網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0背景下醫(yī)院網(wǎng)絡(luò)安全建設(shè)研究

胡海民

(芷江侗族自治縣人民醫(yī)院，湖南 芷江 419100)

0 引言

隨著互聯(lián)網(wǎng)在醫(yī)療領(lǐng)域的不斷擴(kuò)展，圍繞醫(yī)院網(wǎng)絡(luò)安全而產(chǎn)生的各類問(wèn)題日益突出。自2018年以來(lái)，每年圍繞醫(yī)院遭受網(wǎng)絡(luò)攻擊的案件數(shù)量居高不下，內(nèi)部網(wǎng)絡(luò)系統(tǒng)遭暴露的醫(yī)院近千家。通過(guò)排查，幾百家醫(yī)院存在數(shù)據(jù)安全及主機(jī)安全隱患，近600家醫(yī)院發(fā)生過(guò)重大網(wǎng)絡(luò)安全事故。特別是新冠疫情暴發(fā)后，外國(guó)勢(shì)力不斷增加對(duì)我國(guó)網(wǎng)絡(luò)的攻擊，導(dǎo)致醫(yī)療機(jī)構(gòu)和網(wǎng)絡(luò)安全事件頻發(fā)。在國(guó)際形勢(shì)越發(fā)復(fù)雜的近幾年，網(wǎng)絡(luò)安全問(wèn)題日益嚴(yán)重，醫(yī)院網(wǎng)絡(luò)系統(tǒng)的安全正在經(jīng)受嚴(yán)重侵襲。網(wǎng)絡(luò)安全防護(hù)等級(jí)2.0背景決定了醫(yī)院網(wǎng)絡(luò)安全建設(shè)的發(fā)展方向。

1 網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0概述及實(shí)施標(biāo)準(zhǔn)

網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0執(zhí)行標(biāo)準(zhǔn)，是以一般要求為基礎(chǔ)，通過(guò)移動(dòng)互聯(lián)及云計(jì)算等多種方式共同作用，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的保護(hù)，維護(hù)重點(diǎn)行業(yè)領(lǐng)域的信息安全。在技術(shù)方面詳細(xì)描述訪問(wèn)控制和入侵防御的要求，可強(qiáng)化可信認(rèn)證和信息保護(hù)。網(wǎng)絡(luò)安全實(shí)施等級(jí)保護(hù)是維護(hù)國(guó)家網(wǎng)絡(luò)安全的有力保障。在網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0推出實(shí)施后，網(wǎng)絡(luò)安全防護(hù)包括信息管理方面的全部?jī)?nèi)容，對(duì)相關(guān)要求也作出了具體說(shuō)明。網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0在1.0的基礎(chǔ)上，對(duì)等級(jí)保護(hù)作出進(jìn)一步明確，對(duì)動(dòng)態(tài)管控、持續(xù)監(jiān)測(cè)進(jìn)行系統(tǒng)性優(yōu)化，不斷提升網(wǎng)絡(luò)安全保護(hù)的可靠性[1]。

2 當(dāng)前醫(yī)院網(wǎng)絡(luò)安全建設(shè)存在的問(wèn)題

通過(guò)調(diào)查發(fā)現(xiàn)，符合網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)估標(biāo)準(zhǔn)的醫(yī)院不足50%，網(wǎng)絡(luò)安全等級(jí)低、信息安全建設(shè)系統(tǒng)化程度不高是當(dāng)前醫(yī)院網(wǎng)絡(luò)安全的主要問(wèn)題。網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0無(wú)論是在信息化程度還是技術(shù)管理服務(wù)方面，都對(duì)醫(yī)院的網(wǎng)絡(luò)技術(shù)方面提出了更高的要求。醫(yī)院的主要安全及保護(hù)項(xiàng)目如表1所示。

