隨著信息技術(shù)及各類(lèi)診療技術(shù)的快速發(fā)展，遠(yuǎn)程醫(yī)療、移動(dòng)醫(yī)療、醫(yī)療大數(shù)據(jù)分析、人工智能等已成為“互聯(lián)網(wǎng)+”醫(yī)療創(chuàng)新模式的主要發(fā)展方向。我國(guó)多地正處于新醫(yī)改的積極探索期，醫(yī)聯(lián)體、醫(yī)共體、專(zhuān)科聯(lián)盟等新的醫(yī)療組織形態(tài)都離不開(kāi)互聯(lián)網(wǎng)和信息化平臺(tái)，這無(wú)疑給醫(yī)院信息安全防護(hù)帶來(lái)了更大挑戰(zhàn)。一方面，一旦醫(yī)院信息系統(tǒng)出現(xiàn)故障，將直接影響醫(yī)院正常診療業(yè)務(wù)的開(kāi)展，對(duì)社會(huì)秩序和公共利益造成損害；另一方面，醫(yī)院信息系統(tǒng)中存儲(chǔ)著大量患者診療數(shù)據(jù)，一旦發(fā)生數(shù)據(jù)泄露，后果不堪設(shè)想。因此加強(qiáng)醫(yī)院信息安全防護(hù)體系建設(shè)尤顯重要。信息安全等級(jí)保護(hù)是我國(guó)信息安全保障的基本制度、基本方法和基本策略。貫徹落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，滿(mǎn)足醫(yī)院信息安全等級(jí)保護(hù)要求，開(kāi)展等級(jí)保護(hù)建設(shè)相關(guān)工作勢(shì)在必行。

1 醫(yī)院等級(jí)保護(hù)的具體要求

信息安全等級(jí)保護(hù)制度是我國(guó)社會(huì)信息化進(jìn)程中提高信息安全防護(hù)能力，維護(hù)國(guó)家安全和社會(huì)穩(wěn)定，推進(jìn)各項(xiàng)建設(shè)順利發(fā)展的一項(xiàng)基本制度。2011年，原衛(wèi)生部發(fā)布了《關(guān)于全面開(kāi)展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》(衛(wèi)辦綜函〔2011〕1126號(hào))。針對(duì)醫(yī)療衛(wèi)生行業(yè)的信息系統(tǒng)，原衛(wèi)生部辦公廳于2011年下發(fā)了《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》(衛(wèi)發(fā)辦〔2011〕85號(hào))，規(guī)定三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)信息安全等級(jí)保護(hù)定級(jí)不低于第三級(jí)，并且要求2015年12月30日前完成信息安全等級(jí)保護(hù)建設(shè)整改工作并通過(guò)等級(jí)測(cè)評(píng)[1-4]。同時(shí)信息系統(tǒng)安全保護(hù)等級(jí)納入三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)實(shí)施細(xì)則，作為評(píng)審三甲醫(yī)院重要評(píng)分點(diǎn)。按照自主定級(jí)原則，一般情況下，HIS系統(tǒng)定為三級(jí)信息系統(tǒng)，即LIS系統(tǒng)、PACS系統(tǒng)、電子病歷系統(tǒng)，外網(wǎng)網(wǎng)站等定為二級(jí)信息系統(tǒng)，但各信息系統(tǒng)的業(yè)務(wù)關(guān)聯(lián)性較強(qiáng)。因此，按照等同保護(hù)原則，醫(yī)院內(nèi)網(wǎng)核心業(yè)務(wù)系統(tǒng)總體應(yīng)按三級(jí)系統(tǒng)進(jìn)行等級(jí)保護(hù)建設(shè)。

2 醫(yī)院信息化特點(diǎn)及信息安全防護(hù)難點(diǎn)

