醫(yī)院信息安全體系的構(gòu)建

陳 鵬

（龍巖市第一醫(yī)院信息科，福建 龍巖 364000）

自新醫(yī)改發(fā)展以來，醫(yī)療衛(wèi)生事業(yè)向互聯(lián)網(wǎng)方向發(fā)展已經(jīng)成為行業(yè)主要趨勢[1]。新醫(yī)改的發(fā)展對醫(yī)院建設(shè)提出一系列新要求，要求醫(yī)院信息網(wǎng)絡(luò)緊跟時代發(fā)展潮流、趨勢，應(yīng)對互聯(lián)網(wǎng)的沖擊同時也“物盡其用”、“人盡其才”，構(gòu)建信息安全體系，利用一系列先進技術(shù)，開放原本的醫(yī)院內(nèi)網(wǎng)，為各項業(yè)務(wù)開展提供便利[2]。但是如此一來，醫(yī)院內(nèi)網(wǎng)的開放導(dǎo)致其也承擔更多網(wǎng)絡(luò)安全風(fēng)險，也使醫(yī)院發(fā)展中的信息安全問題更加突出。國家高度重視醫(yī)院信息安全體系的構(gòu)建，2011 年頒布的《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》明確規(guī)定醫(yī)院網(wǎng)絡(luò)信息安全的各項新要求。

1 醫(yī)院信息化發(fā)展的背景

目前，圍繞信息化開展工作已經(jīng)成為醫(yī)院各科室的核心內(nèi)容之一，各項業(yè)務(wù)依賴信息網(wǎng)絡(luò)開展的同時，相關(guān)網(wǎng)絡(luò)安全形勢也不容樂觀。國內(nèi)外不法分子利用、員工操作不當以及軟硬件技術(shù)缺陷等問題嚴重威脅醫(yī)院信息網(wǎng)絡(luò)安全。信息安全體系的構(gòu)建涵蓋信息傳輸、網(wǎng)絡(luò)、業(yè)務(wù)、數(shù)據(jù)庫等內(nèi)容，同時不法分子也可能侵入各個環(huán)節(jié)，獲取控制權(quán)、盜取信息、倒賣病例、隱私信息等。社保、醫(yī)院行政及醫(yī)療合作方的信息也可能被黑客盜取，導(dǎo)致嚴重后果。

自2020 年以來，Blackbaud 的網(wǎng)絡(luò)攻擊[3]、眼保健集團Luxottica 事件、俄勒岡州HealthShare 被入侵、麥哲倫健康計劃服務(wù)器被攻擊等信息網(wǎng)絡(luò)安全事件頻發(fā)，對醫(yī)院業(yè)務(wù)開展、數(shù)據(jù)儲存及診療工作影響較大。醫(yī)院信息化發(fā)展過程中，往往注重網(wǎng)絡(luò)的帶寬，而常常對網(wǎng)絡(luò)安全考慮不周，缺乏有效規(guī)劃。隨著網(wǎng)絡(luò)應(yīng)用向復(fù)雜化、多元化、精準化方向發(fā)展，醫(yī)院需要考慮如何更好地應(yīng)對多種安全隱患，添加安全設(shè)備、構(gòu)建完善化的信息安全體系，重視滿足醫(yī)院網(wǎng)絡(luò)多層次的防護要求，使網(wǎng)絡(luò)成為智能化的安全防護實體。

2 目前醫(yī)院信息網(wǎng)絡(luò)面臨的一些實際問題

2.1 安全設(shè)施有待完善

目前醫(yī)院順應(yīng)時代發(fā)展趨勢，其內(nèi)網(wǎng)逐漸向開放狀態(tài)發(fā)展，配置一定的安全設(shè)備確保網(wǎng)絡(luò)安全勢在必行。國家衛(wèi)生部推出的一系列指導(dǎo)意見支持下，醫(yī)院設(shè)置的安全設(shè)備整體滿足各項業(yè)務(wù)需求，但實踐應(yīng)用中卻發(fā)現(xiàn)部分醫(yī)院設(shè)備雖然上線，但缺乏配套的管理制度，甚至個別醫(yī)院不重視設(shè)備后期管理，缺乏相應(yīng)安全設(shè)備、安全設(shè)備種類單一，醫(yī)院內(nèi)網(wǎng)幾乎處于不設(shè)防狀態(tài)。還有部分醫(yī)院網(wǎng)絡(luò)訪問較為隨意，信息流通及共享過于暢通，導(dǎo)致一些安全風(fēng)險一旦出現(xiàn)，勢必對醫(yī)院信息安全導(dǎo)致巨大威脅。

