醫院信息安全體系的構建

陳 鵬

（龍巖市第一醫院信息科，福建 龍巖 364000）

自新醫改發展以來，醫療衛生事業向互聯網方向發展已經成為行業主要趨勢[1]。新醫改的發展對醫院建設提出一系列新要求，要求醫院信息網絡緊跟時代發展潮流、趨勢，應對互聯網的沖擊同時也“物盡其用”、“人盡其才”，構建信息安全體系，利用一系列先進技術，開放原本的醫院內網，為各項業務開展提供便利[2]。但是如此一來，醫院內網的開放導致其也承擔更多網絡安全風險，也使醫院發展中的信息安全問題更加突出。國家高度重視醫院信息安全體系的構建，2011 年頒布的《衛生行業信息安全等級保護工作的指導意見》明確規定醫院網絡信息安全的各項新要求。

1 醫院信息化發展的背景

目前，圍繞信息化開展工作已經成為醫院各科室的核心內容之一，各項業務依賴信息網絡開展的同時，相關網絡安全形勢也不容樂觀。國內外不法分子利用、員工操作不當以及軟硬件技術缺陷等問題嚴重威脅醫院信息網絡安全。信息安全體系的構建涵蓋信息傳輸、網絡、業務、數據庫等內容，同時不法分子也可能侵入各個環節，獲取控制權、盜取信息、倒賣病例、隱私信息等。社保、醫院行政及醫療合作方的信息也可能被黑客盜取，導致嚴重后果。

自2020 年以來，Blackbaud 的網絡攻擊[3]、眼保健集團Luxottica 事件、俄勒岡州HealthShare 被入侵、麥哲倫健康計劃服務器被攻擊等信息網絡安全事件頻發，對醫院業務開展、數據儲存及診療工作影響較大。醫院信息化發展過程中，往往注重網絡的帶寬，而常常對網絡安全考慮不周，缺乏有效規劃。隨著網絡應用向復雜化、多元化、精準化方向發展，醫院需要考慮如何更好地應對多種安全隱患，添加安全設備、構建完善化的信息安全體系，重視滿足醫院網絡多層次的防護要求，使網絡成為智能化的安全防護實體。

2 目前醫院信息網絡面臨的一些實際問題

2.1 安全設施有待完善

目前醫院順應時代發展趨勢，其內網逐漸向開放狀態發展，配置一定的安全設備確保網絡安全勢在必行。國家衛生部推出的一系列指導意見支持下，醫院設置的安全設備整體滿足各項業務需求，但實踐應用中卻發現部分醫院設備雖然上線，但缺乏配套的管理制度，甚至個別醫院不重視設備后期管理，缺乏相應安全設備、安全設備種類單一，醫院內網幾乎處于不設防狀態。還有部分醫院網絡訪問較為隨意，信息流通及共享過于暢通，導致一些安全風險一旦出現，勢必對醫院信息安全導致巨大威脅。

2.2 人員操作及意識不足

醫院信息安全體系的操作及管理人員安全意識有待加強，尤其是在第三方合作、管理上的醫院。醫院人員管理的發展和信息安全體系構建發展不同步、速率不同，導致醫院內部有大量的網絡操作不當、違規等。

2.3 組織管理安全不足

在組織安全方面，醫院大都設有專門的安全管理組織機構，重視對信息的安全管理。但大多數醫院組織管理并不健全，和自身各項工作的開展還有一定出入，部分醫院應急管理制度欠缺，且管理制度落實效果并不理想，安全管理制度流于形式。部分醫在組織管理方面投入的人力及財力不足，也導致制度后續缺乏足夠保障，無法發揮自身最大價值。

3 醫院信息安全體系的建設分析

醫院現代化發展過程中，對信息安全體系的設計和構建主要應突出針對內外部安全故障的分析，以國家相關部門制定的信息安全等級保護作為指導，結合醫院實際，合理設計體系安全框架，使其形成滿足HIS 的完善化信息安全體系，促進醫院合理發展。

3.1 網絡訪問控制

網絡訪問包括對多個計算機終端的訪問，包括終端上應用的文件、數據、隱私信息等資源訪問權限控制、可編輯操作或共享的等，禁止越權使用，具體內容如下。

權限控制：不同用戶的授權不同，都是處于能夠完成工作的最小授權。例如科室人員只能夠獲取并操作自己科室的信息；管理員則可以對多科室的信息調用、查閱、通知；領導人員可以查看一些醫院機密性信息等。各用戶之間構成相互制約的關系。

賬號控制：在賬號方面，限制默認賬號區域的訪問權限，對賬戶重命名、修改準入口令等。此外，將過期賬號、多余用戶等及時刪除，避免共享或重疊賬戶出現。

3.2 區域邊界訪問控制

通過有效的區域邊界訪問控制可避免網絡對醫院內部系統導致沖擊和入侵。圍繞防火墻技術設置，可確保醫保、衛生管理部門等專項的接口和外部網絡安全連接。將防火墻設置在出口節點、交換機之間合理位置，以此發揮防火墻自身最大防護作用，起到過濾、防御、劃分安全執行板塊作用。

