怎樣為醫(yī)院信息系統(tǒng)構(gòu)筑“保護(hù)盾”

2021年6月，國(guó)務(wù)院辦公廳印發(fā)《關(guān)于推動(dòng)公立醫(yī)院高質(zhì)量發(fā)展的意見(jiàn)》，明確指出要強(qiáng)化信息化支撐作用，引領(lǐng)公立醫(yī)院高質(zhì)量發(fā)展新趨勢(shì)。2021年10月，國(guó)家衛(wèi)生健康委和國(guó)家中醫(yī)藥管理局聯(lián)合印發(fā)《公立醫(yī)院高質(zhì)量發(fā)展促進(jìn)行動(dòng)（2021－2025年）》，也明確提出將信息化作為醫(yī)院基本建設(shè)的優(yōu)先領(lǐng)域，建設(shè)電子病歷、智慧服務(wù)、智慧管理“三位一體”的智慧醫(yī)院信息系統(tǒng)。

在醫(yī)院信息系統(tǒng)建設(shè)中，如何加強(qiáng)數(shù)據(jù)安全保護(hù)，有效實(shí)施數(shù)據(jù)全生命周期安全管理，夯實(shí)信息化發(fā)展的安全底線，是值得醫(yī)院管理者們思考的問(wèn)題。近年來(lái)，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等一系列信息安全相關(guān)法律法規(guī)的頒布實(shí)施，對(duì)網(wǎng)絡(luò)安全建設(shè)、數(shù)據(jù)共享應(yīng)用、個(gè)人信息保護(hù)提出了更高的要求。

同時(shí)，隨著互聯(lián)網(wǎng)醫(yī)療的快速發(fā)展、互聯(lián)互通建設(shè)的不斷深入、臨床科研等需求的不斷增加，信息系統(tǒng)互聯(lián)網(wǎng)暴露面日益增大，數(shù)據(jù)共享的范圍和數(shù)據(jù)量持續(xù)擴(kuò)大，內(nèi)外網(wǎng)數(shù)據(jù)交互日益頻繁，網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息安全風(fēng)險(xiǎn)持續(xù)增加，新型網(wǎng)絡(luò)攻擊、程序漏洞、數(shù)據(jù)庫(kù)脫庫(kù)、科研數(shù)據(jù)流失、個(gè)人隱私泄漏風(fēng)險(xiǎn)始終存在。伴隨著無(wú)線網(wǎng)絡(luò)的全面覆蓋，無(wú)線網(wǎng)近源攻擊等風(fēng)險(xiǎn)持續(xù)增加。各類風(fēng)險(xiǎn)的跨界性、穿透性、關(guān)聯(lián)性、擴(kuò)散性特征明顯增加，系統(tǒng)性風(fēng)險(xiǎn)持續(xù)增大。這些因素給醫(yī)院網(wǎng)絡(luò)及信息安全建設(shè)帶來(lái)了更大的挑戰(zhàn)。構(gòu)建完善的信息安全保障體系，對(duì)于提升整體信息安全保障能力、推動(dòng)公立醫(yī)院高質(zhì)量發(fā)展，具有重要的研究?jī)r(jià)值和現(xiàn)實(shí)意義。

一、強(qiáng)化制度建設(shè) 規(guī)范信息安全行為
制度是規(guī)范也是指導(dǎo)，是信息安全工作開(kāi)展的重要保障。醫(yī)院層面成立了網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組與技術(shù)領(lǐng)導(dǎo)小組，科室成立了網(wǎng)絡(luò)安全技術(shù)支持小組，明確崗位職責(zé)。以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)為基礎(chǔ)，不斷制定完善各項(xiàng)規(guī)章制度。