2.2 人員操作及意識不足

醫(yī)院信息安全體系的操作及管理人員安全意識有待加強，尤其是在第三方合作、管理上的醫(yī)院。醫(yī)院人員管理的發(fā)展和信息安全體系構(gòu)建發(fā)展不同步、速率不同，導(dǎo)致醫(yī)院內(nèi)部有大量的網(wǎng)絡(luò)操作不當、違規(guī)等。

2.3 組織管理安全不足

在組織安全方面，醫(yī)院大都設(shè)有專門的安全管理組織機構(gòu)，重視對信息的安全管理。但大多數(shù)醫(yī)院組織管理并不健全，和自身各項工作的開展還有一定出入，部分醫(yī)院應(yīng)急管理制度欠缺，且管理制度落實效果并不理想，安全管理制度流于形式。部分醫(yī)在組織管理方面投入的人力及財力不足，也導(dǎo)致制度后續(xù)缺乏足夠保障，無法發(fā)揮自身最大價值。

3 醫(yī)院信息安全體系的建設(shè)分析

醫(yī)院現(xiàn)代化發(fā)展過程中，對信息安全體系的設(shè)計和構(gòu)建主要應(yīng)突出針對內(nèi)外部安全故障的分析，以國家相關(guān)部門制定的信息安全等級保護作為指導(dǎo)，結(jié)合醫(yī)院實際，合理設(shè)計體系安全框架，使其形成滿足HIS 的完善化信息安全體系，促進醫(yī)院合理發(fā)展。

3.1 網(wǎng)絡(luò)訪問控制

網(wǎng)絡(luò)訪問包括對多個計算機終端的訪問，包括終端上應(yīng)用的文件、數(shù)據(jù)、隱私信息等資源訪問權(quán)限控制、可編輯操作或共享的等，禁止越權(quán)使用，具體內(nèi)容如下。

權(quán)限控制：不同用戶的授權(quán)不同，都是處于能夠完成工作的最小授權(quán)。例如科室人員只能夠獲取并操作自己科室的信息；管理員則可以對多科室的信息調(diào)用、查閱、通知；領(lǐng)導(dǎo)人員可以查看一些醫(yī)院機密性信息等。各用戶之間構(gòu)成相互制約的關(guān)系。

賬號控制：在賬號方面，限制默認賬號區(qū)域的訪問權(quán)限，對賬戶重命名、修改準入口令等。此外，將過期賬號、多余用戶等及時刪除，避免共享或重疊賬戶出現(xiàn)。

3.2 區(qū)域邊界訪問控制

通過有效的區(qū)域邊界訪問控制可避免網(wǎng)絡(luò)對醫(yī)院內(nèi)部系統(tǒng)導(dǎo)致沖擊和入侵。圍繞防火墻技術(shù)設(shè)置，可確保醫(yī)保、衛(wèi)生管理部門等專項的接口和外部網(wǎng)絡(luò)安全連接。將防火墻設(shè)置在出口節(jié)點、交換機之間合理位置，以此發(fā)揮防火墻自身最大防護作用，起到過濾、防御、劃分安全執(zhí)行板塊作用。

3.3 入侵防御系統(tǒng)

入侵防御系統(tǒng)包括入侵檢測系統(tǒng)、安全防護、網(wǎng)絡(luò)行為分析、準入控制、交換機等，主要是針對發(fā)生入侵后的及時響應(yīng)、緊急處理。區(qū)域邊界中防火墻主要負責協(xié)議過濾，結(jié)合醫(yī)院信息安全體系的規(guī)范建設(shè)要求，其網(wǎng)絡(luò)層判斷數(shù)據(jù)包合法流動是核心，但現(xiàn)代化互聯(lián)網(wǎng)技術(shù)不斷發(fā)展的同時，對系統(tǒng)導(dǎo)致的攻擊行為也更加廣泛，針對應(yīng)用層的攻擊增多，防火墻往往無法妥善處理對應(yīng)用層的攻擊。因此需要圍繞應(yīng)用層研究更多檢測技術(shù)、防御手段，將具備快速檢測攻擊和快速響應(yīng)處理的混合型設(shè)備配合防火墻，防御多種對應(yīng)用及網(wǎng)絡(luò)層導(dǎo)致的攻擊，構(gòu)建符合現(xiàn)代化醫(yī)院需求的安全防護體系，多層次、多手段、全方位地檢測、防護并緊急處理。入侵防御系統(tǒng)是眾多安全系統(tǒng)中較為重要的環(huán)節(jié)之一，其可以直觀識別出網(wǎng)絡(luò)中的眾多行為，及時監(jiān)督惡意攻擊、異常網(wǎng)站、異常代碼，并實時報警，進行有效攔截，切實保障醫(yī)院內(nèi)網(wǎng)安全。

