面向等級(jí)保護(hù)的醫(yī)院信息安全服務(wù)框架

王光明

（南京市溧水區(qū)第三人民醫(yī)院，江蘇 南京 211200）

1 信息安全服務(wù)及其在醫(yī)院的應(yīng)用

根據(jù)ISO/IEC TR 15443-1：2005國(guó)際標(biāo)準(zhǔn)的術(shù)語(yǔ)，信息安全服務(wù)是由供應(yīng)商、機(jī)構(gòu)或人員執(zhí)行的一項(xiàng)安全過(guò)程或任務(wù)。具體到醫(yī)院環(huán)境里，多指由專(zhuān)業(yè)第三方單位向醫(yī)院提供信息安全服務(wù)，本文所指的服務(wù)也是指安全專(zhuān)業(yè)機(jī)構(gòu)向醫(yī)院的一種服務(wù)輸出。

筆者以為，信息安全服務(wù)是指為滿足客戶持續(xù)發(fā)展的信息安全需求，通過(guò)安全專(zhuān)家提供 完整的行業(yè)或特定客戶的信息安全咨詢(xún)或解決方案，幫助客戶應(yīng)對(duì)來(lái)自信息安全領(lǐng)域的各種挑戰(zhàn)，為信息系統(tǒng)支撐業(yè)務(wù)發(fā)展提供安全保障。

在各級(jí)醫(yī)院，信息技術(shù)服務(wù)應(yīng)從網(wǎng)絡(luò)、應(yīng)用及IT資產(chǎn)三個(gè)方面構(gòu)建醫(yī)院信息安全保護(hù)體系。結(jié)合醫(yī)院總體信息安全方針，在協(xié)議、互聯(lián)、接口、人機(jī)界面、數(shù)據(jù)存儲(chǔ)等方面實(shí)現(xiàn)安全技術(shù)要求；在流程、組織、員工、項(xiàng)目管理和運(yùn)行維護(hù)等方面實(shí)現(xiàn)安全管理要求，保障醫(yī)院相關(guān)業(yè)務(wù)信息平臺(tái)與系統(tǒng)的穩(wěn)定運(yùn)行，以及系統(tǒng)高可用性和敏感數(shù)據(jù)安全可靠。

總的來(lái)說(shuō)，信息安全服務(wù)大致有風(fēng)險(xiǎn)識(shí)別服務(wù)、安全規(guī)劃服務(wù)、安全應(yīng)急服務(wù)、數(shù)據(jù)與應(yīng)用容災(zāi)服務(wù)、安全開(kāi)發(fā)服務(wù)、安全運(yùn)維服務(wù)、安全審計(jì)服務(wù)和安全評(píng)測(cè)服務(wù)等。這些服務(wù)可由醫(yī)院通過(guò)招標(biāo)、競(jìng)爭(zhēng)性談判等采購(gòu)方式，確定服務(wù)提供商（安全服務(wù)機(jī)構(gòu)），并以訂立合同的形式約束服務(wù)內(nèi)容和服務(wù)質(zhì)量（或SLA，即服務(wù)水平協(xié)議）。

2 等級(jí)保護(hù)規(guī)定及其在醫(yī)院的推行

等級(jí)保護(hù)規(guī)定是我國(guó)在信息安全、網(wǎng)絡(luò)安全領(lǐng)域的最重要的規(guī)定之一，并且在《網(wǎng)絡(luò)安全法》中得到明確。

1994年國(guó)務(wù)院頒布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》為等保奠定了法律基礎(chǔ)。2011 年，衛(wèi)生部通過(guò)貫徹《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》文件的落地，推動(dòng)等保合規(guī)建設(shè)得以在醫(yī)療行業(yè)全面展開(kāi)。2019年12月1日，國(guó)家標(biāo)準(zhǔn)GB/T 22239-2019《 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》的正式施行，標(biāo)志著網(wǎng)絡(luò)安全等級(jí)保護(hù)正式進(jìn)入2.0時(shí)代。

