基于三級等級保護的醫院信息安全體系建設與評估

邯鄲市中心醫院信息科，河北邯鄲056001

引言

隨著醫療體制改革的不斷深入和信息技術的廣泛應用，以“互聯網+”、移動互聯為代表的新技術不斷滲透到傳統醫療行業中，醫院信息化程度已成為醫院現代化的重要標志。隨之，網絡安全的重要性也日益凸顯，醫院信息系統的安全性將直接影響到醫院的正常運行。然而，近年來，網絡安全形勢日益嚴峻。各種安全威脅，如蠕蟲、木馬病毒、黑客攻擊，對醫院的信息網絡系統和數據的安全造成嚴重的威脅[1-2]。近年來，網絡安全事故頻發，2017年由于方程式組織漏洞泄露，爆發了大規模勒索病毒事件，時至今日勒索病毒及其變種依然肆虐網絡，為網絡安全敲響了警鐘。2017年6月，國家《網絡安全法》正式施行，明確規定國家實行網絡安全等級保護制度，網絡運營者應當按照網絡安全等級保護制度的要求，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。醫院信息安全建設進入了一個新的階段。

目前，我院擁有醫院信息系統（Hospital Information System，HIS）、電子病歷（Electronic Medical Record，EMR）、影像歸檔和通信系統（Picture Archiving and Communication Systems，PACS）、實驗室信息管理系統（Laboratory Information Management System，LIS）等各類信息化系統70多個，涉及臨床、醫技、行政管理、后勤運營等方面，2018年我院率先在河北省實現電子病歷無紙化，對信息系統運行的安全性和穩定性提出了更高的要求。2017年10月醫院正式通過了等級保護三級驗收評審，2018年醫院再度通過了等級保護三級復審，醫院的信息安全工作上了一個新臺階。

1 等級保護概述

1.1 實施原則

醫院等級保護的核心是依據國家相關標準對信息系統進行分級、整改和建設[3-4]，在實施安全等級保護的過程中應遵循以下原則。

（1）重點保護原則。依據業務系統的重要性，標定不同的等級，集中優勢力量保護重點業務，實現重點系統的重點保護。

（2）全面防護原則。考慮安全風險要全面，兼顧技術層面的安全防護措施設計與管理措施的設計，雙管齊下。不能片面化，只關注外部威脅，在采取由點到面的各種安全措施時，在系統整體上還應保證各種安全措施的組合運用，從外到內構成一個縱深的安全防御體系，形成全面的安全保護體系。

（3）動態調整原則。安全威脅不斷更新變化，網絡安全不可能一勞永逸，等級保護工作將會是一項持續性、長久性的工程。根據信息系統情況的變化，保護措施也要做出相應的調整。醫院要有步驟、有計劃地推進網絡安全體系的建設。

1.2 流程與內容

醫院等級保護的測評主要包括5個流程：準備、定級與備案、建設/整改、測評、監督與運維，見圖1。其中，前三個流程一般由主管單位，即醫院主導。在定級階段，醫院根據相關法律法規，制作定級報告，然后向有關單位遞交備案表。現場測評由第三方測評機構主導。根據衛生部相關規定，三甲醫院的核心業務信息系統的安全保護等級原則上不低于第三級。等級保護三級，即監督保護級，每年必須至少測評一次。等級保護測評主要包括兩大方面：技術方面要求和管理方面要求。等級保護三級共有控制點73類，要求項290個，其中技術要求136項，管理要求154項[5-13]。

圖1 信息安全等級保護的流程

2 系統安全建設與整改

2.1 技術方面

2.1.1 物理安全

醫院充分發揮了兩個院區的優勢，在東西兩區分別建立機房，當一個機房出現故障時，另一個機房能夠保證信息系統的正常運行。機房需根據要求進行物理安全防護，包括防盜竊、放破壞、防雷擊、防電、防火、防水、電力供應、溫濕度檢測和控制、電磁防護等。同時機房采取了嚴格物理訪問控制，安排專門人員值守，入口和重要區域配備了電子門禁系統和監控防護設施，外來人員進入機房需進行嚴格的審批和控制，并在值守人員陪同下在機房活動。在整改前，機房采用一路不間斷電源，整改后，東西區機房所有設備實現了雙不間斷電源保障，見圖2。

