醫(yī)院信息安全建設(shè)探索

吳前兵 劉 靜 程西雅

(安徽省第二人民醫(yī)院 合肥 230000) (安徽艾瑞貸信息技術(shù)服務(wù)有限公司 (安徽醫(yī)科大學(xué) 合肥 230000)合肥 230000)

1 引言

信息系統(tǒng)及網(wǎng)絡(luò)設(shè)施的安全性直接關(guān)系到醫(yī)療工作正常進行，一旦網(wǎng)絡(luò)出現(xiàn)問題或數(shù)據(jù)泄漏丟失將會給醫(yī)院帶來巨大損失。醫(yī)院信息系統(tǒng)保存大量患者私密信息，其泄漏和非法傳播將會給醫(yī)院、社會和患者帶來風(fēng)險[1]。根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，國家實行網(wǎng)絡(luò)安全等級保護制度。針對醫(yī)療衛(wèi)生行業(yè)，原衛(wèi)生部先后發(fā)布《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》以及《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》[2]，明確要求全國所有三甲醫(yī)院核心業(yè)務(wù)信息系統(tǒng)的安全保護等級原則上不低于第3級，等級保護成為醫(yī)院信息安全建設(shè)重要標(biāo)準(zhǔn)[3]。隨著云計算、移動互聯(lián)、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制等先進技術(shù)的不斷涌現(xiàn)和發(fā)展，原標(biāo)準(zhǔn)體系難以滿足新形勢下網(wǎng)絡(luò)信息安全等級保護工作的需要，標(biāo)準(zhǔn)的適用性、可操作性需要進一步完善，“等保2.0”應(yīng)運而生[4]。2019年5月13日公安部正式發(fā)布等保2.0相關(guān)標(biāo)準(zhǔn)并于2019年12月1日開始實施。安徽省第二人民醫(yī)院為安徽省三甲醫(yī)院，高度重視醫(yī)院信息系統(tǒng)安全建設(shè)，積極探索和實踐符合新標(biāo)準(zhǔn)的安全解決方案，以切實提升整體信息系統(tǒng)及數(shù)據(jù)的安全性，為醫(yī)院核心業(yè)務(wù)系統(tǒng)如醫(yī)院信息系統(tǒng)(Hospital Information System，HIS)，實驗室信息管理系統(tǒng)(Laboratory Information Management System, LIS)，影像存儲與傳輸系統(tǒng)(Picture Archiving and Communication Systems，PACS)等建設(shè)一個穩(wěn)定、安全的運行環(huán)境。

2 新標(biāo)準(zhǔn)變化及差距分析

2.1 新標(biāo)準(zhǔn)變化

2.1.1 概述 與舊標(biāo)準(zhǔn)體系相比，2.0標(biāo)準(zhǔn)統(tǒng)一了基本要求與設(shè)計要求的安全框架，包括通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境，充分體現(xiàn)“一個中心，3重防護”的縱深防御思路，強化可信計算安全技術(shù)要求應(yīng)用[5]。

2.1.2 原“信息系統(tǒng)”調(diào)整為“定級對象” 新標(biāo)準(zhǔn)體系下，定級對象不僅包括原有基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)，范圍進一步擴展到云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等新技術(shù)應(yīng)用對象。

2.1.3 可信驗證技術(shù)細化到每個等級需求中 要求針對計算資源構(gòu)建保護環(huán)境：1級是系統(tǒng)引導(dǎo)程序與系統(tǒng)程序，2級是重要配置參數(shù)與應(yīng)用程序+審計記錄，3級是應(yīng)用程序重要執(zhí)行環(huán)節(jié)，4級是應(yīng)用程序所有執(zhí)行環(huán)節(jié)。

2.1.4 安全要求調(diào)整為通用和擴展要求 安全通用要求針對共性化保護需求提出，不管等級保護對象形態(tài)如何，必須響應(yīng)保護等級的要求，安全擴展要求針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)和工業(yè)控制系統(tǒng)等個性化保護需求提出，對應(yīng)特定技術(shù)或特定應(yīng)用場景[6-7]。

