李云霄 余張杰 傅承主

廣東省衛(wèi)生健康委員會事務(wù)中心 廣東廣州 510060

1 引言

隨著醫(yī)院數(shù)字化、智慧化建設(shè)逐步深入，醫(yī)院信息系統(tǒng)或集成平臺(以下簡稱“醫(yī)院信息平臺”)已由原來封閉、隔離的院區(qū)網(wǎng)絡(luò)系統(tǒng)，向開放的互聯(lián)網(wǎng)體系融合[1-2],網(wǎng)絡(luò)安全邊界在不斷外延，業(yè)務(wù)系統(tǒng)復(fù)雜性在不斷增加，與外部機構(gòu)之間的數(shù)據(jù)共享和業(yè)務(wù)協(xié)同也越來越頻繁，使得醫(yī)院的網(wǎng)絡(luò)安全問題不斷突顯[3]。為了實現(xiàn)醫(yī)療信息數(shù)據(jù)共享利用和信息安全保護之間的平衡，加強醫(yī)院網(wǎng)絡(luò)信息安全治理，不僅需要國家的法律法規(guī)框架進行強制和約束，也需要明確的、有效的實施路徑。國家衛(wèi)生健康信息標(biāo)準(zhǔn)專業(yè)委員會和國家衛(wèi)生健康委統(tǒng)計信息中心發(fā)布的《醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測評方案(2020版)》(以下簡稱：醫(yī)院測評方案)提出了對醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測評(以下簡稱：醫(yī)院互聯(lián)互通測評)從硬件基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、環(huán)境安全、應(yīng)用安全、數(shù)據(jù)安全、隱私保護、管理安全7個維度提出測評標(biāo)準(zhǔn)[4]，為醫(yī)院網(wǎng)絡(luò)安全治理提出頂層設(shè)計和具體實施路徑。

2 規(guī)范醫(yī)院信息化網(wǎng)絡(luò)安全建設(shè)和治理

2.1 強化醫(yī)院信息化網(wǎng)絡(luò)安全不同等級差異化要求

醫(yī)院測評方案將醫(yī)院互聯(lián)互通測評的應(yīng)用效果評價分為7個等級，由低到高依次為一級、二級、三級、四級乙等、四級甲等、五級乙等、五級甲級[5-6]。不同等級提出不同的網(wǎng)絡(luò)安全要求，使得醫(yī)院信息平臺的網(wǎng)絡(luò)安全建設(shè)有了明確的指導(dǎo)性，有助于各級醫(yī)療衛(wèi)生機構(gòu)根據(jù)自身醫(yī)院規(guī)模、等級、資金等各方面情況，選擇適合的互聯(lián)互通測評等級，對標(biāo)開展網(wǎng)絡(luò)安全建設(shè)。

2.2 規(guī)范醫(yī)院信息化網(wǎng)絡(luò)安全的治理要求

當(dāng)醫(yī)院在開展以電子病歷和醫(yī)院信息平臺為核心的信息化項目建設(shè)時，在網(wǎng)絡(luò)安全規(guī)劃設(shè)計、建設(shè)、治理的過程中，可參照醫(yī)院測評方案中網(wǎng)絡(luò)安全方面相關(guān)指標(biāo)。醫(yī)院測評方案提出了網(wǎng)絡(luò)安全治理的可操作的實施路徑，從硬件基礎(chǔ)設(shè)施建設(shè)、網(wǎng)絡(luò)及網(wǎng)絡(luò)安全、環(huán)境安全、應(yīng)用安全、數(shù)據(jù)安全、隱私保護、管理安全等方面測評指標(biāo)，細化了網(wǎng)絡(luò)安全整體要求和目標(biāo)，有效引導(dǎo)和規(guī)范醫(yī)療機構(gòu)在網(wǎng)絡(luò)安全方面的建設(shè)和治理。醫(yī)院互聯(lián)互通測評網(wǎng)絡(luò)安全相關(guān)評價內(nèi)容見圖1所示：

圖1 醫(yī)院互聯(lián)互通測評網(wǎng)絡(luò)安全評價內(nèi)容

3 醫(yī)院網(wǎng)絡(luò)安全治理實施路徑

《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》(等保2.0)從安全物理環(huán)境、安全網(wǎng)絡(luò)通信、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心等方面提出具體的防護要求[7-9]。醫(yī)院互聯(lián)互通測評分為標(biāo)準(zhǔn)符合性測試和應(yīng)用效果評價兩個部分，應(yīng)用效果評價的評價內(nèi)容包含了硬件基礎(chǔ)設(shè)施情況、網(wǎng)絡(luò)及網(wǎng)絡(luò)安全情況、信息安全情況等。本文基于當(dāng)前醫(yī)院申請最多的互聯(lián)互通測評四級甲等及以上等級對應(yīng)的網(wǎng)絡(luò)安全相關(guān)指標(biāo)，結(jié)合等保2.0相關(guān)要求，形成一種有效的醫(yī)院網(wǎng)絡(luò)安全治理實施路徑。

