一、 引言

隨著信息技術(shù)在醫(yī)療領(lǐng)域的深入應(yīng)用，網(wǎng)絡(luò)信息系統(tǒng)已經(jīng)成為醫(yī)院提高決策水平、管理效率和運(yùn)營(yíng)能力的倍增器?！笆濉逼陂g，我國(guó)醫(yī)療信息化發(fā)展日新月異，新技術(shù)演進(jìn)成為醫(yī)院提升服務(wù)質(zhì)量效率的重要驅(qū)動(dòng)，新醫(yī)改對(duì)信息化建設(shè)提出了新的需求。根據(jù)中國(guó)醫(yī)院協(xié)會(huì)信息專業(yè)委員會(huì)2019年發(fā)布的《中國(guó)醫(yī)院信息化狀況調(diào)查（2018-2019年度）》數(shù)據(jù)，在全國(guó)各級(jí)各類醫(yī)院調(diào)查樣本中，100%的醫(yī)院擁有與信息化相關(guān)的機(jī)房，70%以上的醫(yī)院擁有獨(dú)立、專用和隔離的計(jì)算機(jī)網(wǎng)絡(luò)，85%的醫(yī)院建立了網(wǎng)站，說(shuō)明我國(guó)醫(yī)院信息化基礎(chǔ)設(shè)施已經(jīng)基本普及。與此同時(shí)，醫(yī)院信息系統(tǒng)（HIS）、電子病歷（EMR）、影像歸檔和通信系統(tǒng)（PACS）、實(shí)驗(yàn)室信息管理系統(tǒng)（LIS）等，對(duì)醫(yī)院人財(cái)物等資源進(jìn)行高效調(diào)配管理，一旦遭受網(wǎng)絡(luò)攻擊導(dǎo)致系統(tǒng)癱瘓、數(shù)據(jù)丟失與泄露，將會(huì)在財(cái)產(chǎn)、聲譽(yù)甚至生命安全等方面給醫(yī)院帶來(lái)無(wú)法估量的損失。

隨著醫(yī)院的資金鏈、信息鏈、診斷鏈全方位從線下遷移到線上，未來(lái)醫(yī)院網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理和攻防對(duì)抗，以及保障民生和維護(hù)醫(yī)院利益，必然會(huì)成為工作的重點(diǎn)。本研究從醫(yī)院網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀出發(fā)，分析醫(yī)院網(wǎng)絡(luò)安全運(yùn)維方面可能存在的問(wèn)題和不足，遵從等級(jí)保護(hù)2.0的相關(guān)要求，以數(shù)據(jù)安全和應(yīng)用安全為導(dǎo)向，搭建網(wǎng)絡(luò)安全運(yùn)營(yíng)體系框架，建立統(tǒng)一網(wǎng)絡(luò)安全運(yùn)營(yíng)模式，推進(jìn)智慧醫(yī)院網(wǎng)絡(luò)安全能力落地，滿足醫(yī)院網(wǎng)絡(luò)安全需求，為醫(yī)院網(wǎng)絡(luò)安全的發(fā)展提供決策參考。