在各級(jí)醫(yī)院，通過(guò)對(duì)等保政策的推動(dòng)實(shí)施，基于評(píng)測(cè)整改定級(jí)的迭代升級(jí)，安全保障能力持續(xù)提升。等保規(guī)定強(qiáng)化部署安全設(shè)備、安全軟件以及安全加固服務(wù)，提升院內(nèi)信息系統(tǒng)安全防護(hù)能力，確保醫(yī)院內(nèi)、外網(wǎng)硬件及業(yè)務(wù)軟件包括數(shù)據(jù)受到保護(hù)，不因偶然或惡意因素遭受破壞、更改和泄露，確保業(yè)務(wù)連續(xù)性。

3 等級(jí)保護(hù)視角下醫(yī)院信息安全服務(wù)的內(nèi)容探析

3.1 等級(jí)保護(hù)流程

GB/T 25058-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》規(guī)定了對(duì)等級(jí)保護(hù)對(duì)象實(shí)施等級(jí)保護(hù)的基本流程。包括如下幾個(gè)階段：

保護(hù)對(duì)象定級(jí)與備案階段：可理解為啟動(dòng)階段。

總體安全規(guī)劃階段：可理解為頂層設(shè)計(jì)階段。

安全設(shè)計(jì)與實(shí)施階段：可理解為建設(shè)實(shí)施階段。

安全運(yùn)行與維護(hù)階段：可理解為平穩(wěn)運(yùn)行階段。

定級(jí)對(duì)象終止階段：可理解為結(jié)束階段。

3.2 等級(jí)保護(hù)對(duì)象定級(jí)與備案階段的服務(wù)

本階段的目標(biāo)是實(shí)施等保的醫(yī)院按照國(guó)家有關(guān)管理規(guī)范和定級(jí)標(biāo)準(zhǔn)，確定院內(nèi)等級(jí)保護(hù)對(duì)象及其安全保護(hù)等級(jí)，通常二、三級(jí)醫(yī)院也可對(duì)應(yīng)等保第二、三級(jí)，定級(jí)后應(yīng)經(jīng)過(guò)專(zhuān)家評(píng)審并主管部門(mén)核準(zhǔn)，報(bào)公安機(jī)關(guān)備案審查。在此階段，對(duì)應(yīng)如下為兩類(lèi)服務(wù)。

等保定級(jí)咨詢(xún)服務(wù)：在自行定級(jí)基礎(chǔ)上，參照國(guó)家衛(wèi)生健康主管部門(mén)對(duì)等級(jí)保護(hù)定級(jí)要求，對(duì)信息系統(tǒng)開(kāi)展摸底調(diào)查工作，了解信息系統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類(lèi)型、應(yīng)用或服務(wù)范圍、用戶數(shù)量、系統(tǒng)結(jié)構(gòu)、部署方式、安全策略、內(nèi)控制度等信息，協(xié)助用戶單位完成撰寫(xiě)信息系統(tǒng)定級(jí)報(bào)告，明確信息系統(tǒng)的邊界和安全保護(hù)等級(jí)，并組織專(zhuān)家評(píng)審。

等保備案輔助服務(wù)：根據(jù)《信息安全等級(jí)保護(hù)管理辦法》，信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門(mén)需到當(dāng)?shù)毓矙C(jī)關(guān)備案。備案輔助服務(wù)，即是協(xié)助醫(yī)院信息部門(mén)填寫(xiě)《信息系統(tǒng)安全等級(jí)保護(hù)備案表》等準(zhǔn)備材料，直到完成備案工作。

3.3 總體安全規(guī)劃階段的服務(wù)

本階段目標(biāo)是根據(jù)院內(nèi)等級(jí)保護(hù)對(duì)象的劃分情況、定級(jí)情況和承載業(yè)務(wù)情況，通過(guò)分析明確醫(yī)院等級(jí)保護(hù)對(duì)象安全需求，規(guī)劃設(shè)計(jì)滿足等保要求并科學(xué)合理的總體安全方案，制定方案實(shí)施計(jì)劃，指導(dǎo)其后等保對(duì)象安全建設(shè)項(xiàng)目實(shí)施。此階段對(duì)應(yīng)如下兩類(lèi)分析服務(wù)。

