李云霄 余張杰 傅承主
廣東省衛(wèi)生健康委員會事務(wù)中心 廣東廣州 510060
隨著醫(yī)院數(shù)字化、智慧化建設(shè)逐步深入,醫(yī)院信息系統(tǒng)或集成平臺(以下簡稱“醫(yī)院信息平臺”)已由原來封閉、隔離的院區(qū)網(wǎng)絡(luò)系統(tǒng),向開放的互聯(lián)網(wǎng)體系融合[1-2],網(wǎng)絡(luò)安全邊界在不斷外延,業(yè)務(wù)系統(tǒng)復(fù)雜性在不斷增加,與外部機(jī)構(gòu)之間的數(shù)據(jù)共享和業(yè)務(wù)協(xié)同也越來越頻繁,使得醫(yī)院的網(wǎng)絡(luò)安全問題不斷突顯[3]。為了實(shí)現(xiàn)醫(yī)療信息數(shù)據(jù)共享利用和信息安全保護(hù)之間的平衡,加強(qiáng)醫(yī)院網(wǎng)絡(luò)信息安全治理,不僅需要國家的法律法規(guī)框架進(jìn)行強(qiáng)制和約束,也需要明確的、有效的實(shí)施路徑。國家衛(wèi)生健康信息標(biāo)準(zhǔn)專業(yè)委員會和國家衛(wèi)生健康委統(tǒng)計(jì)信息中心發(fā)布的《醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測評方案(2020版)》(以下簡稱:醫(yī)院測評方案)提出了對醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測評(以下簡稱:醫(yī)院互聯(lián)互通測評)從硬件基礎(chǔ)設(shè)施、網(wǎng)絡(luò)安全、環(huán)境安全、應(yīng)用安全、數(shù)據(jù)安全、隱私保護(hù)、管理安全7個(gè)維度提出測評標(biāo)準(zhǔn)[4],為醫(yī)院網(wǎng)絡(luò)安全治理提出頂層設(shè)計(jì)和具體實(shí)施路徑。
醫(yī)院測評方案將醫(yī)院互聯(lián)互通測評的應(yīng)用效果評價(jià)分為7個(gè)等級,由低到高依次為一級、二級、三級、四級乙等、四級甲等、五級乙等、五級甲級[5-6]。不同等級提出不同的網(wǎng)絡(luò)安全要求,使得醫(yī)院信息平臺的網(wǎng)絡(luò)安全建設(shè)有了明確的指導(dǎo)性,有助于各級醫(yī)療衛(wèi)生機(jī)構(gòu)根據(jù)自身醫(yī)院規(guī)模、等級、資金等各方面情況,選擇適合的互聯(lián)互通測評等級,對標(biāo)開展網(wǎng)絡(luò)安全建設(shè)。
當(dāng)醫(yī)院在開展以電子病歷和醫(yī)院信息平臺為核心的信息化項(xiàng)目建設(shè)時(shí),在網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)、建設(shè)、治理的過程中,可參照醫(yī)院測評方案中網(wǎng)絡(luò)安全方面相關(guān)指標(biāo)。醫(yī)院測評方案提出了網(wǎng)絡(luò)安全治理的可操作的實(shí)施路徑,從硬件基礎(chǔ)設(shè)施建設(shè)、網(wǎng)絡(luò)及網(wǎng)絡(luò)安全、環(huán)境安全、應(yīng)用安全、數(shù)據(jù)安全、隱私保護(hù)、管理安全等方面測評指標(biāo),細(xì)化了網(wǎng)絡(luò)安全整體要求和目標(biāo),有效引導(dǎo)和規(guī)范醫(yī)療機(jī)構(gòu)在網(wǎng)絡(luò)安全方面的建設(shè)和治理。醫(yī)院互聯(lián)互通測評網(wǎng)絡(luò)安全相關(guān)評價(jià)內(nèi)容見圖1所示:
