广东省中医院傅昊阳：构建持续改进的医院信息安全防护体系

来源：HIT专家网      作者：姜浩 根据录音整理

“安全防护是动态的，今日的安全不代表明日可以高枕无忧。医院在建成信息安全体系后，仍需不断识别安全风险，消灭安全漏洞，持续改善安全体系，如此方能支撑医院的安全保障。”

近日，在由HIT专家网主办、VMware公司协办的“医疗云安全在线论坛”上，广东省中医院信息管理办公室主任、广东省中医药数据中心办公室主任傅昊阳分享了有关医院信息安全体系建设与持续改进的经验。

广东省中医院始建于1933年，是我国近代史上最早的中医医院之一，被誉为“南粤杏林第一家”，员工总数超7000名，床位共3631张，平均每天调剂处方30000余张，其信息安全压力之重自是不言而喻。对此，傅昊阳表示：“医院信息安全切不可掉以轻心，只有不断进行自我修正，才能为医院建立起强大的信息安全体系。在这背后，需要医院信息人不断地坚持、坚持、再坚持。”

医院信息安全隐患重重

近年来，在医院信息化发展过程中，不断涌现出新的技术与应用，如：云计算、移动互联网、工业控制系统、物联网、大数据等。在这些新应用出现以后，医院的信息安全体系迎来巨大考验，出现了诸如无线安全、内容安全、个人信息安全及管辖权等问题。

傅昊阳认为，医院信息化的发展带来如下安全隐忧：

首先，面对业务上云、应用云化的趋势，医院运维安全、数据安全、应用安全都将面临新的挑战。

其次，面对互联网医院建设趋势，医院不断开放患者信息至互联网，医院的信息安全体系是否能为快速拓展的互联网医院业务提供安全保障？

再次，面对医联体、医共体建设趋势，各医疗机构间的数据交互为彼此带来了巨大的安全压力。

最后，面对智慧医院建设趋势，医院不断向患者端、互联网端、下级医疗机构、上级政府部门开放智慧应用，开放点越来越多，医院信息安全将如何推进？

其中，医院业务上云所带来的安全问题尤为突出，包括：服务中断与应用停用，且缺少应急手段，无法保障医院服务的稳定性与连续性，安全隐患明显；无法满足SLA（Service Level Agreement，服务等级协议）要求；外部人员未经授权的访问；云内系统和软件的基线配置不足；控制器或虚拟化平台软件问题；云租户导致恶意软件传播等。也有人提出，医院业务上云后，原有的安全体系架构不再适用，各种安全问题接踵而至。

傅昊阳总结，目前部分医院仍存在以下信息安全隐患：医院工作人员安全意识较弱，尤其是地市级、县区级医院；医院安全投入不足，包括人员投入、经费投入；在硬件架构方面，随着业务系统的增长，相关设备越来越多，系统互连关系越来越繁杂，安全挑战严峻；在软件架构方面，网络连接与划分混乱，互联网接口抗攻击性较弱；在工程管理方面，规划期缺乏安全评审、建设与工程割接缺乏安全管理，遗留策略与账号形成安全漏洞；在程序开发方面，开发阶段缺乏安全监管，源代码缺乏安全检查。“信息安全问题符合‘木桶效应’，上述任何一环存在缺陷，都将成为木桶短板，对医院整体信息安全产生影响。”

信息安全需动态防护

“建设医院信息安全体系首先要进行风险识别。风险识别是安全体系建设的基础，每个医院的安全风险不同，其安全体系也有所不同。”傅昊阳认为，想要做好风险识别，需明确以下信息：

• 哪些资源需要防护，如患者数据、处方、IT基础设施、网站等。
• 资源基础信息，如资源位置、连接对象、访问者、加密情况、数据量、访问量等。
• 防范对象，明确防范对象至关重要，否则一旦将防范范围扩大，相关安全防护投入将成几何级增长。
• 攻击手段，在明确防范对象以后，其攻击手段也跃然纸上。同时，也要求安防人员熟知黑客常见的攻击方法与相应的防范措施。

以医保服务器为例，在风险识别过程中，需了解医保服务器所处位置，访问者有哪些？谁可以通过医保服务器访问医院内网？能访问到什么位置？对手的攻击手段可能为病毒、SQL注入漏洞等。“知己知彼，方能百战不殆。在理清这些信息后，才能知道需要什么级别的防护以及安全体系如何建设。”傅昊阳表示，医院一般会采取以下四种安全防护策略：

分级保护。针对不同级别的业务系统，使用不同的防护手段。“每一种防护手段都需要付出一定的时间精力与成本，面对不同的系统、数据和应用，要进行分级保护，把好钢使在刀刃上。”

分层保护。医院网络架构可分为终端层、核心层、服务器层等，各数据库分布在不同的网络层内，需分层进行保护。

分域保护。根据网络属性（专线、互联网、内网），划分出不同的安全域。不同的安全域面临不同的安全风险，需使用不同的安全防护手段进行防护。

动态安全防护。需根据安全防护设备的防护日志采取不同的手段，不断完善防护策略，才能确保医院信息安全。

医院信息安全体系持续改进的6点思考

“医院信息安全体系总体可分为运维体系、技术体系与管理体系，只有将三者都建好，才能保障医院信息安全平衡。”傅昊阳认为，运维体系包括流程和规范、安全分级、风险评估、阶段性工作计划、采购与实施过程管理、日常维护管理、应急计划与事件响应；技术体系包括访问控制、信息系统完整性保护、系统与通信保护、物理与环境保护、监测与响应、备份与恢复；管理体系包括组织机构、规章制度、人员安全与安全意识培训。

其中，傅昊阳着重介绍了医院信息安全管理体系，并归纳出六大关键点：架构、技术、设备、制度、流程与人才队伍。广东省中医院以此为核心建立了“信息安全管理PDCA循环”：在不断进行风险识别的过程中，修正安全体系架构，选择对应的防护技术与安全设备，完善信息安全管理制度，修正信息安全管理流程，并以此过程培养信息安全人才。

遵循上述信息安全管理方案，广东省中医院的信息安全体系改进工作正在有条不紊地进行着。根据日常安防经验，傅昊阳提出了以下6点思考：

• “如果将安全防护比作战争，每天都会有敌军检测我方的安全风险和漏洞，医院要适应网络安全战争新常态。”
• 信息安全没有做不到，只有想不到。
• 要从每一个可能涉及到安全的细节抓起，并建立起相关机制，保障细节落实到位。“医院信息化安全体系建设要从每一个细节开始。”
• 重点注意非核心系统安全问题，如历史系统、历史账号的安全管控，科室网站、图书馆网站、废弃网站、弃用账号、已废弃的VPN等。
• 警惕安全疲劳，“一时的安全相对容易，永久的安全非常困难。需警惕日常巡查、应急响应导致的安全疲劳。”
• 增加实战化训练，安全防护不能纸上谈兵。“很多医院在建设好信息安全体系、布置好安全防护策略以后，没有经历过太多的实战，就如同没有进行过战斗的军队一样，一旦遇到安全事件，很难以理论知识去面对实实在在的安全问题。”傅昊阳表示，希望各医院在进行安全体系建设时能够加强实战化训练，让安全防护人员在“枪林弹雨”下成长。

【责任编辑：陈曦】