魏 勤 劉艷亭 郭敬鵬 李功靖 孫 琳 劉 荻 馮國斌 張 振 王 青

(首都醫(yī)科大學附屬北京同仁醫(yī)院 北京100730) (中國醫(yī)學科學院醫(yī)學信息研究所 北京100020)

1 引言

信息系統(tǒng)及網(wǎng)絡設施的安全性直接關(guān)系到醫(yī)院醫(yī)療工作的正常運行，一旦網(wǎng)絡癱瘓或數(shù)據(jù)丟失將會給醫(yī)院帶來巨大災難和損失。醫(yī)院信息系統(tǒng)涉及大量經(jīng)營和患者醫(yī)療等私密信息，這類信息的泄露和傳播將會給醫(yī)院、社會和患者帶來風險[1]。為此國家和行業(yè)主管部門相繼發(fā)布相關(guān)法律法規(guī)，主要包括原衛(wèi)生部辦公廳《關(guān)于開展全國衛(wèi)生行業(yè)信息安全等級保護工作的通知》(衛(wèi)辦綜函[2011]1126號)，《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》(衛(wèi)辦發(fā)[2011]85號)，原北京市衛(wèi)生局《關(guān)于進一步加強北京市衛(wèi)生行業(yè)信息安全等級保護工作的通知》(京衛(wèi)辦字[2012]26號)以及2017年6月1日開始實施的《中華人民共和國網(wǎng)絡安全法》，2018年6月30日公安部發(fā)布的《網(wǎng)絡安全等級保護條例(征求意見稿)》等。近年來醫(yī)療行業(yè)信息化建設發(fā)展迅速，投入不斷增加，基礎設施水平提升明顯，標準化建設意識提高，系統(tǒng)建設、信息互聯(lián)互通水平及新技術(shù)應用都有很大的拓展[2]。

首都醫(yī)科大學附屬北京同仁醫(yī)院是北京市屬的一所三級甲等醫(yī)院，分為東西南3個院區(qū)。醫(yī)院采用內(nèi)外網(wǎng)邏輯隔離的網(wǎng)絡架構(gòu)，在機房面積、服務器臺數(shù)、存儲容量、終端數(shù)量等基礎設施建設方面，以及信息化投入、應用系統(tǒng)覆蓋面、互聯(lián)互通水平等信息化建設方面都處于全國三甲醫(yī)院的中等水平。目前將醫(yī)院信息系統(tǒng)(Hospital Information System，HIS)定級為等保三級系統(tǒng)，檢驗信息系統(tǒng)(Laboratory Information System，LIS)、醫(yī)學影像存儲與傳輸系統(tǒng)(Pictures Archiving and Communication System，PACS)和門戶網(wǎng)站定級為等保二級系統(tǒng)。近幾年完成部分信息安全建設工作，取得一定成果，但面對日益嚴重的信息安全問題，亟需建立符合等保要求且相對完整、協(xié)調(diào)高效的信息安全管理體系。

2 基于三級等保標準的醫(yī)院信息安全體系建設項目實施

2.1 概述

獲批國家資金且完成測評、監(jiān)理、集成、供貨等公司的招標工作后，于2017年12月12日正式啟動項目。項目組制定明確的3個層次的目標，即2018

年通過三級等保測評，合規(guī)、較好地完成項目驗收，整體提升醫(yī)院信息安全管理水平。

2.2 調(diào)研階段

項目啟動后的第1項工作是測評公司做差異度分析，梳理出155條整改內(nèi)容，見表1。在物理、網(wǎng)絡、主機、應用、數(shù)據(jù)安全等技術(shù)方面以及安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理等管理方面與三級等保標準的要求存在較大差距。

表1 155條整改建議危機值分布

2.3 制定方案和工作計劃階段

對照等級保護法規(guī)的相關(guān)要求，根據(jù)測評公司給出的整改建議，結(jié)合醫(yī)院網(wǎng)絡、系統(tǒng)和管理的實際情況，先后7次組織相關(guān)人員召開方案討論會，3次外請專家論證。在充分研討的基礎上制定針對性強、務實可行的項目建設方案和詳細的工作計劃。項目建設方案總體架構(gòu)，見圖1。

圖1 項目建設方案總體架構(gòu)