制定標(biāo)準(zhǔn)操作流程，嚴(yán)格落實(shí)醫(yī)院信息系統(tǒng)與安全“同步規(guī)劃、同步建設(shè)、同步使用”三同步要求，實(shí)現(xiàn)“需求調(diào)研、規(guī)劃設(shè)計(jì)、項(xiàng)目實(shí)施、系統(tǒng)上線、運(yùn)行維護(hù)”全流程的安全監(jiān)測(cè)體系。制定數(shù)據(jù)使用安全責(zé)任書，明確“最小、夠用、知情”的數(shù)據(jù)采集原則，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全每日監(jiān)測(cè)制度，制定《網(wǎng)絡(luò)安全設(shè)備日常巡檢表》，通過(guò)每日巡檢監(jiān)測(cè)，發(fā)現(xiàn)問(wèn)題，解決問(wèn)題。加強(qiáng)面向不同人群的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，規(guī)范安全行為，完善各類人員安全責(zé)任制度，構(gòu)筑全員安全堡壘，防范網(wǎng)絡(luò)釣魚、近源攻擊等事件發(fā)生。

開(kāi)展數(shù)據(jù)安全培訓(xùn)，探索科室安全員管理模式。醫(yī)院不斷加強(qiáng)數(shù)據(jù)安全管理建設(shè)，逐步實(shí)現(xiàn)數(shù)據(jù)安全管理的“規(guī)范化、制度化、程序化”，最終達(dá)到崗位有分工、執(zhí)行有依據(jù)、日常有檢查、全員有認(rèn)知。

二、夯實(shí)安全基礎(chǔ) 強(qiáng)化網(wǎng)絡(luò)邊界防護(hù)
實(shí)施終端準(zhǔn)入控制，實(shí)現(xiàn)終端可信接入管控。醫(yī)院構(gòu)建網(wǎng)絡(luò)版殺毒軟件及虛擬補(bǔ)丁相結(jié)合的防護(hù)體系，實(shí)現(xiàn)主機(jī)病毒及漏洞安全防護(hù)。利用去隱私、脫敏、水印等技術(shù)，并結(jié)合多因子驗(yàn)證、密碼復(fù)雜度校驗(yàn)等身份鑒別、訪問(wèn)控制、安全配置手段，確保數(shù)據(jù)應(yīng)用安全。

打造實(shí)時(shí)雙活的容災(zāi)虛擬化數(shù)據(jù)中心，保障數(shù)據(jù)存儲(chǔ)安全。明確網(wǎng)絡(luò)邊界劃分，在不同邊界區(qū)域通過(guò)防火墻策略、IPS（入侵防御系統(tǒng)）、WAF（網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)）、防毒墻網(wǎng)關(guān)、NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）、端口控制及VLAN（虛擬局域網(wǎng)）劃分等，實(shí)現(xiàn)邊界訪問(wèn)防護(hù)隔離，提升互聯(lián)網(wǎng)訪問(wèn)的邊界安全防護(hù)。

同時(shí)，通過(guò)數(shù)據(jù)傳輸、存儲(chǔ)加密，防止信息泄露。加強(qiáng)系統(tǒng)整合，收斂互聯(lián)網(wǎng)暴露面，提升安全風(fēng)險(xiǎn)應(yīng)對(duì)能力。

三、依托預(yù)警監(jiān)測(cè) 構(gòu)建綜合防御體系
構(gòu)建動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控的網(wǎng)絡(luò)安全綜合防控體系。借助態(tài)勢(shì)感知等大數(shù)據(jù)分析平臺(tái)，實(shí)現(xiàn)威脅監(jiān)測(cè)、預(yù)警、響應(yīng)處置、可視化決策一體化管理。通過(guò)流量采集分析，結(jié)合威脅情報(bào)、行為建模、機(jī)器學(xué)習(xí)、關(guān)聯(lián)分析、可視化等技術(shù)，對(duì)全流量進(jìn)行智能分析，實(shí)現(xiàn)海量網(wǎng)絡(luò)流量數(shù)據(jù)的實(shí)時(shí)動(dòng)態(tài)解析，實(shí)現(xiàn)對(duì)全網(wǎng)安全威脅的可視化實(shí)時(shí)展示，協(xié)助快速發(fā)現(xiàn)高級(jí)未知威脅攻擊，構(gòu)建事前安全感知防御、事中威脅預(yù)警響應(yīng)、事后追蹤溯源的安全主動(dòng)防御體系，并實(shí)現(xiàn)威脅風(fēng)險(xiǎn)全流程閉環(huán)處置管理。