表1 醫(yī)院的主要安全及保護(hù)項(xiàng)目

在網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0背景下，醫(yī)院網(wǎng)絡(luò)安全建設(shè)非常重要。但就目前情況來(lái)看，大多數(shù)醫(yī)院的操作系統(tǒng)依然落后，無(wú)法有效抵御新型網(wǎng)絡(luò)攻擊。隨著社會(huì)環(huán)境及網(wǎng)絡(luò)環(huán)境的日趨復(fù)雜化，越發(fā)突顯出醫(yī)院網(wǎng)絡(luò)安全防護(hù)的弊端。設(shè)備的安全性無(wú)法得到保障。在信息管理方面，操作不規(guī)范，管理松懈，維護(hù)人員缺乏專業(yè)性，缺少成體系的管理規(guī)劃。醫(yī)院各層級(jí)管理人員對(duì)網(wǎng)絡(luò)安全不重視，讓網(wǎng)絡(luò)安全的防護(hù)工作無(wú)法順利推進(jìn)。在資金投入與人才培養(yǎng)上的力度嚴(yán)重不足，導(dǎo)致醫(yī)院經(jīng)常遭受網(wǎng)絡(luò)攻擊[2]。

2.1 技術(shù)及應(yīng)用層面相對(duì)落后

相關(guān)人員利用開放醫(yī)療領(lǐng)域的多項(xiàng)新技術(shù)和互聯(lián)網(wǎng)醫(yī)院等新的醫(yī)療創(chuàng)新模式，開發(fā)了大量的健康數(shù)據(jù)應(yīng)用程序。醫(yī)療專家和醫(yī)療服務(wù)涉及互聯(lián)網(wǎng)和各種規(guī)模的服務(wù)。復(fù)雜的網(wǎng)絡(luò)環(huán)境讓網(wǎng)絡(luò)安全事件層出不窮。這意味著醫(yī)院的網(wǎng)絡(luò)安全保護(hù)尤為重要。大部分醫(yī)療機(jī)構(gòu)應(yīng)用系統(tǒng)相對(duì)落后，網(wǎng)絡(luò)安全防護(hù)存在嚴(yán)重的弊端，軟件的安全性無(wú)法得到保障。操作不規(guī)范、管理松懈以及資金投入與人才培養(yǎng)上的不足，讓網(wǎng)絡(luò)安全的防護(hù)工作無(wú)法有效開展。利用開放醫(yī)療領(lǐng)域的多項(xiàng)新技術(shù)，利用互聯(lián)網(wǎng)醫(yī)院等新的醫(yī)療創(chuàng)新模式，開發(fā)了大量健康數(shù)據(jù)應(yīng)用程序。

2.2 缺少具體的操作規(guī)范

隨著社會(huì)的發(fā)展進(jìn)步，醫(yī)療領(lǐng)域涉及的業(yè)務(wù)種類不斷增加，相關(guān)信息管理的工作量也隨之加大，人們對(duì)網(wǎng)絡(luò)及相關(guān)技術(shù)的需求也更多。為加強(qiáng)網(wǎng)絡(luò)安全防護(hù)，醫(yī)院網(wǎng)絡(luò)安全建設(shè)主要包括應(yīng)用信息平臺(tái)及基礎(chǔ)設(shè)備，但在具體操作規(guī)范上仍有所欠缺，導(dǎo)致相關(guān)問(wèn)題因缺少制度依據(jù)無(wú)法得到解決。醫(yī)院在遭受網(wǎng)絡(luò)攻擊時(shí)，也會(huì)因缺少應(yīng)對(duì)處理機(jī)制而讓網(wǎng)絡(luò)安全事件升級(jí)。

3 醫(yī)院在進(jìn)行網(wǎng)絡(luò)安全建設(shè)時(shí)應(yīng)注意的要點(diǎn)

網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)醫(yī)院信息安全管理非常重要。在醫(yī)院信息化的前提下，安全網(wǎng)絡(luò)的建設(shè)需要圍繞規(guī)劃、建設(shè)及運(yùn)行是否同步開展。然而，醫(yī)院信息系統(tǒng)的安全是相對(duì)的。建立一個(gè)基于密鑰保護(hù)、完整保護(hù)和動(dòng)態(tài)檢測(cè)的網(wǎng)絡(luò)安全體系，需要制定具體的保護(hù)標(biāo)準(zhǔn)，根據(jù)醫(yī)院信息系統(tǒng)的屬性提供相應(yīng)保護(hù)。每個(gè)系統(tǒng)的確定，關(guān)鍵在于資源系統(tǒng)的保護(hù)，并最終影響內(nèi)部保護(hù)系統(tǒng)的核心保護(hù)，同時(shí)考慮到環(huán)境層面的安全等級(jí)，在技術(shù)上提高系統(tǒng)的安全能力。建立一個(gè)長(zhǎng)期的醫(yī)院網(wǎng)絡(luò)安全戰(zhàn)略是一個(gè)可持續(xù)的項(xiàng)目。需要加強(qiáng)網(wǎng)絡(luò)安全和信息系統(tǒng)的監(jiān)管力度，不斷完善醫(yī)院網(wǎng)絡(luò)安全體系[3]。

