基于等保2.0標準醫院信息系統安全模型設計研究

吳東永 覃周賢 歐雪山

摘要：隨著互聯網醫療信息智慧化模式的發展，原網絡信息安全標準在新形勢下難以適用，在此基礎上，文章通過等保2.0標準體系分析醫院互聯網信息安全現狀及特征、安全建設管理與評估、信息安全模型實現及建設過程中的不足與優勢，其結果表明：1）等保2.0標準信息系統安全模型從8個方向實現了醫院信息系統安全全方位、多層次覆蓋形式的保護模式;2）等保2.0標準的系統安全模型實現了醫院不同層級的網絡信息安全態勢分析、漏洞查處、安全管理等過程，同時通過正向隔離和反向隔離降低了信息數據冗余度，進一步提升了醫療信息安全。

關鍵詞：等保2.0標準;信息系統安全;醫院;模型;設計方式

中圖分類號：TP311? ? ? 文獻標識碼：A

文章編號：1009-3044（2022）11-0036-02

1 引言

隨著科學技術、經濟以及智能化信息行業的快速發展，致使保障醫療領域、工業領域、教育領域等方面的互聯網信息安全愈發重要，相比較其他領域，醫療領域作為民生生活保障和健康保障的基礎，有效實現醫院信息安全及智能化對用戶安全、醫療信息管理、信息數據安全存儲等層級具有極為重要的意義[1-2]。根據相關調查表明：在21世紀初，國內部分醫療行業診斷系統癱瘓，數據庫存儲信息丟失，致使醫院遭受入侵、勒索等極端問題[3];類同事件于2017年發生于國外某醫療服務機構中，通過病毒入侵致使約15萬家醫療行業服務器崩潰，一方面造成了大量的社會經濟、醫療信息資料的損失，另一方面造成社會風氣和社會安全失衡[4-5]。

綜上所述，本文以網絡安全等級保護2.0標準為信息保障基礎準則，設計研究集信息安全、網絡數據安全、系統安全、網絡生態安全于一體的醫療信息安全預測模型，形成一套以集中醫療網絡信息防御、醫療網絡信息操作全流程可信、醫療網絡動態感知和審查的醫療信息安全管理服務體系，實現在提升信息安全意識的同時，提高對傳統醫療信息系統安全、信息大數據、云計算、物聯網、醫療控制信息系統的全方位、多層次的監測預警。

2 醫院信息安全現狀分析

2.1 等保2.0體系構建分析

在醫療領域中，通常將等級保護2.0定義為醫療資源信息、設備信息以及載體信息依據組成單元層級重要程度的不同等級安全措施制度[6]，即等級保護實現安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理10個方面內容。充分體現了“一個中心，三重防御”的思想（一個中心指“安全管理中心”，三重防御指“安全通信網絡、安全區域邊界、安全計算環境”），并強化了可信計算安全技術應用。其次，等保2.0體系在1994年頒布的等保1.0體系《中華人民共和國計算機信息系統安全保護條例》中實行優化管理，將被動防御轉為主動防御，同時依據網絡安全防護發生時間軸為依據分析了信息安全可信度、動態感知等過程。

2.2 網絡安全等級現狀特征

自1994我國頒布等保1.0體系制度后，醫療行業內網絡安全事故率逐年下降，然而隨著近年互聯網技術飛躍式發展，網絡安全隱患又逐步隱現[7]，在此基礎上，國內針對構建安全管理、制度管理、人員管理、系統運行安全更為安全的等保2.0體系，將網絡安全防御升級為主動防御，并主動分析等保2.0的基本特征：

1） 具備醫療行業精準化響應、定位、防御的管理方式，若一旦出現網絡安全事故，醫療網絡系統、運維管理人員第一時間開展網絡信息防御工作，并及時對網絡違法違規行為定位跟蹤和調查取證。

2） 以數字化、智能化為基礎的數據庫生態安全保護，通過主動防御有效避免了用戶信息泄露、核心業務被非法入侵、竊取等現象，提高了醫院信息高機密、統一化的等級保護安全。