圖1 醫(yī)院互聯(lián)互通測評網(wǎng)絡(luò)安全評價(jià)內(nèi)容
《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(等保2.0)從安全物理環(huán)境、安全網(wǎng)絡(luò)通信、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等方面提出具體的防護(hù)要求[7-9]。醫(yī)院互聯(lián)互通測評分為標(biāo)準(zhǔn)符合性測試和應(yīng)用效果評價(jià)兩個(gè)部分,應(yīng)用效果評價(jià)的評價(jià)內(nèi)容包含了硬件基礎(chǔ)設(shè)施情況、網(wǎng)絡(luò)及網(wǎng)絡(luò)安全情況、信息安全情況等。本文基于當(dāng)前醫(yī)院申請最多的互聯(lián)互通測評四級甲等及以上等級對應(yīng)的網(wǎng)絡(luò)安全相關(guān)指標(biāo),結(jié)合等保2.0相關(guān)要求,形成一種有效的醫(yī)院網(wǎng)絡(luò)安全治理實(shí)施路徑。
加強(qiáng)服務(wù)器、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備等硬件基礎(chǔ)設(shè)施建設(shè)是做好網(wǎng)絡(luò)安全防護(hù)工作的基礎(chǔ)。關(guān)鍵硬件基礎(chǔ)設(shè)施是否安全、穩(wěn)定、可靠是醫(yī)院網(wǎng)絡(luò)安全治理成功的前提。針對醫(yī)院信息平臺的硬件基礎(chǔ)設(shè)施建設(shè),醫(yī)院測評方案明確以下網(wǎng)絡(luò)安全要求
3.1.1 服務(wù)器設(shè)備 醫(yī)院測評方案將服務(wù)器設(shè)備劃分為集成服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器,要求這三類服務(wù)器均應(yīng)采用專用的服務(wù)器或獨(dú)立的服務(wù)器,排除無關(guān)人員、無關(guān)信息造成的網(wǎng)絡(luò)安全風(fēng)險(xiǎn);實(shí)現(xiàn)高可用部署,保證業(yè)務(wù)連續(xù)性;采用虛擬化、云計(jì)算技術(shù),實(shí)現(xiàn)計(jì)算資源統(tǒng)一管理、彈性調(diào)配,提高資源使用效率;五乙以上等級還要求集成服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器具備標(biāo)準(zhǔn)化的接口,支持服務(wù)器資源、運(yùn)行狀態(tài)、部署信息等進(jìn)行統(tǒng)一管理及監(jiān)控。
3.1.2 存儲設(shè)備 存儲設(shè)備應(yīng)具備有效的冗余機(jī)制,設(shè)置合理的RAID級別;在存儲架構(gòu)方面,應(yīng)采用云端存儲網(wǎng)絡(luò)架構(gòu)、分布式存儲或多臺存儲同步寫入架構(gòu)中的一種,實(shí)現(xiàn)數(shù)據(jù)在多個(gè)存儲節(jié)點(diǎn)保存;應(yīng)具備良好的災(zāi)備能力,可選擇本地備份、異地備份、數(shù)據(jù)快照、云端備份等方式;應(yīng)具有可靠的離線存儲能力,要嚴(yán)格落實(shí)離線備份機(jī)制,不能過于依靠線上存儲。醫(yī)院測評方案針對不同的測評等級對災(zāi)備恢復(fù)時(shí)間提出不同的要求,四級甲等要求RTO(恢復(fù)時(shí)間目標(biāo))不得高于4小時(shí),RPO(恢復(fù)點(diǎn)目標(biāo))不得高于6小時(shí),且必須確保能夠有效恢復(fù)。五乙以上等級還需將存儲空間虛擬成資源池,使存儲系統(tǒng)具備冗余或容災(zāi)能力;五甲要求平臺存儲具備連續(xù)數(shù)據(jù)保護(hù)(CDP)能力,實(shí)現(xiàn)過去任意時(shí)間點(diǎn)的數(shù)據(jù)恢復(fù),即RTO和RPO均為0。
