现代医院网络安全管理面临的挑战和对策-安全客

文│中山大学附属第一医院刘翰腾王毅陈宗耿马锐余俊蓉张武军

随着现代医院 IT 技术架构的演变、新兴技术的引入，来自医院内外部的各种安全风险不断出现，对医院网络安全提出了更多挑战，医院网络安全在技术层面和管理层面都亟待完善。为此，借鉴相关法律法规、行业标准等，提出提升现代化医院网络安全治理能力的整体对策：医院应明确网络安全的总体目标，清晰梳理网络安全建设的治理思路，在医院运营管理过程中，持续开展网络安全治理工作。

一、现代医院网络安全范围

（一）信息系统安全

按照 GB/T 22239-2019《网络安全技术网络安全等级保护基本要求》，医院基础网络安全可以分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。

医院信息系统安全对医院正常运营和保护数据可用性尤为重要。医院信息系统安全隐患一直是客观存在的，如资源、内容及逻辑攻击威胁，主要原因包括安全防御体系落后、风险评估未落地、身份认证口令不健全、网络安全管理不到位等。

（二）数据安全

医院信息化发展到一定程度，数据自然成为关注的焦点。临床数据中心、科研数据中心、运营数据中心、大数据中心、数据中台等名词也成为近几年医院信息化建设中的“热词”。医院产生和存储的数据数量庞大、数据价值高，很多都是涉及患者个人隐私的数据，数据安全变得尤为重要。数据安全不仅要避免数据被外部窃取、泄露，还要做好数据的存储备份，避免意外事件造成的数据损失；同时，内部人员的越权访问也应采取有效措施进行控制。

（三）云计算安全

云计算采用的首要技术是虚拟化，实现数据的池化和共享。由于云数据先天具有无边界性、流动性，存在物理安全边界模糊、安全漏洞等弱点，即使采用数据加密方式也不能对数据的完整性和保密性做到万无一失，非法访问还是会发生。这就要求在云计算环境下的数据处理中，实现用户敏感数据在线编辑时解密、保存时加密，确保网络传输过程中的安全，即使中途被截获，也因其被加密而无法获取真实信息。为了适应新技术的发展，“等保 2.0”提出了针对云计算、移动互联、物联网和工业控制系统的安全扩展要求。若医院定级对象采用了云计算技术，在医院在满足安全通用要求的前提下，还要落实网络安全等级保护中云计算安全扩展要求提出的各项安全控制措施。

二、医院网络安全的困难和挑战

（一）外部网络安全威胁持续增加

随着医院信息化水平的不断提高，信息技术成为支撑医院智慧化运营的重要手段，在诊疗服务方面为患者带来便利的同时，也促使医院信息系统在以往内网运行的基础上不断增加外部服务。然而，由于信息系统的版本升级往往未能贯彻网络安全三同步原则，即“同步规划、同步建设、同步使用”，造成业务安全设计滞后于业务应用设计，导致被攻击面扩大。同时，医疗数据因其高隐私性和高价值性，乃至关乎社会公共利益和国家安全，一直是被黑产组织渗透攻击的重点。

（二）安全制度制订不足落实不力

医院信息系统的核心价值是为医疗过程服务，其建设和管理过程的注意力集中在了应用效果方面，现阶段，很多医院尚无健全可靠的网络安全制度，或者虽已制定制度却未充分落实。医务人员和医院管理者常常认为网络安全是医院信息管理部门的职责，对信息系统使用者的信息安全教育缺乏，业务管理部门安全职责的划分也不明确。

（三）人员安全意识与技能不足

医院信息安全管理是一项整体工程，其中主要包括主机安全、网络安全、数据安全、机房安全、应用安全等方面，不仅需要强化医院网络安全设施建设，还需要增强信息技术人员安全理论知识和实践经验。尽管近年来行业整体安全水平有所提升，但相对于金融业、电信业等信息化转型较早的行业，医疗行业安全情况仍有较多短板，行业从业人员安全意识和安全能力仍有很大提升空间。医院管理层对信息化建设及网络安全工作缺乏足够重视，在日常工作中未配备足够的专业技术与管理人员、网络安全设施落后，往往导致医院信息系统出现的安全隐患与漏洞问题无法及时发现与处理。

（四）数据交互引发安全风险

随着业务的发展，消除医院内各业务系统的信息孤岛，加速院内的信息互通共享是医疗信息化建设的重中之重。这使得原有医院内外网物理隔离的架构面临颠覆性的改变，也使得无论是结构化或者是非结构化数据的安全防护，均存在一定程度的隐患，如技术漏洞、物理故障、恶意攻击等。