3） 各大醫院都和各個廠商之間相互合作，推出便民服務的App、公眾號、小程序等互聯網應用程序，并通過多入口安保設置保障便民服務，提升醫院信息安全。

等保2.0體系在構建過程中，綜合考量以上信息安全風險特征，提升了相關安全匹配需求，強化了醫院信息數據庫運維過程中預警監測能力，同時通過應急處理管理制度、法律法規制度、應急預案制度、措施等加強等保2.0體系整體性安全。

3 信息安全模型設計與實現

當下醫院“醫療健康”信息安全存在著內外網數據交互，不僅使信息安全建設（用戶信息、醫生信息、設備信息等）發生了根本性的改變，而且增加了互聯網醫療信息應用病毒傳播、黑客滲透攻擊、信息泄露以及系統數據破壞等威脅挑戰，在此背景下，本文通過構建等保2.0體系的醫院生態安全、信息安全模型，以實現“醫療健康”三級等保信息安全防范。在架構設計中，等保2.0體系信息安全模型相較于傳統信息預防手段，將醫療信息安全由主動或靜態的安全防護狀態轉為動態防護和協同防護模式，同時設計醫院信息安全系統態勢感知平臺，通過信息安全模型一方面實現醫療信息全覆蓋、多領域、多層級的縱深式防御，另一方面根據醫院互聯網應用程序有效地整合在一個應用層面（比如小程序、App或公眾號），制定合理、高效且安全的信息數據庫和制度、用戶平臺管理中心。

3.1 安全保護系統總體框架設計

依據《網絡安全等級保護定級指南》，對“醫療健康” 初步定級、專家評審、主管部門審批、公安機關備案審查，最終確定其安全保護等級，本文針對大部分三甲醫院進行三級等保進行解譯。根據安全防護要求，醫院信息安全防護形成了密碼裝置、隔離裝置、防火墻裝置、數據庫層級防護和應用軟件安全防護設計為主的層級防護的總體框架。其次，各層級安全系統交互，每級安全系統融合了大數據技術，在安全態勢感知過程中，各層級傳感器高效且精準地記錄醫院信息安全危險事件，經管理中心上傳后，網絡信息安全管理人員及時掌握五級系統實時動態性、復雜性、危害性，及時進行醫院信息安全維護等工作，如圖1所示。

3.2 安全保護系統管理與評估分析

在醫院信息安全保護系統框架基礎下，本文系統地分析了本文醫院信息安全管理流程體系信息安全模型評估指標及結果，見圖2所示。通過圖2可知，互聯網業務應用和醫院信息應用系統組成信息數據庫服務中心，進而設計實現集醫院門診、行政、醫科、住院等方面信息安全分析、安全策略評估的統一醫院信息管理平臺。在平臺中，醫院各方面數據庫、安全設施、監控指定專業技術人員管理網絡信息運維狀態監控、信息資源分配、安全事故預警分析等;其次各方面制定安全管理制度、分配安全管理技術人員，不僅針對應用系統、用戶系統、操作系統、預約系統等進行賬號安全管理，而且定期開展賬號密碼等級查看，及時訂正修改，進而通過對醫療互聯網信息安全進行多方面監控、分析、安全閾值管理等，實現全方面（系統、應用、數據庫等）的醫療信息安全威脅識別、排查、分析、預警及抵御聯動處理過程。

3.3 安全模型建設實現

本文以等保2.0制度體系為基礎構建物理與環境安全、計算機安全、應用與數據庫安全等網絡信息安全模型，并通過正/反向隔離分級保護提高信息安全模型等級。在醫療信息安全大區內（生產管理區、安全控制區、內/外網中央控制器等），通過信息數據單線傳輸、高能級向低能級傳輸正向傳輸、低能級到高能級反向傳輸等安全隔離過程，一方面實現入侵式病毒的識別、監測和抵御過程，有效控制了大區間醫院信息交互安全，另一方面單線數據傳輸，避免了醫院信息冗余度，控制了信息傳遞效率。其次，基于等保2.0基礎采取隔離分級，醫院信息安全模型穩定性及管控性得到了以下方面提升：1） 提升了醫療系統信息數據應急管控、備份、監測預警等能力，降低了醫療信息安全風險等級;2） 信息安全漏洞排查和網絡接入點滲透測試分析能力和準確度提升。