3.1 硬件基礎(chǔ)設(shè)施建設(shè)

加強服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等硬件基礎(chǔ)設(shè)施建設(shè)是做好網(wǎng)絡(luò)安全防護工作的基礎(chǔ)。關(guān)鍵硬件基礎(chǔ)設(shè)施是否安全、穩(wěn)定、可靠是醫(yī)院網(wǎng)絡(luò)安全治理成功的前提。針對醫(yī)院信息平臺的硬件基礎(chǔ)設(shè)施建設(shè)，醫(yī)院測評方案明確以下網(wǎng)絡(luò)安全要求

3.1.1 服務(wù)器設(shè)備 醫(yī)院測評方案將服務(wù)器設(shè)備劃分為集成服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器，要求這三類服務(wù)器均應(yīng)采用專用的服務(wù)器或獨立的服務(wù)器，排除無關(guān)人員、無關(guān)信息造成的網(wǎng)絡(luò)安全風(fēng)險；實現(xiàn)高可用部署，保證業(yè)務(wù)連續(xù)性；采用虛擬化、云計算技術(shù)，實現(xiàn)計算資源統(tǒng)一管理、彈性調(diào)配，提高資源使用效率；五乙以上等級還要求集成服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器具備標(biāo)準(zhǔn)化的接口，支持服務(wù)器資源、運行狀態(tài)、部署信息等進行統(tǒng)一管理及監(jiān)控。

3.1.2 存儲設(shè)備 存儲設(shè)備應(yīng)具備有效的冗余機制，設(shè)置合理的RAID級別；在存儲架構(gòu)方面，應(yīng)采用云端存儲網(wǎng)絡(luò)架構(gòu)、分布式存儲或多臺存儲同步寫入架構(gòu)中的一種，實現(xiàn)數(shù)據(jù)在多個存儲節(jié)點保存；應(yīng)具備良好的災(zāi)備能力，可選擇本地備份、異地備份、數(shù)據(jù)快照、云端備份等方式；應(yīng)具有可靠的離線存儲能力，要嚴格落實離線備份機制，不能過于依靠線上存儲。醫(yī)院測評方案針對不同的測評等級對災(zāi)備恢復(fù)時間提出不同的要求,四級甲等要求RTO(恢復(fù)時間目標(biāo))不得高于4小時，RPO(恢復(fù)點目標(biāo))不得高于6小時，且必須確保能夠有效恢復(fù)。五乙以上等級還需將存儲空間虛擬成資源池，使存儲系統(tǒng)具備冗余或容災(zāi)能力；五甲要求平臺存儲具備連續(xù)數(shù)據(jù)保護(CDP)能力，實現(xiàn)過去任意時間點的數(shù)據(jù)恢復(fù)，即RTO和RPO均為0。

3.1.3 網(wǎng)絡(luò)設(shè)備 數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備應(yīng)種類多樣，功能齊全，如三層交換機、二層交換機、VPN網(wǎng)關(guān)、路由器、防火墻、IDS/IPS等，并支持設(shè)備級和鏈路級的冗余機制，不因出現(xiàn)單點故障導(dǎo)致服務(wù)中斷，保證服務(wù)穩(wěn)定性和延續(xù)性，支持標(biāo)準(zhǔn)SNMP協(xié)議并可管理。五乙以上等級還在網(wǎng)絡(luò)設(shè)備安全性、數(shù)據(jù)流量和性能等方面的監(jiān)控告警控制、遠程管理及故障診斷能力，無線網(wǎng)絡(luò)的物聯(lián)網(wǎng)與5G部署接入能力等方面提出了具體要求。