3.3 入侵防御系統

入侵防御系統包括入侵檢測系統、安全防護、網絡行為分析、準入控制、交換機等，主要是針對發生入侵后的及時響應、緊急處理。區域邊界中防火墻主要負責協議過濾，結合醫院信息安全體系的規范建設要求，其網絡層判斷數據包合法流動是核心，但現代化互聯網技術不斷發展的同時，對系統導致的攻擊行為也更加廣泛，針對應用層的攻擊增多，防火墻往往無法妥善處理對應用層的攻擊。因此需要圍繞應用層研究更多檢測技術、防御手段，將具備快速檢測攻擊和快速響應處理的混合型設備配合防火墻，防御多種對應用及網絡層導致的攻擊，構建符合現代化醫院需求的安全防護體系，多層次、多手段、全方位地檢測、防護并緊急處理。入侵防御系統是眾多安全系統中較為重要的環節之一，其可以直觀識別出網絡中的眾多行為，及時監督惡意攻擊、異常網站、異常代碼，并實時報警，進行有效攔截，切實保障醫院內網安全。

3.4 防病毒網關控制

在防病毒網關設置上堅持“透明接入”，直接在距離病毒發生位置最近的安全邊界集中防護，直接針對病毒源頭落實防護，對網絡交換數據中“渾水摸魚”的病毒過濾，甄別網絡病毒、蠕蟲、混合攻擊、隱蔽代碼、端口檢測、間諜軟件攔截、軟件貸款濫用等進行控制，避免病毒從多個區域傳播到醫院內部或其他安全領域中，防病毒網關接線示意圖如圖1 所示。

圖1 防病毒網關接線示意圖

3.5 Web 應用防火墻

Web 是最容易受到網絡攻擊的內容，醫院互聯網的數據中心服務器由于業務需求，向外界提供對應的Web 服務，但同時，醫院外網信息系統也暴露在互聯網大環境中，極容易受到黑客攻擊，因此，須采用專門的Web 應用防護防火墻，如圖2 所示。將Web 應用防火墻設置在服務區防病毒網關之后，和防病毒網關相互配合，起到“雙重防護”的效果，同時也可防止Web 相關的攻擊、入侵、破壞等多種威脅出現。例如設置Web 應用防火墻可避免CC 攻擊、目錄遍歷等出現，也可保證網頁不被篡改，各項正常業務有序開展。

圖2 Web 防火墻示意圖

圖注：DMZ1 為非安全系統與安全系統之間的緩沖區1；DMZ2 為非安全系統與安全系統之間的緩沖區2；DMZ3 為非安全系統與安全系統之間的緩沖區3。

3.6 業務審計分析

醫院應用層業務審計是對應用系統行為的審計分析，須配合應用系統，業務審計系統設置在服務器區域的核心交換機位置，內網服務器區域監控以數據庫的操作及服務器操作為基礎，可對數據庫各項操作過程回放分析。采用系統審計的方式，并利用可信時間戳技術，將系統中的異常變化、重大變故、安全事件等全部記錄下來，包括事件的起止時間、日期、發起者的信息、類型及描述等詳細內容。同時業務審計可保留、保護審計結果，避免出現非法刪除、篡改及覆蓋審計信息的狀況，為后續技術人員妥善處理事件、優化系統提供真實數據參考分析。此外，業務審計還可對記錄的數據自動統計、分析，生產審計報表，上傳到數據庫，為醫院領導層、管理層決策提供支持。

4 對醫院網絡開展的集中安全管理

以A 醫院為例，對其現有信息安全體系分析，并對中心機房的核心網絡交換機擴容、匯聚，規避大量網絡故障導致醫院內網癱瘓，也避免網絡對醫院ICU、行政等重要科室業務開展造成影響。

4.1 架構分析

在原本、現有物理架構的基礎上，實現網絡架構的高度冗余，注重提高架構身容錯能力，平臺架構、業務關鍵點沒有設備或線路單點故障。

A 醫院的信息安全體系架構分為以下5 個部分。1）內網-業務區：內部的業務、服務器及儲存數據庫等共同構成該區域。2）內外-科室訪問應用區：各個科室終端所在的網絡區域，要保證各個科室的業務終端可以自由訪問醫院內部業務平臺。3）外網區：包括臨床、行政、第三方合作及行政辦公區域，支持用戶自主訪問互聯網。4）外部接入區域：主要為第三方工作提供便利，為醫保辦、新農合、銀醫一卡通等提供網絡業務支持。5）外網網站區域：顧名思義，主要為外網的網站建設，是醫院門戶網站的網絡區域，和其他網絡區域采取物理隔離的方式確保安全。