4 等保2.0醫院信息安全模型應用分析

4.1 提升醫療信息數據安全技術及防患意識

等保2.0標準在等保1.0標準上優化醫院互聯網信息安全，提高信息安全模型預測能力，信息安全防患意識，使其在實際應用中范圍更廣、安全性更高。在實際安全技術方面，信息安全模型首先制定安全策略，實現醫院信息、用戶信息等信息存儲、分析、處理的過程;其次，強化安全管控中心（信息識別、訪問識別、安全態勢審計分析、數據庫防入侵等），增設多密碼聯動反應，提升安全防患等級。

等保2.0標準和信息安全模型的應用，強化了互聯網背景下各層級部門中醫院人員、機構信息的安全防范意識，提升了醫療信息網絡安全認知能力和實踐水平，有效解決了醫院層級中信息獨立性和分散性的非安全特征。

4.2 規范網絡安全管理

通過醫院信息安全事故造成的影響為依據，以安全模型和等保2.0標準制定了一套相應的醫院網絡安全管理制度。首先，在不同醫院層級部門開展定期演練過程，保障信息數據丟失后，臨床、門診、預約等部門工作有序進行;其次，健全安全管理制度和網絡工作制度，不僅能及時管控網絡安全運維信息，而且助推了醫院各級部門積極參與計算機網絡安全維護中，實現互聯網醫院信息智能化、安全化、全面化、多元化和多層次化建設的安全管理模式。

5 結束語

本文以等保2.0標準體系為醫院信息安全模型構建基礎，通過分析等保2.0標準原理及表現特征，并在此標準基礎上設計醫院互聯網信息安全模型，系統安全管理、評估以及應用分析，得到三點結論：1） 基于等保2.0標準的信息安全模型通過10個方向實現了全方位、多層次多類型（制度安全、信息安全、網絡安全等）覆蓋形式的醫院信息安全保護;2） 等保2.0標準的醫院信息安全模型能及時估測動態信息安全，并實現網絡安全態勢評估、漏洞查處、安全管理功能;3） 正向隔離和反向隔離降低了信息數據冗余度，保障了醫療信息安全。

參考文獻：

[1] 張譯心.三甲醫院等保2.0建設實踐[J].數字技術與應用，2021，39（11）：184-186.

[2] 楊建朝，潘峰，劉艷亭，等.等保2.0時代醫療行業的網絡安全問題探究[J].中國新通信，2021，23（20）：117-118.

[3] 劉炬宏.等保2.0下堡壘機在醫院信息系統的應用[J].市場周刊，2021，34（3）：41-42.

[4] 袁駿毅，潘常青，宓林暉.基于等級保護2.0標準體系的醫院信息化安全建設與研究[J].中國醫院，2021，25（1）：72-73.

[5] 黃捷，潘愈嘉，莫禹鈞.基于安全感知平臺的醫院信息安全等級保護整改方案設計[J].醫學信息學雜志，2020，41（2）：68-71.

[6] 趙先福.宿州市立醫院信息安全三級等保2.0建設經驗分享[J].電腦編程技巧與維護，2019（11）：154-157.

[7] 藺旭冉.等保2.0標準技術要求淺析與初步實踐思考[J].網絡安全技術與應用，2019（10）：12-14.

收稿日期：2022-02-25

作者簡介：吳東永（1975—） ，男，廣西貴港人，主治醫師，碩士;覃周賢（1974—） ，男（壯族） ，廣西貴港人，大專;歐雪山（1977—） ，男，廣西玉林人，工程師，大專。