四、開(kāi)展實(shí)戰(zhàn)演練 多崗協(xié)同聯(lián)動(dòng)防御
加強(qiáng)實(shí)戰(zhàn)化訓(xùn)練，以網(wǎng)絡(luò)安全大賽、網(wǎng)絡(luò)安全演練為抓手，網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、終端安全多崗協(xié)同，防火墻、WAF、態(tài)勢(shì)感知、服務(wù)器深度防護(hù)、終端殺毒等全系統(tǒng)聯(lián)動(dòng)，訪問(wèn)策略、流量監(jiān)測(cè)、日志分析等全要素綜合研判。在實(shí)戰(zhàn)中不斷總結(jié)經(jīng)驗(yàn)，完善應(yīng)急預(yù)案，最終實(shí)現(xiàn)“網(wǎng)絡(luò)入侵?jǐn)r得住、異常流量識(shí)別準(zhǔn)、惡意文件消得清、故障原因排查快，應(yīng)急預(yù)案可落地”，不斷提升綜合防御實(shí)戰(zhàn)能力。

五、注重隱私保護(hù) 提升個(gè)人信息安全
根據(jù)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的有關(guān)要求，醫(yī)院對(duì)數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀實(shí)施全周期管理。明確“最小、夠用、知情”數(shù)據(jù)采集原則，利用國(guó)密算法加強(qiáng)數(shù)據(jù)傳輸、存儲(chǔ)加密，對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類管理，加強(qiáng)權(quán)限管控，逐級(jí)授權(quán)開(kāi)放。對(duì)數(shù)據(jù)進(jìn)行脫敏處理，建立數(shù)據(jù)安全審查制度，加強(qiáng)對(duì)科研等數(shù)據(jù)使用的監(jiān)管。

利用數(shù)據(jù)庫(kù)審計(jì)，加大審核分析力度，對(duì)可疑數(shù)據(jù)進(jìn)行排查，加強(qiáng)數(shù)據(jù)溯源管理。針對(duì)個(gè)人信息保護(hù)，在程序端增加去隱私化、匿名化處理，對(duì)涉及個(gè)人隱私的數(shù)據(jù)，增加知情同意提示。強(qiáng)化審核及個(gè)人信息分類管理。制定信息安全事件應(yīng)急預(yù)案，對(duì)處理敏感個(gè)人信息的情形進(jìn)行評(píng)估。

六、加強(qiáng)自主研發(fā) 保障核心數(shù)據(jù)安全
醫(yī)院積極培養(yǎng)自主研發(fā)人才，開(kāi)發(fā)自主可控的安全管理信息系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)的核心資產(chǎn)信息的管理。通過(guò)多因子認(rèn)證、國(guó)密算法以及新技術(shù)的自主探索應(yīng)用，持續(xù)提升信息化核心資源的安全管理能力。網(wǎng)絡(luò)安全建設(shè)永遠(yuǎn)在路上。

下一步，醫(yī)院將持續(xù)完善制度建設(shè)，保障基礎(chǔ)環(huán)境安全；加強(qiáng)態(tài)勢(shì)感知和主動(dòng)預(yù)警能力；推動(dòng)國(guó)密算法等安全加密措施的落地實(shí)施；持續(xù)加強(qiáng)數(shù)據(jù)監(jiān)管審計(jì)、數(shù)據(jù)監(jiān)測(cè)和應(yīng)急能力。另外，對(duì)重要數(shù)據(jù)進(jìn)行定期風(fēng)險(xiǎn)評(píng)估，部署新一代安全保護(hù)設(shè)備設(shè)施，開(kāi)展實(shí)戰(zhàn)演習(xí)、應(yīng)急演練，提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)對(duì)及應(yīng)急處置能力；筑牢網(wǎng)絡(luò)安全防線，為醫(yī)院高質(zhì)量發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)。