等保2.0時代醫療行業的網絡安全問題探究

楊建朝 潘峰 劉艷亭 胡玉明 任佳智

【摘要】? ? 本文介紹了醫療行業信息系統的網絡安全挑戰，分析了醫療行業信息系統的安全防護現狀，并基于等保2.0，為如何保障醫療行業信息系統在新技術應用下的網絡安全提出了全面、可靠的防護建議，最后展望了在新一代信息通信技術與醫療行業深度融合下，醫療行業的網絡安全建設發展趨勢。

【關鍵詞】? ? 醫院信息化? ? 數字醫院? ? 醫院信息系統? ? 網絡安全

引言：

我國的醫院信息化建設起步于上個世紀的七十年代， 歷經發展前夕和基于小型機的摸索、微機初級應用、全院規模管理信息系統、臨床信息系統與區域醫療協同摸索、基于電子病歷的醫院信息平臺、人口健康信息化6個發展階段[1]。經過半個世紀的演進，目前我國的醫院信息化已經基本滿足醫院對主要業務和管理的支撐需求，在臨床服務、便民惠民、科學化運營管理方面都取得了較好成效。

然而，隨著信息通信技術的發展以及新興業務的出現，醫院的IT基礎設施和運維管理也面臨新的要求和挑戰[2]-[4]。新的發展需求提高了醫院信息系統對數據存儲及處理的要求，同時醫療數據安全風險也隨之提高。隨著先進信息通信技術在醫療行業信息化進程中的深入應用，以及“互聯網+醫療健康”的不斷推進，黨中央、國務院及醫療監管部門陸續出臺了一系列信息化安全建設與管理的政策法規，逐步完善醫療行業網絡安全體系[5]。從陸續出臺的政策法規可以看出，國家高度重視醫療行業的網絡安全，強調落實做好網絡安全工作。

本文接下來首先介紹了醫療業務發展的趨勢及其網絡安全挑戰。然后，分析了我國醫療行業信息系統的安全防護現狀。接著，提出了網絡安全防護方案建議。最后，總結了在新一代信息通信技術與醫療行業深度融合潮流下，對醫療行業信息系統的網絡安全防護要求。

一、醫療業務發展趨勢與網絡安全挑戰

醫院現有的核心業務系統，主要包括HIS、EMR、CIS、LIS、RIS、PACS幾大傳統系統。伴隨著信息化技術和網絡技術的跨越式發展，現代醫院的運作開始呈現出智能化、協作化的趨勢。我國在“十四五”時期大力發展的“新基建”，5G、邊緣計算與物聯網、云計算、大數據分析與人工智能等新技術在醫院場景下的應用，勢必會提升醫療信息化水平，但同時醫療行業信息系統的安全將面臨更多未知的挑戰[5]。

第一，云計算技術使醫院對醫療數據的存儲和管理變得更加高效。一旦醫院信息資產所依托的云平臺出現安全事故，將導致眾多醫療信息系統業務中斷、醫療數據丟失，嚴重影響醫療活動的正常運轉。第二，大數據技術能夠幫助醫院科研人員實現對醫療數據的專業化分析和再利用，有效提供前瞻性預測及預警功能。醫療數據具有隱私性強、可利用價值高、來源廣泛的特點，常常成為黑客重點攻擊的對象，導致醫療數據泄露風險的增高。第三，物聯網技術是實現智能化醫療的重要組成部分，主要包括人體健康數據監測和體內植入設備。物聯網醫療設備也存在重要信息被監聽、截獲從而控制設備發起攻擊的風險。第四，移動互聯網技術的進步促進了移動醫療APP的發展，在醫患互動過程中發揮著重要作用。移動互聯網的醫療網絡安全風險主要體現在數據平臺分散化、移動終端難以集中管控、移動數據公網裸奔等方面，容易導致敏感信息泄露等安全問題。

綜上所述，新的技術應用為提升醫療信息化水平創造了機遇，能夠為患者提供更好的服務，但同時新技術的應用也引入了更多未知的挑戰。為探究醫療行業信息系統的網絡安全問題，下面首先分析我國醫療行業信息系統的安全現狀，然后討論網絡安全防護建設方案。

二、我國醫療行業的安全防護現狀

在行業間的對比方面，根據2019年國家互聯網應急中心報告的研究成果，隨著互聯網診療等業務的快速開展，醫療健康行業相較于其他行業存在網絡安全風險的聯網系統數量最多[6]。此外，《2019健康醫療行業網絡安全觀測報告》中指出醫療行業總體處于“較大風險”級別，存在多種網絡安全風險及大量可被利用的安全隱患，安全防護能力較弱[7]。中國醫院協會信息專業委員會在2019-2020年度的《中國醫院信息化狀況調查報告》中指出，近年醫院在入侵檢測、網閘等設備投入普遍增加，但用戶網絡行為審計、漏洞掃描、終端接入控制、防毒墻等設備的采用率不足60%，大部分醫院仍缺乏必要的網絡防護設備[8]。

由此可見，醫療行業存在可被利用脆弱性情況普遍，大部分單位沒有定期對系統進行安全風險評估，識別資產存在的安全隱患。

三、網絡安全防護建設

從以上的分析可以看出，醫療行業信息系統的安全防護水平普遍較低，亟需進一步加強。本文提出了如下的安全管控措施，從而幫助醫療行業信息系統提升網絡安全防護力度，為國家及人民生命財產安全保駕護航。下面從安全通信網絡、劃分區域邊界、安全計算環境三個技術層面展開。