醫(yī)院信息化有以下突出特點(diǎn)：系統(tǒng)的可靠性高，診療業(yè)務(wù)要求多數(shù)應(yīng)用系統(tǒng)7×24小時(shí)不間斷運(yùn)行，無(wú)論計(jì)劃或非計(jì)劃情況，網(wǎng)絡(luò)間斷時(shí)間應(yīng)小于2小時(shí)；信息集成度高，所有信息需要集中使用，通過(guò)系統(tǒng)整合實(shí)現(xiàn)數(shù)據(jù)的共享和復(fù)用；異構(gòu)系統(tǒng)多，系統(tǒng)復(fù)雜度高，而且系統(tǒng)間接口復(fù)雜，涉及廠家多[5]；系統(tǒng)存儲(chǔ)資料價(jià)值較高，如醫(yī)院診療數(shù)據(jù)、患者隱私數(shù)據(jù)等；系統(tǒng)數(shù)據(jù)可作為訴訟證據(jù)，具有法律效力；核心網(wǎng)絡(luò)與外網(wǎng)物理隔離。

以綜合三甲醫(yī)院為例，依據(jù)等級(jí)保護(hù)對(duì)三級(jí)信息系統(tǒng)的具體要求，涉及技術(shù)要點(diǎn)共136個(gè)，管理要點(diǎn)共154個(gè)[6]，主要包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、管理制度、管理機(jī)構(gòu)、人員安全、建設(shè)管理、運(yùn)維管理等方面的不同層次[4]。其信息安全防護(hù)的突出難點(diǎn)表現(xiàn)如下。

一是醫(yī)院內(nèi)、外網(wǎng)物理隔離導(dǎo)致信息安全防護(hù)需增加跨網(wǎng)絡(luò)防護(hù)策略。

二是區(qū)域邊界的安全訪問(wèn)控制策略復(fù)雜，主要包括邊界訪問(wèn)控制、邊界完整性檢測(cè)、邊界入侵防范以及邊界安全審計(jì)等方面。訪問(wèn)控制是對(duì)各類(lèi)邊界最基本的安全需求，對(duì)進(jìn)出安全區(qū)域邊界的數(shù)據(jù)信息進(jìn)行控制,阻止非授權(quán)及越權(quán)訪問(wèn)。若邊界完整性受損,則所有邊界訪問(wèn)控制規(guī)則將失去效力。

三是多級(jí)安全域邊界厘定[7-8]。一般而言，安全域的劃分需將相同安全等級(jí)、相同安全需求的系統(tǒng)劃入同一VLAN內(nèi)，在VLAN的邏輯邊界增設(shè)安全設(shè)備設(shè)計(jì)控制策略。進(jìn)行等級(jí)保護(hù)建設(shè)后，醫(yī)院內(nèi)網(wǎng)應(yīng)在終端和服務(wù)器之間建立安全訪問(wèn)路徑，并根據(jù)具體業(yè)務(wù)工作流和數(shù)據(jù)處理的重要程度劃分不同的子網(wǎng)，重要網(wǎng)段與子網(wǎng)間增設(shè)技術(shù)隔離策略。但依此方法進(jìn)行信息系統(tǒng)分級(jí)保護(hù)后，處于不同安全域的系統(tǒng)間無(wú)疑會(huì)產(chǎn)生隔離壁壘，進(jìn)而形成數(shù)據(jù)孤島，這與患者實(shí)際就醫(yī)的瀑布型業(yè)務(wù)流不符。因此，在保持原有信息系統(tǒng)業(yè)務(wù)順暢運(yùn)行的前提下，進(jìn)行信息安全等級(jí)保護(hù)成為亟待解決的問(wèn)題[9]。

3 醫(yī)院信息安全防護(hù)策略

針對(duì)上述醫(yī)院信息系統(tǒng)特點(diǎn)及信息安全防護(hù)難點(diǎn)，依據(jù)等級(jí)保護(hù)具體要求，各醫(yī)院需制定合理的信息安全防護(hù)策略，以完成等級(jí)保護(hù)建設(shè)目標(biāo)。

