基于三級等保標準的醫院信息安全體系建設實踐

魏 勤 劉艷亭 郭敬鵬 李功靖 孫 琳 劉 荻 馮國斌 張 振 王 青

(首都醫科大學附屬北京同仁醫院 北京100730) (中國醫學科學院醫學信息研究所 北京100020)

1 引言

信息系統及網絡設施的安全性直接關系到醫院醫療工作的正常運行，一旦網絡癱瘓或數據丟失將會給醫院帶來巨大災難和損失。醫院信息系統涉及大量經營和患者醫療等私密信息，這類信息的泄露和傳播將會給醫院、社會和患者帶來風險[1]。為此國家和行業主管部門相繼發布相關法律法規，主要包括原衛生部辦公廳《關于開展全國衛生行業信息安全等級保護工作的通知》(衛辦綜函[2011]1126號)，《衛生行業信息安全等級保護工作的指導意見》(衛辦發[2011]85號)，原北京市衛生局《關于進一步加強北京市衛生行業信息安全等級保護工作的通知》(京衛辦字[2012]26號)以及2017年6月1日開始實施的《中華人民共和國網絡安全法》，2018年6月30日公安部發布的《網絡安全等級保護條例(征求意見稿)》等。近年來醫療行業信息化建設發展迅速，投入不斷增加，基礎設施水平提升明顯，標準化建設意識提高，系統建設、信息互聯互通水平及新技術應用都有很大的拓展[2]。

首都醫科大學附屬北京同仁醫院是北京市屬的一所三級甲等醫院，分為東西南3個院區。醫院采用內外網邏輯隔離的網絡架構，在機房面積、服務器臺數、存儲容量、終端數量等基礎設施建設方面，以及信息化投入、應用系統覆蓋面、互聯互通水平等信息化建設方面都處于全國三甲醫院的中等水平。目前將醫院信息系統(Hospital Information System，HIS)定級為等保三級系統，檢驗信息系統(Laboratory Information System，LIS)、醫學影像存儲與傳輸系統(Pictures Archiving and Communication System，PACS)和門戶網站定級為等保二級系統。近幾年完成部分信息安全建設工作，取得一定成果，但面對日益嚴重的信息安全問題，亟需建立符合等保要求且相對完整、協調高效的信息安全管理體系。

2 基于三級等保標準的醫院信息安全體系建設項目實施

2.1 概述

獲批國家資金且完成測評、監理、集成、供貨等公司的招標工作后，于2017年12月12日正式啟動項目。項目組制定明確的3個層次的目標，即2018

年通過三級等保測評，合規、較好地完成項目驗收，整體提升醫院信息安全管理水平。

2.2 調研階段

項目啟動后的第1項工作是測評公司做差異度分析，梳理出155條整改內容，見表1。在物理、網絡、主機、應用、數據安全等技術方面以及安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理等管理方面與三級等保標準的要求存在較大差距。

表1 155條整改建議危機值分布

2.3 制定方案和工作計劃階段

對照等級保護法規的相關要求，根據測評公司給出的整改建議，結合醫院網絡、系統和管理的實際情況，先后7次組織相關人員召開方案討論會，3次外請專家論證。在充分研討的基礎上制定針對性強、務實可行的項目建設方案和詳細的工作計劃。項目建設方案總體架構，見圖1。

圖1 項目建設方案總體架構

2.4 實施階段

2.4.1 部署設備與系統 按照部署方案和工作計劃進行45套安全設備和907臺終端系統的安裝調試，以及設備的配置與策略的部署。最終完成網絡審計、防火墻、入侵檢測系統(Intrusion Detection System，IDS)、應用防火墻(Web Application Firewall，WAF)、漏洞掃描、日志審計、防病毒軟件等設備和系統的部署，以及集成與策略的優化。(1)服務器操作系統安全優化方面。實現安全加固軟件和人工安全加固相結合，關閉無用的服務，進行漏洞掃描、身份認證、安全審計、訪問控制、資源控制、備份等。(2)數據庫系統安全優化方面。通過人工加固方式將操作系統和數據庫帳號分開管理，采用最小授權原則、制定口令策略、數據庫審計、對權限較敏感的存儲過程加密管理，對遠程數據庫調用進行地址限制、備份等。(3)應用系統安全優化方面。定期進行漏洞掃描，實施應用系統安全加固，加強身份認證機制及用戶權限和訪問控制，應用安全審計，通信安全加密傳輸，加強資源控制，部署Web防火墻實現應用安全防護。(4)數據備份及恢復方面。定期進行數據備份，編制災難恢復計劃，開展災難演練。(5)防病毒、終端管理、日志審計方面。部署殺毒軟件實現主機層面病毒防御，終端安全管理系統實現終端安全檢測，安管監控平臺進行整體化系統化的監管。在這個階段，調整機房設備，完成部分設備的騰挪搬遷；3區HIS統一后將南區停用的設備下架，為解決舊系統的退卡退費問題專門研發程序；針對物理環境和應用系統需要整改的問題，院領導批準追加相應經費；HIS供應商配合完成應用系統的改造；漏水與入侵監測、門禁系統等工作也得到了相關單位的全力配合。