等保資產(chǎn)分析服務(wù)：根據(jù)等級(jí)保護(hù)范圍內(nèi)的資產(chǎn)組成，派遣專(zhuān)業(yè)工程師到醫(yī)院整理各系統(tǒng)網(wǎng)絡(luò)拓?fù)湟约跋嚓P(guān)聯(lián)資產(chǎn)，編制信息系統(tǒng)資產(chǎn)清單及資產(chǎn)報(bào)告，對(duì)服務(wù)范圍內(nèi)信息系統(tǒng)及安全管理制度進(jìn)行調(diào)研和梳理，編制信息系統(tǒng)詳細(xì)描述文檔。提供詳細(xì)的資產(chǎn)臺(tái)帳，協(xié)助醫(yī)院完成總體安全規(guī)劃。

等保風(fēng)險(xiǎn)分析服務(wù)：根據(jù)等級(jí)保護(hù)基本要求，開(kāi)展現(xiàn)狀分析，通過(guò)安全訪談、脆弱性評(píng)估、登錄檢查、日志分析以及滲透測(cè)試等技術(shù)手段對(duì)現(xiàn)有的安全資產(chǎn)進(jìn)行全方位的風(fēng)險(xiǎn)評(píng)判，結(jié)合數(shù)字資產(chǎn)屬性、威脅性、脆弱性等基本因素，完成信息系統(tǒng)安全風(fēng)險(xiǎn)分析，編制風(fēng)險(xiǎn)分析報(bào)告。

3.4 安全設(shè)計(jì)與實(shí)施階段的服務(wù)

本階段的目標(biāo)是按照醫(yī)院等級(jí)保護(hù)對(duì)象安全總體方案要求，結(jié)合其安全建設(shè)實(shí)施規(guī)劃，分階段、分步驟落實(shí)安全措施。在此階段可實(shí)施如下二類(lèi)服務(wù)。

等保差距評(píng)估服務(wù)：在設(shè)計(jì)和實(shí)施階段，特別是實(shí)施收尾期，根據(jù)GB/T 22239-2019標(biāo)準(zhǔn)將定級(jí)信息系統(tǒng)等級(jí)保護(hù)的各項(xiàng)基本要求與信息安全現(xiàn)狀進(jìn)行比較分析，從管理和技術(shù)兩個(gè)層面找出存在的問(wèn)題并進(jìn)行差距分析。

等保整改建設(shè)服務(wù)：依據(jù)相應(yīng)等級(jí)要求對(duì)當(dāng)前實(shí)際情況的差距分析結(jié)果對(duì)應(yīng)策略設(shè)計(jì)整改加固措施，針對(duì)不符合項(xiàng)以及行業(yè)特性要求進(jìn)行個(gè)性化的整改方案設(shè)計(jì)，包含崗位職責(zé)梳理、技術(shù)策略實(shí)施、風(fēng)險(xiǎn)評(píng)估、管理體系建設(shè)、安全設(shè)備集成、安全方案優(yōu)化、提供安全情報(bào)等方面，落實(shí)信息安全等級(jí)保護(hù)詳細(xì)建設(shè)方案，協(xié)助醫(yī)院完成網(wǎng)絡(luò)安全建設(shè)和整改工作。

3.5 安全運(yùn)行與維護(hù)階段的服務(wù)

本階段涉及的內(nèi)容包括醫(yī)院安全運(yùn)行與維護(hù)機(jī)構(gòu)的完善，相關(guān)安全運(yùn)維機(jī)制的建立，包括不限于人員、資產(chǎn)、技術(shù)、流程的管理，以及網(wǎng)絡(luò)、系統(tǒng)的管理，密碼、密鑰的管理和運(yùn)行、變更的管理，同時(shí)須采取技術(shù)措施完成安全狀態(tài)監(jiān)控，通過(guò)與網(wǎng)安部門(mén)配合參與網(wǎng)絡(luò)安全事件的處置，以及安全審計(jì)和安全巡檢等內(nèi)容。本階段周期較長(zhǎng)，涉及四類(lèi)服務(wù)。