3.1 技術(shù)策略

3.1.1 物理安全

物理安全主要指中心機(jī)房的物理場(chǎng)所安全。中心機(jī)房是醫(yī)院信息系統(tǒng)的核心區(qū)域，需根據(jù)室內(nèi)各類(lèi)設(shè)備的運(yùn)行參數(shù)嚴(yán)格控制物理環(huán)境，主要包括遠(yuǎn)離用水設(shè)備,雙路供電,須具備防雷、防火、防水、防潮、防靜電、防電磁干擾的能力[10]。同時(shí)必須設(shè)有門(mén)禁，控制不同管理層級(jí)的工程師進(jìn)出，防止外來(lái)人員非法出入。

3.1.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)通信是醫(yī)院信息化的基礎(chǔ),因其端點(diǎn)分散、覆蓋面廣而成為等級(jí)保護(hù)建設(shè)的重點(diǎn)。一般而言，等級(jí)保護(hù)建設(shè)是基于現(xiàn)有網(wǎng)絡(luò)進(jìn)行的，基礎(chǔ)設(shè)施如網(wǎng)絡(luò)布線、機(jī)房位置等相對(duì)固定，在此基礎(chǔ)上的等級(jí)保護(hù)主要考慮網(wǎng)絡(luò)的合理性、高效性、高可用性。合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)能夠大幅提升網(wǎng)絡(luò)的效率和安全性，拓?fù)鋬?yōu)化工作重點(diǎn)為邏輯安全域的劃分，拓?fù)鋬?yōu)化往往能讓等級(jí)保護(hù)工作達(dá)到事半功倍的效果。此外，在劃分不同安全域后除需增設(shè)邊界網(wǎng)絡(luò)安全設(shè)備并制定合理的網(wǎng)絡(luò)安全訪問(wèn)策略外，還需要消除網(wǎng)絡(luò)通訊單點(diǎn)、配備必要冗余、設(shè)計(jì)負(fù)載均衡，保證網(wǎng)絡(luò)的高可用性。

3.1.3 系統(tǒng)安全

系統(tǒng)安全策略重點(diǎn)包括身份認(rèn)證策略、訪問(wèn)控制策略和分布式授權(quán)策略3方面。關(guān)于身份認(rèn)證策略，醫(yī)院信息系統(tǒng)在應(yīng)用“用戶(hù)名/密碼”進(jìn)行身份認(rèn)證時(shí)，還應(yīng)將PC的IP地址、MAC地址與交換機(jī)的通訊端口進(jìn)行綁定，以限制接入醫(yī)院的內(nèi)網(wǎng)用戶(hù)；關(guān)于訪問(wèn)控制策略，醫(yī)院信息系統(tǒng)的用戶(hù)復(fù)雜，各角色的訪問(wèn)控制策略不但要考慮角色規(guī)則，而且要考慮時(shí)間、空間訪問(wèn)規(guī)則，即訪問(wèn)控制能夠詳細(xì)描述“什么人，在什么時(shí)間，在什么地點(diǎn)，基于什么規(guī)則，做了什么事”，最終設(shè)計(jì)出受時(shí)間、空間、規(guī)則三維約束的角色訪問(wèn)控制策略；關(guān)于分布式授權(quán)策略，設(shè)置樹(shù)狀權(quán)限管理機(jī)構(gòu)對(duì)醫(yī)院的信息資源進(jìn)行分布式管理和統(tǒng)計(jì)，確定層級(jí)權(quán)限管理負(fù)責(zé)人節(jié)點(diǎn)，各分布式部門(mén)的責(zé)任人節(jié)點(diǎn)擁有下層節(jié)點(diǎn)的約束管理能力，每層負(fù)責(zé)人節(jié)點(diǎn)負(fù)責(zé)授權(quán)管理下層的權(quán)限策略，依次層級(jí)遞推。