3.4 防病毒網(wǎng)關(guān)控制

在防病毒網(wǎng)關(guān)設(shè)置上堅持“透明接入”，直接在距離病毒發(fā)生位置最近的安全邊界集中防護，直接針對病毒源頭落實防護，對網(wǎng)絡(luò)交換數(shù)據(jù)中“渾水摸魚”的病毒過濾，甄別網(wǎng)絡(luò)病毒、蠕蟲、混合攻擊、隱蔽代碼、端口檢測、間諜軟件攔截、軟件貸款濫用等進行控制，避免病毒從多個區(qū)域傳播到醫(yī)院內(nèi)部或其他安全領(lǐng)域中，防病毒網(wǎng)關(guān)接線示意圖如圖1 所示。

圖1 防病毒網(wǎng)關(guān)接線示意圖

3.5 Web 應(yīng)用防火墻

Web 是最容易受到網(wǎng)絡(luò)攻擊的內(nèi)容，醫(yī)院互聯(lián)網(wǎng)的數(shù)據(jù)中心服務(wù)器由于業(yè)務(wù)需求，向外界提供對應(yīng)的Web 服務(wù)，但同時，醫(yī)院外網(wǎng)信息系統(tǒng)也暴露在互聯(lián)網(wǎng)大環(huán)境中，極容易受到黑客攻擊，因此，須采用專門的Web 應(yīng)用防護防火墻，如圖2 所示。將Web 應(yīng)用防火墻設(shè)置在服務(wù)區(qū)防病毒網(wǎng)關(guān)之后，和防病毒網(wǎng)關(guān)相互配合，起到“雙重防護”的效果，同時也可防止Web 相關(guān)的攻擊、入侵、破壞等多種威脅出現(xiàn)。例如設(shè)置Web 應(yīng)用防火墻可避免CC 攻擊、目錄遍歷等出現(xiàn)，也可保證網(wǎng)頁不被篡改，各項正常業(yè)務(wù)有序開展。

圖2 Web 防火墻示意圖

圖注：DMZ1 為非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)1；DMZ2 為非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)2；DMZ3 為非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)3。

3.6 業(yè)務(wù)審計分析

醫(yī)院應(yīng)用層業(yè)務(wù)審計是對應(yīng)用系統(tǒng)行為的審計分析，須配合應(yīng)用系統(tǒng)，業(yè)務(wù)審計系統(tǒng)設(shè)置在服務(wù)器區(qū)域的核心交換機位置，內(nèi)網(wǎng)服務(wù)器區(qū)域監(jiān)控以數(shù)據(jù)庫的操作及服務(wù)器操作為基礎(chǔ)，可對數(shù)據(jù)庫各項操作過程回放分析。采用系統(tǒng)審計的方式，并利用可信時間戳技術(shù)，將系統(tǒng)中的異常變化、重大變故、安全事件等全部記錄下來，包括事件的起止時間、日期、發(fā)起者的信息、類型及描述等詳細內(nèi)容。同時業(yè)務(wù)審計可保留、保護審計結(jié)果，避免出現(xiàn)非法刪除、篡改及覆蓋審計信息的狀況，為后續(xù)技術(shù)人員妥善處理事件、優(yōu)化系統(tǒng)提供真實數(shù)據(jù)參考分析。此外，業(yè)務(wù)審計還可對記錄的數(shù)據(jù)自動統(tǒng)計、分析，生產(chǎn)審計報表，上傳到數(shù)據(jù)庫，為醫(yī)院領(lǐng)導(dǎo)層、管理層決策提供支持。

4 對醫(yī)院網(wǎng)絡(luò)開展的集中安全管理

以A 醫(yī)院為例，對其現(xiàn)有信息安全體系分析，并對中心機房的核心網(wǎng)絡(luò)交換機擴容、匯聚，規(guī)避大量網(wǎng)絡(luò)故障導(dǎo)致醫(yī)院內(nèi)網(wǎng)癱瘓，也避免網(wǎng)絡(luò)對醫(yī)院ICU、行政等重要科室業(yè)務(wù)開展造成影響。