数据交互层面的风险以医保系统为例，一方面要与医院信息系统相连，另一方面要与各级主管部门和定点药店相连，在数据共享和业务共享的基础上为被保险人提供服务。相关必要的交互还包括银行、运营商和其他辅助机构的业务系统，因此安全威胁来源更为广泛。除了纵横交错的外部交互，医疗机构自有的公共服务平台也存在安全隐患，例如医院官网、微信公众号和 App，任何人都可能通过网站对医院互联网服务器发起网络攻击，进而危害内部服务器的安全。

同时，愈加复杂的医院应用架构，导致了更为繁复的接口开放和相互调用，三甲医院普遍有上百个业务系统，系统间通过集成平台或单体业务系统开放接口的方式实现数据互通，这些接口往往存在数据被盗用的隐患。

（五）新兴技术带来的新型安全风险

近年来，云计算、大数据、物联网等新技术在医院信息化中逐步应用，同时也带来了网络外来入侵、数据滥用、数据泄露的安全风险的隐患。

云计算的基础设施和运营普遍由第三方管理，医院通过互联网访问云平台，而公有云平台资源由多个机构或部门共享，彼此间只做到了逻辑隔离。平台管理不善就会增加网络入侵风险和造成数据泄露和毁坏。

大数据和人工智能技术已成为医院提升服务能力、开展精细化管理的重要支撑，然而许多医院并未掌握全流程的数据管理、存储和人工智能模型训练应用，需要通过第三方人员对数据进行处理，数据泄漏的风险也随之加大。

物联网拓展了医疗系统各实体之间的集成连接，显著提升了数据的采集、处理和应用实时性，为医院管理和决策提供了基础。但物联网设备的低功耗、低性能难以支持复杂的安全策略，易受到未经授权访问和其他恶意攻击，攻击者可通过算力优势破解薄弱的加密算法，窃取敏感信息，或者仅干扰物联网设备的正常运行即可造成严重的人身或环境危害。

三、加强医院网络安全的对策

（一）形成资产台账与风险台账

医疗机构应管理人员首先应做好资产管理，基于各种技术层面的评估工具或者专用安全评估系统对评估对象进行扫描。评估对象应包括主机、网络设备和各种数据库，给出评估报告，记录清楚业务系统的 IP、端口和服务、URL资产等。首先设置资产台账，知道有什么资产、当前处于什么位置、对安全分别有什么级别的要求，来加强和规范资产配置、提升使用和处置管理效率。其次设置风险台账，明晰安全问题、安全风险、安全防护要求。台账应包括网络架构设计、网络可靠性与可用性、账号权限管理、远程访问、网络监控与审计、网络安全评估与加固、网络安全应急等安全资产和风险问题，并持续进行总结优化。对风险台账进行闭环跟踪，设立风险闭环时间与闭环要求并定期回溯，保障安全风险可闭环可追溯；在后期可对风险进行统计分析，针对医院的流程与管理进行持续优化。

（二）完善落实管理制度体系

新形势下的医院信息安全建设应以信息安全策略为基础，以人员管理为支撑，以信息安全管理制度为中心，围绕医院信息网络构建全方位的信息安全体系。

在管理制度体系方面，应做到主要领导亲自抓，建立健全信息安全工作制度，积极主动开展信息安全自查工作，保障医疗业务的良好运行，确保信息系统的安全。各个部门一同协商，对安全管理的重要性形成共识，并结合部门职能建立完善的管理制度体系。安全管理制度的持续动态“更新”就是确保可用性的必然动作。

在安全责任方面，应树立全体、全局的网络安全责任意识，注重医院相关数据的隐私保护，加强对所有员工的网络安全教育。尤其应培养针对钓鱼邮件、恶意网页、弱密码设置等典型问题的安全防护意识和能力培养，降低由于安全意识和能力不足带来的网络安全隐患。在医院信息安全管理中，明确责任范围、划分责任区域，确保所有人员清晰自己的安全责任。

（三）搭建安全体系提升技术能力

在安全管理体系建设的基础上，医院也应当建立一套合法、兼容、可行的安全技术体系。通过验证等保防护要求，结合医院自身的安全管理经验，将实施能力作为重要标准考虑在内，建立安全管理体系框架，以确保管理体系的管理方向和可行性，技术部分以“一个中心三重防护”为核心，即以安全管理中心为基点，完成计算环境、区域边界、通信网络三个方面的信息安全保障。依据安全规划顶层设计，选用适当的安全工具，来填充、实现预计的安全目标，结合各类管理制度与流程，形成持续优化螺旋改进的安全技术体系。