二、 國(guó)內(nèi)外研究現(xiàn)狀

西方國(guó)家對(duì)醫(yī)院網(wǎng)絡(luò)安全的認(rèn)識(shí)起步較早，各國(guó)高度重視醫(yī)院信息化工作，以降低成本、提高效率。但隨著信息化程度不斷加深，國(guó)外醫(yī)院網(wǎng)絡(luò)安全事件頻發(fā)，隱私數(shù)據(jù)泄露、醫(yī)療器械被攻擊等給醫(yī)院造成了重大損失。近年來(lái)，國(guó)外醫(yī)療主管機(jī)構(gòu)提高網(wǎng)絡(luò)安全認(rèn)識(shí)，專門成立網(wǎng)絡(luò)安全管理主責(zé)部門，并制定一系列法規(guī)、制度和標(biāo)準(zhǔn)等，加大網(wǎng)絡(luò)安全監(jiān)管力度。如美國(guó)相繼發(fā)布了《醫(yī)療設(shè)備安全移動(dòng)計(jì)劃：保護(hù)病患與推動(dòng)大眾健康》與《醫(yī)療行業(yè)網(wǎng)絡(luò)安全實(shí)踐：管控威脅，保護(hù)患者》等指導(dǎo)文件，不斷加大對(duì)網(wǎng)絡(luò)安全違規(guī)行為的處罰力度，提高各醫(yī)療機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全的重視程度，規(guī)避違規(guī)處罰風(fēng)險(xiǎn)，建成分級(jí)分類醫(yī)院網(wǎng)絡(luò)安全防護(hù)體系，系統(tǒng)化促進(jìn)醫(yī)院整體網(wǎng)絡(luò)安全。

我國(guó)受國(guó)情影響，醫(yī)院網(wǎng)絡(luò)安全建設(shè)起步較晚，但是發(fā)展迅速，當(dāng)前部分醫(yī)院主業(yè)務(wù)系統(tǒng)HIS、LIS、PACS、EMR等已基本完成了等級(jí)保護(hù)定級(jí)和整改建設(shè)，網(wǎng)絡(luò)安全等級(jí)保護(hù)工作穩(wěn)步推進(jìn)。多數(shù)信息化建設(shè)較為突出的醫(yī)院，基礎(chǔ)網(wǎng)絡(luò)安全建設(shè)已經(jīng)相對(duì)成熟，已具備內(nèi)外物理隔離的多個(gè)網(wǎng)絡(luò)，確保網(wǎng)絡(luò)架構(gòu)安全；在網(wǎng)絡(luò)關(guān)鍵位置建設(shè)網(wǎng)絡(luò)防火墻和入侵防御設(shè)備實(shí)現(xiàn)邏輯隔離；建設(shè)網(wǎng)閘系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)隔離擺渡；建設(shè)防病毒和主機(jī)安全管理系統(tǒng)實(shí)現(xiàn)終端安全等，醫(yī)院自上而下逐步加強(qiáng)對(duì)數(shù)據(jù)安全的重視程度，并在此基礎(chǔ)上初步探索了云計(jì)算安全有關(guān)措施。

三、 醫(yī)院網(wǎng)絡(luò)安全存在的主要問(wèn)題

醫(yī)院網(wǎng)絡(luò)安全是一系列規(guī)則、技術(shù)和應(yīng)用的集合。在政策背景和切實(shí)需求的推動(dòng)下，當(dāng)前醫(yī)院網(wǎng)絡(luò)安全的發(fā)展勢(shì)頭總體良好，但也存在一些不足。

（一）網(wǎng)絡(luò)安全管理運(yùn)營(yíng)支撐不足

醫(yī)院雖已初步建立了網(wǎng)絡(luò)安全管理組織架構(gòu)，成立了網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，但缺乏頂層設(shè)計(jì)，未形成統(tǒng)一的安全運(yùn)維體系，安全人員配備不足、人員安全意識(shí)不夠、安全制度制定不足落實(shí)不力，針對(duì)網(wǎng)絡(luò)安全事件主要采取“救火”式的安全管理模式，缺乏統(tǒng)一高效的安全運(yùn)營(yíng)支撐，無(wú)法感知全網(wǎng)安全狀態(tài)，導(dǎo)致發(fā)生網(wǎng)絡(luò)安全事件不能及時(shí)進(jìn)行響應(yīng)，整體安全運(yùn)維效率低下。

（二）個(gè)人敏感信息的保護(hù)任重道遠(yuǎn)

個(gè)人信息保護(hù)事關(guān)每個(gè)人的切身利益，而醫(yī)療信息尤為敏感，已經(jīng)頒布實(shí)施的個(gè)人信息保護(hù)法也對(duì)個(gè)人敏感信息的保護(hù)提出了更高的要求。當(dāng)前能接觸醫(yī)療數(shù)據(jù)的不僅是醫(yī)院內(nèi)部人員，還包括外部研究人員等，信息系統(tǒng)中還包含各類網(wǎng)絡(luò)應(yīng)用以及移動(dòng)設(shè)備應(yīng)用，風(fēng)險(xiǎn)更加多元。