2.4.2 梳理規章制度及文檔 信息安全建設必須堅持“技術與管理并重，三分技術+七分管理”的原則[3]。三級等保標準要求建立信息安全管理組織機構，制定明確的安全策略、管理制度和工作流程。為此制定和修訂25項管理制度，建立制度的審核與修訂機制；與關鍵崗位、合作公司的相關人員簽訂保密協議，明確相應的責任和具體保密內容；信息系統操作權限實行分級管理，采用身份鑒別機制對用戶訪問權限進行控制；通過在中層干部會的宣教以及在內網上組織全院職工答題等多種方式在全院范圍做好信息安全教育和培訓工作，在院內網上答題的員工多達2 600余人。制度與文檔建設情況，見圖2。

圖2 制度與文檔建設

2.5 三級等保測評與項目驗收

2018年10月15日專業測評公司連續5天在醫院開展現場測評，等保測評通過后于2018年10月底召開驗收準備會，外請5位專家做技術把關。2018年11月在監理公司監督下組織院外專家分別進行項目的初驗和終驗，順利通過項目驗收。2018年12月通過國家財政資金使用情況的財務審計專項檢查。項目整個過程由監理公司全程監理，共召開項目例會27次，每周完成工作周報。項目文檔齊全，包括市公安局定級備案表、預測評報告(差異度分析報告)、招標合同、中標通知、需求調研報告、設計方案、施工圖紙、實施方案、設備安裝調試報告、測試報告、試運行報告、總結報告、制度文檔(電子版)、測評公司出具的信息系統安全等級測評報告、項目初驗和終驗專家意見、監理文檔集等。

3 技術亮點

3.1 發現網絡綜合威脅

目前安全建設的難點是以往信息化建設與安全相對獨立，重硬件輕軟件，重網絡輕數據。信息安全建設缺乏統一規劃，管理和安全運維分割，沒有完整和統一的平臺。為此部署網絡綜合威脅發現平臺及運維管理平臺有助于信息安全整體的綜合研判。

3.2 提升醫院對威脅預測能力

引入威脅情報和高級持續性威脅(Advanced Persistent Threat，APT)發現手段來進行安全建設和全面布防，以威脅情報與實際網絡中信息分析對比，打通攻擊定位、溯源與阻斷多個工作環節，從源頭上解決安全問題。從安全整體架構設計時就兼顧檢測發現、響應、預測與處置的防御過程，建立以檢測發現為起始、形成閉環的協同防御安全體系。

3.3 建立網絡威脅感知平臺

通過快速搜索技術提升數據查找能力；基于大數據挖掘分析的惡意代碼智能檢測技術提升檢測惡意代碼的能力；基于輕量級沙箱的未知漏洞攻擊檢測技術提升檢測未知漏洞的能力。同時為高效處理信息安全問題，提高運維能力，將核心關鍵設備進行聯動處置優化，將部署在不同位置的關鍵設備日志信息統一發送到感知平臺，進行綜合安全分析。

3.4 生物識別雙因素認證

在系統登錄認證環節引入生物識別技術。通過動態的授權和生物識別實現人、權限、系統的統一。使用者可利用手機添加指紋或人臉識別等方式獲得自身登錄權限，做到動態授權管理和單點登錄，保障業務系統的安全訪問。

3.5 業務行為安全網關及監測方案

安全行為、內部操作安全也是信息安全管理重要的組成部分，需要對正常的安全行為進行建模，對安全模型之外的風險操作進行分析處置。如異常異地登錄、非常規時間訪問、超頻工作、權限跨越等。為此引入業務行為安全網關，通過策略制定和建模全面分析醫療安全以及內部操作風險。在此基礎上在行為監測平臺上進行綜合監測，將威脅情報、行為管理、網絡綜合感知平臺、終端安全等相關信息進行關聯、定位和確認。這項嘗試真正地將人、技術、管理結合為一體，也使整個方案體現出協同聯動和統一處置的建設思想。

4 下一步工作

4.1 挖掘設備使用的潛能

進一步發揮已安裝部署設備的作用。如數據庫審計，不能只用于防統方的管理和基礎的監控，還需要不斷地豐富和完善數據庫監控內容和策略，使其發揮更大的作用。

4.2 加強技術培訓和人才培養

在項目實施過程中集成、供貨、設備廠商等合作單位承擔很多工作。接下來將對信息中心人員進行分工和深度培訓，這樣網絡、服務器、安管監控平臺、終端等各領域的相關技術工作都有專人負責協調，提高運維水平和效率，信息中心人員也有未來技術提高的空間。

4.3 完善和落實各項規章制度

規章制度建設是信息安全管理重要的組成部分，需建立長效機制并不斷地增補和修訂。而最關鍵的是將已建立的規章制度落實到實際工作中。計劃按照信息技術基礎構架庫(Information Technology Infrastructure Library，ITIL)的理念和方法，部署信息中心運維管理系統作為相關管理制度落實的工具。通過制度建立、工作落實、檢查修訂、總結提升這樣常態化的循環工作機制不斷提升管理效率和水平。

5 結語

在為期10個月的項目建設過程中體會最深的有兩點：一是必須重視項目管理。需在綜合分析和整體設計的基礎上確定明確的項目和范圍，細化項目的成本、變更、時間管理，嚴格把控項目的風險和質量。二是應特別重視相關方的合作與協同。該項目涉及16個院內外單位，通過項目例會來建立和固化項目各方的溝通機制，共同討論工作計劃、遇到的問題及解決方案，增強相互之間的理解與協同，提高工作效率。在團隊的共同努力下，項目通過三級等保測評，完成項目驗收，實現醫院信息安全管理整體的提升。