醫院信息化建設中的網絡安全和防護探討

◆杜 明

醫院信息化建設中的網絡安全和防護探討

◆杜 明

（廣西壯族自治區桂東人民醫院 廣西 543000）

本文圍繞“醫院信息化建設中的網絡安全和防護”問題開展討論，著重闡述醫院信息化建設中存在的網絡安全風險分析，信息化網絡安全問題產生的因素與信息化建設過程中的網絡安全防護技巧，供相關讀者參考。

醫院；信息化建設；網絡安全；防護

隨著信息化的發展，網絡已經滲透社會的各個領域，對醫療乃至人類的生活健康都產生了極大的影響。然而，由于網絡規模的不斷擴大、開放，網絡復雜性隨之增強，網絡安全問題也日益凸顯，成為影響國家和社會安全、穩定的一個關鍵要素。

1 醫院信息化建設中存在的網絡安全風險分析

依據《GB-T 20984-2007 信息安全技術信息安全風險評估規范》以及對醫院實際環境的分析，醫院面臨的信息風險主要包含威脅和脆弱性兩大類：

1.1 威脅分析

醫院面臨的安全威脅主要包括：病毒威脅；無線網絡被攻擊或釣魚；高級威脅日益嚴重；患者信息被竊；外部網絡連通帶來的威脅；內部違規導致患者隱私泄露（醫生，服務商，下游鏈條）；網站面臨來自互聯網的威脅，內部身份冒用等。

1.2 脆弱性分析

醫院面臨的脆弱性問題主要包括：主機安全管控不足，且醫院應用HOOK行為較多的特殊性；重要應用系統代碼缺陷；操作系統自身存在的脆弱性；信息安全管理制度不完善；信息化管理人員責權不清等。

2 醫院信息化建設中網絡安全問題產生的因素

2.1 技術因素

在醫院的信息化建設過程中，建設人員在建設推進時要從底層服務器硬件資源、存儲資源、網絡通信資源、網絡安全資源、綜合處置系統等多個方向進行管控，然而醫院，特別是三級規模以下醫院當下信息化建設才開始發力，剛踏入起步階段，經驗積累與新技術運用引進上仍存在諸多不足，如多數信息科運維管理人員還一直在使用操作系統防火墻及病毒防護軟件等，現實是使用過程非常被動，就算問題發生后立即進行查殺，還是會存在致使數據被篡改、損壞甚至是丟失的現象。再如，針對入侵檢測設備或者數據庫審計運用工作中，多數情況下也僅是依靠預告警消息來發現，若是突發惡意的攻擊或者是竊聽行為，多數情況下皆無能為力。

2.2 人為因素

首先，多數國內醫院，特別是三級規模以下醫院，專業人員招聘錄用與崗位要求不匹配，無人、缺人、缺專家，一線缺“保安”無“保安”，網絡運維安全保障靠“外墻人”，在出現網絡安全問題的情況時很難問責到具體的專業人員；其次，“重建設、輕運管”現象較普遍，缺少規范化、科學化、制度化的網絡安全管理導致運維不到位，監管不得力，失管棄管，城門洞開，隱患若現；最后是院內極少數員工的威脅網絡安全現象，如把私人移動存儲介質或平板、筆記本電腦等設備接入院內局域網，對院內醫療業務正常工作產生影響，嚴重情況下更是會導致病毒大范圍在內網傳播的現象。

3 醫院信息化建設中維護網絡安全的價值

現今，高新信息化技術已經覆蓋至各行各業，疾病防治等醫療水平的提高急需對外連接、信息共享、互聯互通。當下，已經應用到醫院常規醫療服務業務中的信息系統就包含：HIS收費信息系統、醫學實驗信息系統、電子病歷信息系統、醫學影像系統、院內感染系統、體檢系統、手術麻醉系統、辦公自動化系統及醫療保險系統等等，給予醫務工作者在醫療服務上很大的便利性及開放性，而且很契合醫院本身的服務特點。在當下及將來的發展中，醫院的各類診療和服務工作將更多依賴于網絡化技術，由此可見，網絡安全對醫院的信息化建設有著極其重要的價值。