等保整改加固服務(wù)：根據(jù)等級(jí)保護(hù)基本要求以及風(fēng)險(xiǎn)和差距分析結(jié)果，對(duì)服務(wù)范圍內(nèi)信息系統(tǒng)的關(guān)鍵資產(chǎn)編制安全加固實(shí)施方案。派遣專(zhuān)業(yè)工程師到醫(yī)院現(xiàn)場(chǎng)，根據(jù)安全加固實(shí)施方案實(shí)施邊界防護(hù)安全策略?xún)?yōu)化輔導(dǎo)，提供主機(jī)安全加固建議、數(shù)據(jù)庫(kù)安全加固建議以及應(yīng)用安全加固建議，并在授權(quán)后付諸實(shí)施。

等保制度建設(shè)服務(wù)：協(xié)助醫(yī)院對(duì)安全管理制度建設(shè)，主要包括信息安全工作職責(zé)，信息安全監(jiān)督、檢查機(jī)制，輔助用戶編寫(xiě)方針、制度、各類(lèi)記錄表格模板在內(nèi)的三層結(jié)構(gòu)的安全管理制度等，達(dá)到等級(jí)保護(hù)測(cè)評(píng)要求。

安全策略復(fù)查服務(wù)：派遣專(zhuān)業(yè)工程師到醫(yī)院現(xiàn)場(chǎng)針對(duì)加固前后的系統(tǒng)脆弱性進(jìn)行復(fù)查，復(fù)查手段包括協(xié)議分析、漏洞掃描、漏洞驗(yàn)證以及配置核查等方法。復(fù)查完成后，應(yīng)出具復(fù)查報(bào)告，反應(yīng)加固前后對(duì)比。

等保測(cè)評(píng)輔助服務(wù)：在測(cè)評(píng)階段協(xié)助用戶準(zhǔn)備測(cè)評(píng)對(duì)象相關(guān)材料，指導(dǎo)醫(yī)院配合測(cè)評(píng)機(jī)構(gòu)開(kāi)展等級(jí)測(cè)評(píng)工作，監(jiān)督測(cè)評(píng)整改，保障醫(yī)院以較高分?jǐn)?shù)獲得測(cè)評(píng)報(bào)告，通過(guò)等保測(cè)評(píng)。

4 簡(jiǎn)析信息安全服務(wù)框架及與等保關(guān)聯(lián)

在等級(jí)保護(hù)政策下，醫(yī)院信息安全服務(wù)框架有了更完整的畫(huà)像。該信息安全服務(wù)框架提供外部支持服務(wù)，以幫助各類(lèi)醫(yī)療機(jī)構(gòu)、衛(wèi)生管理部門(mén)和更廣泛的公共部門(mén)組織管理信息安全風(fēng)險(xiǎn)并在發(fā)生網(wǎng)絡(luò)安全事件時(shí)進(jìn)行恢復(fù)。經(jīng)過(guò)一系列的設(shè)計(jì)、交付、測(cè)試、治理和保證等合規(guī)行動(dòng)，它通過(guò)確?；颊邤?shù)據(jù)的安全和關(guān)鍵服務(wù)及系統(tǒng)保持可用，來(lái)實(shí)現(xiàn)醫(yī)療機(jī)構(gòu)服務(wù)連續(xù)性。

醫(yī)院信息安全服務(wù)框架由核心方針、實(shí)施程序和配置文件構(gòu)成。各方作用如下：

核心方針——能夠在整個(gè)醫(yī)院內(nèi)傳達(dá)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)；