2.1.5 統(tǒng)一安全技術(shù)規(guī)劃思路 通過確定保護對象邊界劃分安全需求，按照縱深防御設(shè)計物理環(huán)境、通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、主機設(shè)備、應(yīng)用和數(shù)據(jù)多層級的技術(shù)防護措施，通過安全管理中心實現(xiàn)安全檢測、日常管理、事件處置和分析取證的集中化管控[8]。

2.2 差距分析

安徽省第二人民醫(yī)院核心業(yè)務(wù)系統(tǒng)滿足基于1.0標(biāo)準(zhǔn)的3級等保要求，具有良好的安全防護措施，但依然存在一定問題，與新標(biāo)準(zhǔn)要求仍然有一定差距，具體體現(xiàn)在以下4方面：一是終端主機安全性存在安全漏洞易被人攻擊，應(yīng)對登錄口令、服務(wù)進程、系統(tǒng)補丁、防病毒軟件等進行加固升級。二是核心數(shù)據(jù)均采用本地備份機制未采用異地備份，在條件允許情況下可采用異地備份，在本地機房出現(xiàn)災(zāi)難性事故情況下數(shù)據(jù)不丟失。三是部分設(shè)備缺乏有效冗余備份機制，存在一定單點故障隱患。安全區(qū)域劃分不夠明朗，對安全區(qū)域和邊界防護措施未完全達到等保2.0標(biāo)準(zhǔn)。應(yīng)明確區(qū)域劃分，提高安全技術(shù)防護措施能力。四是安全技術(shù)防護措施缺乏有效監(jiān)管，無安全管理平臺，無法感知整個網(wǎng)絡(luò)態(tài)勢。需建立安全管理中心，實時監(jiān)控網(wǎng)絡(luò)狀態(tài)。

3 建設(shè)策略

3.1 制定總體安全框架

對照等級保護2.0標(biāo)準(zhǔn)新要求，根據(jù)第3方專業(yè)測評公司意見和建議，邀請行業(yè)專家結(jié)合醫(yī)院系統(tǒng)、網(wǎng)絡(luò)、管理和相關(guān)制度實際情況進行探討和分析，充分論證的基礎(chǔ)上制定針對性強、切實可行的信息安全總體規(guī)劃和框架，見圖1。

圖1 等級保護2.0安全框架

3.2 成立組織管理體系

信息安全建設(shè)推進需要專門的組織保障。為明確網(wǎng)絡(luò)信息安全責(zé)任、保證信息化建設(shè)穩(wěn)步發(fā)展，醫(yī)院需成立信息安全領(lǐng)導(dǎo)小組，由一把手擔(dān)任領(lǐng)導(dǎo)小組組長。領(lǐng)導(dǎo)小組統(tǒng)籌規(guī)劃網(wǎng)絡(luò)安全，建立信息安全管理體系，完善各項管理制度和技術(shù)標(biāo)準(zhǔn)，保障信息安全工作正常開展。領(lǐng)導(dǎo)小組下設(shè)信息安全工作組，一般設(shè)在信息中心，由信息中心主任擔(dān)任組長，成員由信息中心人員構(gòu)成。工作組根據(jù)要求建立自己的信息安全組織架構(gòu)，完成領(lǐng)導(dǎo)小組布置的任務(wù)，確保安全措施和各項工作有序開展，保證醫(yī)院網(wǎng)絡(luò)安全穩(wěn)定運行，見圖2。

圖2 醫(yī)院信息安全組織架構(gòu)

3.3 規(guī)范制度建設(shè)和文檔管理

信息安全建設(shè)必須堅持“技術(shù)與管理并重，3分技術(shù)+7分管理”的原則[1]。2.0版本標(biāo)準(zhǔn)要求定級對象建立信息安全管理組織機構(gòu)，制定明確的安全策略、管理制度和工作流程。對照2.0版本標(biāo)準(zhǔn)要求，醫(yī)院制定相應(yīng)信息安全管理總體策略和方針，指導(dǎo)安全管理工作正常開展。通過4級文件分級管理、查漏補缺機制，完善和修訂多項管理制度，保證制度建設(shè)和管理的合規(guī)性，見圖3。