4 醫(yī)院建設(shè)網(wǎng)絡(luò)安全體系的主要方法

按照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0相關(guān)標(biāo)準(zhǔn)，醫(yī)院要在信息安全和應(yīng)用程序方面實(shí)行一級(jí)保護(hù)，并要提高對(duì)信息、圖像和可持續(xù)性的需求。新標(biāo)準(zhǔn)和基本制度是醫(yī)院安全網(wǎng)絡(luò)建設(shè)的主要依據(jù)，如圖1所示。

圖1 醫(yī)院網(wǎng)絡(luò)安全體系建設(shè)

4.1 主動(dòng)防護(hù)

新型保護(hù)技術(shù)需要利用海量數(shù)據(jù)，在網(wǎng)絡(luò)攻擊對(duì)醫(yī)院網(wǎng)絡(luò)系統(tǒng)產(chǎn)生影響之前，通過(guò)數(shù)據(jù)采集和分析，建立安全檢測(cè)和報(bào)警信息系統(tǒng)，形成自主動(dòng)態(tài)保護(hù)，處理和跟蹤網(wǎng)絡(luò)系統(tǒng)。預(yù)警檢測(cè)是主動(dòng)防御的核心[4]。利用大量數(shù)據(jù)技術(shù)對(duì)醫(yī)院內(nèi)部網(wǎng)絡(luò)環(huán)境進(jìn)行分析，可及時(shí)發(fā)現(xiàn)安全威脅并通過(guò)平臺(tái)預(yù)警、更新安全信息。本地保護(hù)平臺(tái)集成系統(tǒng)將可疑文件傳輸?shù)絻?nèi)部網(wǎng)絡(luò)，將系統(tǒng)集成到安全中心，利用智能信息技術(shù)和海量數(shù)據(jù)分析和檢測(cè)各種威脅。主動(dòng)防護(hù)包括實(shí)現(xiàn)安全設(shè)備的通信及實(shí)現(xiàn)動(dòng)態(tài)保護(hù)，結(jié)合醫(yī)院信息系統(tǒng)建設(shè)，將安全模塊集成到系統(tǒng)入口，實(shí)現(xiàn)主動(dòng)防護(hù)的動(dòng)態(tài)管理，如圖2所示。

圖2 防護(hù)平臺(tái)

為了保護(hù)網(wǎng)絡(luò)避免遭受破壞，服務(wù)器主要包括集中管理和運(yùn)維安全，通過(guò)識(shí)別驗(yàn)證，對(duì)設(shè)備驅(qū)動(dòng)程序和目標(biāo)用戶進(jìn)行隔離，并對(duì)用戶管理進(jìn)行簡(jiǎn)化，對(duì)相關(guān)信息實(shí)施加密，通過(guò)對(duì)記錄的審核來(lái)恢復(fù)數(shù)據(jù)。審核數(shù)據(jù)庫(kù)操作，記錄和報(bào)告數(shù)據(jù)庫(kù)訪問(wèn)行為。當(dāng)數(shù)據(jù)庫(kù)有危險(xiǎn)行為時(shí)及時(shí)發(fā)出警報(bào)，制定合理的策略來(lái)防止攻擊行為。在事件發(fā)生后，在訪談報(bào)告中跟蹤事件的根本原因，有效檢測(cè)外部威脅，審計(jì)內(nèi)部行為，從而保障網(wǎng)絡(luò)內(nèi)部安全。收集和存儲(chǔ)設(shè)備的備份記錄有利于集中審核系統(tǒng)的統(tǒng)計(jì)，提供及時(shí)保護(hù)[5]。醫(yī)院終端管理一直是醫(yī)院管理的薄弱環(huán)節(jié)，由于量多、型號(hào)繁雜、設(shè)備陳舊，醫(yī)院計(jì)算機(jī)設(shè)備無(wú)法與新保護(hù)系統(tǒng)相匹配，加之相關(guān)人員缺乏專業(yè)知識(shí)，網(wǎng)絡(luò)安全意識(shí)相對(duì)不強(qiáng)，使醫(yī)院的網(wǎng)絡(luò)安全體系一直得不到完善和優(yōu)化。管理員應(yīng)檢測(cè)終端狀態(tài)并在管理平臺(tái)上管理終端，及時(shí)發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)安全隱患，并通過(guò)網(wǎng)絡(luò)圖顯示設(shè)備的網(wǎng)絡(luò)狀態(tài)。如果發(fā)生故障，可以及時(shí)定位，及時(shí)收集網(wǎng)絡(luò)狀態(tài)和備份、響應(yīng)狀態(tài)變化、修復(fù)故障。

