劉雷寧

（中信醫(yī)療健康產(chǎn)業(yè)集團(tuán)有限公司 北京 100004）

對(duì)于信息安全的概念，國(guó)際標(biāo)準(zhǔn)化組織（ISO）的定義是為數(shù)據(jù)處理系統(tǒng)建立和采用技術(shù)、管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不受偶然的或者惡意的原因而造成的破壞、更改、泄露。信息安全的主要任務(wù)是要保障數(shù)據(jù)的保密性、完整性、可用性、真實(shí)性、不可否認(rèn)性和可靠性［1］。

我國(guó)的信息安全隨著信息化的發(fā)展也在逐步完善，國(guó)家也不斷出臺(tái)相關(guān)的信息安全法律法規(guī)。2014年，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，2018年改為中央網(wǎng)絡(luò)安全和信息化委員會(huì)；2017年6月，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行；2019年12月，《信息安全技術(shù)等級(jí)保護(hù)》開始實(shí)施；2021年，《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》相繼實(shí)施，我國(guó)信息安全的頂層設(shè)計(jì)已經(jīng)初具規(guī)模，這些法律法規(guī)的出臺(tái)為醫(yī)院日常經(jīng)營(yíng)過程中的信息安全提供了制度保障和有效支撐，促使醫(yī)院按照相關(guān)要求不斷從人才保障、技術(shù)保障、制度保障進(jìn)行全方位的保護(hù)，并持續(xù)不斷地進(jìn)行信息安全防護(hù)。信息安全的防護(hù)是一場(chǎng)長(zhǎng)期的、艱苦的、動(dòng)態(tài)的博弈過程，在這個(gè)過程中，需要相關(guān)的干系人持續(xù)不斷地通過PDCA 的管理流程不斷優(yōu)化完善，為醫(yī)院的發(fā)展保駕護(hù)航［2］。

1 “互聯(lián)網(wǎng)+醫(yī)療”環(huán)境下醫(yī)院面臨的信息安全威脅

在醫(yī)院的實(shí)際運(yùn)行過程中，會(huì)碰到各類信息安全風(fēng)險(xiǎn)和挑戰(zhàn)，特別是2020年以后，隨著“互聯(lián)網(wǎng)+醫(yī)療”的發(fā)展，新冠肺炎疫情也極大地促進(jìn)了互聯(lián)網(wǎng)醫(yī)院的發(fā)展，各級(jí)醫(yī)院逐步開通自己的互聯(lián)網(wǎng)醫(yī)院業(yè)務(wù)，隨著對(duì)外服務(wù)的增多，各醫(yī)院面臨的風(fēng)險(xiǎn)和威脅也逐步增大。

國(guó)內(nèi)醫(yī)院相關(guān)的安全事件層出不窮，例如，國(guó)內(nèi)某兒童醫(yī)院多臺(tái)服務(wù)器感染了Globe Imposter勒索病毒，導(dǎo)致醫(yī)院服務(wù)器數(shù)據(jù)文件被強(qiáng)制加密，導(dǎo)致系統(tǒng)癱瘓，患者無法進(jìn)行正常的掛號(hào)、就醫(yī)、繳費(fèi)等流程。2018年2月份，湖北省某醫(yī)院系統(tǒng)被植入升級(jí)版的勒索病毒，導(dǎo)致系統(tǒng)癱瘓，黑客勒索30萬人民幣。

目前，很多醫(yī)院都建立起了互聯(lián)網(wǎng)醫(yī)院、微信小程序、微信掛號(hào)等服務(wù)和應(yīng)用，這類服務(wù)和應(yīng)用都要開通與外部訪問的對(duì)接接口，這些接口也成為黑客重點(diǎn)攻擊的目標(biāo)，這些也是需要重點(diǎn)關(guān)注和加強(qiáng)的地方。目前，綜合各省市衛(wèi)健委的相關(guān)要求，都將互聯(lián)網(wǎng)醫(yī)院三級(jí)等保作為申請(qǐng)互聯(lián)網(wǎng)醫(yī)院拍照的前置條件之一，因此要不斷應(yīng)對(duì)醫(yī)院所面臨的各類信息安全威脅和挑戰(zhàn)。

