基于等級保護的醫(yī)院信息安全防護策略

隨著信息技術(shù)及各類診療技術(shù)的快速發(fā)展，遠程醫(yī)療、移動醫(yī)療、醫(yī)療大數(shù)據(jù)分析、人工智能等已成為“互聯(lián)網(wǎng)+”醫(yī)療創(chuàng)新模式的主要發(fā)展方向。我國多地正處于新醫(yī)改的積極探索期，醫(yī)聯(lián)體、醫(yī)共體、專科聯(lián)盟等新的醫(yī)療組織形態(tài)都離不開互聯(lián)網(wǎng)和信息化平臺，這無疑給醫(yī)院信息安全防護帶來了更大挑戰(zhàn)。一方面，一旦醫(yī)院信息系統(tǒng)出現(xiàn)故障，將直接影響醫(yī)院正常診療業(yè)務(wù)的開展，對社會秩序和公共利益造成損害；另一方面，醫(yī)院信息系統(tǒng)中存儲著大量患者診療數(shù)據(jù)，一旦發(fā)生數(shù)據(jù)泄露，后果不堪設(shè)想。因此加強醫(yī)院信息安全防護體系建設(shè)尤顯重要。信息安全等級保護是我國信息安全保障的基本制度、基本方法和基本策略。貫徹落實國家信息安全等級保護制度，滿足醫(yī)院信息安全等級保護要求，開展等級保護建設(shè)相關(guān)工作勢在必行。

1 醫(yī)院等級保護的具體要求

信息安全等級保護制度是我國社會信息化進程中提高信息安全防護能力，維護國家安全和社會穩(wěn)定，推進各項建設(shè)順利發(fā)展的一項基本制度。2011年，原衛(wèi)生部發(fā)布了《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》(衛(wèi)辦綜函〔2011〕1126號)。針對醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)，原衛(wèi)生部辦公廳于2011年下發(fā)了《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》(衛(wèi)發(fā)辦〔2011〕85號)，規(guī)定三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)信息安全等級保護定級不低于第三級，并且要求2015年12月30日前完成信息安全等級保護建設(shè)整改工作并通過等級測評[1-4]。同時信息系統(tǒng)安全保護等級納入三級綜合醫(yī)院評審標(biāo)準(zhǔn)實施細則，作為評審三甲醫(yī)院重要評分點。按照自主定級原則，一般情況下，HIS系統(tǒng)定為三級信息系統(tǒng)，即LIS系統(tǒng)、PACS系統(tǒng)、電子病歷系統(tǒng)，外網(wǎng)網(wǎng)站等定為二級信息系統(tǒng)，但各信息系統(tǒng)的業(yè)務(wù)關(guān)聯(lián)性較強。因此，按照等同保護原則，醫(yī)院內(nèi)網(wǎng)核心業(yè)務(wù)系統(tǒng)總體應(yīng)按三級系統(tǒng)進行等級保護建設(shè)。

2 醫(yī)院信息化特點及信息安全防護難點

醫(yī)院信息化有以下突出特點：系統(tǒng)的可靠性高，診療業(yè)務(wù)要求多數(shù)應(yīng)用系統(tǒng)7×24小時不間斷運行，無論計劃或非計劃情況，網(wǎng)絡(luò)間斷時間應(yīng)小于2小時；信息集成度高，所有信息需要集中使用，通過系統(tǒng)整合實現(xiàn)數(shù)據(jù)的共享和復(fù)用；異構(gòu)系統(tǒng)多，系統(tǒng)復(fù)雜度高，而且系統(tǒng)間接口復(fù)雜，涉及廠家多[5]；系統(tǒng)存儲資料價值較高，如醫(yī)院診療數(shù)據(jù)、患者隱私數(shù)據(jù)等；系統(tǒng)數(shù)據(jù)可作為訴訟證據(jù)，具有法律效力；核心網(wǎng)絡(luò)與外網(wǎng)物理隔離。