2.4 實施階段

2.4.1 部署設備與系統(tǒng) 按照部署方案和工作計劃進行45套安全設備和907臺終端系統(tǒng)的安裝調(diào)試，以及設備的配置與策略的部署。最終完成網(wǎng)絡審計、防火墻、入侵檢測系統(tǒng)(Intrusion Detection System，IDS)、應用防火墻(Web Application Firewall，WAF)、漏洞掃描、日志審計、防病毒軟件等設備和系統(tǒng)的部署，以及集成與策略的優(yōu)化。(1)服務器操作系統(tǒng)安全優(yōu)化方面。實現(xiàn)安全加固軟件和人工安全加固相結(jié)合，關(guān)閉無用的服務，進行漏洞掃描、身份認證、安全審計、訪問控制、資源控制、備份等。(2)數(shù)據(jù)庫系統(tǒng)安全優(yōu)化方面。通過人工加固方式將操作系統(tǒng)和數(shù)據(jù)庫帳號分開管理，采用最小授權(quán)原則、制定口令策略、數(shù)據(jù)庫審計、對權(quán)限較敏感的存儲過程加密管理，對遠程數(shù)據(jù)庫調(diào)用進行地址限制、備份等。(3)應用系統(tǒng)安全優(yōu)化方面。定期進行漏洞掃描，實施應用系統(tǒng)安全加固，加強身份認證機制及用戶權(quán)限和訪問控制，應用安全審計，通信安全加密傳輸，加強資源控制，部署Web防火墻實現(xiàn)應用安全防護。(4)數(shù)據(jù)備份及恢復方面。定期進行數(shù)據(jù)備份，編制災難恢復計劃，開展災難演練。(5)防病毒、終端管理、日志審計方面。部署殺毒軟件實現(xiàn)主機層面病毒防御，終端安全管理系統(tǒng)實現(xiàn)終端安全檢測，安管監(jiān)控平臺進行整體化系統(tǒng)化的監(jiān)管。在這個階段，調(diào)整機房設備，完成部分設備的騰挪搬遷；3區(qū)HIS統(tǒng)一后將南區(qū)停用的設備下架，為解決舊系統(tǒng)的退卡退費問題專門研發(fā)程序；針對物理環(huán)境和應用系統(tǒng)需要整改的問題，院領(lǐng)導批準追加相應經(jīng)費；HIS供應商配合完成應用系統(tǒng)的改造；漏水與入侵監(jiān)測、門禁系統(tǒng)等工作也得到了相關(guān)單位的全力配合。

2.4.2 梳理規(guī)章制度及文檔 信息安全建設必須堅持“技術(shù)與管理并重，三分技術(shù)+七分管理”的原則[3]。三級等保標準要求建立信息安全管理組織機構(gòu)，制定明確的安全策略、管理制度和工作流程。為此制定和修訂25項管理制度，建立制度的審核與修訂機制；與關(guān)鍵崗位、合作公司的相關(guān)人員簽訂保密協(xié)議，明確相應的責任和具體保密內(nèi)容；信息系統(tǒng)操作權(quán)限實行分級管理，采用身份鑒別機制對用戶訪問權(quán)限進行控制；通過在中層干部會的宣教以及在內(nèi)網(wǎng)上組織全院職工答題等多種方式在全院范圍做好信息安全教育和培訓工作，在院內(nèi)網(wǎng)上答題的員工多達2 600余人。制度與文檔建設情況，見圖2。

圖2 制度與文檔建設

2.5 三級等保測評與項目驗收

2018年10月15日專業(yè)測評公司連續(xù)5天在醫(yī)院開展現(xiàn)場測評，等保測評通過后于2018年10月底召開驗收準備會，外請5位專家做技術(shù)把關(guān)。2018年11月在監(jiān)理公司監(jiān)督下組織院外專家分別進行項目的初驗和終驗，順利通過項目驗收。2018年12月通過國家財政資金使用情況的財務審計專項檢查。項目整個過程由監(jiān)理公司全程監(jiān)理，共召開項目例會27次，每周完成工作周報。項目文檔齊全，包括市公安局定級備案表、預測評報告(差異度分析報告)、招標合同、中標通知、需求調(diào)研報告、設計方案、施工圖紙、實施方案、設備安裝調(diào)試報告、測試報告、試運行報告、總結(jié)報告、制度文檔(電子版)、測評公司出具的信息系統(tǒng)安全等級測評報告、項目初驗和終驗專家意見、監(jiān)理文檔集等。

3 技術(shù)亮點

3.1 發(fā)現(xiàn)網(wǎng)絡綜合威脅

目前安全建設的難點是以往信息化建設與安全相對獨立，重硬件輕軟件，重網(wǎng)絡輕數(shù)據(jù)。信息安全建設缺乏統(tǒng)一規(guī)劃，管理和安全運維分割，沒有完整和統(tǒng)一的平臺。為此部署網(wǎng)絡綜合威脅發(fā)現(xiàn)平臺及運維管理平臺有助于信息安全整體的綜合研判。