3.1.3 網(wǎng)絡(luò)設(shè)備 數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備應(yīng)種類多樣,功能齊全,如三層交換機(jī)、二層交換機(jī)、VPN網(wǎng)關(guān)、路由器、防火墻、IDS/IPS等,并支持設(shè)備級和鏈路級的冗余機(jī)制,不因出現(xiàn)單點(diǎn)故障導(dǎo)致服務(wù)中斷,保證服務(wù)穩(wěn)定性和延續(xù)性,支持標(biāo)準(zhǔn)SNMP協(xié)議并可管理。五乙以上等級還在網(wǎng)絡(luò)設(shè)備安全性、數(shù)據(jù)流量和性能等方面的監(jiān)控告警控制、遠(yuǎn)程管理及故障診斷能力,無線網(wǎng)絡(luò)的物聯(lián)網(wǎng)與5G部署接入能力等方面提出了具體要求。
隨著信息化建設(shè)不斷推進(jìn),醫(yī)療機(jī)構(gòu)與醫(yī)保部門、商業(yè)保險(xiǎn)、衛(wèi)生行政部門、公共衛(wèi)生防疫部門、醫(yī)聯(lián)體等外部之間的數(shù)據(jù)共享和交換越來越頻繁,導(dǎo)致網(wǎng)絡(luò)安全邊界不斷擴(kuò)大,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不斷增加。醫(yī)院測評方案明確醫(yī)院網(wǎng)絡(luò)帶寬要保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)滿足業(yè)務(wù)高峰期需要,要滿足大容量醫(yī)學(xué)影像數(shù)據(jù)的傳輸,最低要求是千兆以上。無線網(wǎng)絡(luò)應(yīng)單獨(dú)組網(wǎng),并通過邊界防護(hù)設(shè)備接入到內(nèi)部有線局域網(wǎng)絡(luò),至少應(yīng)實(shí)現(xiàn)門急診、住院等核心臨床醫(yī)療業(yè)務(wù)環(huán)境的全覆蓋,有條件的要實(shí)現(xiàn)醫(yī)技、行政管理區(qū)域乃至運(yùn)營管理、后勤保障、教學(xué)科研等區(qū)域在內(nèi)的全院區(qū)無線覆蓋。終端和服務(wù)器之間應(yīng)處于不同的廣播域,不同網(wǎng)絡(luò)、網(wǎng)段之間應(yīng)根據(jù)業(yè)務(wù)實(shí)行分區(qū)隔離措施;網(wǎng)絡(luò)設(shè)備應(yīng)具備自身防護(hù)措施,針對不同權(quán)限用戶進(jìn)行身份鑒別和權(quán)限控制。整個(gè)網(wǎng)絡(luò)應(yīng)設(shè)置安全管理中心,同時(shí)兼具可信驗(yàn)證能力、網(wǎng)絡(luò)流量惡意代碼防范措施及新型和未知威脅發(fā)現(xiàn)能力、集中安全審計(jì)和管理能力以及設(shè)備運(yùn)行狀態(tài)監(jiān)測能力等。