（三）數(shù)據(jù)交互引發(fā)安全風(fēng)險(xiǎn)

醫(yī)院數(shù)據(jù)的互聯(lián)互通使得原有醫(yī)院內(nèi)外網(wǎng)物理隔離的架構(gòu)面臨顛覆性的改變，結(jié)構(gòu)化與非結(jié)構(gòu)化數(shù)據(jù)的安全防護(hù)，均存在一定程度的隱患，如技術(shù)漏洞、物理故障、惡意攻擊等。醫(yī)保、醫(yī)院官網(wǎng)、微信公眾號(hào)和 App等都存在內(nèi)外網(wǎng)絡(luò)和數(shù)據(jù)交互，任何人都可能通過(guò)網(wǎng)站對(duì)醫(yī)院互聯(lián)網(wǎng)服務(wù)器發(fā)起網(wǎng)絡(luò)攻擊，進(jìn)而危害醫(yī)院網(wǎng)絡(luò)安全。

同時(shí)，系統(tǒng)間通過(guò)集成平臺(tái)或單體業(yè)務(wù)系統(tǒng)開(kāi)放接口的方式實(shí)現(xiàn)數(shù)據(jù)互通，這些接口往往存在數(shù)據(jù)被盜用的隱患。

（四）新技術(shù)引入加劇新安全風(fēng)險(xiǎn)

當(dāng)前，醫(yī)院引進(jìn)了互聯(lián)網(wǎng)醫(yī)療、遠(yuǎn)程診療、人工智能和大數(shù)據(jù)等技術(shù)應(yīng)用，促使更多的內(nèi)部業(yè)務(wù)系統(tǒng)需要面向互聯(lián)網(wǎng)側(cè)提供服務(wù)，也使得醫(yī)院面臨被黑客攻擊的安全威脅。同時(shí)，基于云計(jì)算、大數(shù)據(jù)的應(yīng)用平臺(tái)匯聚了大量的病例信息和數(shù)據(jù)，涉及諸多敏感信息，數(shù)據(jù)泄露、漏洞利用竊取、虛擬機(jī)逃逸和APT攻擊等事件時(shí)有發(fā)生。

四、解決方案探討

本研究基于醫(yī)院網(wǎng)絡(luò)安全的實(shí)際運(yùn)營(yíng)狀況，以及上級(jí)管理部門對(duì)醫(yī)院網(wǎng)絡(luò)安全的要求，依據(jù)等級(jí)保護(hù)測(cè)評(píng)規(guī)范，提出一種適合醫(yī)院的網(wǎng)絡(luò)安全運(yùn)營(yíng)體系框架。在威脅預(yù)測(cè)、威脅防護(hù)、持續(xù)檢測(cè)、響應(yīng)處置各個(gè)環(huán)節(jié)，充分融合安全專家、技術(shù)、大數(shù)據(jù)的能力，構(gòu)建符合新常態(tài)的網(wǎng)絡(luò)安全運(yùn)營(yíng)體系。

（一）建立網(wǎng)絡(luò)安全運(yùn)營(yíng)管理制度

1.安全制度策略建設(shè)

建立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，由網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組統(tǒng)一負(fù)責(zé)并組織相關(guān)人員制定信息安全管理制度。不斷完善網(wǎng)絡(luò)安全工作總體方針、安全策略，制定安全工作的總體目標(biāo)、范圍、方針、原則、責(zé)任等；完善各種安全管理活動(dòng)中的流程和管理制度；建立和完善日常管理操作規(guī)程、手冊(cè)等，以指導(dǎo)安全操作；定期對(duì)安全管理制度體系進(jìn)行評(píng)審，以發(fā)現(xiàn)不適宜內(nèi)容并加以修訂。