目前，醫(yī)院面臨的外部威脅主要有木馬后門通信、異常連接、遠(yuǎn)程漏洞連接遠(yuǎn)程代碼執(zhí)行、暴力破解、漏洞掃描破解（IP掃描）、FTP匿名登錄攻擊、軟件漏洞導(dǎo)致的信息泄露、DOS 攻擊、溢出攻擊、WEB 攻擊（惡意命令執(zhí)行攻擊、遠(yuǎn)程代碼執(zhí)行攻擊）、木馬后門攻擊、病毒蠕蟲、挖礦行為。

（1）木馬后門攻擊。主要是利用計(jì)算機(jī)的C/S 模式，在目標(biāo)主機(jī)（被攻擊主機(jī)）和主控主機(jī)之間試圖建立一個(gè)連接，從而達(dá)到控制目的主機(jī)的目的。這類攻擊主要是黑客通過專門的漏洞工具或者軟件來定期地掃描醫(yī)院的對(duì)外服務(wù)系統(tǒng)、防火墻等設(shè)備或者服務(wù)，獲取系統(tǒng)的漏洞或者風(fēng)險(xiǎn)點(diǎn)，然后利用這些漏洞風(fēng)險(xiǎn)點(diǎn)注入木馬程序，達(dá)到控制醫(yī)院系統(tǒng)的目的，有的是通過控制有漏洞的主機(jī)，達(dá)到控制醫(yī)院核心系統(tǒng)的目的。

（2）暴力破解。目前，醫(yī)院的對(duì)外服務(wù)面臨許多暴力破解攻擊，這類攻擊的特點(diǎn)是通過反復(fù)的測(cè)試、嘗試破解，一般都是通過社會(huì)工程學(xué)搜集到的信息，創(chuàng)建密碼字典，用這些字典進(jìn)行嘗試，雖然這種攻擊是比較老的攻擊方式，但是確實(shí)是比較有效的方式。暴力破解攻擊方式隨著防護(hù)手段的提升也在不斷地變換，目前，黑客們借助專門的自動(dòng)化工具，能通過很短的時(shí)間破解用單詞或者數(shù)字組成的密碼。

（3）漏洞掃描。漏洞掃描主要是通過專門的漏洞掃描工具、滲透性測(cè)試工具集等測(cè)試工具，在互聯(lián)網(wǎng)業(yè)務(wù)接入端進(jìn)行漏洞掃描，對(duì)醫(yī)院的信息系統(tǒng)的組成部門，如服務(wù)器主機(jī)、操作系統(tǒng)，通過掃描軟件查找系統(tǒng)中操作系統(tǒng)、數(shù)據(jù)庫、WEB應(yīng)用、第三方產(chǎn)品及插件的安全漏洞，并且通過這些漏洞獲取系統(tǒng)的控制權(quán)、獲取大量的敏感數(shù)據(jù)的行為。

漏洞掃描又分為惡意和良性。良性的主要是醫(yī)院聘請(qǐng)專業(yè)的機(jī)構(gòu)進(jìn)行，用來發(fā)現(xiàn)系統(tǒng)中存在的漏洞和風(fēng)險(xiǎn)；惡意的就是外部黑客通過專門工具進(jìn)行掃描，竊取系統(tǒng)的敏感數(shù)據(jù)，達(dá)到非法目的。

漏洞又分為超危（非常危險(xiǎn)）、高危、中危、低危4個(gè)級(jí)別，其中，超危、高危是必須要進(jìn)行整改的，醫(yī)院關(guān)鍵系統(tǒng)必須進(jìn)行高危漏洞的修復(fù)，因?yàn)檫@關(guān)系到信息系統(tǒng)的三級(jí)評(píng)審，且每年的復(fù)測(cè)也需要針對(duì)發(fā)現(xiàn)的漏洞進(jìn)行修復(fù)完善。