4 醫院信息化建設中網絡安全與防護技巧

4.1 嚴格執行網絡分區分域建設與管理

為更好落實醫院各信息系統的安全保護，可參考國家等保2.0網絡安全等級保護的相關標準進行規劃與區分不同安全要求的保護對象，從而依據保護的對象設置不同業務功能及安全級別的安全區域，以依據不同類型區域的重要程度來實行分級的安全管理。

醫院信息系統包含生產、辦公以及開發測試等諸多業務，要按照不同業務的不同性質及特點，把信息系統調整為多個子業務系統，然后再給各子業務系統制定合適的保護級別。

信息系統作為等級保護管理的最終對象，為體現著重保護關鍵網絡安全，合理控制信息安全建設支出，優化信息安全資源配置的等級保護原則，在進行信息系統的劃分時需考慮以下幾點：

（1）管理部門相同的

信息系統中的各子業務系統若是被同一個管理部門管理控制的，原則上是可以采取相同的安全管控策略；

（2）業務類型相似的

信息系統中的各子業務系統若是業務類型相似的，在安全需求上接近的，原則上是可以采取相同的安全管控策略；

（3）物理位置相同或運行環境相似的

信息系統中的各子業務系統若是在物理位置相同或運行環境相似的，表示系統所面臨的安全威脅類似，原則上是可利于采取統一的安全保護；

（4）安全控制措施相似的

醫療信息系統中的各子系統若面臨相似的安全威脅，因此需采用相似的安全控制措施來保證業務子系統的安全。根據醫院信息系統的業務功能、特點及各業務系統的安全需求，建議將網絡拆分為醫院辦公外網、醫院業務外網、醫院辦公內網。醫院辦公外網包括互聯網接入區、醫院辦公外網區；醫院業務外網包括外聯接入區、前置服務區；醫院辦公內網包括：內網接入區、服務器區、內網核心交換區、運維安全管理區、內網辦公區，并按照區域劃分針對性部署相應的網絡安全設備。如辦公外網邊界部署下一代防火墻系統+上網行為管理設備；業務外網邊界部署下一代防火+VPN；前置服務器邊界部署web應用防火墻；業務外網、前置服務區與內網核心交換區邊界部署隔離網閘；醫保網絡等專線出口邊界部署下一代防火墻；內部服務器、數據庫及存儲核心區域前端部署冗余下一代WAF防火墻；并在內網核心區建立一個獨立的運維管理區部署審計、堡壘機、漏掃、流量采集探針、威脅感知分析預警平臺，做到聯動防御。

4.2 引入企業級桌面殺毒軟件

醫院的網絡防御也要最大程度利用殺毒軟件的功能，做好常規漏洞掃描修復、更新補丁及降低病毒入侵等工作，如安裝奇安信天擎企業版殺毒軟件，利用防病毒與反間諜軟件的技術，給全網終端及服務器打補丁，終端U口、移動介質及熱點WIFI禁用等等，另外，要加強對終端用戶日常巡檢維護和使用管控，達到較為全面檢測和維護網絡的安全，提升挖掘問題的反應及處理能力。

4.3 縮小暴露面

（1）縮減網絡邊界

不用的系統，該下的下，該暫停的暫停。不能用的功能，該下的下，該暫停的暫停；該取消訪問的取消，能限制訪問范圍的限制訪問范圍；在用的，搞清楚功能，雙流（數據流和運維流）誰用，有沒有風險，能否一鍵處置都要摸清楚。