4.1 架構(gòu)分析

在原本、現(xiàn)有物理架構(gòu)的基礎(chǔ)上，實現(xiàn)網(wǎng)絡(luò)架構(gòu)的高度冗余，注重提高架構(gòu)身容錯能力，平臺架構(gòu)、業(yè)務(wù)關(guān)鍵點沒有設(shè)備或線路單點故障。

A 醫(yī)院的信息安全體系架構(gòu)分為以下5 個部分。1）內(nèi)網(wǎng)-業(yè)務(wù)區(qū)：內(nèi)部的業(yè)務(wù)、服務(wù)器及儲存數(shù)據(jù)庫等共同構(gòu)成該區(qū)域。2）內(nèi)外-科室訪問應(yīng)用區(qū)：各個科室終端所在的網(wǎng)絡(luò)區(qū)域，要保證各個科室的業(yè)務(wù)終端可以自由訪問醫(yī)院內(nèi)部業(yè)務(wù)平臺。3）外網(wǎng)區(qū)：包括臨床、行政、第三方合作及行政辦公區(qū)域，支持用戶自主訪問互聯(lián)網(wǎng)。4）外部接入?yún)^(qū)域：主要為第三方工作提供便利，為醫(yī)保辦、新農(nóng)合、銀醫(yī)一卡通等提供網(wǎng)絡(luò)業(yè)務(wù)支持。5）外網(wǎng)網(wǎng)站區(qū)域：顧名思義，主要為外網(wǎng)的網(wǎng)站建設(shè)，是醫(yī)院門戶網(wǎng)站的網(wǎng)絡(luò)區(qū)域，和其他網(wǎng)絡(luò)區(qū)域采取物理隔離的方式確保安全。

同時，在邏輯架構(gòu)上，為實現(xiàn)對信息化平臺架構(gòu)的有效劃分、合理劃分，考慮到醫(yī)院各個科室、各個部門工作要求，盡可能規(guī)劃好多個安全區(qū)域，對現(xiàn)有邏輯架構(gòu)進行調(diào)整， 網(wǎng)絡(luò)骨干性設(shè)備間設(shè)3 層架構(gòu)方式，起到對故障的隔離控制作用，避免由于故障不同所導(dǎo)致的網(wǎng)絡(luò)骨干性設(shè)備異常，甚至導(dǎo)致醫(yī)院網(wǎng)絡(luò)癱瘓等。

4.2 綜合網(wǎng)的集中管理

A 醫(yī)院采取綜合網(wǎng)絡(luò)運維管理支持，綜合網(wǎng)的集中管理為平臺級系統(tǒng)，各科室、各業(yè)務(wù)的系統(tǒng)均為該平臺管控下的子系統(tǒng)，平臺集中管理提供網(wǎng)絡(luò)、安全設(shè)備、主機、數(shù)據(jù)庫及中間件服務(wù)管理，也支持IP 地址資源管理等操作。

綜合網(wǎng)絡(luò)的集中管理需要滿足以下幾個關(guān)鍵性功能：1）首先，要求集中管理可以采取多種算法自動生成針對動態(tài)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，可在短時間內(nèi)完成對多項網(wǎng)絡(luò)節(jié)點的搜索，系統(tǒng)智能勾畫設(shè)備的冗余、均衡負載連接，了解鏈路流量、等級及物理帶寬等多項關(guān)鍵參數(shù)。2）再者，要求管理平臺可以了解網(wǎng)絡(luò)拓撲多線路流量及設(shè)備狀況，了解詳細屬性。例如網(wǎng)絡(luò)中系統(tǒng)CPU、MEM 等，要了解其持續(xù)運行狀況，集中體現(xiàn)出來，便于對設(shè)備落實實時監(jiān)控及及時報警。此外，分析網(wǎng)絡(luò)運行狀況，生成自定義報表，便于后續(xù)管理和分析。3）然后，系統(tǒng)需要對實時業(yè)務(wù)開展監(jiān)控分析，對業(yè)務(wù)告警及時反應(yīng)，顯示告警的業(yè)務(wù)通道詳細信息，并在拓撲圖結(jié)構(gòu)中，采取鏈路變色、節(jié)點閃爍等明顯的方式，提醒管理人員妥善處理。告警信息若長時間得不到確認，則采取某種保持、明顯的方式提醒管理人員。目前，醫(yī)院系統(tǒng)的告警針對聯(lián)通性的測試、ping 超出規(guī)范、負載超載、流量不足、流量超限、SNMP 警告、端口狀態(tài)異常等，并且結(jié)合管理業(yè)務(wù)需求，可以對告警信息的顯示時間、顯示內(nèi)容進行更改，實現(xiàn)延時告警、輪詢間隔等。4）最后，管理系統(tǒng)需要確?？蓪崟r監(jiān)控交換機用戶連接狀態(tài)，掌握交換機VLAN 分布表、路由表、APR 表、IP 地址表、CDP 表、TCP 連接表等多項信息的監(jiān)控?？梢栽谕負浣Y(jié)構(gòu)上監(jiān)控各端口的流量實時變化，并且對總流量、幀流量、廣播流量、求保留等大小監(jiān)控。