醫(yī)院測評方案對機(jī)房環(huán)境安全也提出了具體要求,數(shù)據(jù)中心機(jī)房要按照《GB50174-2017數(shù)據(jù)中心設(shè)計(jì)規(guī)范》[10]《GB/T 2887-2011計(jì)算機(jī)場地通用規(guī)范》[11]要求,做好機(jī)房的防磁、防塵、防水、防火、防雷、防靜電、溫濕度控制、電源接地等措施,應(yīng)通過第三方專業(yè)的機(jī)房檢測并出具檢測報(bào)告。醫(yī)院應(yīng)保持干凈整潔,電源和網(wǎng)絡(luò)布線規(guī)范整齊、強(qiáng)弱分離、標(biāo)識清晰,減少其他外部因素帶來的安全風(fēng)險(xiǎn)。
醫(yī)院業(yè)務(wù)數(shù)字化應(yīng)用場景越來越普遍,基本上涵蓋了醫(yī)院業(yè)務(wù)的方方面面,應(yīng)用系統(tǒng)數(shù)達(dá)到幾十個(gè)甚至上百個(gè),各個(gè)應(yīng)用系統(tǒng)通過醫(yī)院信息平臺進(jìn)行業(yè)務(wù)交互和數(shù)據(jù)共享。醫(yī)院測評方案對應(yīng)用系統(tǒng)軟件的用戶授權(quán)和審計(jì)、應(yīng)用系統(tǒng)備份、軟件容錯、數(shù)據(jù)痕跡修改和訪問控制、CA或第三方認(rèn)證、等級保護(hù)定級備案和測評、安全檢查、應(yīng)急演練等方面提出相應(yīng)規(guī)范和要求。在用戶授權(quán)控制方面,應(yīng)對系統(tǒng)軟件和應(yīng)用軟件的訪問和使用有精細(xì)的授權(quán)粒度;在應(yīng)用系統(tǒng)備份方面,需要定期進(jìn)行完全備份并留存?zhèn)浞萦涗浳臋n;在軟件容錯方面,需要保障當(dāng)平臺及核心業(yè)務(wù)在部分節(jié)點(diǎn)發(fā)生軟硬件故障后,其余節(jié)點(diǎn)和功能都能夠正常運(yùn)行;在數(shù)據(jù)痕跡修改和訪問控制方面,需要嚴(yán)格控制數(shù)據(jù)修改功能的權(quán)限,并記錄數(shù)據(jù)修改人、修改時(shí)間、修改內(nèi)容等關(guān)鍵信息,未經(jīng)授權(quán)的人不得對數(shù)據(jù)進(jìn)行修改;在安全檢查方面,每年不少于一次對醫(yī)院信息平臺和核心業(yè)務(wù)系統(tǒng)開展?jié)B透測試、漏洞掃描和安全檢查,并按要求完成整改,做好整改記錄,形成整改報(bào)告;在應(yīng)急演練方面,應(yīng)定期在全院范圍內(nèi)開展安全應(yīng)急演練,且每年不少于1次;尤其值得注意的是,相對于2017年版的醫(yī)院測評方案,2020年最新版測評方案明確提出了四級乙等及以上的核心業(yè)務(wù)系統(tǒng)(含平臺)應(yīng)完成網(wǎng)絡(luò)安全等級保護(hù)三級定級備案并通過測評,要求提供備案證明及本年度或上一年度相關(guān)系統(tǒng)的安全測評報(bào)告。五級甲等還要求醫(yī)院信息平臺支持CA認(rèn)證或其他第三方認(rèn)證,并應(yīng)用于門診、急診、病房、檢查檢驗(yàn)等關(guān)鍵場景。
醫(yī)院信息化包括醫(yī)療業(yè)務(wù)及管理業(yè)務(wù)的全流程路徑,數(shù)據(jù)安全是醫(yī)院的生命線。①做好數(shù)據(jù)存儲、備份和恢復(fù),制定完善的數(shù)據(jù)備份和恢復(fù)的機(jī)制;②做好數(shù)據(jù)防丟失、防泄露、防篡改、可追溯等。當(dāng)數(shù)據(jù)需要開放共享或提供第三方使用時(shí),還應(yīng)實(shí)現(xiàn)數(shù)據(jù)脫敏,去除數(shù)據(jù)中的敏感信息。醫(yī)院測評方案在這幾方面均做出了規(guī)范,提出了具體要求和標(biāo)準(zhǔn)。