圖3 安全管理制度與文檔建設(shè)

3.4 強化安全防護措施

3.4.1 提升安全物理環(huán)境 物理環(huán)境是網(wǎng)絡(luò)安全的基石，等級保護標(biāo)準(zhǔn)要求醫(yī)院機房建設(shè)至少達到C級，其位置選擇和建筑結(jié)構(gòu)能夠保障設(shè)備不被外界環(huán)境干擾和危害，具有防雷、防噪聲、防電磁干擾、防火、防靜電、防塵、防水、防盜等措施，同時需要部署精密空調(diào)保證機房溫濕度在標(biāo)準(zhǔn)范圍內(nèi)。增加不間斷電源(Uninterruptible Power Supply, UPS)等設(shè)備，保證機房設(shè)備在市電停電情況下可繼續(xù)運行，提高機房續(xù)電能力。建立機房環(huán)境監(jiān)控平臺，實時監(jiān)控機房環(huán)境狀態(tài)。使用視頻監(jiān)控系統(tǒng)和門禁系統(tǒng)，對出入機房人員進行管理控制。通過為機房配置完善的基礎(chǔ)設(shè)施，降低物理環(huán)境安全風(fēng)險，提高安全性，保障網(wǎng)絡(luò)、主機和業(yè)務(wù)的連續(xù)性。

3.4.2 加固安全通信網(wǎng)絡(luò) 安全通信網(wǎng)絡(luò)要求進行總體規(guī)劃和詳細設(shè)計，完善網(wǎng)絡(luò)拓撲，對關(guān)鍵鏈路建立冗余，優(yōu)化配置，提高傳輸速率，定期進行設(shè)備和線路巡查，排除隱患，使用防火墻、網(wǎng)絡(luò)加密、鑒別和訪問控制等安全防護技術(shù)提升網(wǎng)絡(luò)穩(wěn)定性和安全性。在業(yè)務(wù)優(yōu)化訪問方面，通過應(yīng)用負載網(wǎng)關(guān)選擇最優(yōu)訪問路徑，應(yīng)用交付控制器實現(xiàn)應(yīng)用性能優(yōu)化，為大流量業(yè)務(wù)系統(tǒng)提供高可靠性冗余能力，提升服務(wù)器、帶寬效率和用戶體驗，提高系統(tǒng)可用性和業(yè)務(wù)連續(xù)性。

3.4.3 明確劃分安全區(qū)域 根據(jù)“1個中心，3重防護”解決方案，醫(yī)院需要按照差異性的業(yè)務(wù)類型和功能劃分安全域，確定各安全域的物理邊界和邏輯邊界，明確不同安全域之間的信任關(guān)系。在安全域邊界配置不同安全策略，體現(xiàn)不同防護強度，加強訪問控制和攻擊檢測力度，實現(xiàn)安全域之間隔離與防護，為業(yè)務(wù)運行創(chuàng)造更安全可靠的環(huán)境，見圖4。