5 醫(yī)院信息安全體系構(gòu)建后醫(yī)院網(wǎng)絡(luò)安全發(fā)展對策

5.1 構(gòu)建并完善領(lǐng)導(dǎo)管理機制

要成立圍繞醫(yī)院領(lǐng)導(dǎo)層為核心的網(wǎng)絡(luò)信息安全管理領(lǐng)導(dǎo)小組，醫(yī)院管理工作中注重充分發(fā)揮各級領(lǐng)導(dǎo)機構(gòu)自身作用，重視頂層領(lǐng)導(dǎo)機制功能，明確醫(yī)院各部門領(lǐng)導(dǎo)管理機構(gòu)責任、權(quán)限，進行歸口管理。醫(yī)院信息安全管理領(lǐng)導(dǎo)小組對網(wǎng)絡(luò)安全、信息化業(yè)務(wù)制定專門的規(guī)劃和決策，并確保此類決策可貫徹落實到各個科室，積極整合醫(yī)院資源，提高資源利用效率。

5.2 完善信息安全管理制度

首先，要強化用戶密碼管理，系統(tǒng)管理員及數(shù)據(jù)庫管理員設(shè)置不同的賬號、密碼，分別保存自己的密碼，明確不同管理崗位的責任和義務(wù)。此外，要做好普通用戶的密碼保護，提醒用戶定期更換密碼，及時規(guī)避被盜用密碼的風(fēng)險。

再者，做好數(shù)據(jù)備份及故障恢復(fù)，周期檢查備份日志，確保各項數(shù)據(jù)本地備份及云端備份正常。設(shè)置常態(tài)化的應(yīng)急演練制度，定期組織工作人員開展信息系統(tǒng)被攻擊、被侵入后的緊急處理，確保真正遇到異常問題之后，可以緊急應(yīng)對，醫(yī)療工作持續(xù)開展。

最后，需要結(jié)合醫(yī)院自身終端設(shè)備做好對應(yīng)的管控，結(jié)合醫(yī)院實際終端訪問需求，做好內(nèi)網(wǎng)終端、外網(wǎng)終端、內(nèi)外網(wǎng)共享設(shè)備的劃分。內(nèi)網(wǎng)終端包括醫(yī)院內(nèi)部僅訪問內(nèi)部應(yīng)用的用戶，包括科室內(nèi)記錄、存檔等操作；外網(wǎng)終端指醫(yī)院內(nèi)少量用戶須訪問互聯(lián)網(wǎng)，通過專門的認證及訪問策略限制，對外部網(wǎng)絡(luò)訪問，但是不允許其訪問內(nèi)部網(wǎng)絡(luò)；內(nèi)外網(wǎng)的共享終端主要針對醫(yī)院領(lǐng)導(dǎo)、管理及信息部門需求，構(gòu)建可訪問內(nèi)部系統(tǒng)和互聯(lián)網(wǎng)的系統(tǒng)，但是該類用戶終端的安全性風(fēng)險也較大，要對該類終端安全性予以嚴格定義，通過信息部門的認證許可，才可以正常訪問內(nèi)外部網(wǎng)絡(luò)。

6 結(jié)語

綜上所述，在醫(yī)院現(xiàn)代信息化不斷發(fā)展的過程中，如何確保醫(yī)院各項信息安全是醫(yī)院首先要解決的問題。信息安全的建設(shè)只是醫(yī)院信息化建設(shè)的一部分，但其對醫(yī)院可持續(xù)發(fā)展影響重大。須構(gòu)建合理的醫(yī)院信息安全體系，在促進醫(yī)院數(shù)據(jù)傳遞、共享的同時，也切實保障數(shù)據(jù)安全，推動“互聯(lián)網(wǎng)+醫(yī)療”事業(yè)不斷發(fā)展，在提高醫(yī)院經(jīng)濟效益的同時，也促進我國醫(yī)療事業(yè)不斷進步。