廣西某大型三甲醫院信息網絡安全管理實踐

◆李立峰 翟玉蘭 蒙 華

?

廣西某大型三甲醫院信息網絡安全管理實踐

◆李立峰 翟玉蘭 蒙 華通訊作者

(廣西醫科大學第一附屬醫院計算機管理中心 廣西 530021)

隨著醫院信息化高速發展，醫院各種業務系統、門戶網站的安全問題越來越重要，是不可回避并亟待解決的問題。本文從醫院實際情況出發，分析醫院信息網絡安全管理現狀，明確醫院網絡信息面臨的各種安全威脅，探討一些行之有效的安全管理制度與措施，最大限度地保障醫院業務信息系統的安全穩定，進而為醫院帶來良好的社會效益。

醫院；信息網絡安全；信息系統；門戶網站；管理

0 引言

隨著計算機與網絡的迅速發展，“互聯網+”應用的普及與推廣，各行各業越來越離不開網絡信息化管理。醫院在建設發展過程中，信息化建設處于非常重要的戰略地位。網絡信息化管理，可大幅提升醫療效率，優化患者的就診流程，改善醫療服務水平，提高就診滿意度[1]。2018年2月24日某省兒童醫院信息系統遭受黑客攻擊，系統大面積癱瘓，院內診療流程正常運轉受阻。信息安全已上升為國家安全層面的大環境下，如何最大限度地保障醫院信息網絡安全關系到醫院的穩定與可持續發展[2]。互聯網惡意攻擊手段呈現多樣化與專業化，門戶網站是醫院的窗口，已由過去傳統單一的新聞管理發布轉變為功能性網站，肩負著院務公開、醫療宣傳、醫患交流、病患服務等多項任務。網站安全穩定運行對維護醫療機構形象，提高醫院公信力，改善醫患關系意義重大。目前，醫院主要從制度與技術兩方面開展信息網絡安全管理的工作，取得一定成效，但在新安全威脅等方面仍存在不足。

1 廣西醫科大學第一附屬醫院信息網絡安全建設現狀和措施

廣西醫科大學第一附屬醫院于2012年成立信息安全領導小組、信息系統應急處理工作小組。醫院每年投入信息及網絡安全的經費超過200萬，其中系統及網絡安全檢測服務費用約18萬，保障各類信息系統安全運行的維保費用超過180萬。

1.1 信息安全制度保障

為保證醫院計算機網絡信息系統的正常運行和健康發展，規范職工使用計算機及上網行為，根據《中華人民共和國計算機信息系統安全保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》和國家有關法律規定，結合我院實際情況，2012年匯總形成《廣西醫科大學第一附屬醫院信息安全制度》，包含安全管理組織機構及崗位職責、網絡運行安全管理制度、醫院信息系統使用安全保密規定、醫院員工信息保密協定、密碼管理制度、網站安全事件應急預案、網站服務器部署安全措施等等。根據業務發展需要不定時修訂內容。為加強門戶網站的規范管理，根據醫院實際情況，制定《網站信息變更、發布管理制度》，包括信息變更和發布登記制度、信息系統變更及發布管理制度兩部分，內容涉及信息發布、權限管理、信息保密等多條安全細則。

1.2 網絡安全防護體系

醫院采購專業的服務器版殺毒軟件構建網絡安全防護體系，院內各工作站電腦部署防病毒軟件，加強U盤等移動設備的規范使用[3]。制度上和網絡措施禁止院內業務電腦混用內外網；備份核心網絡設備信息；定期巡查全院的重要網絡設備及安全設備。部署防入侵檢測、數據庫審計等安全設備，最大限度地防止病毒、黑客攻擊等安全威脅。針對醫院信息系統（Hospital information system,簡稱HIS）系統與銀行、社保、移動、微信平臺等都有數據交互，采用訪問控制策略等安全措施[4]。

近年來醫院采購藍盾信息安全管理審計系統、藍盾防毒網關、藍盾防火墻、藍盾入侵檢測、藍盾數據庫審計、藍盾網頁防篡改、思科防火墻、北信源數據庫審計系統、防統方設備等網絡安全設備。2017年，醫院為防范WannaCry、勒索病毒攻擊，采購360天擎殺毒軟件，包括服務器版和客戶端版，并部署在全院近200臺服務器和2000多臺客戶端。

1.3 重要內網業務系統、服務器和門戶網站安全管理

（1）HIS系統是醫院核心的內網業務系統，根據公安部及衛生計生委對信息系統安全等級保護的要求，2012年9月醫院對HIS系統進行三級等級保護備案。醫院聘請廣西信息網絡安全協會進行年度評測，并整改測評發現的問題，提高系統安全性、可用性、高可靠性。協作公司每月會掃描內網系統漏洞，并出具檢測報告，計算機管理中心安全員及時整改。