以綜合三甲醫(yī)院為例，依據(jù)等級保護對三級信息系統(tǒng)的具體要求，涉及技術(shù)要點共136個，管理要點共154個[6]，主要包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機構(gòu)、人員安全、建設(shè)管理、運維管理等方面的不同層次[4]。其信息安全防護的突出難點表現(xiàn)如下。

一是醫(yī)院內(nèi)、外網(wǎng)物理隔離導(dǎo)致信息安全防護需增加跨網(wǎng)絡(luò)防護策略。

二是區(qū)域邊界的安全訪問控制策略復(fù)雜，主要包括邊界訪問控制、邊界完整性檢測、邊界入侵防范以及邊界安全審計等方面。訪問控制是對各類邊界最基本的安全需求，對進出安全區(qū)域邊界的數(shù)據(jù)信息進行控制,阻止非授權(quán)及越權(quán)訪問。若邊界完整性受損,則所有邊界訪問控制規(guī)則將失去效力。

三是多級安全域邊界厘定[7-8]。一般而言，安全域的劃分需將相同安全等級、相同安全需求的系統(tǒng)劃入同一VLAN內(nèi)，在VLAN的邏輯邊界增設(shè)安全設(shè)備設(shè)計控制策略。進行等級保護建設(shè)后，醫(yī)院內(nèi)網(wǎng)應(yīng)在終端和服務(wù)器之間建立安全訪問路徑，并根據(jù)具體業(yè)務(wù)工作流和數(shù)據(jù)處理的重要程度劃分不同的子網(wǎng)，重要網(wǎng)段與子網(wǎng)間增設(shè)技術(shù)隔離策略。但依此方法進行信息系統(tǒng)分級保護后，處于不同安全域的系統(tǒng)間無疑會產(chǎn)生隔離壁壘，進而形成數(shù)據(jù)孤島，這與患者實際就醫(yī)的瀑布型業(yè)務(wù)流不符。因此，在保持原有信息系統(tǒng)業(yè)務(wù)順暢運行的前提下，進行信息安全等級保護成為亟待解決的問題[9]。

3 醫(yī)院信息安全防護策略

針對上述醫(yī)院信息系統(tǒng)特點及信息安全防護難點，依據(jù)等級保護具體要求，各醫(yī)院需制定合理的信息安全防護策略，以完成等級保護建設(shè)目標(biāo)。

3.1 技術(shù)策略

3.1.1 物理安全

物理安全主要指中心機房的物理場所安全。中心機房是醫(yī)院信息系統(tǒng)的核心區(qū)域，需根據(jù)室內(nèi)各類設(shè)備的運行參數(shù)嚴(yán)格控制物理環(huán)境，主要包括遠離用水設(shè)備,雙路供電,須具備防雷、防火、防水、防潮、防靜電、防電磁干擾的能力[10]。同時必須設(shè)有門禁，控制不同管理層級的工程師進出，防止外來人員非法出入。

3.1.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)通信是醫(yī)院信息化的基礎(chǔ),因其端點分散、覆蓋面廣而成為等級保護建設(shè)的重點。一般而言，等級保護建設(shè)是基于現(xiàn)有網(wǎng)絡(luò)進行的，基礎(chǔ)設(shè)施如網(wǎng)絡(luò)布線、機房位置等相對固定，在此基礎(chǔ)上的等級保護主要考慮網(wǎng)絡(luò)的合理性、高效性、高可用性。合理的網(wǎng)絡(luò)拓撲結(jié)構(gòu)能夠大幅提升網(wǎng)絡(luò)的效率和安全性，拓撲優(yōu)化工作重點為邏輯安全域的劃分，拓撲優(yōu)化往往能讓等級保護工作達到事半功倍的效果。此外，在劃分不同安全域后除需增設(shè)邊界網(wǎng)絡(luò)安全設(shè)備并制定合理的網(wǎng)絡(luò)安全訪問策略外，還需要消除網(wǎng)絡(luò)通訊單點、配備必要冗余、設(shè)計負載均衡，保證網(wǎng)絡(luò)的高可用性。