圖2 醫院機房分布

2.1.2 數據安全及備份恢復

數據安全主要包括兩個方面，一方面是指關鍵基礎設施與設備、網絡線路、服務器系統等硬件方面冗余；另一方面是數據備份與恢復。

在設備與系統方面，醫院的主要業務系統在東西區主備機房采用雙機冗余，針對的核心系統是HIS和EMR。東區主機房內各系統采用兩臺IBM P740服務器雙機冗余，當其中一臺故障時，能夠實時切換；在西區備用機房里，分別使用一臺IBM P520作為HIS及EMR系統的熱備，當主機房出現緊急狀況或者主機房兩臺小機同時出現故障時，確保核心業務的運行。整改后，PACS、LIS等其他業務系統也實現了東西區機房使用雙機設計。連接主備機房內的核心交換設備都采用了雙機、雙線、雙電，東西區機房之間采用三條獨立的萬兆光纖通訊。

在數據備份和恢復方面，在主機房內使用兩組存儲構建了鏡像存儲，HIS和EMR制定了備份策略，西區備用服務器同時制定了實時備份策略。整改后，在西區門診樓添加了容災機房，對HIS及EMR數據每天進行全量備份，保留最近三次備份數據。2018年，醫院與第三方云存儲廠家合作，通過云備份方案，將主要業務的數據備份到云存儲上，實現了異地容災備份。

2.1.3 主機與應用安全

主機安全主要包括身份鑒別、訪問控制、安全審計、入侵防范和惡意代碼防范。根據等級保護的要求對HIS、EMR等業務系統啟用密碼復雜度策略，定期修改密碼；需要遠程管理的系統，開啟加密遠程的功能；細分用戶權限，設置系統管理員、普通管理員，普通管理員僅授予最小權限；刪除過期賬戶和共享賬戶。基于操作系統最小安裝的原則，關閉危險端口及默認共享；安裝殺毒軟件及防惡意代碼軟件，并及時更新。

針對科室的終端主機，首先區分賬戶權限，管理員與用戶賬戶分離，普通用戶只能使用guest權限；安裝殺毒軟件，采用卡巴斯基企業版，定期更新病毒庫，定期進行全盤殺毒。針對業務系統，整改前，主要采用密碼認證方式；整改后，醫院引入了CA認證系統，臨床用戶只能持有個人信息標識的加密硬件配合用戶名密碼才能登陸使用HIS、EMR等相關應用軟件[14]。

整改前，內網設備主要采用IP地址認證接入的方式。為進一步加強內網設備的科學化管理，2017年醫院上線全新桌面準入控制管理系統；到2018年底，完全實現了全院內網1800多臺設備的準入控制。通過準入系統，設備必須獲得授權才能內接入內網，對惡意或未授權接入請求能夠進行有效的阻斷。通過控制系統，可以對內網設備進行策略管理，如U盤接入、驅動管理、雙網卡管理、端口及服務控制，同時實現了內網設備加密遠程控制，如遠程訪問、文件傳輸、遠程軟件安裝等功能。

2.1.4 網絡安全

整改前，東西區單核心交換機運行，多數的樓層交換機不可管理，全院業務網處在一個大的局域網LAN環境中。整改后，東西區核心交換機采用雙機冗余設計，樓層交換機全部更換為可管理交換機，同時將醫院內網劃分不同的虛擬局域網VLAN，各個VLAN之間嚴格實施訪問控制，依據實際需求分配訪問權限。設備通過樓層交換機接入內網必須安裝準入系統，移動查房等移動設備需接入無線網絡必須進行mac地址綁定，而且無線核心上嚴格控制設備的數量和流量。