（2）核心數據庫服務器采用雙機熱備機制保證業務的延續性。生產主機宕機時，備機自動接管業務。應用層服務器群采用負載均衡策略，利用哈希算法的原理分發客戶端請求，平衡各服務器資源利用和訪問壓力。

（3）醫院引入專業網絡信息安全公司的服務和網站服務器的安全防護保障醫院門戶網站安全、穩定地運行，每年的服務內容和網站防護項目如表1和表2所示。對醫院相關網站2017年5月份2.06GB日志文件統計分析，網站訪問總量為8715597次，其中可疑文件訪問、敏感目錄訪問等類型攻擊行為6569次，惡意攻擊IP主要來自中國、德國。

表1 廣西醫科大學第一附屬醫院安全服務內容

表2 網站服務器防護項目

1.4 數據中心安全建設

醫院核心HIS業務系統采用存儲雙活機制，保證門診生產機房HIS_01服務器出現故障的時候，住院樓災備機房HIS_02服務器上自動恢復業務。同時配置Metropoint，實現核心數據多份鏡像，確保數據邏輯錯誤時恢復正常數據。拓撲圖如圖1所示。

圖1 存儲雙活機制拓撲圖

2 存在的不足及持續改進

2.1 存在的不足

（1）門戶網站

醫院現用門戶網站技術架構相對落后，網站部署、安全管理方面尚待梳理，各科室的網站安全管理意識較薄弱，需加強員工的互聯網網站的安全防護意識與安全防護技術水平培訓，同時推進醫院新版官網上線運行。

（2）內網業務系統

內網業務操作系統漏洞整改是一大難題。醫院各業務系統均24小時在線運行，運行主機漏洞補丁具有較高風險，甚至導致業務系統運行失常。暫擬等內網安全殺毒軟件上線后，定制方案修補各服務器操作系統漏洞。

（3）邊界網絡

醫院的邊界網絡主要采用訪問控制安全策略，具有較大安全風險，待改進與加強。

（4）醫療云發展存在的安全壁壘薄弱

醫療云目前在興起階段，尚缺乏政策導向頂層設計，及云平臺建設標準，醫院數據的私密性、完整性、可用性和安全性存在風險[5-6]。

2.2 持續改進建議

為持續提高醫院互聯網網站、內網系統安全防范與保障能力，建議從以下方面加強醫院網絡安全建設與管理：

（1）落實網絡安全責任制

計算機管理中心設立網絡安全員崗位，配備技術隊伍專門負責此類工作[7]。

（2）逐步加強內部網絡系統整改

針對內部網絡系統存在的較多安全漏洞，建議制定穩妥可行的網絡安全整改方案與計劃，并落實到各主機、應用系統管理員，逐步修補安全漏洞。

（3）加強邊界網絡的安全建設

增加網絡安全設備的投入，為邊界網絡部署防火墻、網閘等硬件安全設備，并配置嚴格的訪問控制策略，最大限度地降低安全風險[8-9]。

3 結語

信息網絡安全是醫院信息化建設的一個重要組成部分，在推進醫院信息化的進程當中，信息網絡安全防護管理應按照“三同步”原則，與業務信息系統建設同步規劃、同步建設、同步投入運行，拋棄過去重應用輕安全的做法，保證醫院的計算機網絡系統健康地運行和發展，更好地服務于大眾，并產生良好的社會效益，契合國家通過“互聯網+”深化醫療衛生改革的目標。

[1]羅宇紅，段少軍，張二松等.移動醫療醫院信息網絡安全分析及措施[J].中國醫學裝備，2016.

[2]潘珩.淺析醫院信息網絡系統安全管理的設計與應用[J].世界臨床醫學，2015.

[3]陳起燕，黃艷琳.醫院信息網絡系統安全的影響因素及完善信息網絡安全管理的方式[J].醫療設備，2017.

[4]鮑瀛，華履春，曹磊.掌上醫院系統部署安全策略研究與探討[J].中國衛生信息管理雜志，2015.

[5]王海青，李鳳海.一種云存儲環境下的增強認證授權服務模型[J].信息技術，2016.

[6]朱莉蓉，陳寧江，何佩聰等.基于動態信任管理的云用戶行為認證服務系統[J].廣西大學學報(自然科學版)，2015.

[7]谷俊濤.網絡信息安全技術研究[J].信息技術，2016.

[8]樓峰.淺談醫院計算機網絡安全管理工作的維護策略[J].信息安全與技術，2014.

[9]淺談新時期醫院局域網的安全維護[J].網絡安全技術與應用，2014.

廣西醫科大學青年科學基金資助項目(編號GXMUYSF201511)。