4.2 信息驗(yàn)證

信息驗(yàn)證是新標(biāo)準(zhǔn)執(zhí)行的基本工作，在安全通信網(wǎng)絡(luò)增加可靠認(rèn)證的要求?；緱l件是：控制啟動(dòng)系統(tǒng)，確定基本配置參數(shù)，動(dòng)態(tài)控制運(yùn)行應(yīng)用程序。信息驗(yàn)證的關(guān)鍵是確保系統(tǒng)和應(yīng)用程序的安全，降低損壞數(shù)據(jù)的攻擊概率，提高系統(tǒng)或軟件的使用效率。網(wǎng)絡(luò)安全等級(jí)保護(hù)的動(dòng)態(tài)控制要求在預(yù)警和行動(dòng)之間建立聯(lián)系，避免因可能存在的干擾影響數(shù)據(jù)的安全，防止攻擊，實(shí)現(xiàn)保護(hù)效果。

4.3 信息保護(hù)

目前，隨著數(shù)據(jù)采集規(guī)模的擴(kuò)大和數(shù)據(jù)安全事件的增多，數(shù)據(jù)的保護(hù)變得越來(lái)越重要。相關(guān)法律法規(guī)的實(shí)施，對(duì)數(shù)據(jù)安全保護(hù)做出了明確要求，將數(shù)據(jù)保護(hù)作為一項(xiàng)工作要求納入標(biāo)準(zhǔn)。移動(dòng)支付、遠(yuǎn)程診斷越來(lái)越多地被用作中心實(shí)體，尤其是在線醫(yī)院的總體趨勢(shì)中，為了收集數(shù)據(jù)，醫(yī)院必須收集與用戶業(yè)務(wù)活動(dòng)相關(guān)的數(shù)據(jù)，醫(yī)院通過(guò)數(shù)據(jù)庫(kù)技術(shù)控制安全。系統(tǒng)還建立了相應(yīng)的數(shù)據(jù)保護(hù)規(guī)則，用戶只能通過(guò)加密設(shè)備、用戶名和密碼登錄，并只能使用自己的相關(guān)應(yīng)用程序。

5 醫(yī)院網(wǎng)絡(luò)安全建設(shè)實(shí)施策略

隨著我國(guó)“十四五”規(guī)劃的全面推進(jìn)，通過(guò)應(yīng)用5G技術(shù)、大數(shù)據(jù)共享平臺(tái)等方式逐步強(qiáng)化醫(yī)療信息互通。政府積極對(duì)不同的單位作出回應(yīng)，提高網(wǎng)絡(luò)安全性，為今后醫(yī)院信息安全的發(fā)展提供網(wǎng)絡(luò)安全幫助。

5.1 提高安全防范的預(yù)測(cè)精準(zhǔn)程度

網(wǎng)絡(luò)安全應(yīng)充分結(jié)合監(jiān)測(cè)、識(shí)別、保護(hù)、修復(fù)等防御策略。醫(yī)院有必要與當(dāng)前網(wǎng)絡(luò)共享信息，并將信息確定為整個(gè)網(wǎng)絡(luò)的安全中心，以收集和分析流量密鑰、網(wǎng)絡(luò)狀態(tài)，快速防御、發(fā)出警告。