同時，在邏輯架構上，為實現對信息化平臺架構的有效劃分、合理劃分，考慮到醫院各個科室、各個部門工作要求，盡可能規劃好多個安全區域，對現有邏輯架構進行調整， 網絡骨干性設備間設3 層架構方式，起到對故障的隔離控制作用，避免由于故障不同所導致的網絡骨干性設備異常，甚至導致醫院網絡癱瘓等。

4.2 綜合網的集中管理

A 醫院采取綜合網絡運維管理支持，綜合網的集中管理為平臺級系統，各科室、各業務的系統均為該平臺管控下的子系統，平臺集中管理提供網絡、安全設備、主機、數據庫及中間件服務管理，也支持IP 地址資源管理等操作。

綜合網絡的集中管理需要滿足以下幾個關鍵性功能：1）首先，要求集中管理可以采取多種算法自動生成針對動態網絡的拓撲結構，可在短時間內完成對多項網絡節點的搜索，系統智能勾畫設備的冗余、均衡負載連接，了解鏈路流量、等級及物理帶寬等多項關鍵參數。2）再者，要求管理平臺可以了解網絡拓撲多線路流量及設備狀況，了解詳細屬性。例如網絡中系統CPU、MEM 等，要了解其持續運行狀況，集中體現出來，便于對設備落實實時監控及及時報警。此外，分析網絡運行狀況，生成自定義報表，便于后續管理和分析。3）然后，系統需要對實時業務開展監控分析，對業務告警及時反應，顯示告警的業務通道詳細信息，并在拓撲圖結構中，采取鏈路變色、節點閃爍等明顯的方式，提醒管理人員妥善處理。告警信息若長時間得不到確認，則采取某種保持、明顯的方式提醒管理人員。目前，醫院系統的告警針對聯通性的測試、ping 超出規范、負載超載、流量不足、流量超限、SNMP 警告、端口狀態異常等，并且結合管理業務需求，可以對告警信息的顯示時間、顯示內容進行更改，實現延時告警、輪詢間隔等。4）最后，管理系統需要確保可實時監控交換機用戶連接狀態，掌握交換機VLAN 分布表、路由表、APR 表、IP 地址表、CDP 表、TCP 連接表等多項信息的監控。可以在拓撲結構上監控各端口的流量實時變化，并且對總流量、幀流量、廣播流量、求保留等大小監控。

5 醫院信息安全體系構建后醫院網絡安全發展對策

5.1 構建并完善領導管理機制

要成立圍繞醫院領導層為核心的網絡信息安全管理領導小組，醫院管理工作中注重充分發揮各級領導機構自身作用，重視頂層領導機制功能，明確醫院各部門領導管理機構責任、權限，進行歸口管理。醫院信息安全管理領導小組對網絡安全、信息化業務制定專門的規劃和決策，并確保此類決策可貫徹落實到各個科室，積極整合醫院資源，提高資源利用效率。

5.2 完善信息安全管理制度

首先，要強化用戶密碼管理，系統管理員及數據庫管理員設置不同的賬號、密碼，分別保存自己的密碼，明確不同管理崗位的責任和義務。此外，要做好普通用戶的密碼保護，提醒用戶定期更換密碼，及時規避被盜用密碼的風險。

再者，做好數據備份及故障恢復，周期檢查備份日志，確保各項數據本地備份及云端備份正常。設置常態化的應急演練制度，定期組織工作人員開展信息系統被攻擊、被侵入后的緊急處理，確保真正遇到異常問題之后，可以緊急應對，醫療工作持續開展。

最后，需要結合醫院自身終端設備做好對應的管控，結合醫院實際終端訪問需求，做好內網終端、外網終端、內外網共享設備的劃分。內網終端包括醫院內部僅訪問內部應用的用戶，包括科室內記錄、存檔等操作；外網終端指醫院內少量用戶須訪問互聯網，通過專門的認證及訪問策略限制，對外部網絡訪問，但是不允許其訪問內部網絡；內外網的共享終端主要針對醫院領導、管理及信息部門需求，構建可訪問內部系統和互聯網的系統，但是該類用戶終端的安全性風險也較大，要對該類終端安全性予以嚴格定義，通過信息部門的認證許可，才可以正常訪問內外部網絡。

6 結語

綜上所述，在醫院現代信息化不斷發展的過程中，如何確保醫院各項信息安全是醫院首先要解決的問題。信息安全的建設只是醫院信息化建設的一部分，但其對醫院可持續發展影響重大。須構建合理的醫院信息安全體系，在促進醫院數據傳遞、共享的同時，也切實保障數據安全，推動“互聯網+醫療”事業不斷發展，在提高醫院經濟效益的同時，也促進我國醫療事業不斷進步。