3.1.3 系統(tǒng)安全

系統(tǒng)安全策略重點包括身份認(rèn)證策略、訪問控制策略和分布式授權(quán)策略3方面。關(guān)于身份認(rèn)證策略，醫(yī)院信息系統(tǒng)在應(yīng)用“用戶名/密碼”進行身份認(rèn)證時，還應(yīng)將PC的IP地址、MAC地址與交換機的通訊端口進行綁定，以限制接入醫(yī)院的內(nèi)網(wǎng)用戶；關(guān)于訪問控制策略，醫(yī)院信息系統(tǒng)的用戶復(fù)雜，各角色的訪問控制策略不但要考慮角色規(guī)則，而且要考慮時間、空間訪問規(guī)則，即訪問控制能夠詳細描述“什么人，在什么時間，在什么地點，基于什么規(guī)則，做了什么事”，最終設(shè)計出受時間、空間、規(guī)則三維約束的角色訪問控制策略；關(guān)于分布式授權(quán)策略，設(shè)置樹狀權(quán)限管理機構(gòu)對醫(yī)院的信息資源進行分布式管理和統(tǒng)計，確定層級權(quán)限管理負責(zé)人節(jié)點，各分布式部門的責(zé)任人節(jié)點擁有下層節(jié)點的約束管理能力，每層負責(zé)人節(jié)點負責(zé)授權(quán)管理下層的權(quán)限策略，依次層級遞推。

3.1.4 數(shù)據(jù)安全

數(shù)據(jù)是醫(yī)院的核心資源和重要財富。數(shù)據(jù)安全等級保護建設(shè)要求醫(yī)院應(yīng)制定詳細的備份策略，特別應(yīng)建立健全高效的備份恢復(fù)機制，一般采用“近-遠-離-異”與“熱冷”結(jié)合的數(shù)據(jù)安全保障策略。近線備份采用實時備份，目的是實現(xiàn)數(shù)據(jù)的快速恢復(fù)；遠線數(shù)據(jù)備份采用全備份加增量備份，形成基于時間節(jié)點的完整備份數(shù)據(jù)集；離線冷備份解決人為非邏輯錯誤的數(shù)據(jù)恢復(fù)；異地備份解決不可抗力的數(shù)據(jù)恢復(fù)。

3.1.5 應(yīng)用安全

系統(tǒng)整合后的用戶同步是等級保護在應(yīng)用安全方面關(guān)注的主要問題。目前，進行系統(tǒng)整合并建立統(tǒng)一用戶管理系統(tǒng)(UUMS)是解決該問題的通行做法。UUMS采用建立專屬用戶數(shù)據(jù)庫的方式統(tǒng)一存儲全部應(yīng)用系統(tǒng)的用戶信息，應(yīng)用系統(tǒng)通過UUMS管理用戶并對用戶授權(quán)，以此實現(xiàn)統(tǒng)一存儲、分布授權(quán)。認(rèn)證策略是指通過“與”“或”“非”的布爾邏輯組合實現(xiàn)的認(rèn)證方式，最終定義為認(rèn)證方式和認(rèn)證規(guī)則。醫(yī)院具體應(yīng)用通常采用“用戶名/密碼and IP地址”認(rèn)證的方式。

3.2 管理策略

醫(yī)院信息系統(tǒng)的安全防護和安全管理是一個整體，在等級保護中都占有重要地位，不容忽視。就目前的醫(yī)院信息系統(tǒng)等級保護現(xiàn)狀而言，管理策略主要考慮強化信息安全意識[11]、加大安全管理投入和人員規(guī)范化培訓(xùn)3方面。