3.1構建安全的通信網絡

在網絡架構方面，如何根據業務系統的特點構建網絡是非常關鍵的。應該根據所建設的醫療行業信息系統的業務量預期情況合理構建網絡，既要達到控制成本的目標，又要保證網絡設備的業務處理能力具備冗余空間、網絡各個部分的帶寬滿足業務高峰期需要。可采取的技術措施包括部署流量控制設備對關鍵業務系統的流量帶寬進行控制、在相關設備上啟用QoS配置對網絡各個部分進行帶寬分配、在主要網絡設備上進行VLAN劃分、在重要網絡區域和其它網絡區域之間部署網閘、防火墻等安全設備、業務類網絡設備（包括交換機、防火墻、路由器）成對部署。在通信傳輸方面，為了防止數據在通信過程中被修改、破壞或竊聽，應采用HTTPS、SSH等傳輸協議，采用VPN技術建立安全的訪問路徑，保證通信過程中數據的完整性和保密性。

3.2合理劃分區域邊界

網絡實現了不同系統的互聯互通，然而在生產環境中往往需要根據不同的安全需求切割系統，將網絡劃分成不同的區域，即形成安全區域邊界。下面我們結合醫院的實際業務需求，嘗試著將醫院信息系統劃分為五個安全區域。

核心業務區：將醫院的核心業務系統部署于本網絡區域。由于敏感性極高的公眾醫療信息和醫學影像數據存儲于該區域，應實現該區域與互聯網的隔離、嚴格限制“非授權接入”行為。

DMZ區：可以在DMZ區部署需要對互聯網用戶提供線上服務的業務系統，例如門戶網站、預約掛號業務系統，并部署網絡防火墻，僅允許互聯網訪問DMZ區服務器主機，但不允許DMZ區訪問公司內網主機。

綜合辦公區：為滿足醫院工作人員的自動化辦公需求，例如考勤、考核、科研和管理等工作，需要劃分出綜合辦公區部署相應的信息系統。根據該網絡區域所承載業務的特點，需要嚴格限制該區域終端的接入行為，包括接入內網及連接互聯網的行為。

安全管理區：本區域實現對安全設備和安全組件的管理接口和數據獨立且集中的管控，網絡中部署的安全設備日志信息需要傳輸到本區域實現安全審計功能。

災備區：由于核心業務系統對醫院持續對患者提供高質量服務的重要性極高，還需要部署一個容災備份區域來實現核心業務系統的高可用性和可恢復性。

3.3創建安全的計算環境

用戶鑒別是操作系統、數據庫管理系統、應用系統的一個主要安全問題。最常見的用戶身份鑒別方法是口令的使用。為了不被惡意用戶利用，口令應該具有一定的復雜度要求并設置登錄失敗處理機制。然而，由于存在肩窺、嗅探等口令泄露風險，僅采用口令方式仍不夠安全，可采用生物、密碼技術等雙因子認證方式加固安全。此外，信息系統的訪問控制應遵循最小權限原則，并盡量實現系統、安全、審計等管理用戶的權限分離。由于計算機程序面臨著特洛伊木馬、邏輯炸彈、堆棧和緩沖區溢出和電腦病毒等威脅，需要保證計算機系統的最小化安裝、安裝有效的殺毒軟件并定期更新病毒庫。另一方面，系統和網絡面臨著蠕蟲、端口掃描、拒絕服務等惡意攻擊行為的威脅，因此需要控制計算機系統服務端口的開放。在應用安全層面，需要防范SQL注入和XSS攻擊，可采取數據有效性校驗的技術手段。審計、日志功能會降低系統性能，但對安全等方面十分有幫助。用戶可以通過日志解讀程序的運行情況，此外可疑事件日志（例如認證失敗和授權失敗）能夠反映入侵行為。因此，需要啟用安全審計功能，并定期備份數據保護審計記錄。最后，醫療行業信息系統中的數據大多包含敏感信息，因此要重視對個人信息的保護。例如，醫院的HIS、EMR、PACS等系統中存儲了大量敏感的患者信息和醫療數據，應禁止未授權訪問和非法使用用戶個人信息。

四、結束語

在新一代信息通信技術與醫療行業深度融合潮流下，醫院行業不斷涌現新的業務模式，云計算、大數據、物聯網和移動互聯等新技術的應用要以信息系統安全為前提，保障醫療行業的網絡安全。此外，等保2.0時代的來臨表明了國家對網信事業發展的重視。醫療行業信息系統是保障民生的重要基礎設施，應當遵循國家相關法律規定積極主動做好等級保護建設工作，這既是對自身資產的保護，也是對公眾、社會、國家負責的體現。

參? 考? 文? 獻

[1] 劉曉強， 華永良， 薛成兵. 我國醫院信息化發展歷程淺析[J]. 中國衛生信息管理雜志， 2016， 13（2）： 142-152.

[2] 國務院. 國務院關于積極推進“互聯網+”行動的指導意見（國發〔2015〕40號）[Z]. 2015-07-04.

[3] 國務院辦公廳. 國務院辦公廳印發《關于促進“互聯網+醫療健康”發展的意見》（國辦發〔2018〕26號）[Z]. 2018-04-28.

[4] 國家衛生健康委員會. 國家衛生健康委辦公廳關于印發醫院智慧服務分級評估標準體系 （試行） 的通知 （國衛辦醫函〔2019〕236號）[Z]. 2019-03-18.

[5] 劉思思，徐麗娟，路紅，李杺恬，黃崢，張德馨.醫療行業網絡安全白皮書（2020年）[N]. 中國計算機報， 2020-04-20（008）.

[6] 國家計算機網絡應急技術處理協調中心. 2019年我國互聯網網絡安全態勢綜述[Z]. 2020-04.

[7] 中國信息通信研究院. 2019健康醫療行業網絡安全觀測報告[Z]. 2020-04.

[8] 中國醫院協會信息專業委員會. 2019-2020年度中國醫院信息化狀況調查報告[Z]. 2021-03.