（2）梳理缺陷資產

資產維度梳理：互聯網資產、分支機構資產、外聯公司資產、公有云資產；資產屬地梳理：特別關注資產的安全屬性，中間件或框架（版本）、開放在公網API接口（特別是未下線的老接口）、管理后臺開放在公網、高危功能（文件上傳點、短信驗證碼、重置密碼、文件下載）、遠程接入點（VPN）、特權賬戶（應用管理員特權賬戶、應用連接賬戶、系統管理員賬戶、可以修改賬戶權限的賬戶、備份賬戶）；忽視點梳理：所有內部文檔服務器上（含OA、郵件系統等）敏感信息清理或限制訪問權限，各類口令（弱口令、默認口令、已泄露口令、批量使用的口令），可跨越部分邊界訪問的網絡設備及服務器，都要重點盯防。

4.4 物理安全措施

機房建設參照《數據中心設計規范》（GB50174-2017）標準，結合等級保護2.0標準物理安全控制項的要求進行建設，物理位置選擇要避免建筑物底層或頂層及水源設備旁，遠離強噪音及強污染源。安裝防盜報警系統、監控系統，配備冗余或并行電力線路供電，配備應急供電（發電機發電、蓄電池供電）措施，核心數據中心關鍵部件安裝的機柜采取電磁屏蔽措施，做好防火防水防潮，溫濕度控制等。所有涉及項都要一一排查和對標整改。

4.5 建立及完善信息安全管理制度和規范

按照積極防御、及時發現、快速反應、確保恢復安全防護基本方針，結合醫院規模及實際情況必須建立及完善信相應的安全管理制度和規范。如信息化建設管理制度，醫院信息中心機房管理制度，信息系統變更、發布、配置管理制度，信息系統操作權限分級管理制度，信息數據容災備份制度，技術實施文檔及檔案管理制度，專業信息技術人員培訓與上崗制度，信息中心24小時值班制度，醫院信息報送制度，信息系統授權及人員離崗制度，口令管理辦法，重大事項授權與審批管理辦法，信息設備設施資產管理辦法，網絡運行維護管理辦法，信息系統突發網絡安全事件應急管理辦法等。

4.6 建立健全安全管理機構及明確人員責權

（1）成立醫院信息化安全委員會或領導小組

成立醫院指導和管理信息安全工作的委員會或領導小組，最高領導由院長或主管信息化的副院長擔任，委員會或領導小組下設辦公室，信息科科長作為辦公室主任，負責辦公室日常工作，每年度召開信息安全委員會會議不少于2次，并且進行總結分析。

（2）明確相關管理人員責權

醫院同時應設立安全管理員、網絡管理員、系統管理員、安全審計員、數據庫管理員、機房管理員、業務系統管理員、信息資產管理員。各管理員崗位中，安全管理員不能兼任網絡管理員、系統管理員，并明確各員責權。

5 結束語

信息化創新建設已成為醫院當下乃至長期運營與發展的必要基礎設施，醫院信息系統安全與否密切關系到廣大人民群眾身體健康及就醫秩序穩定，因此，加強醫院網絡安全防護工作勢在必行。在未來的發展過程中，網絡信息化發展越來越日新月異，隨著大數據、云計算、5G網絡技術、量子計算等等新技術的普及和應用，會有越來越多的網絡安全問題凸顯，從而會面臨更嚴峻的網絡安全挑戰，醫院必須通過不斷引進新型安全設備、安全技術、安全人員以及編制更完善的安全管理制度和規范，通過技術防御和管理制度規范兩手都要抓，兩手都要硬，提升防護工作的處置效率，才能更更好地促進醫院信息化的建設與發展。

[1]賀瑤.醫院信息化建設中網絡安全問題研究[J].網絡安全技術與應用，2014（09）：147-149.

[2]鮑懷東.醫院信息化建設中的網絡安全防護[J].電子技術與軟件工程，2017（05）：221.

[3]顏海威.醫院信息系統三級等保建設思路[J].電腦知識與技術，2016，12（30）：40-41.

[4]曾穎.醫院信息系統等級保護安全體系設計[J].微型電腦應用，2014，30（03）：43-47.