圖4 醫(yī)院安全區(qū)域防護解決方案

(1)外網(wǎng)區(qū)域安全防護策略。部署下一代防火墻、入侵防御IPS(Intrusion Prevention System)設(shè)備，對進出網(wǎng)絡(luò)的數(shù)據(jù)進行L2-L7層安全檢測，有效防御來自內(nèi)外網(wǎng)的分布式拒絕服務(wù)(Distributed Denial of Service，DDoS)攻擊、應(yīng)用層等攻擊；同時在外網(wǎng)交換機鏡像部署流量/威脅探針，通過和安全管理中心管理平臺聯(lián)動，實現(xiàn)對網(wǎng)絡(luò)內(nèi)東西南北流量分析，讓管理員直觀了解當(dāng)前網(wǎng)絡(luò)風(fēng)險態(tài)勢。(2)外聯(lián)區(qū)域及醫(yī)療單位接入?yún)^(qū)域安全防護策略。部署下一代防火墻設(shè)備、入侵防御IPS設(shè)備，綜合運用病毒過濾、入侵防護等技術(shù)提供綜合性安全防護和檢測能力。(3)服務(wù)器區(qū)域安全防護策略。配置反病毒(Anti Virus，AV)/IPS等功能模塊，實現(xiàn)對應(yīng)用層攻擊過濾；在虛擬化內(nèi)部部署安全防護軟件,實現(xiàn)對虛擬化內(nèi)部的可視、隔離防護作用，搭建虛擬化平臺，滿足云計算區(qū)域邊界環(huán)境訪問控制、入侵防范、安全日志合規(guī)性要求；部署數(shù)據(jù)庫審計與防護設(shè)備，對操作數(shù)據(jù)庫的行為進行有效審計，實時監(jiān)控、識別、阻斷外部黑客攻擊以及來自內(nèi)部高權(quán)限用戶的數(shù)據(jù)竊取行為；部署防毒墻網(wǎng)關(guān)對進出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)進行檢測，發(fā)現(xiàn)病毒立即采取手段進行隔離或查殺，保護網(wǎng)絡(luò)內(nèi)進出數(shù)據(jù)安全；部署操作系統(tǒng)漏洞掃描和補丁設(shè)備，定期對服務(wù)器和網(wǎng)絡(luò)操作系統(tǒng)進行掃描，根據(jù)結(jié)果對漏洞進行分析，對高危漏洞立即修復(fù)，減少潛在危險。(4)對外服務(wù)器區(qū)域安全防護策略。在對外服務(wù)器區(qū)域邊界部署下一代防火墻設(shè)備，實現(xiàn)對進出流量進行精細化的策略管控功能；部署防邊界部件檢測系統(tǒng)、Web應(yīng)用防火墻設(shè)備和安全日志審計系統(tǒng)，實現(xiàn)對外業(yè)務(wù)系統(tǒng)安全防護，有效抵御針對Web類的攻擊；部署應(yīng)用交付設(shè)備提供對超文本傳輸安全協(xié)議(Hyper Text Transfer Protocol over Secure Socket Layer，HTTPS)站點的安全套接層協(xié)議(Secure Sockets Layer，SSL)卸載能力，減輕站點性能壓力；部署內(nèi)外網(wǎng)隔離設(shè)備網(wǎng)閘，在內(nèi)外網(wǎng)之間建立特殊協(xié)議傳輸通道，既可實現(xiàn)內(nèi)外網(wǎng)之間數(shù)據(jù)傳輸，又能實現(xiàn)內(nèi)外網(wǎng)之間的物理隔離，保障核心業(yè)務(wù)網(wǎng)絡(luò)服務(wù)器安全。(5)核心交換區(qū)域安全防護策略。核心交換區(qū)關(guān)鍵設(shè)備和鏈路做冗余以提高業(yè)務(wù)容錯能力；鏡像模式部署流量/威脅探針，通過和安全管理中心管理平臺聯(lián)動實現(xiàn)對網(wǎng)絡(luò)內(nèi)東西南北流量的分析，讓管理員直觀了解當(dāng)前網(wǎng)絡(luò)風(fēng)險態(tài)勢；部署入侵檢測和防御系統(tǒng)，對流經(jīng)的每個報文進行深度檢測，實現(xiàn)事前危險分析和阻斷；部署網(wǎng)絡(luò)審計設(shè)備，對用戶操作行為進行記錄和跟蹤審計，實現(xiàn)事后追蹤功能。(6)內(nèi)外網(wǎng)辦公區(qū)域安全防護策略。以代理模式部署終端探針設(shè)備，通過與安全管理中心管理平臺聯(lián)動，實時分析監(jiān)控終端風(fēng)險態(tài)勢；在辦公區(qū)域電腦安裝殺毒軟件和桌面管理軟件，實現(xiàn)對終端設(shè)備防護和安全策略設(shè)置，保證辦公區(qū)域環(huán)境安全。