3.1.4 數(shù)據(jù)安全

數(shù)據(jù)是醫(yī)院的核心資源和重要財(cái)富。數(shù)據(jù)安全等級(jí)保護(hù)建設(shè)要求醫(yī)院應(yīng)制定詳細(xì)的備份策略，特別應(yīng)建立健全高效的備份恢復(fù)機(jī)制，一般采用“近-遠(yuǎn)-離-異”與“熱冷”結(jié)合的數(shù)據(jù)安全保障策略。近線備份采用實(shí)時(shí)備份，目的是實(shí)現(xiàn)數(shù)據(jù)的快速恢復(fù)；遠(yuǎn)線數(shù)據(jù)備份采用全備份加增量備份，形成基于時(shí)間節(jié)點(diǎn)的完整備份數(shù)據(jù)集；離線冷備份解決人為非邏輯錯(cuò)誤的數(shù)據(jù)恢復(fù)；異地備份解決不可抗力的數(shù)據(jù)恢復(fù)。

3.1.5 應(yīng)用安全

系統(tǒng)整合后的用戶(hù)同步是等級(jí)保護(hù)在應(yīng)用安全方面關(guān)注的主要問(wèn)題。目前，進(jìn)行系統(tǒng)整合并建立統(tǒng)一用戶(hù)管理系統(tǒng)(UUMS)是解決該問(wèn)題的通行做法。UUMS采用建立專(zhuān)屬用戶(hù)數(shù)據(jù)庫(kù)的方式統(tǒng)一存儲(chǔ)全部應(yīng)用系統(tǒng)的用戶(hù)信息，應(yīng)用系統(tǒng)通過(guò)UUMS管理用戶(hù)并對(duì)用戶(hù)授權(quán)，以此實(shí)現(xiàn)統(tǒng)一存儲(chǔ)、分布授權(quán)。認(rèn)證策略是指通過(guò)“與”“或”“非”的布爾邏輯組合實(shí)現(xiàn)的認(rèn)證方式，最終定義為認(rèn)證方式和認(rèn)證規(guī)則。醫(yī)院具體應(yīng)用通常采用“用戶(hù)名/密碼and IP地址”認(rèn)證的方式。

3.2 管理策略

醫(yī)院信息系統(tǒng)的安全防護(hù)和安全管理是一個(gè)整體，在等級(jí)保護(hù)中都占有重要地位，不容忽視。就目前的醫(yī)院信息系統(tǒng)等級(jí)保護(hù)現(xiàn)狀而言，管理策略主要考慮強(qiáng)化信息安全意識(shí)[11]、加大安全管理投入和人員規(guī)范化培訓(xùn)3方面。

3.2.1 強(qiáng)化信息安全意識(shí)

信息安全意識(shí)是人們頭腦中建立起來(lái)的“信息化工作必須安全”的觀念，即人們?cè)谛畔⒒ぷ髦袑?duì)各種有可能對(duì)信息本身或信息所處的介質(zhì)造成損害的外在條件的一種戒備和警覺(jué)的心理狀態(tài)。醫(yī)院全體人員需不斷強(qiáng)化信息安全防護(hù)意識(shí)，提升信息安全防護(hù)的敏感性，以防微杜漸。

3.2.2 加大安全管理投入

雖然目前醫(yī)院信息化投入相較之前已有明顯改善，但投入的大部分資金主要用于網(wǎng)絡(luò)、系統(tǒng)維護(hù)和新項(xiàng)目的建設(shè)，對(duì)安全防護(hù)并未設(shè)立專(zhuān)項(xiàng)經(jīng)費(fèi)，即使有安全專(zhuān)項(xiàng)經(jīng)費(fèi)投入，因其投入效果沒(méi)有新建項(xiàng)目收效明顯而往往得不到重視。

3.2.3 人員規(guī)范化培訓(xùn)