（4）DDOS。這是一種比較老的攻擊方式，黑客通過控制大量的僵尸主機(jī)發(fā)送大量的數(shù)據(jù)或者請(qǐng)求，導(dǎo)致系統(tǒng)在短時(shí)間內(nèi)無法及時(shí)處理巨量請(qǐng)求，從而導(dǎo)致系統(tǒng)無法為合法用戶提供正常服務(wù)。常用的攻擊方式有典型的利用協(xié)議攻擊，例子是TCP SYN攻擊、洪水攻擊。

DDoS的表現(xiàn)形式主要有兩種：一種為流量攻擊，主要是針對(duì)網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對(duì)服務(wù)器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。

（5）病毒攻擊。計(jì)算機(jī)病毒主要是在計(jì)算機(jī)中能附著或者插入到計(jì)算機(jī)程序上，能夠自我復(fù)制、傳播的一組代碼或者指令，它主要是通過郵件、網(wǎng)頁木馬、程序傳播。

病毒又分為系統(tǒng)病毒（前綴：Win32、PE、W32）、蠕蟲病毒（如惡鷹——Worm.BBeagle）、木馬病毒、黑客病毒（如QQ 消息尾巴木馬——Trojan.QQ3344）、腳本病毒（如紅色代碼——Script.Redlof）、宏病毒（如美麗莎——Macro.Melissa）、后門病毒（如灰鴿子——Backdoor.Win32.Huigezi）、病毒種植程序病毒（如冰河播種者——Dropper.BingHe2.2C）、破壞性程序病毒（如殺手命令——Harm.Command.Killer）、玩笑病毒（如女鬼——Joke.Girl ghost）、捆綁機(jī)病毒（如捆綁QQ——Binder.QQPass.QQBin）。

（6）社會(huì)工程學(xué)攻擊。這是一種比較特殊的攻擊方式，主要是利用了人們的某種心理，也是一種綜合性比較強(qiáng)的攻擊方式，主要利用人性的弱點(diǎn)，通過各種手段和方法搜集個(gè)人信息，通過這些信息來實(shí)現(xiàn)欺騙、入侵和破壞，例如，現(xiàn)在比較多的詐騙電話都是通過電話、短信誘導(dǎo)受害者按照攻擊者設(shè)定好的程序進(jìn)行操作，從而造成財(cái)產(chǎn)損失。總體來說，社會(huì)工程學(xué)是計(jì)算機(jī)技術(shù)和心理學(xué)結(jié)合的產(chǎn)物，這類攻擊沒辦法通過技術(shù)手段、管理手段而達(dá)到完全消除，所以這類攻擊防范起來比較難。

2 信息安全面臨的威脅——造成安全事件的原因

（1）技術(shù)弱點(diǎn)：主要是因?yàn)橄到y(tǒng)、程序、設(shè)備中存在諸多漏洞或缺陷，這些缺陷或者漏洞中，有些是沒有及時(shí)修復(fù)，有的是醫(yī)院基于成本考慮沒有考慮替換或者進(jìn)行補(bǔ)丁修復(fù)。例如，有的醫(yī)院的內(nèi)網(wǎng)終端還是采用Windows XP 系統(tǒng)，一旦木馬通過U 盤感染了內(nèi)網(wǎng)的機(jī)器，這些終端很容易成為攻擊的重點(diǎn)，也很容成為重要的風(fēng)險(xiǎn)點(diǎn)。

（2）操作弱點(diǎn)：主要指配置、操作和使用中的缺陷，包括人員的不良習(xí)慣、審計(jì)或備份過程的不當(dāng)操作等。另外，有的醫(yī)院雖然制定了相關(guān)的操作規(guī)范和流程，但是由于人員的素質(zhì)、操作可行性等因素，導(dǎo)致未按照規(guī)定操作、定期進(jìn)行備份、定期進(jìn)行應(yīng)急演練，從而造成一些風(fēng)險(xiǎn)事件的發(fā)生。