2.安全管理流程建設(shè)

基于信息系統(tǒng)全生命周期管理來(lái)制定網(wǎng)絡(luò)安全管理流程，從系統(tǒng)規(guī)劃建設(shè)、上線運(yùn)行、系統(tǒng)下線等維度與安全運(yùn)營(yíng)工作緊密結(jié)合，通過(guò)安全管理流程對(duì)制度管理、風(fēng)險(xiǎn)管理、安全規(guī)劃、控制執(zhí)行、績(jī)效評(píng)價(jià)、日常工作等進(jìn)行統(tǒng)一管理，不斷迭代優(yōu)化。對(duì)醫(yī)院信息化安全建設(shè)進(jìn)行全流程安全管理，包括系統(tǒng)定級(jí)和備案、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、等級(jí)測(cè)評(píng)等。

3.安全運(yùn)營(yíng)管理

對(duì)醫(yī)院網(wǎng)絡(luò)安全建設(shè)進(jìn)行運(yùn)營(yíng)管理，包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運(yùn)維管理等。結(jié)合醫(yī)院的實(shí)際情況，在不改變或少改變現(xiàn)有安全管理流程的情況下，對(duì)安全管理體系的規(guī)劃職責(zé)、規(guī)劃任務(wù)、落地任務(wù)、規(guī)劃分工、規(guī)劃交付等方面進(jìn)行詳細(xì)描述。

（二）建立網(wǎng)絡(luò)安全運(yùn)營(yíng)大腦

安全運(yùn)營(yíng)大腦總體架構(gòu)是通過(guò)網(wǎng)絡(luò)神經(jīng)元和其他安全設(shè)備的數(shù)據(jù)收集，結(jié)合云端安全賦能，可發(fā)現(xiàn)精準(zhǔn)的事件告警，安全運(yùn)營(yíng)人員能夠通過(guò)已有的和新增的安全基礎(chǔ)設(shè)施對(duì)事件進(jìn)行響應(yīng)處置。本地安全大腦利用現(xiàn)有的安全系統(tǒng)及設(shè)備，逐步演變?yōu)椤鞍踩珨?shù)據(jù)集中存儲(chǔ)、安全威脅分析與預(yù)警場(chǎng)景不斷擴(kuò)充、分析能力與數(shù)據(jù)對(duì)外開(kāi)放”的安全信息存儲(chǔ)及分析平臺(tái)。主要包括：指揮運(yùn)營(yíng)中心、檢測(cè)分析中心、大數(shù)據(jù)中心和神經(jīng)元建設(shè)。云端安全大腦對(duì)本地安全大腦提供安全賦能，傳統(tǒng)安全設(shè)備提供為本地安全大腦提供安全數(shù)據(jù)，并協(xié)助安全處置響應(yīng)。

1.指揮運(yùn)營(yíng)中心

指揮運(yùn)營(yíng)中心包含與安全運(yùn)營(yíng)工作相關(guān)的各類管理模塊，從安全態(tài)勢(shì)分析、安全事件分析、溯源分析、響應(yīng)處置、評(píng)估改進(jìn)等方面進(jìn)行安全一站式工作。

2.檢測(cè)分析中心

檢測(cè)分析中心是本地安全大腦的核心模塊，向上對(duì)接安全大腦的安全大腦云，將云端能力賦能到本地，向下通過(guò)大數(shù)據(jù)中心對(duì)神經(jīng)元記錄的打點(diǎn)數(shù)據(jù)、樣本數(shù)據(jù)進(jìn)行檢測(cè)分析。檢測(cè)分析中心通過(guò)各種檢測(cè)分析技術(shù)對(duì)海量多異構(gòu)數(shù)據(jù)的進(jìn)行分析，確保了各類威脅全面可視。