3.2 網(wǎng)絡(luò)及網(wǎng)絡(luò)安全

隨著信息化建設(shè)不斷推進，醫(yī)療機構(gòu)與醫(yī)保部門、商業(yè)保險、衛(wèi)生行政部門、公共衛(wèi)生防疫部門、醫(yī)聯(lián)體等外部之間的數(shù)據(jù)共享和交換越來越頻繁，導(dǎo)致網(wǎng)絡(luò)安全邊界不斷擴大，網(wǎng)絡(luò)安全風(fēng)險不斷增加。醫(yī)院測評方案明確醫(yī)院網(wǎng)絡(luò)帶寬要保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)滿足業(yè)務(wù)高峰期需要，要滿足大容量醫(yī)學(xué)影像數(shù)據(jù)的傳輸，最低要求是千兆以上。無線網(wǎng)絡(luò)應(yīng)單獨組網(wǎng)，并通過邊界防護設(shè)備接入到內(nèi)部有線局域網(wǎng)絡(luò)，至少應(yīng)實現(xiàn)門急診、住院等核心臨床醫(yī)療業(yè)務(wù)環(huán)境的全覆蓋，有條件的要實現(xiàn)醫(yī)技、行政管理區(qū)域乃至運營管理、后勤保障、教學(xué)科研等區(qū)域在內(nèi)的全院區(qū)無線覆蓋。終端和服務(wù)器之間應(yīng)處于不同的廣播域，不同網(wǎng)絡(luò)、網(wǎng)段之間應(yīng)根據(jù)業(yè)務(wù)實行分區(qū)隔離措施；網(wǎng)絡(luò)設(shè)備應(yīng)具備自身防護措施，針對不同權(quán)限用戶進行身份鑒別和權(quán)限控制。整個網(wǎng)絡(luò)應(yīng)設(shè)置安全管理中心，同時兼具可信驗證能力、網(wǎng)絡(luò)流量惡意代碼防范措施及新型和未知威脅發(fā)現(xiàn)能力、集中安全審計和管理能力以及設(shè)備運行狀態(tài)監(jiān)測能力等。

3.3 環(huán)境安全

醫(yī)院測評方案對機房環(huán)境安全也提出了具體要求，數(shù)據(jù)中心機房要按照《GB50174-2017數(shù)據(jù)中心設(shè)計規(guī)范》[10]《GB/T 2887-2011計算機場地通用規(guī)范》[11]要求，做好機房的防磁、防塵、防水、防火、防雷、防靜電、溫濕度控制、電源接地等措施，應(yīng)通過第三方專業(yè)的機房檢測并出具檢測報告。醫(yī)院應(yīng)保持干凈整潔，電源和網(wǎng)絡(luò)布線規(guī)范整齊、強弱分離、標(biāo)識清晰，減少其他外部因素帶來的安全風(fēng)險。

3.4 應(yīng)用安全

醫(yī)院業(yè)務(wù)數(shù)字化應(yīng)用場景越來越普遍，基本上涵蓋了醫(yī)院業(yè)務(wù)的方方面面，應(yīng)用系統(tǒng)數(shù)達到幾十個甚至上百個，各個應(yīng)用系統(tǒng)通過醫(yī)院信息平臺進行業(yè)務(wù)交互和數(shù)據(jù)共享。醫(yī)院測評方案對應(yīng)用系統(tǒng)軟件的用戶授權(quán)和審計、應(yīng)用系統(tǒng)備份、軟件容錯、數(shù)據(jù)痕跡修改和訪問控制、CA或第三方認證、等級保護定級備案和測評、安全檢查、應(yīng)急演練等方面提出相應(yīng)規(guī)范和要求。在用戶授權(quán)控制方面，應(yīng)對系統(tǒng)軟件和應(yīng)用軟件的訪問和使用有精細的授權(quán)粒度；在應(yīng)用系統(tǒng)備份方面，需要定期進行完全備份并留存?zhèn)浞萦涗浳臋n；在軟件容錯方面，需要保障當(dāng)平臺及核心業(yè)務(wù)在部分節(jié)點發(fā)生軟硬件故障后，其余節(jié)點和功能都能夠正常運行；在數(shù)據(jù)痕跡修改和訪問控制方面，需要嚴格控制數(shù)據(jù)修改功能的權(quán)限，并記錄數(shù)據(jù)修改人、修改時間、修改內(nèi)容等關(guān)鍵信息，未經(jīng)授權(quán)的人不得對數(shù)據(jù)進行修改；在安全檢查方面，每年不少于一次對醫(yī)院信息平臺和核心業(yè)務(wù)系統(tǒng)開展?jié)B透測試、漏洞掃描和安全檢查，并按要求完成整改，做好整改記錄，形成整改報告；在應(yīng)急演練方面，應(yīng)定期在全院范圍內(nèi)開展安全應(yīng)急演練，且每年不少于1次；尤其值得注意的是，相對于2017年版的醫(yī)院測評方案，2020年最新版測評方案明確提出了四級乙等及以上的核心業(yè)務(wù)系統(tǒng)(含平臺)應(yīng)完成網(wǎng)絡(luò)安全等級保護三級定級備案并通過測評，要求提供備案證明及本年度或上一年度相關(guān)系統(tǒng)的安全測評報告。五級甲等還要求醫(yī)院信息平臺支持CA認證或其他第三方認證，并應(yīng)用于門診、急診、病房、檢查檢驗等關(guān)鍵場景。

