關于提高醫療行業網絡安全保障能力的建議

劉思思 徐麗娟 路紅 李杺恬 黃崢 張德馨

近年來，醫療行業信息化快速發展，互聯網、大數據、云計算等新興技術與傳統醫療不斷深化融合，促進了醫療服務水平提升。與此同時，醫療行業面臨的網絡安全風險也逐漸增多。雖各方高度重視，但國內醫療行業網絡安全仍處于工作起步較晚、整體風險較高、防護水平相對落后的局面，網絡安全形勢不容樂觀。

為了保障醫療行業網絡安全穩定運行，幫助醫療行業網絡運營者做好網絡安全保障工作，中國軟件評測中心網絡空間安全測評工程技術中心（以下簡稱“中國評測網安中心”）根據醫療行業網絡安全現狀和保障需求，基于近三年醫療行業網絡安全的測評經驗，提出了醫療行業網絡安全實現架構。該架構分別從安全物理環境、安全網絡架構、安全計算環境、安全制度管理和醫療數據安全方面提出了醫療行業網絡安全重點實現內容。其中，安全物理環境和安全網絡架構是網絡安全防護基礎;安全計算環境是網絡安全防護的重要組成部分;安全制度管理和醫療數據安全工作需覆蓋到物理環境、網絡架構和計算環境三個層面。基于該實現架構，重點開展以下四個方面工作。

重視網絡安全基礎防護

1.加強機房安全建設。物理安全是系統安全的基礎，保障系統物理安全工作的重點是保護機房安全。如果機房環境遭到物理破壞或非法入侵，那么系統將直接不可使用或者發生數據泄露，這是對系統最簡單直接徹底的破壞。這種安全威脅不需要任何技術手段，部署的安全產品都無法發揮作用，所以機房安全建設是最基礎的防護措施。

根據中國評測網安中心對醫療行業信息系統的測評經驗，在機房安全方面，建議用戶關注以下四點：一是使用專用的房間建設機房。房間所在的建筑物應具有防風防雨防震能力，機房不能在建筑物的頂層或地下室。二是確保機房附近沒有水源，防止用水設備故障影響機房設備正常運行。三是為機房設置門禁系統并避免閑雜人員訪問。四是建設災備機房并實時備份數據。

2.完善安全網絡架構。系統網絡架構是系統運行的基礎，設計安全的網絡架構是保護信息系統安全的前提。系統網絡架構如果存在安全缺陷，使用再多的安全防護措施都無法修復，并且后期的整改費用昂貴。中國評測網安中心建議，從網絡規劃階段就重視網絡架構安全設計，并關注以下三個方面的內容。

（1）安全劃分子網。分出數據存儲區、非軍事區（DMZ區）、運維區、辦公區等子網，如有必要根據職能不同對辦公區做進一步細分。不同子網間部署防火墻進行隔離，避免將重要網段部署在網絡邊界處，通信線路和關鍵設備要有硬件冗余。

（2）配置細粒度的訪問控制策略。根據中國評測網安中心的測評經驗，現在大部分系統的訪問控制策略沒有設置到協議端口，并且源IP地址和目的IP地址的范圍偏大。建議根據業務理清IP間相互訪問規則和其間的訪問協議，并確保運維區不能直接訪問互聯網，把訪問控制表記錄下來，以便后續增加業務需求時與總體訪問控制規則保持一致。

（3）使用安全設備提高網絡安全防護能力。網絡中應部署IDS/IPS、防毒墻、WAF、資源監控系統、垃圾郵件檢測系統、上網行為管理系統、堡壘機和日志服務器等安全設備，并定期更新安全設備的規則庫和系統版本。

建設安全計算環境

安全計算環境涉及交換機等網絡設備、防火墻等安全設備、服務器操作系統、數據庫管理系統、中間件和業務系統。在安全計算環境層面，建議重點關注登錄口令復雜度和安全審計兩個安全控制點。

1.強制使用復雜口令。設備和軟件安全的第一道防線是身份鑒別，黑客攻擊系統的一般方法首先是猜測或爆破登錄口令，然后再進行其他破壞操作。身份鑒別是設備和軟件安全的重要模塊，使用復雜密碼，可以有效阻止三分之一以上的網絡攻擊行為。建議從以下幾方面關注用戶口令安全。

（1）為設備和軟件設置復雜口令并定期更換。按照網絡安全等級保護要求，確保口令至少8位以上，包含數字、大小寫字母、特殊字符中兩種或以上，交換機、防火墻、服務器等重要設備的口令在等保要求基礎上盡量復雜。