實(shí)施程序——幫助為安全計(jì)劃找到合適的執(zhí)行程度；

配置文件——使相關(guān)行業(yè)標(biāo)準(zhǔn)和醫(yī)院最佳實(shí)踐保持一致。

框架核心是一組信息安全活動(dòng)、預(yù)期結(jié)果和適用的參考標(biāo)準(zhǔn)，這些活動(dòng)在關(guān)鍵基礎(chǔ)設(shè)施部門(mén)中是通用的。它由五個(gè)并發(fā)和連續(xù)的階段功能組成：識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。在等級(jí)保護(hù)政策來(lái)看，GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》標(biāo)準(zhǔn)就相當(dāng)于核心方針。它規(guī)定了（醫(yī)療機(jī)構(gòu)）網(wǎng)絡(luò)安全等級(jí)保護(hù)的第一級(jí)到第三級(jí)（通常）等級(jí)保護(hù)對(duì)象的安全通用要求和安全擴(kuò)展要求。 第四級(jí)鮮有醫(yī)院定，本標(biāo)準(zhǔn)不涉及第五級(jí)。

實(shí)施程序描述了醫(yī)院信息安全風(fēng)險(xiǎn)管理實(shí)踐表現(xiàn)出框架中定義特征的程度。國(guó)標(biāo)GB/T 22240-2020 《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》大致相當(dāng)于（其中某項(xiàng)）實(shí)施程序。它給出了醫(yī)療機(jī)構(gòu)內(nèi)等級(jí)保護(hù)對(duì)象的安全保護(hù)等級(jí)定級(jí)方法和定級(jí)流程。適用于指導(dǎo)醫(yī)院管理員開(kāi)展針對(duì)本機(jī)構(gòu)的等級(jí)保護(hù)對(duì)象定級(jí)工作。

配置文件表示醫(yī)院根據(jù)業(yè)務(wù)需求確定優(yōu)先級(jí)的核心功能類(lèi)別和子類(lèi)別，可用于衡量醫(yī)院朝著目標(biāo)配置文件的進(jìn)度。通常在行業(yè)內(nèi)被稱(chēng)為“規(guī)程”文件。比如國(guó)標(biāo)GB/T 28449-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》文件實(shí)際上就是指導(dǎo)測(cè)評(píng)過(guò)程的一個(gè)規(guī)程性文件。它不僅規(guī)定了測(cè)評(píng)服務(wù)的工作要求、工作流程，甚至還明確了測(cè)評(píng)方式、報(bào)告模板等。

等保工作中的定級(jí)、備案、測(cè)評(píng)、建設(shè)整改和監(jiān)督檢查一系列閉環(huán)流程，也可以理解為近似本框架的5個(gè)關(guān)鍵階段。即識(shí)別、保護(hù)、探測(cè)、回應(yīng)、恢復(fù)。其中識(shí)別階段是基礎(chǔ)。識(shí)別就是列支準(zhǔn)確的 IT 資產(chǎn)清單，并了解資產(chǎn)的重要性。識(shí)別還關(guān)注發(fā)現(xiàn)攻擊者可以利用的漏洞。識(shí)別能力就像人類(lèi)的感官，感知風(fēng)險(xiǎn)，并通過(guò)信息安全策略、工作計(jì)劃來(lái)提供指導(dǎo)和幫助。

4.1 識(shí)別

識(shí)別也稱(chēng)確認(rèn)，該階段專(zhuān)注于為有效的信息安全計(jì)劃奠定基礎(chǔ)。有助于形成醫(yī)院上下理解，以管理系統(tǒng)、人員、資產(chǎn)、數(shù)據(jù)和能力的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。為了使醫(yī)院能夠根據(jù)其風(fēng)險(xiǎn)管理戰(zhàn)略和業(yè)務(wù)需求集中精力并確定其工作的優(yōu)先級(jí)，該階段強(qiáng)調(diào)了解衛(wèi)生醫(yī)療業(yè)務(wù)背景、支持關(guān)鍵職能的資源以及相關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要性。該階段的基本活動(dòng)包括：

4.2 保護(hù)