3.2 提升醫(yī)院對威脅預測能力

引入威脅情報和高級持續(xù)性威脅(Advanced Persistent Threat，APT)發(fā)現(xiàn)手段來進行安全建設和全面布防，以威脅情報與實際網(wǎng)絡中信息分析對比，打通攻擊定位、溯源與阻斷多個工作環(huán)節(jié)，從源頭上解決安全問題。從安全整體架構(gòu)設計時就兼顧檢測發(fā)現(xiàn)、響應、預測與處置的防御過程，建立以檢測發(fā)現(xiàn)為起始、形成閉環(huán)的協(xié)同防御安全體系。

3.3 建立網(wǎng)絡威脅感知平臺

通過快速搜索技術(shù)提升數(shù)據(jù)查找能力；基于大數(shù)據(jù)挖掘分析的惡意代碼智能檢測技術(shù)提升檢測惡意代碼的能力；基于輕量級沙箱的未知漏洞攻擊檢測技術(shù)提升檢測未知漏洞的能力。同時為高效處理信息安全問題，提高運維能力，將核心關(guān)鍵設備進行聯(lián)動處置優(yōu)化，將部署在不同位置的關(guān)鍵設備日志信息統(tǒng)一發(fā)送到感知平臺，進行綜合安全分析。

3.4 生物識別雙因素認證

在系統(tǒng)登錄認證環(huán)節(jié)引入生物識別技術(shù)。通過動態(tài)的授權(quán)和生物識別實現(xiàn)人、權(quán)限、系統(tǒng)的統(tǒng)一。使用者可利用手機添加指紋或人臉識別等方式獲得自身登錄權(quán)限，做到動態(tài)授權(quán)管理和單點登錄，保障業(yè)務系統(tǒng)的安全訪問。

3.5 業(yè)務行為安全網(wǎng)關(guān)及監(jiān)測方案

安全行為、內(nèi)部操作安全也是信息安全管理重要的組成部分，需要對正常的安全行為進行建模，對安全模型之外的風險操作進行分析處置。如異常異地登錄、非常規(guī)時間訪問、超頻工作、權(quán)限跨越等。為此引入業(yè)務行為安全網(wǎng)關(guān)，通過策略制定和建模全面分析醫(yī)療安全以及內(nèi)部操作風險。在此基礎上在行為監(jiān)測平臺上進行綜合監(jiān)測，將威脅情報、行為管理、網(wǎng)絡綜合感知平臺、終端安全等相關(guān)信息進行關(guān)聯(lián)、定位和確認。這項嘗試真正地將人、技術(shù)、管理結(jié)合為一體，也使整個方案體現(xiàn)出協(xié)同聯(lián)動和統(tǒng)一處置的建設思想。

4 下一步工作

4.1 挖掘設備使用的潛能

進一步發(fā)揮已安裝部署設備的作用。如數(shù)據(jù)庫審計，不能只用于防統(tǒng)方的管理和基礎的監(jiān)控，還需要不斷地豐富和完善數(shù)據(jù)庫監(jiān)控內(nèi)容和策略，使其發(fā)揮更大的作用。

4.2 加強技術(shù)培訓和人才培養(yǎng)

在項目實施過程中集成、供貨、設備廠商等合作單位承擔很多工作。接下來將對信息中心人員進行分工和深度培訓，這樣網(wǎng)絡、服務器、安管監(jiān)控平臺、終端等各領(lǐng)域的相關(guān)技術(shù)工作都有專人負責協(xié)調(diào)，提高運維水平和效率，信息中心人員也有未來技術(shù)提高的空間。

4.3 完善和落實各項規(guī)章制度

規(guī)章制度建設是信息安全管理重要的組成部分，需建立長效機制并不斷地增補和修訂。而最關(guān)鍵的是將已建立的規(guī)章制度落實到實際工作中。計劃按照信息技術(shù)基礎構(gòu)架庫(Information Technology Infrastructure Library，ITIL)的理念和方法，部署信息中心運維管理系統(tǒng)作為相關(guān)管理制度落實的工具。通過制度建立、工作落實、檢查修訂、總結(jié)提升這樣常態(tài)化的循環(huán)工作機制不斷提升管理效率和水平。

5 結(jié)語

在為期10個月的項目建設過程中體會最深的有兩點：一是必須重視項目管理。需在綜合分析和整體設計的基礎上確定明確的項目和范圍，細化項目的成本、變更、時間管理，嚴格把控項目的風險和質(zhì)量。二是應特別重視相關(guān)方的合作與協(xié)同。該項目涉及16個院內(nèi)外單位，通過項目例會來建立和固化項目各方的溝通機制，共同討論工作計劃、遇到的問題及解決方案，增強相互之間的理解與協(xié)同，提高工作效率。在團隊的共同努力下，項目通過三級等保測評，完成項目驗收，實現(xiàn)醫(yī)院信息安全管理整體的提升。