3.4.4 優(yōu)化安全計算環(huán)境 安全計算管理要求在系統(tǒng)、應(yīng)用和數(shù)據(jù)方面進行全面防護，對不同業(yè)務(wù)系統(tǒng)與安全區(qū)域劃分不同虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)，通過設(shè)置訪問控制、建立身份鑒別、提供安全審計、配置入侵防范、部署惡意代碼防范和設(shè)備防范措施、進行資源有效控制，對數(shù)據(jù)進行備份和恢復(fù)，定期進行應(yīng)急預(yù)案演練，保證醫(yī)院數(shù)據(jù)安全，提高系統(tǒng)可用性。

3.4.5 建立安全管理中心 基于安全技術(shù)要求，部署安全管理平臺、大數(shù)據(jù)分析平臺，提供有效的集中安全管理及大數(shù)據(jù)分析，降低用戶運維管理成本。綜合運用全局性日志管理、統(tǒng)一策略管理、設(shè)備狀態(tài)集中監(jiān)控、監(jiān)控數(shù)據(jù)匯總和報表統(tǒng)計等手段，解決網(wǎng)絡(luò)安全狀況不直觀、管理混亂、響應(yīng)慢、故障定位難等問題，為醫(yī)院管理提供全面的解決方案，同時滿足安全管理中心集中管控的合規(guī)性要求。

3.5 加強網(wǎng)絡(luò)安全保障

為確保醫(yī)院信息系統(tǒng)處于安全環(huán)境之中，應(yīng)強化隊伍建設(shè)、教育培訓(xùn)、經(jīng)費保障和應(yīng)急預(yù)案4方面措施。一是配備高技術(shù)人才作為堅強后盾，隊伍建設(shè)要合理、多元化，根據(jù)網(wǎng)絡(luò)安全要求劃分不同類別和級別的技術(shù)人員。二是加強專業(yè)技術(shù)培訓(xùn)，提高人員網(wǎng)絡(luò)安全意識，提升專業(yè)技能和應(yīng)急處置能力，提高醫(yī)院整體網(wǎng)絡(luò)信息安全水平。三是提供經(jīng)費保障用于網(wǎng)絡(luò)維護以及設(shè)備投入和更換，這是醫(yī)院網(wǎng)絡(luò)信息安全健康發(fā)展的永續(xù)動力。四是應(yīng)急預(yù)案的制定和演練可提高突發(fā)事件處置能力，確保在發(fā)生危險時可及時控制并快速恢復(fù)正常。依據(jù)應(yīng)急演練過程中發(fā)現(xiàn)的問題及時完善應(yīng)急流程，為醫(yī)院正常業(yè)務(wù)運行創(chuàng)造安全、穩(wěn)定、可靠的網(wǎng)絡(luò)環(huán)境。

4 結(jié)語

醫(yī)院信息安全沒有絕對性，隨著時間推移，管理理念、信息技術(shù)以及醫(yī)院信息化程度的不斷變化，醫(yī)院等級保護建設(shè)需與時俱進。新標(biāo)準(zhǔn)的發(fā)布與實施一方面帶來挑戰(zhàn)，另一方面也是切實提升醫(yī)院安全能力的機會。本文根據(jù)等級保護2.0新標(biāo)準(zhǔn)要求，分析醫(yī)院當(dāng)前存在的問題與差距，制定相應(yīng)應(yīng)對策略，提出建立“基于1個中心的多重防護體系”，一定程度上消除技術(shù)薄弱和管理疏忽環(huán)節(jié)，降低安全風(fēng)險，為醫(yī)院后續(xù)開展基于2.0標(biāo)準(zhǔn)3級等保工作提供支撐。