（3）管理弱點(diǎn)：主要指策略、程序、規(guī)章制度、人員意識(shí)、組織結(jié)構(gòu)等方面的不足，有的醫(yī)院沒有從頂層設(shè)計(jì)，安全制度缺失，容易形成信息安全風(fēng)險(xiǎn)點(diǎn)。

3 醫(yī)院做好信息安全需要關(guān)注的重點(diǎn)

外因是條件，內(nèi)因才是根本，醫(yī)院的信息安全工作需要不斷地利用系統(tǒng)廠商、安全廠商的資源，以等保測(cè)評(píng)為手段，不斷提高自身應(yīng)對(duì)風(fēng)險(xiǎn)的能力，主要通過以下幾個(gè)方面加強(qiáng)和提高。

3.1 管理保障

主要是通過建立一個(gè)自上而下的信息安全管理體系來達(dá)到信息安全的動(dòng)態(tài)防御的目標(biāo)。首先，醫(yī)院必須認(rèn)識(shí)到信息安全關(guān)系到醫(yī)院的正常運(yùn)行，一旦出現(xiàn)信息安全事件，將會(huì)對(duì)醫(yī)院的業(yè)務(wù)造成致命的打擊。信息安全不是醫(yī)院一個(gè)部門的工作，也不是某個(gè)人的職責(zé)，更不是一段時(shí)期安全就永遠(yuǎn)不用擔(dān)心了，信息安全應(yīng)該貫穿整個(gè)醫(yī)院的全流程管理，醫(yī)院的每個(gè)成員都要承擔(dān)相應(yīng)的職責(zé)和義務(wù)。另外，信息安全應(yīng)該得到醫(yī)院高層的重視，網(wǎng)絡(luò)安全法規(guī)定，醫(yī)院的最高領(lǐng)導(dǎo)是醫(yī)院信息安全的第一責(zé)任人，對(duì)于醫(yī)院的信息安全事件負(fù)主要責(zé)任，所以就需要我們的醫(yī)院管理層提供適當(dāng)?shù)娜肆Α⑽锪?、?cái)力，充分保障醫(yī)院的信息安全活動(dòng)正常進(jìn)行。

醫(yī)院的信息安全管理體系采用PDCA 的過程方法，PDCA 過程方法是由美國(guó)管理專家戴明博士提出的，在該模型中，按照完整的“Plan—Do—Check—Act”的順序依次進(jìn)行，在醫(yī)院的信息安全過程中，醫(yī)院的每一次都是逐步完善、逐步提升的階段。

圖1中，將信息安全的流程描述為一個(gè)動(dòng)態(tài)的過程，信息安全都需要預(yù)先計(jì)劃、分步實(shí)施、監(jiān)督檢查、處置完善流程，一個(gè)階段完成后，重新進(jìn)入下一個(gè)PDCA流程。

圖1 信息安全建設(shè)PDCA流程圖

3.2 制度保障

信息安全管理體系是建立在文檔的基礎(chǔ)上的。目前，醫(yī)院常用的制度體系包括：高級(jí)領(lǐng)導(dǎo)方針、政策；中層的制度、流程及規(guī)范；基層的操作手冊(cè)、使用說明、預(yù)案，以及過程文件、日志、記錄、巡查表等內(nèi)容［3］。圖2中主要將信息安全管理過程中所涉及的相關(guān)制度、規(guī)范進(jìn)行梳理分類，并形成體系。

圖2 醫(yī)院信息安全體系框架

醫(yī)院日常管理管理方面需要具備以下制度體系，醫(yī)院的信息安全制度應(yīng)該按照等保三級(jí)的制度體系進(jìn)行制定和規(guī)范［4］。

信息安全管理機(jī)構(gòu)：主要包括信息安全工作的委員會(huì)或領(lǐng)導(dǎo)小組制度，并成立相關(guān)信息安全部門。

安全管理人員：主要包括人員錄用及離職管理、人員安全意識(shí)教育和培訓(xùn)、外部人員訪問管理等制度。

安全管理制度：主要包括網(wǎng)絡(luò)安全工作的總體方針和安全策略、管理人員或操作人員執(zhí)行的日常管理操作規(guī)程等內(nèi)容。

安全建設(shè)管理：主要包括項(xiàng)目管理、供應(yīng)商管理、軟件開發(fā)管理、外包管理、軟件測(cè)試及驗(yàn)收等相關(guān)制度規(guī)范。