3.大數(shù)據(jù)中心

大數(shù)據(jù)中心主要包含數(shù)據(jù)的采集、解析、標(biāo)準(zhǔn)化、豐富化、存儲(chǔ)、檢索與計(jì)算等功能，為上層模塊提供數(shù)據(jù)檢測(cè)與處理的基礎(chǔ)。大數(shù)據(jù)中心擁有多類強(qiáng)大的數(shù)據(jù)分析引擎，可進(jìn)行多源數(shù)據(jù)關(guān)聯(lián)分析，實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)和歷史分析，并基于預(yù)置規(guī)則關(guān)聯(lián)情報(bào)資產(chǎn)分析生成相關(guān)安全告警。

4.神經(jīng)元

神經(jīng)元包括部署在用戶環(huán)境中的一系列檢測(cè)響應(yīng)產(chǎn)品，負(fù)責(zé)收集各類數(shù)據(jù)，傳送給后端，為后續(xù)的檢測(cè)分析提供原始數(shù)據(jù)。安全大腦神經(jīng)元系統(tǒng)包括終端神經(jīng)元、網(wǎng)絡(luò)神經(jīng)元、資產(chǎn)/脆弱性神經(jīng)元等。安全大腦同時(shí)支持各類第三方傳統(tǒng)安全設(shè)備與系統(tǒng)的接入，增強(qiáng)安全數(shù)據(jù)的多樣化和對(duì)威脅的覆蓋度。

5.安全大腦云端能力

安全大腦在云端提供查殺、沙箱、分析、知識(shí)庫(kù)、漏洞眾包、威脅情報(bào)、認(rèn)證專家、實(shí)戰(zhàn)靶場(chǎng)、安全培訓(xùn)等多類服務(wù)，實(shí)現(xiàn)本地到云端服務(wù)的交互。

查殺云：實(shí)質(zhì)是基于安全大數(shù)據(jù)和智能分析能力，通過(guò)云端提供多維度的檢測(cè)、查殺服務(wù)，實(shí)現(xiàn)對(duì)病毒等威脅實(shí)時(shí)、高效地識(shí)別和發(fā)現(xiàn)。

沙箱云：使用自動(dòng)化或人機(jī)協(xié)同的沙箱將行為分析和傳統(tǒng)的特征匹配結(jié)合起來(lái)，發(fā)現(xiàn)未知威脅。

知識(shí)云：是安全大腦不斷進(jìn)化的核心，為認(rèn)知和衡量網(wǎng)絡(luò)攻擊提供素材和策略。

漏洞云：是安全服務(wù)的第一抓手，通過(guò)漏洞響應(yīng)平臺(tái)網(wǎng)聚廣大優(yōu)秀的白帽子力量，提供公共的漏洞招領(lǐng)、醫(yī)院專屬的SRC、定向的漏洞眾測(cè)和基于漏洞感知的威脅情報(bào)等漏洞安全服務(wù)。

情報(bào)云：擁有強(qiáng)大的漏洞挖掘、APT攻擊捕獲、惡意軟件分析等威脅情報(bào)處理能力，通過(guò)情報(bào)集成、深度分析、API提供威脅情報(bào)查詢、訂閱服務(wù)，支撐安全自動(dòng)化編排和其他高級(jí)工作流程，實(shí)現(xiàn)“本地檢測(cè)+云端分析+本地響應(yīng)”的閉環(huán)。

實(shí)戰(zhàn)云：擁有網(wǎng)絡(luò)實(shí)戰(zhàn)能力和豐富的護(hù)網(wǎng)經(jīng)驗(yàn)，提供用于檢驗(yàn)、測(cè)試、提升網(wǎng)絡(luò)安全能力的標(biāo)尺型安全服務(wù)。

專家云：專家云對(duì)安全運(yùn)營(yíng)中各種問(wèn)題提供專業(yè)的遠(yuǎn)程支持服務(wù)，基于安全大腦專家云上資源遠(yuǎn)程快捷解決各類問(wèn)題。