围绕“一个中心三重防护”的基调，搭建分层分域的安全模型，针对网络安全、主机安全、云安全、身份安全、应用安全、数据安全等分别制定相应的技术架构设计与流程体系，满足安全防护的需求。同时，在这些安全域基础上，将数据进行有效的分析、建模、治理来形成各类安全分析管理中心，实现安全的先知先觉“治未病”。

（四）推进全流程安全防护

医院网络安全是一项持续的工作，需要在信息化建设、运维和管理全流程秉承安全理念，做好安全防护。

在开发安全方面，应在信息系统项目管理的立项、需求、设计、开发、测试、试运行、验收等各环节嵌入安全审核的相关要求。重点在软件开发的需求确认和上线前测试环节，需落实安全需求的功能交付，例如账户密码安全、访问权限控制、敏感信息处理、日志审计管理、故障预警机制等；另一个重点是在项目上线前，应进行严格的漏洞检测和渗透测试，对重点系统还应开展源代码审计等白盒测试，尽量将问题隐患在正式投产前完成识别和消除。

在运维安全方面，首先需要加强网络安全技术体系的持续完善，从防病毒软件、准入控制到网络防火墙、应用防火墙、运维审计堡垒机再到日志审计、数据库审计、应用审计、态势感知、沙箱、蜜罐、漏扫、渗透等安全技术与设备设施的应用。然后，需要做好网络安全服务体系的运行管理，落实好安全岗位人员对资产、风险、基线、漏扫、渗透、演练、重保等各项安全任务的有效执行，对运维结果及时分析，形成安全运维体系的持续改进机制。

在数据安全方面，不仅应注重防范外部攻击造成的泄露风险，也应做好数据备份和管理，避免意外事件或业务失误造成的数据损失。如采用双活、多活等方式保障业务和数据的高可用性，异地多中心备份确保数据的高可靠性，冷热备份形成多层次数据安全保障。数据管理人员在管理过程中，也应着重审视数据的记录状态，定期验证数据和备份可用性，并针对不同规模、不同层次的数据损失形成恢复预案。

若发生网络安全事件，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，并采取技术措施和其他必要措施，消除安全隐患，防止危害扩大。

（五）紧抓要点，理清关键工作思路

1. 人员是首要条件

不断完善医院信息安全人才队伍的建设是保障医院信息安全的重要方式。在医疗卫生行业信息安全体系建设中有两个重要的理念，一是技术措施与产品必要且重要，但管理更重要，二是网络安全，人才为本。在医院信息安全体系建设中，无论是技术还是管理，都离不开人才。因此，医院应大力引进、培养信息安全专业人才。

2. 以评促建实现跨部门持续协同

以评促建作为医院信息化的重要推进手段，可以加强与有关部门的联系配合，实现部门间有效协同。参考安全评价标准的相关指标，可以对医院内部网络及信息系统进行定期的安全监测，定期开展网络安全防护宣传教育活动，对医院内部医护人员网络安全意识进行培养提高，为医院内部信息系统整体安全性提供充分的保障。

3. 做好安全投入与风险损失的平衡

医院的网络安全建设决策者，需要以战略的眼光来统领医院的安全建设原则，做出最优的安全投资。就网络安全投入占比究竟应该是多少的问题为例，医院可重点考虑两个博弈因素，即被保护对象因入侵而带来的潜在损失和医院能够承担的风险，来决定具体的投入建设占比。系统的复杂性决定了永远无法做到 100% 的安全，为了规避低概率低风险事件投入过多资源并不可取。医院决策者应科学评估风险发生的概率及影响，结合可接受程度来选择投入成本，并承担适当的风险，如因数据丢失或泄露、业务系统中断而造成的业务损失等。但同样应当注意，有一些风险是不可接受的，比如可能影响国家安全、社会稳定的风险事件等。对于医院而言，应该考虑网络安全建设投入的边际效益递减率，在建设投入有限的情况下，寻求一个最佳的边界效益。

四、结语

网络安全建设只有起点没有终点，有赖于多方多层次途径的共同守护。只有高度重视信息安全问题，遵循网络安全三同步原则，建立统一的信息安全规划，制定并严格遵守信息安全制度，并结合安全技术策略，形成有效、健全、动态的医院信息安全防护体系。保障医院信息系统的安全、完整、高效运行，提高医院网络安全性，充分发挥信息化对医院业务的支撑作用。

（本文刊登于《中国信息安全》杂志2022年第7期）