隨著“互聯網+”醫院的發展，醫院內網與外部的數據交流也日益增多，如醫院移動應用、健康管理等互聯網應用以及醫保網、云存儲等各類專用網絡，網絡邊界的安全也逐漸成為網絡安全建設的重要一環[15-16]。

整改前，醫院的網絡邊界主要采用建立隔離區（Demilitarized Zone,DMZ）的方式進行防護，內外網沒有實現物理隔離，對來自DMZ的威脅不能很好防護。如圖3所示，整改后，網閘被應用到邊界防護系統中，通過在醫院內網與DMZ之間添加前置區域，實現了內外網的物理隔離。配合新一代防火墻，網絡邊界實現了多層次的縱深防御，每一層防護都能實現端口級的安全控制。同時在防護體系中加入了入侵檢測防御防病毒、Web應用防護和抗拒絕服務等功能，用于保障內網的安全。

圖3 網絡邊界防護系統

2.2 管理方面

基本管理要求和基本技術要求是確保信息系統安全不可分割的兩個部分[17]。整改前，醫院的制度建設比較薄弱，網絡安全工作主要由醫院信息科成立專門的網絡安全小組負責，工作重心也集中在技術層面。從2017年開始，根據等級保護要求，通過不斷的完善與改進，醫院建成了完整的、自上而下的網絡安全管理制度。機構設置如圖4所示，各個部門職能分工明確，并通過有效的反饋機制，形成了PDCA循環管理。

圖4 醫院網絡安全管理組織架構

（1）網絡安全領導小組。由醫院院長及負責信息系統的主管副院長組成，負責統籌醫院網絡信息安全工作，相關信息安全制度的審核，重大系統建設與變更，重要操作的授權以及關鍵安全崗位任免的審批。

（2）網絡安全辦公室。負責信息安全制度規范的建設、制定與改進；人員的安全管理：安全主管、安全管理各個方面的負責人、系統管理員、網絡管理員、安全管理員、各科室網絡安全管理小組等崗位人員的錄用、考核及備案；對外交流工作：業界相關專家及公司的合作、溝通與交流機制的建立、信息安全相關會議的定期組織等。

（3）信息安全小組。主要由系統管理員、網絡管理員、安全管理員等崗位組成，主要職責包括負責機房、服務器、數據存儲器、網絡主干線路等網絡核心部分的安全；定期組織專業人員對科室進行網絡安全普及培訓，提高人員的安全意識；對全院所有科室進行包干負責，每周對重點科室進行排查一次，每月對全院所有科室排查一次。

（4）科室網絡安全管理小組。由科室主任、護士長及1-2名熟悉計算機軟硬件和網絡基本知識網絡安全管理員組成，主要職責包括按照醫院信息系統安全相關制度指導科室人員工作、科室日常網絡安全排查、及時向信息安全小組反映有關問題、定期聽取安全管理員的工作匯報，并對科室網絡安全工作進行總結。對于破壞網絡安全的非法行為，責任到人，對相關責任人根據事故大小和危害進行不同程度的處罰。

3 測評結果分析

在根據等級保護的要求對醫院信息系統進行建設、整改和自評達到要求之后，現場測評工作正式開啟[15]。通過現場考察、訪談和文檔審查等方式，結合等級保護的具體要求，針對總計290個要求項進行逐項測評。

針對評測結果，本文提出了重點保護與分項評分相結合的評估方式。重點保護即測評過程中將一些對系統安全影響重大的要求項設為必須項，實行一票否決制，任意一項不符合則無法通過評審。在符合所有必須項的前提下，對每個小項進行加權得到測評最終的分數。測評分計算如式（1），其中p為每個要求項的評分，q為每個小項的最高分，我們在評測中取q為5，W為每個小項的權值。每個小項測評結果為不符合、部分符合以及全部符合三項，其中不符合為0分，符合為最高分，部分符合由評審專家根據符合的情況給出相應分數。最終加權獲得總分然后轉換為百分制得到最終評分P，60分及以上為滿足評測要求。