3.5 數(shù)據(jù)安全

醫(yī)院信息化包括醫(yī)療業(yè)務(wù)及管理業(yè)務(wù)的全流程路徑，數(shù)據(jù)安全是醫(yī)院的生命線。①做好數(shù)據(jù)存儲、備份和恢復(fù)，制定完善的數(shù)據(jù)備份和恢復(fù)的機制；②做好數(shù)據(jù)防丟失、防泄露、防篡改、可追溯等。當(dāng)數(shù)據(jù)需要開放共享或提供第三方使用時，還應(yīng)實現(xiàn)數(shù)據(jù)脫敏，去除數(shù)據(jù)中的敏感信息。醫(yī)院測評方案在這幾方面均做出了規(guī)范，提出了具體要求和標(biāo)準(zhǔn)。

3.6 隱私保護

《GB/T 35273-2020信息安全技術(shù)個人信息化安全規(guī)范》規(guī)定了開展收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露、刪除等個人信息處理活動應(yīng)遵循的原則和安全要求，同時也定義了個人信息和個人敏感信息的判定路徑[12]。結(jié)合上述標(biāo)準(zhǔn)，除了滿足傳統(tǒng)的數(shù)據(jù)完整性和數(shù)據(jù)保密性要求，醫(yī)院測評方案還要求對涉及個人隱私的數(shù)據(jù)，醫(yī)院信息平臺應(yīng)具備數(shù)據(jù)訪問警示、匿名化處理等功能和技術(shù)手段，并具有對個人隱私數(shù)據(jù)的識別能力、風(fēng)險判別能力和自動提醒功能。五級乙等以上還要求具備數(shù)據(jù)訪問許可、數(shù)據(jù)分級分類保護、加密存儲等功能。

3.7 管理安全

網(wǎng)絡(luò)安全“三分靠技術(shù)，七分靠管理”[13]，做好安全管理是開展網(wǎng)絡(luò)安全建設(shè)的有力保障。醫(yī)院測評方案要求做好機房管理，通過機房進出控制和監(jiān)控系統(tǒng)，對非授權(quán)人員進出機房進行嚴格控制，并做好監(jiān)控記錄。要求醫(yī)院建立健全安全管理制度體系，明確網(wǎng)絡(luò)安全職責(zé)，設(shè)立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組和網(wǎng)絡(luò)安全主管部門，設(shè)立系統(tǒng)管理員、審計管理員和安全管理員，保障關(guān)鍵崗位專員負責(zé)；簽訂保密協(xié)議和崗位責(zé)任協(xié)議，做好安全培訓(xùn)；加強系統(tǒng)安全建設(shè)和安全運維，制定安全應(yīng)急保障方案等[14]。原則上，網(wǎng)絡(luò)安全管理制度應(yīng)以文件形式正式印發(fā)執(zhí)行，重要制度應(yīng)掛墻展示。

4 醫(yī)院網(wǎng)絡(luò)安全治理實施效果分析

通過網(wǎng)上問卷方式，對廣東省參加2019年度、2020年度醫(yī)院互聯(lián)互通測評的36家醫(yī)院開展調(diào)查，針對各參評醫(yī)院按照醫(yī)院互聯(lián)互通測評方案開展網(wǎng)絡(luò)安全治理的實施效果進行分析。調(diào)查結(jié)果顯示如下：

4.1 醫(yī)院互聯(lián)互通測評關(guān)于網(wǎng)絡(luò)安全的要求不低于網(wǎng)絡(luò)安全三級等保的要求

全部醫(yī)院都認為醫(yī)院互聯(lián)互通測評指標(biāo)體系中關(guān)于網(wǎng)絡(luò)安全方面的要求不低于網(wǎng)絡(luò)安全三級等保的要求，其中11家醫(yī)院(占比30.6%)認為醫(yī)院互聯(lián)互通測評在網(wǎng)絡(luò)安全方面較網(wǎng)絡(luò)安全三級等保提出更高的要求；25家醫(yī)院(占比69.4%)認為醫(yī)院互聯(lián)互通測評在網(wǎng)絡(luò)安全方面的要求與網(wǎng)絡(luò)安全三級等保的要求基本持平。具體見表1。