安全運(yùn)維管理：主要包括環(huán)境管理、資產(chǎn)管理、設(shè)備維護(hù)管理制度、網(wǎng)絡(luò)系統(tǒng)安全管理制度、安全事件管理、數(shù)據(jù)備份及恢復(fù)管理、業(yè)務(wù)連續(xù)性管理制度及IT設(shè)備管理制度。

3.3 技術(shù)保障

在日常的管理過程中，要嚴(yán)格按照以下標(biāo)準(zhǔn)不斷提升醫(yī)院應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)防范能力。

服務(wù)器安全：修改及重新命名默認(rèn)賬戶、卸載所有未使用的應(yīng)用程序、關(guān)閉所有不需要的服務(wù)（如443、3389 等高危端口），并對(duì)端口進(jìn)行監(jiān)控，設(shè)置對(duì)諸如cmd.exe、sethc.exe的程序的訪問權(quán)限。

防火墻：應(yīng)該配置好WAF 相關(guān)端口及服務(wù)，設(shè)置內(nèi)部訪問IP 的白名單，并定期檢查防火墻日志，及時(shí)進(jìn)行策略調(diào)整。

殺毒軟件：配置服務(wù)器殺毒軟件，并定期進(jìn)行離線升級(jí)，保障服務(wù)器應(yīng)用安全。

漏洞補(bǔ)丁：應(yīng)用所有最新的服務(wù)包和更新。

日志審計(jì)：配置日志審計(jì)設(shè)備或者軟件，將應(yīng)用系統(tǒng)、數(shù)據(jù)庫、服務(wù)器日志單獨(dú)存放到日志審計(jì)系統(tǒng)中，并定期進(jìn)行日志查看。

堡壘機(jī)：使用堡壘機(jī)（運(yùn)維審計(jì)系統(tǒng)）遠(yuǎn)程登錄設(shè)備進(jìn)行維護(hù)操作。

主機(jī)防護(hù)：配置好主機(jī)防護(hù)軟件，定期進(jìn)行漏洞掃描，及時(shí)發(fā)現(xiàn)系統(tǒng)、應(yīng)用的漏洞，如果允許的話，每半年或者一年請(qǐng)外部機(jī)構(gòu)進(jìn)行滲透性測(cè)試，發(fā)現(xiàn)系統(tǒng)的薄弱點(diǎn)［5］。

3.4 人員保障

醫(yī)院應(yīng)該建立信息安全人員保障制度，規(guī)范信息安全人員的錄入、培養(yǎng)、培訓(xùn)，并建立信息安全定期培訓(xùn)機(jī)制，針對(duì)全員展開信息安全意識(shí)培訓(xùn)，針對(duì)醫(yī)院信息人員進(jìn)行信息安全知識(shí)培訓(xùn)，針對(duì)信息安全人員進(jìn)行專業(yè)技能培訓(xùn)，并且保障須持有CISP、CISSP、CISA、信息安全工程師等相關(guān)證書之一［6］。

4 結(jié)語

針對(duì)醫(yī)院面臨的各類信息安全威脅和挑戰(zhàn)，需要堅(jiān)持動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控的原則，筑牢信息安全的防線，補(bǔ)足信息安全的短板，從而避免信息安全中的“木桶效應(yīng)”的出現(xiàn)，不留死角。通過建立頂層的信息安全管理領(lǐng)導(dǎo)架構(gòu)、培養(yǎng)專業(yè)的信息安全人才、不斷持續(xù)做好系統(tǒng)漏洞、加強(qiáng)公司整體的安全意識(shí)、不斷加大信息安全方面的技術(shù)投入和資金投入，持續(xù)不斷地保障公司業(yè)務(wù)的健康、良性發(fā)展，不斷提高公司的信息安全水平。