（三）建立網(wǎng)絡(luò)安全運(yùn)營(yíng)中心

依據(jù)國(guó)家級(jí)保護(hù)要求和相關(guān)標(biāo)準(zhǔn)規(guī)范，按照“集約化、服務(wù)化、一體化、專業(yè)化”的建設(shè)思路，以安全能力建設(shè)為核心、以態(tài)勢(shì)感知建設(shè)為載體、以機(jī)制流程建設(shè)為抓手、以標(biāo)準(zhǔn)規(guī)范建設(shè)為紐帶，建立與醫(yī)療數(shù)據(jù)中心相配套的安全運(yùn)營(yíng)中心，集中面向各業(yè)務(wù)系統(tǒng)提供統(tǒng)一安全服務(wù)和監(jiān)管，同步指導(dǎo)建設(shè)符合保護(hù)等級(jí)要求的縱深防御設(shè)施，形成強(qiáng)后臺(tái)、精前臺(tái)的網(wǎng)絡(luò)安全運(yùn)營(yíng)模式。

網(wǎng)絡(luò)安全運(yùn)營(yíng)中心依托安全大腦將安全運(yùn)營(yíng)工作整合在統(tǒng)一平臺(tái)上。利用人工智能和自動(dòng)化技術(shù)賦能安全運(yùn)營(yíng)，通過(guò)安全事件自動(dòng)智能整合威脅攻擊的各階段多維度信息，結(jié)合威脅情報(bào)、資產(chǎn)風(fēng)險(xiǎn)人機(jī)交互展示、日志告警下鉆查詢手段、事件處置建議、自動(dòng)化的預(yù)案執(zhí)行，幫助安全分析人員節(jié)約安全溯源分析、威脅處置的時(shí)間，整體提升運(yùn)營(yíng)效率。

1.安全態(tài)勢(shì)

以可視化方式展示安全整體狀況，包括威脅攻擊態(tài)勢(shì)、大數(shù)據(jù)中心態(tài)勢(shì)、檢測(cè)分析中心態(tài)勢(shì)、指揮運(yùn)營(yíng)中心態(tài)勢(shì)等，方便快速掌控全局安全情況。

2.安全事件管理

安全事件管理模塊持續(xù)自動(dòng)分析和關(guān)聯(lián)整合與攻擊相關(guān)的上下文安全數(shù)據(jù)信息，包括各攻擊階段的告警、攻擊行為的日志、相關(guān)的威脅情報(bào)和資產(chǎn)信息，按攻擊時(shí)序生成安全事件、可視化的攻擊鏈路圖以及處置建議，方便安全分析人員進(jìn)行威脅分析和處置。

3.攻擊熱力圖

通過(guò)MITREATT&CK和ATT&CK框架展現(xiàn)攻擊熱力圖。該攻擊熱力圖能以圖譜展現(xiàn)醫(yī)院當(dāng)前遭受到的威脅攻擊，包括攻擊戰(zhàn)術(shù)和技術(shù)，為安全人員服務(wù)提供便利。

4.威脅溯源

威脅溯源是安全人員對(duì)攻擊進(jìn)行分析和處置的重要手段，包括各類交互式檢索分析以及自動(dòng)化威脅溯源結(jié)果展示。

五、實(shí)現(xiàn)結(jié)果

醫(yī)院基于“安全大腦”的核心思想，從網(wǎng)絡(luò)安全運(yùn)營(yíng)大腦建設(shè)、網(wǎng)絡(luò)安全運(yùn)營(yíng)中心建設(shè)、網(wǎng)絡(luò)安全運(yùn)營(yíng)管理制度建設(shè)等幾方面探討醫(yī)院網(wǎng)絡(luò)安全運(yùn)營(yíng)框架體系設(shè)計(jì)和建設(shè)。其中，網(wǎng)絡(luò)安全運(yùn)營(yíng)大腦是安全運(yùn)營(yíng)的基礎(chǔ)，網(wǎng)絡(luò)安全運(yùn)營(yíng)中心是安全運(yùn)營(yíng)的核心，運(yùn)營(yíng)管理制度是安全運(yùn)營(yíng)的支撐，通過(guò)三者的有機(jī)結(jié)合，依據(jù)國(guó)家級(jí)保護(hù)要求和相關(guān)標(biāo)準(zhǔn)規(guī)范，建立網(wǎng)絡(luò)安全技術(shù)服務(wù)體系，實(shí)現(xiàn)統(tǒng)一網(wǎng)絡(luò)安全運(yùn)營(yíng)模式，持續(xù)提升安全運(yùn)營(yíng)能力，保障醫(yī)院網(wǎng)絡(luò)安全。