表1 醫(yī)院互聯(lián)互通測評網(wǎng)絡(luò)安全要求與網(wǎng)絡(luò)安全三級等保要求對比情況

4.2 醫(yī)院互聯(lián)互通測評對醫(yī)院網(wǎng)絡(luò)安全治理有較大促進作用

全部醫(yī)院都認為開展互聯(lián)互通測評對加強網(wǎng)絡(luò)安全等級保護，開展網(wǎng)絡(luò)安全治理有較大促進作用。在開展互聯(lián)互通測評前，36家醫(yī)院共有三級等保系統(tǒng)111個，二級等保系統(tǒng)78個，僅有20家醫(yī)院的核心業(yè)務(wù)系統(tǒng)(含平臺)全部都通過三級等保測評；在開展互聯(lián)互通測評后，36家醫(yī)院共有三級等保系統(tǒng)159個(增加48個)，二級等保系統(tǒng)110個(增加32個)，有35家醫(yī)院(增加15家)的核心業(yè)務(wù)系統(tǒng)(含平臺)全部都通過三級等保測評。在開展互聯(lián)互通測評前后,36家醫(yī)院信息系統(tǒng)(平臺)網(wǎng)絡(luò)安全等級保護對比情況具體見圖2。

圖2 36家醫(yī)院開展互聯(lián)互通測評前后等保對比情況

同時，在開展互聯(lián)互通測評前后，36家醫(yī)院中有24家醫(yī)院的三級等保系統(tǒng)個數(shù)增加，沒有任何一家醫(yī)院的三級等保系統(tǒng)個數(shù)減少；有7家醫(yī)院的二級等保系統(tǒng)個數(shù)增加，有3家醫(yī)院因二級等保系統(tǒng)備案升級為三級等保系統(tǒng)導(dǎo)致二級等保系統(tǒng)個數(shù)減少；有24家醫(yī)院的二級及以上級別等保系統(tǒng)(三級+二級)個數(shù)增加，沒有任何一家醫(yī)院的二級及以上級別等保系統(tǒng)個數(shù)減少。不同等保級別系統(tǒng)個數(shù)增減情況具體見表2。

表2 不同等保級別系統(tǒng)個數(shù)增減情況

根據(jù)2021年國家衛(wèi)生健康委統(tǒng)計信息中心組織的全國醫(yī)療健康信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度自評估結(jié)果顯示，廣東省281家醫(yī)院參與了互聯(lián)互通自評估，其中自評估達到互聯(lián)互通測評三級的醫(yī)院有29家，四級乙等的醫(yī)院有15家，四級甲等的醫(yī)院有60家，五級乙等的醫(yī)院有12家。自2017年起，我省各級各類醫(yī)院開始參與互聯(lián)互通測評，從2017年度全省僅8家醫(yī)院通過測評，到2019年度全省有23家醫(yī)院通過測評(2家醫(yī)院從四級甲等升為五級乙等)，每年醫(yī)院通過測評數(shù)量較上一年幾乎成倍增加，目前廣東省通過互聯(lián)互通測評四級乙等以上的醫(yī)院有40家，且正在參加2020年度互聯(lián)互通測評的醫(yī)院已超30余家。隨著互聯(lián)互通測評工作逐步推開，越來越多的醫(yī)院參加互聯(lián)互通測評，按照醫(yī)院測評方案中申報四級乙等以上級別的醫(yī)院的核心系統(tǒng)(含平臺)必須通過網(wǎng)絡(luò)安全三級等保測評的要求，可以預(yù)見的是，未來幾年廣東省醫(yī)療機構(gòu)的網(wǎng)絡(luò)安全防護水平必然會得到提升。

5 小結(jié)

醫(yī)院測評方案給出醫(yī)院網(wǎng)絡(luò)安全治理的實施路徑，通過對參加互聯(lián)互通測評的醫(yī)院開展問卷調(diào)查，充分表明開展互聯(lián)互通測評對加強網(wǎng)絡(luò)安全等級保護，開展網(wǎng)絡(luò)安全治理具有一定的促進作用。開展醫(yī)院互聯(lián)互通測評工作有助于醫(yī)院網(wǎng)絡(luò)安全規(guī)范化建設(shè)，真正達到了“以評促建、以評促改、以評促用”的目標(biāo)[15]。醫(yī)院網(wǎng)絡(luò)安全治理是一個長期工作，結(jié)合《中華人民共和國網(wǎng)絡(luò)安全法》和《網(wǎng)絡(luò)安全等級保護基本要求》等法律法規(guī)，要經(jīng)常性開展網(wǎng)絡(luò)安全評估[16]，優(yōu)化網(wǎng)絡(luò)安全治理方案，保障數(shù)據(jù)安全。