內(nèi)端均同步強(qiáng)制設(shè)立安全通信設(shè)備。

圖1 醫(yī)院網(wǎng)絡(luò)拓?fù)鋱D

4 實(shí)施效果

經(jīng)過(guò)整改建設(shè)工作，醫(yī)院實(shí)現(xiàn)了基于可信計(jì)算的防御體系，在數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)以及個(gè)人信息保護(hù)等方面，加強(qiáng)了對(duì)數(shù)據(jù)安全和患者隱私的安全網(wǎng)絡(luò)保護(hù)。在醫(yī)院的網(wǎng)絡(luò)架構(gòu)中，充分體現(xiàn)了基于等保2.0的“一個(gè)中心、三重防御”的理念，整合了系統(tǒng)安全和集中管控的能力。其中，內(nèi)網(wǎng)和醫(yī)學(xué)影像信息系統(tǒng)網(wǎng)絡(luò)存放著核心的業(yè)務(wù)系統(tǒng)，相關(guān)的數(shù)據(jù)庫(kù)服務(wù)器等被放置在單獨(dú)的DMZ區(qū)；外網(wǎng)與內(nèi)網(wǎng)通過(guò)網(wǎng)閘進(jìn)行物理隔離，數(shù)據(jù)交互建立在應(yīng)用服務(wù)器上，在互聯(lián)網(wǎng)出口實(shí)施了安全出口控制；對(duì)于部分在技術(shù)和管理上達(dá)不到最高標(biāo)準(zhǔn)的應(yīng)用，納入過(guò)渡的安全隔離網(wǎng)；安全管理中心主要針對(duì)數(shù)據(jù)中心安全計(jì)算環(huán)境，監(jiān)控了業(yè)務(wù)應(yīng)用、行政后勤和運(yùn)維管理等系統(tǒng)，審計(jì)所有的物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境和后臺(tái)預(yù)警管理。各項(xiàng)專(zhuān)有網(wǎng)絡(luò)，分別按照安全擴(kuò)展要求的評(píng)測(cè)指標(biāo)，達(dá)到技術(shù)、人員和流程上的有機(jī)結(jié)合，保證整個(gè)醫(yī)院網(wǎng)絡(luò)的安全可信。具體安全整改后的全院網(wǎng)絡(luò)拓?fù)淙鐖D1所示。