3.2.1 強化信息安全意識

信息安全意識是人們頭腦中建立起來的“信息化工作必須安全”的觀念，即人們在信息化工作中對各種有可能對信息本身或信息所處的介質(zhì)造成損害的外在條件的一種戒備和警覺的心理狀態(tài)。醫(yī)院全體人員需不斷強化信息安全防護意識，提升信息安全防護的敏感性，以防微杜漸。

3.2.2 加大安全管理投入

雖然目前醫(yī)院信息化投入相較之前已有明顯改善，但投入的大部分資金主要用于網(wǎng)絡(luò)、系統(tǒng)維護和新項目的建設(shè)，對安全防護并未設(shè)立專項經(jīng)費，即使有安全專項經(jīng)費投入，因其投入效果沒有新建項目收效明顯而往往得不到重視。

3.2.3 人員規(guī)范化培訓(xùn)

醫(yī)院信息安全等級保護是一項長期的系統(tǒng)工程，需要專門的人才隊伍，但目前醫(yī)院信息科人員對信息安全等級保護知之甚少。因此需要專門對相關(guān)工作人員進行培訓(xùn)，提高等級保護專業(yè)技能，從而提高醫(yī)院信息安全整體水平。

3.3 運維策略

隨著信息技術(shù)的不斷發(fā)展，醫(yī)院信息化程度不斷提升，系統(tǒng)復(fù)雜性不斷提高，傳統(tǒng)的運維管理模式存在潛在的安全隱患。醫(yī)院網(wǎng)絡(luò)應(yīng)用系統(tǒng)的健康運行需進行相應(yīng)的事前管理以及透明化的運維動態(tài)監(jiān)控，如安全事件的處置已從事中、事后的應(yīng)對前移至事前的預(yù)警和預(yù)防，以提升醫(yī)院整體系統(tǒng)的安全運維能力。

3.4 持續(xù)發(fā)展策略

持續(xù)推進醫(yī)院安全體系建設(shè)是醫(yī)院信息化發(fā)展的重要保障。只有從體系上發(fā)揮其作用，才能保證醫(yī)院信息系統(tǒng)長期處于較高的安全水平和穩(wěn)定的安全狀態(tài)。這既能滿足三級安全等級保護的具體要求，又能建立立體、縱深的醫(yī)院安全保障防御體系。同時醫(yī)院信息安全防護還需強調(diào)常態(tài)化，制定全面的規(guī)章制度，培育安全信息防護人才，為信息安全防護工作常態(tài)化提供支撐[9]。“互聯(lián)網(wǎng)+醫(yī)療”使醫(yī)療行為不再局限于醫(yī)院，移動醫(yī)療、網(wǎng)絡(luò)醫(yī)院等新型診療模式將隨著政策和技術(shù)的落實逐漸常態(tài)化，同時要求信息安全防護新模式常態(tài)化。此外，在醫(yī)院人才評價中往往只注重信息科人員的創(chuàng)新能力，而忽視系統(tǒng)的安全無事故運行，因此將系統(tǒng)安全運行納入人員和科室的評優(yōu)體系是落實信息安全制度的有效辦法。

4 結(jié)語

在云計算、移動互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)、AI等一系列新技術(shù)的驅(qū)動下，醫(yī)療行業(yè)正在經(jīng)歷一個快速發(fā)展的時代[12]。一場“互聯(lián)網(wǎng)+醫(yī)療”浪潮洶涌襲來，醫(yī)院信息化建設(shè)的信息安全問題被擺到了信息化發(fā)展的重要位置，醫(yī)院信息化面臨新發(fā)展機遇的同時,其信息安全防護也面臨新的挑戰(zhàn)。信息安全等級保護建設(shè)可大幅提升醫(yī)院信息系統(tǒng)安全水平，醫(yī)院應(yīng)通過建立制度、加大扶持、加強監(jiān)管、培育人才等具體措施切實保障“互聯(lián)網(wǎng)+醫(yī)療”新環(huán)境下的等級保護工作圓滿完成。