圖5 為根據評測方案得到的結果，包括整改前結果、2017年整改后測評結果及2018年整改后測評結果。通過圖5可以看出，醫院的信息安全在整改建設后有了明顯的提升。

圖5 評測結果對比

在監督運維階段，醫院一方面要接受公安機關和上級主管部門的監督和指導，另一方面醫院也要定期進行自查，例如對照2019年4月實施的《網絡安全等級保護測試評估技術指南》[18]，醫院對信息系統進行了全面的滲透測試，并對照測試結果著重整改了薄弱環節。

4 討論

通過等級保護測評，醫院的信息安全建設得到了長足進步。在進行等級保護測評前，醫院的信息安全建設相對滯后，與近年來醫院的信息化建設高速發展不相匹配。整改后，醫院建立了系統的信息安全體系。

首先在技術上，一方面通過及時引進新技術、新設備，將信息安全建設融合到信息化建設當中，提高醫院信息系統的安全防護能力；另一方面，充分利用醫院自身的特點，提出新的方法，例如在院區設立兩個核心機房，實現業務系統雙機冗余、數據跨區域備份等，在網絡邊界區域，在傳統的DMZ方式基礎上進行革新建立了新的邊界保護體系。自2017年起，在信息系統和數據量不斷暴增的情況下，醫院保持了安全穩定運行，未發生大規模網絡故障和信息安全事件。尤其是桌面控制系統上線后，醫院內網電腦病毒感染率和系統故障率明顯下降。

其次在管理上，我院改變以信息部門為主導的點工作方式，建立了自上而下、以點帶面、分工明確的管理制度，將信息安全管理滲透到全院。統一的管理機制實現了信息化建設與信息安全建設統一規劃，在信息網絡新系統、新技術建設階段就考慮信息安全，防止信息安全建設的滯后。例如2018年，醫院手機移動App在建設初期就將信息安全納入規劃。有效的反饋機制能夠迅速發現信息安全系統在使用過程中存在的問題，并對其進行整改。同時經過定期培訓和演練機制，全院職工的網絡安全意識和信息安全技能也得到了很大提高，為醫院“互聯網+”戰略的推進奠定了堅實基礎。

在測評評估階段，我們在之前對每一分項劃分為符合、部分符合、不符合等傳統的標簽式評估的基礎上，結合醫院的現狀，提出了重點項目一票否決和分項詳細量化評分相結合的方法。在更加突出重點的同時，對醫院信息安全系統描述更加精確和全面，彌補了傳統評估方法的不足。

目前，醫院信息工作重點主要是兩方面，一是實施“互聯網+”醫院戰略，在現有醫院手機App基礎上，將陸續上線集成移動支付、預約掛號、居民健康卡、遠程在線診斷等功能；在病案無紙化的基礎上，醫院病區將實現移動查房、遠程診療等功能，同時智能導診、手術機器人等也在實施當中。另一方面是區域醫療集團戰略，醫院將與多家二級醫院和一級社區衛生服務中心構建醫療集團，實現分級診療、醫保打包付費等功能以及人員信息一體化管理。由于原來醫療結構分布廣、信息化水平不均衡，集團的信息建設與對接工作也對信息安全工作提出了新的挑戰。2019年7月，等級保護2.0標準開始實施，新標準針對近年來網絡安全形勢做了大量的修訂與補充，例如增加云計算、移動互聯和物聯網的安全要求，而這些正是目前醫院網絡安全重點和薄弱環節。對照等級保護2.0標準，進一步完善醫院信息安全體系將是未來工作的重點。

5 結論

總之，通過在醫院開展等級保護評審工作，結合HIS的實際情況和安全需求，整改和建設醫院信息安全體系，對于保證醫院網絡安全具有重要的現實意義。同時，也必須意識到信息安全不是絕對化的，醫院的信息安全工作也不是靜態化，而是一項動態的持續性工作，雖然醫院通過了三級等級保護的評審工作，但在某些方面還存在一定的不足。醫院依然需要根據信息系統的變化和等級保護要求的變更，不斷改進安全技術和完善管理制度，使醫院的信息安全體系更加有效和健全，最終達到保護HIS安全的目的。