醫(yī)院信息安全等級(jí)保護(hù)是一項(xiàng)長(zhǎng)期的系統(tǒng)工程，需要專(zhuān)門(mén)的人才隊(duì)伍，但目前醫(yī)院信息科人員對(duì)信息安全等級(jí)保護(hù)知之甚少。因此需要專(zhuān)門(mén)對(duì)相關(guān)工作人員進(jìn)行培訓(xùn)，提高等級(jí)保護(hù)專(zhuān)業(yè)技能，從而提高醫(yī)院信息安全整體水平。

3.3 運(yùn)維策略

隨著信息技術(shù)的不斷發(fā)展，醫(yī)院信息化程度不斷提升，系統(tǒng)復(fù)雜性不斷提高，傳統(tǒng)的運(yùn)維管理模式存在潛在的安全隱患。醫(yī)院網(wǎng)絡(luò)應(yīng)用系統(tǒng)的健康運(yùn)行需進(jìn)行相應(yīng)的事前管理以及透明化的運(yùn)維動(dòng)態(tài)監(jiān)控，如安全事件的處置已從事中、事后的應(yīng)對(duì)前移至事前的預(yù)警和預(yù)防，以提升醫(yī)院整體系統(tǒng)的安全運(yùn)維能力。

3.4 持續(xù)發(fā)展策略

持續(xù)推進(jìn)醫(yī)院安全體系建設(shè)是醫(yī)院信息化發(fā)展的重要保障。只有從體系上發(fā)揮其作用，才能保證醫(yī)院信息系統(tǒng)長(zhǎng)期處于較高的安全水平和穩(wěn)定的安全狀態(tài)。這既能滿(mǎn)足三級(jí)安全等級(jí)保護(hù)的具體要求，又能建立立體、縱深的醫(yī)院安全保障防御體系。同時(shí)醫(yī)院信息安全防護(hù)還需強(qiáng)調(diào)常態(tài)化，制定全面的規(guī)章制度，培育安全信息防護(hù)人才，為信息安全防護(hù)工作常態(tài)化提供支撐[9]。“互聯(lián)網(wǎng)+醫(yī)療”使醫(yī)療行為不再局限于醫(yī)院，移動(dòng)醫(yī)療、網(wǎng)絡(luò)醫(yī)院等新型診療模式將隨著政策和技術(shù)的落實(shí)逐漸常態(tài)化，同時(shí)要求信息安全防護(hù)新模式常態(tài)化。此外，在醫(yī)院人才評(píng)價(jià)中往往只注重信息科人員的創(chuàng)新能力，而忽視系統(tǒng)的安全無(wú)事故運(yùn)行，因此將系統(tǒng)安全運(yùn)行納入人員和科室的評(píng)優(yōu)體系是落實(shí)信息安全制度的有效辦法。

4 結(jié)語(yǔ)

在云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)、AI等一系列新技術(shù)的驅(qū)動(dòng)下，醫(yī)療行業(yè)正在經(jīng)歷一個(gè)快速發(fā)展的時(shí)代[12]。一場(chǎng)“互聯(lián)網(wǎng)+醫(yī)療”浪潮洶涌襲來(lái)，醫(yī)院信息化建設(shè)的信息安全問(wèn)題被擺到了信息化發(fā)展的重要位置，醫(yī)院信息化面臨新發(fā)展機(jī)遇的同時(shí),其信息安全防護(hù)也面臨新的挑戰(zhàn)。信息安全等級(jí)保護(hù)建設(shè)可大幅提升醫(yī)院信息系統(tǒng)安全水平，醫(yī)院應(yīng)通過(guò)建立制度、加大扶持、加強(qiáng)監(jiān)管、培育人才等具體措施切實(shí)保障“互聯(lián)網(wǎng)+醫(yī)療”新環(huán)境下的等級(jí)保護(hù)工作圓滿(mǎn)完成。