5.2 重視細(xì)節(jié)層面的監(jiān)督與排查

隨著5G技術(shù)的發(fā)展，醫(yī)院的所有醫(yī)療設(shè)備都可以接入互聯(lián)網(wǎng)，在指令的指導(dǎo)下實(shí)時(shí)監(jiān)測(cè)和處理工作，提高工作質(zhì)量及效率。有效防御非法獲取醫(yī)院信息，避免因信息泄露而引發(fā)的一系列事件及負(fù)面影響。終端設(shè)備在進(jìn)入網(wǎng)絡(luò)之前必須安裝防病毒軟件。進(jìn)入網(wǎng)絡(luò)后，有一個(gè)管理平臺(tái)，實(shí)時(shí)監(jiān)控終端的狀態(tài)，及時(shí)檢測(cè)和糾正漏洞，列出網(wǎng)絡(luò)設(shè)備的地址，使用標(biāo)準(zhǔn)通信進(jìn)行數(shù)據(jù)交換。

5.3 提高用戶權(quán)限的保密標(biāo)準(zhǔn)

醫(yī)院信息系統(tǒng)的數(shù)據(jù)信息主要包括病歷及圖像等，需要對(duì)歸檔系統(tǒng)、通信系統(tǒng)和電子病歷系統(tǒng)進(jìn)行用戶權(quán)限設(shè)置，并提高相關(guān)保密標(biāo)準(zhǔn)，以強(qiáng)化相關(guān)數(shù)據(jù)的安全性。醫(yī)院需制定標(biāo)準(zhǔn)化的執(zhí)行制度，對(duì)相關(guān)數(shù)據(jù)的存儲(chǔ)時(shí)間提出具體要求，以此為數(shù)據(jù)信息管理提供幫助。滿足遠(yuǎn)程存儲(chǔ)和數(shù)據(jù)恢復(fù)的需要，要充分考慮云存儲(chǔ)服務(wù)的使用，應(yīng)選擇具有高安全性的云服務(wù)支撐醫(yī)院訪問(wèn)系統(tǒng)，以保證數(shù)據(jù)的機(jī)密性和可恢復(fù)性，有效提高建設(shè)效果。完整的網(wǎng)絡(luò)安全保護(hù)方案決定了安全保護(hù)具體效果，既要在相關(guān)人員方面加強(qiáng)規(guī)范化的管理，也要對(duì)技術(shù)手段進(jìn)行不斷創(chuàng)新升級(jí)。要建立專業(yè)化、規(guī)范化的網(wǎng)絡(luò)安全管理機(jī)制，形成系統(tǒng)的信息安全管理體系，要讓網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的新標(biāo)準(zhǔn)落到實(shí)處。強(qiáng)化網(wǎng)絡(luò)安全等級(jí)管理與劃分，提高人才培養(yǎng)和資金支持力度，對(duì)安全等級(jí)進(jìn)行嚴(yán)格控制，以此保障醫(yī)院網(wǎng)絡(luò)安全管理的高質(zhì)量發(fā)展。

6 結(jié)語(yǔ)

由此可見，網(wǎng)絡(luò)安全并不是絕對(duì)的。網(wǎng)絡(luò)安全保護(hù)更是需要建立持續(xù)的動(dòng)態(tài)防護(hù)體系。在網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的標(biāo)準(zhǔn)下，對(duì)醫(yī)院網(wǎng)絡(luò)安全提出了更高的要求，也指出了醫(yī)院網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)。醫(yī)療機(jī)構(gòu)應(yīng)結(jié)合自身實(shí)際情況，適應(yīng)網(wǎng)絡(luò)安全需求的變化，選擇先進(jìn)技術(shù)，對(duì)相關(guān)應(yīng)對(duì)措施進(jìn)行調(diào)整，逐步完善安全技術(shù)和管理體系，使相關(guān)信息更加有效。醫(yī)院加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，不僅是對(duì)醫(yī)院信息安全的保護(hù)，也是承擔(dān)社會(huì)和國(guó)家責(zé)任的重要表現(xiàn)。