（2）設置企業自己的登錄口令，不使用廠商運維人員的口令。同一個廠商的設備可能部署在不同企業，他們的運維人員可能為不同企業設置相同的運維登錄口令。這類口令在業內類似于明文存在，應該避免使用這些口令。

（3）避免使用共享賬號。不同運維人員不使用同一個賬號登錄系統。

（4）使用雙因素身份鑒別方式。雙因素認證的其中一種身份鑒別方式是系統用戶所記憶的內容，如口令、身份證號碼、PIN碼等;另外一種身份鑒別方式是系統用戶擁有的實體，如Ukey、動態令牌等。

堡壘機提供定點登錄管控和審計功能，在系統設備較多的場景下，用戶可以部署堡壘機對系統設備提供統一登錄管理。堡壘機將雙因素認證、用戶權限分配、安全審計功能集中實現，并且能夠減少零散管理用戶的繁瑣。

2.注重安全審計。安全審計功能是為了在安全事件發生后可以溯源，以便盡快修復系統，找到事件發生源頭，并做好預防和懲戒。一旦發生安全事件，之前做好的審計記錄就是修復系統并找到攻擊源的重要途徑。建議關注以下幾個方面。

（1）對重要用戶行為進行審計。關注用戶登錄登出、修改口令和修改用戶權限等事件的審計。

（2）保護審計進程。防止審計進程受到未預期的中斷。

（3）實時備份審計日志到日志服務器。攻擊者攻擊系統后會清理攻擊痕跡，所以要保護審計進程和審計記錄。使用網絡審計和數據庫審計系統對日常操作行為進行審計。

加強醫療數據安全保護

醫療行業對數據的保密性和完整性要求都很高。建議從以下三個方面嚴防數據泄露和篡改事件的發生。

1.加密存儲與傳輸數據。為設備和系統建立普通權限賬號，遠程訪問系統時使用普通用戶身份通過SSH或HTTPS協議。

2.加強數據備份與恢復。在醫院網絡信息化系統中，數據備份尤為關鍵，這是系統面臨安全隱患問題時數據恢復的最佳途徑。建議網絡安全管理人員根據醫院實際情況，從業務需求出發，對各科室的數據進行等級劃分，隨后按照等級進行數據備份，備份內容可以存儲在磁盤或者云平臺中。當醫院信息系統面臨系統數據不可用時，可通過數據備份將數據盡快恢復，保證業務正常開展。目前，醫院可以應用HIS服務器完成數據存儲與保護處理，確保醫院所有信息與數據的完整性，為數據恢復奠定基礎，確保醫院各科室工作正常展開。在系統上線后，應實時備份重要數據，定期檢查備份數據的有效性，保證備份數據能保存6個月以上。

3.注重數據脫敏與分級保護。公眾場合或支付場景展示數據時，無論是移動終端還是公示大屏，患者關鍵信息應該采用脫敏的方式來顯示。比如姓名的第二位或第三位、身份證號的部分數字、手機號的部分數字用星號來代替，防止患者數據被其他人員掌握。在數據分級保護方面，不僅對患者病史數據進行分級保護，對醫護人員醫療行為的操作權限也應進行分級，需要能夠區分在授權情況下醫護人員數據調用行為、數據管理員的數據管理行為、應用開發商的軟件調試行為，不同的數據訪問有相應等級的安全操作。

強化網絡安全制度管理

1.完善應急預案與響應機制。建立網絡安全應急響應預案，進行預案培訓與演練，及時修訂應急響應預案。保證發生安全事件時，系統運維人員能有步驟有策略地應對，降低損失。

2.加強網絡安全人員管理。建立內部運維管理團隊，提高人員專業技能。醫院信息化進程中對網絡安全人才不可或缺，而現在醫院體系里不但缺少網絡安全人才，而且缺少計算機專業人才，不能專業地完成信息化建設工作。服務外包形式的前提要有自己的專業人員領導，能夠把控外包給第三方公司所存在的安全風險。一是完善崗位設置，在人力資源充分條件下，盡量避免網絡管理員、安全管理員、安全審計員這三個崗位兼任。二是加強人員培訓，根據業務需求為不同人員提供與其崗位對應的技能培訓。不但要進行技術人員培訓，系統使用者的培訓也尤為重要。三是強化人員考核，通過考核督促相關人員主動提高專業技能，并提高培訓效果。