《GB/T 35273-2020信息安全技術(shù)個(gè)人信息化安全規(guī)范》規(guī)定了開展收集、存儲、使用、共享、轉(zhuǎn)讓、公開披露、刪除等個(gè)人信息處理活動應(yīng)遵循的原則和安全要求,同時(shí)也定義了個(gè)人信息和個(gè)人敏感信息的判定路徑[12]。結(jié)合上述標(biāo)準(zhǔn),除了滿足傳統(tǒng)的數(shù)據(jù)完整性和數(shù)據(jù)保密性要求,醫(yī)院測評方案還要求對涉及個(gè)人隱私的數(shù)據(jù),醫(yī)院信息平臺應(yīng)具備數(shù)據(jù)訪問警示、匿名化處理等功能和技術(shù)手段,并具有對個(gè)人隱私數(shù)據(jù)的識別能力、風(fēng)險(xiǎn)判別能力和自動提醒功能。五級乙等以上還要求具備數(shù)據(jù)訪問許可、數(shù)據(jù)分級分類保護(hù)、加密存儲等功能。
網(wǎng)絡(luò)安全“三分靠技術(shù),七分靠管理”[13],做好安全管理是開展網(wǎng)絡(luò)安全建設(shè)的有力保障。醫(yī)院測評方案要求做好機(jī)房管理,通過機(jī)房進(jìn)出控制和監(jiān)控系統(tǒng),對非授權(quán)人員進(jìn)出機(jī)房進(jìn)行嚴(yán)格控制,并做好監(jiān)控記錄。要求醫(yī)院建立健全安全管理制度體系,明確網(wǎng)絡(luò)安全職責(zé),設(shè)立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組和網(wǎng)絡(luò)安全主管部門,設(shè)立系統(tǒng)管理員、審計(jì)管理員和安全管理員,保障關(guān)鍵崗位專員負(fù)責(zé);簽訂保密協(xié)議和崗位責(zé)任協(xié)議,做好安全培訓(xùn);加強(qiáng)系統(tǒng)安全建設(shè)和安全運(yùn)維,制定安全應(yīng)急保障方案等[14]。原則上,網(wǎng)絡(luò)安全管理制度應(yīng)以文件形式正式印發(fā)執(zhí)行,重要制度應(yīng)掛墻展示。
通過網(wǎng)上問卷方式,對廣東省參加2019年度、2020年度醫(yī)院互聯(lián)互通測評的36家醫(yī)院開展調(diào)查,針對各參評醫(yī)院按照醫(yī)院互聯(lián)互通測評方案開展網(wǎng)絡(luò)安全治理的實(shí)施效果進(jìn)行分析。調(diào)查結(jié)果顯示如下:
全部醫(yī)院都認(rèn)為醫(yī)院互聯(lián)互通測評指標(biāo)體系中關(guān)于網(wǎng)絡(luò)安全方面的要求不低于網(wǎng)絡(luò)安全三級等保的要求,其中11家醫(yī)院(占比30.6%)認(rèn)為醫(yī)院互聯(lián)互通測評在網(wǎng)絡(luò)安全方面較網(wǎng)絡(luò)安全三級等保提出更高的要求;25家醫(yī)院(占比69.4%)認(rèn)為醫(yī)院互聯(lián)互通測評在網(wǎng)絡(luò)安全方面的要求與網(wǎng)絡(luò)安全三級等保的要求基本持平。具體見表1。
表1 醫(yī)院互聯(lián)互通測評網(wǎng)絡(luò)安全要求與網(wǎng)絡(luò)安全三級等保要求對比情況
全部醫(yī)院都認(rèn)為開展互聯(lián)互通測評對加強(qiáng)網(wǎng)絡(luò)安全等級保護(hù),開展網(wǎng)絡(luò)安全治理有較大促進(jìn)作用。在開展互聯(lián)互通測評前,36家醫(yī)院共有三級等保系統(tǒng)111個(gè),二級等保系統(tǒng)78個(gè),僅有20家醫(yī)院的核心業(yè)務(wù)系統(tǒng)(含平臺)全部都通過三級等保測評;在開展互聯(lián)互通測評后,36家醫(yī)院共有三級等保系統(tǒng)159個(gè)(增加48個(gè)),二級等保系統(tǒng)110個(gè)(增加32個(gè)),有35家醫(yī)院(增加15家)的核心業(yè)務(wù)系統(tǒng)(含平臺)全部都通過三級等保測評。在開展互聯(lián)互通測評前后,36家醫(yī)院信息系統(tǒng)(平臺)網(wǎng)絡(luò)安全等級保護(hù)對比情況具體見圖2。