根據(jù)南京鼓樓醫(yī)院的實(shí)踐，安全運(yùn)營(yíng)體系建成一年以來(lái)，安全大腦攻擊分析和處理各類安全攻擊事件5萬(wàn)余次。以醫(yī)院一例僵尸網(wǎng)絡(luò)安全事件為例，通過(guò)前端安全大腦神經(jīng)元采集到該安全事件，將事件記錄上傳至安全大腦大數(shù)據(jù)中心，檢測(cè)中心對(duì)該條數(shù)據(jù)進(jìn)行檢測(cè)和分析，必要時(shí)對(duì)接云端大腦，分析結(jié)果在指揮運(yùn)營(yíng)中心平臺(tái)統(tǒng)一展現(xiàn)，由指揮運(yùn)營(yíng)中心提供安全態(tài)勢(shì)、安全事件分析、溯源分析、響應(yīng)處置、評(píng)估改進(jìn)等，最終實(shí)現(xiàn)安全事件的閉環(huán)管理。

六、討論

本研究以醫(yī)院網(wǎng)絡(luò)安全需求為主導(dǎo)，遵循網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)安全等級(jí)保護(hù)要求和相關(guān)標(biāo)準(zhǔn)規(guī)范，構(gòu)建以“安全大腦”為核心的網(wǎng)絡(luò)安全運(yùn)營(yíng)體系，在威脅預(yù)測(cè)、威脅防護(hù)、持續(xù)檢測(cè)、響應(yīng)處置等各個(gè)環(huán)節(jié)，充分融合安全專家、技術(shù)、大數(shù)據(jù)的能力，構(gòu)建符合新常態(tài)的安全運(yùn)營(yíng)體系。該網(wǎng)絡(luò)安全運(yùn)營(yíng)體系框架融合了技術(shù)工具、制度流程和安全人員，可實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)的安全運(yùn)營(yíng)閉環(huán)，持續(xù)開(kāi)展網(wǎng)絡(luò)安全運(yùn)營(yíng)管理工作。在該網(wǎng)絡(luò)安全運(yùn)營(yíng)體系框架指導(dǎo)下，安全運(yùn)營(yíng)人員基于安全大腦和工具開(kāi)展工作，通過(guò)人機(jī)結(jié)合提高安全運(yùn)營(yíng)效率。醫(yī)院在該體系框架下實(shí)施網(wǎng)絡(luò)安全運(yùn)營(yíng)管理，連續(xù)兩年保障醫(yī)院無(wú)重大網(wǎng)絡(luò)安全事件發(fā)生，在保障醫(yī)療業(yè)務(wù)安全、穩(wěn)定運(yùn)行的同時(shí)，也為醫(yī)療聯(lián)合體提供全方位網(wǎng)絡(luò)安全服務(wù)，運(yùn)營(yíng)狀況良好，值得進(jìn)一步推廣。

作者單位：南京鼓樓醫(yī)院信息管理處

基金項(xiàng)目：2021年度醫(yī)院管理創(chuàng)新研究課題JSYGY-3-2021-198 ，南京大學(xué)中國(guó)醫(yī)院改革發(fā)展研究所課題項(xiàng)目，南京鼓樓醫(yī)院醫(yī)學(xué)發(fā)展醫(yī)療救助基金會(huì)資助項(xiàng)目（NDYG2021041）