保護(hù)功能概述了可用于醫(yī)院的適當(dāng)?shù)谋Ｗo(hù)措施，以確保院內(nèi)關(guān)鍵基礎(chǔ)設(shè)施服務(wù)的交付，并支持限制或控制醫(yī)院潛在網(wǎng)絡(luò)安全事件影響的能力。該階段中的關(guān)鍵活動(dòng)包括：

4.3 探測(cè)

檢測(cè)潛在的網(wǎng)絡(luò)安全事件至關(guān)重要，該階段定義了適當(dāng)?shù)幕顒?dòng)，以及時(shí)識(shí)別醫(yī)院網(wǎng)絡(luò)安全事件的發(fā)生。該階段的活動(dòng)包括：

4.4 回應(yīng)

響應(yīng)階段側(cè)重于在檢測(cè)到醫(yī)院網(wǎng)絡(luò)安全事件時(shí)采取適當(dāng)?shù)男袆?dòng)，并支持控制潛在網(wǎng)絡(luò)安全事件影響的能力。該階段的基本活動(dòng)包括：

4.5 恢復(fù)

恢復(fù)階段確定適當(dāng)?shù)幕顒?dòng)，以更新和維護(hù)彈性計(jì)劃，并恢復(fù)因網(wǎng)絡(luò)安全事件而受損的任何能力或服務(wù)。及時(shí)恢復(fù)正常運(yùn)營(yíng)，以減少網(wǎng)絡(luò)安全事件的影響。此階段的基本活動(dòng)與響應(yīng)的活動(dòng)有些重疊，包括：

4.6 層級(jí)關(guān)系

如上圖，識(shí)別、保護(hù)、探測(cè)、回應(yīng)、恢復(fù)等各階段的關(guān)系，可理解為均屬實(shí)施程序的環(huán)節(jié)。組成首尾呼應(yīng)的“戴明環(huán)”，該環(huán)內(nèi)圈為組織的核心安全方針，外圈為各階段、各程序的配置和記錄文件。

5 結(jié)束語(yǔ)

當(dāng)今，醫(yī)療衛(wèi)生行業(yè)已經(jīng)變得容易受到網(wǎng)絡(luò)攻擊，就像任何其他行業(yè)一樣。在所有這些領(lǐng)域中，一個(gè)值得注意的事實(shí)是現(xiàn)有威脅和新興威脅的相似性。與此同時(shí)，醫(yī)療機(jī)構(gòu)組織越來(lái)越需要向客戶和監(jiān)管機(jī)構(gòu)保證他們的網(wǎng)絡(luò)和系統(tǒng)已經(jīng)采用了足夠的安全措施。實(shí)現(xiàn)這一目標(biāo)的一種方法包括遵守各種公認(rèn)的安全標(biāo)準(zhǔn)和框架。在國(guó)內(nèi)，首選自然是通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)和測(cè)評(píng)、監(jiān)督（當(dāng)前版本為2.0），選擇等保不僅是政策上的考量，而且也源于它的安全框架設(shè)計(jì)科學(xué)、有效，可最大限度抵抗“木桶原理”。

盡管信息安全服務(wù)包羅甚廣，但當(dāng)視角鎖定等級(jí)保護(hù)時(shí)，所需的安全服務(wù)基本上是未然流程中各階段而完成的。除等保定級(jí)對(duì)象終止階段外，其余各階段均可由專(zhuān)業(yè)的安全服務(wù)機(jī)構(gòu)向醫(yī)院輸出服務(wù)，協(xié)助用戶完成等保完整流程。茲列表如下：

等保階段 定級(jí)備案 總體規(guī)劃 設(shè)計(jì)實(shí)施 安全運(yùn)維 定級(jí)終止所需服務(wù)列表 定級(jí)咨詢(xún)備案輔助資產(chǎn)分析風(fēng)險(xiǎn)分析差距評(píng)估整改建設(shè)整改加固制度建設(shè)策略復(fù)查無(wú)

同時(shí)也明確，部分更深一層次的服務(wù)，比如安全滲透服務(wù)，其實(shí)是包含在風(fēng)險(xiǎn)分析服務(wù)中的。