圖2 36家醫(yī)院開展互聯(lián)互通測評前后等保對比情況
同時(shí),在開展互聯(lián)互通測評前后,36家醫(yī)院中有24家醫(yī)院的三級等保系統(tǒng)個(gè)數(shù)增加,沒有任何一家醫(yī)院的三級等保系統(tǒng)個(gè)數(shù)減少;有7家醫(yī)院的二級等保系統(tǒng)個(gè)數(shù)增加,有3家醫(yī)院因二級等保系統(tǒng)備案升級為三級等保系統(tǒng)導(dǎo)致二級等保系統(tǒng)個(gè)數(shù)減少;有24家醫(yī)院的二級及以上級別等保系統(tǒng)(三級+二級)個(gè)數(shù)增加,沒有任何一家醫(yī)院的二級及以上級別等保系統(tǒng)個(gè)數(shù)減少。不同等保級別系統(tǒng)個(gè)數(shù)增減情況具體見表2。
表2 不同等保級別系統(tǒng)個(gè)數(shù)增減情況
根據(jù)2021年國家衛(wèi)生健康委統(tǒng)計(jì)信息中心組織的全國醫(yī)療健康信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度自評估結(jié)果顯示,廣東省281家醫(yī)院參與了互聯(lián)互通自評估,其中自評估達(dá)到互聯(lián)互通測評三級的醫(yī)院有29家,四級乙等的醫(yī)院有15家,四級甲等的醫(yī)院有60家,五級乙等的醫(yī)院有12家。自2017年起,我省各級各類醫(yī)院開始參與互聯(lián)互通測評,從2017年度全省僅8家醫(yī)院通過測評,到2019年度全省有23家醫(yī)院通過測評(2家醫(yī)院從四級甲等升為五級乙等),每年醫(yī)院通過測評數(shù)量較上一年幾乎成倍增加,目前廣東省通過互聯(lián)互通測評四級乙等以上的醫(yī)院有40家,且正在參加2020年度互聯(lián)互通測評的醫(yī)院已超30余家。隨著互聯(lián)互通測評工作逐步推開,越來越多的醫(yī)院參加互聯(lián)互通測評,按照醫(yī)院測評方案中申報(bào)四級乙等以上級別的醫(yī)院的核心系統(tǒng)(含平臺)必須通過網(wǎng)絡(luò)安全三級等保測評的要求,可以預(yù)見的是,未來幾年廣東省醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)安全防護(hù)水平必然會得到提升。
醫(yī)院測評方案給出醫(yī)院網(wǎng)絡(luò)安全治理的實(shí)施路徑,通過對參加互聯(lián)互通測評的醫(yī)院開展問卷調(diào)查,充分表明開展互聯(lián)互通測評對加強(qiáng)網(wǎng)絡(luò)安全等級保護(hù),開展網(wǎng)絡(luò)安全治理具有一定的促進(jìn)作用。開展醫(yī)院互聯(lián)互通測評工作有助于醫(yī)院網(wǎng)絡(luò)安全規(guī)范化建設(shè),真正達(dá)到了“以評促建、以評促改、以評促用”的目標(biāo)[15]。醫(yī)院網(wǎng)絡(luò)安全治理是一個(gè)長期工作,結(jié)合《中華人民共和國網(wǎng)絡(luò)安全法》和《網(wǎng)絡(luò)安全等級保護(hù)基本要求》等法律法規(guī),要經(jīng)常性開展網(wǎng)絡(luò)安全評估[16],優(yōu)化網(wǎng)絡(luò)安全治理方案,保障數(shù)據(jù)安全。