回顾展望 ｜ 医院网络安全在实战中锤炼“方法论”

来源：HIT专家网      作者：姜浩

【编者按】

物换星移，又是一年。HIT专家网延续惯例，推出年度“回顾展望”系列文章，对即将过去的2021年HIT行业热点事件进行回顾，同时展望新年，向未来追梦前行。敬请读者朋友们关注，同时欢迎来稿共同参与讨论。

过去，医院网络安全防护经费投入欠缺，技术能力不足，是导致医疗机构面对网络攻击捉襟见肘的主要原因之一。如今，这种情况已有所改观。据《全民健康信息化调查报告——区域卫生信息化与医院信息化（2021）》显示，有网络信息安全专项预算的三级医院占比75.1%，新建信息化项目安全预算不低于总预算5%的三级医院占比15.8%。

相比三级医院网络安全防护资金的投入增长，以及各类网络安全防护技术、设备的持续引进，更让人感到耳目一新的是，医院网络安全防护能力正在逐步积累，显著的标志之一是不少三级甲等医院信息主管们在实战中锤炼出各自的“方法论”，并且有了实实在在的最佳实践，凝聚了更多行业共识。突出表现在：

首先，要有网络和数据资产的全局观念。

越来越多的医院CIO认识到，医院网络安全防护体系的建立，要基于对医院总体业务场景与流程的认识与把握。中日友好医院信息部主任张铁山认为：“如果我们对业务的理解是不全面的、对风险的认知是缺位的，安全的防控点也就无法完全到位。”对于医院信息部门而言，引入任何一种安全技术，都一定是从梳理业务开始的。“要搞清楚医院真实的业务场景是什么，究竟有多少人、要做多少事、产生多少数据资产。如果我们对人的管理是混乱的、对物的管理是不清楚的，那么引入再多的安全技术也将于事无补。”

在新的技术环境下，特别是在医院的互联网化与数据深度融合共享的过程中，信息安全与医疗安全、运营安全早已融为一体。张铁山认为，医院信息部门需要树立“总体安全观”，要考虑的信息安全问题不能局限于传统的网络攻防、病毒防范、隐私泄露等，还应考察信息是否在高品质、高稳定、高可靠的情况下，对医疗安全和运营安全起到关键的支撑作用，要把信息的品质放在药品与医疗器械的同等位置上来看待。

其次，要重视IT业务治理和能力建设。

“应对医院信息安全挑战，医院信息部门应具备一种‘超能力’，即以不变应万变之能力。”浙江大学医学院附属第二医院（以下简称浙大二院）从管理架构、工作机制入手，突破资源及能力限制，应对网络安全挑战。据浙大二院IT中心主任许杰介绍，浙大二院通过“1+X”多院区一体化管理架构的治理，“顺便”解决了部分信息安全的底层隐患问题。在该架构的支持下，浙大二院实现了：规划治理，保障各院区信息化顶层设计的统一性和一致性，兼顾特殊性；资源治理，合理投入及分配信息化资源，包括人员、预算、装备等；运维治理，保障各院区IT运维管理的一体化和同质化；目标治理，实现多院区信息互联互通和数据整合利用，利用信息化助力医院整体高质量发展。

第三，要以“不可信”为基础，持续改进，建设可信的运维机制。

医院信息化安全体系建设要从每一个细节开始。如何才能保障“细节落实到位”？这也是医院CIO们要重点解决的问题。北京大学肿瘤医院信息部主任衡反修认为，日常巡检是系统安全运行的基石和保障，医院应将日常巡检作为系统安全保障的重点；医院信息部门不能以“抢救及时”来彰显系统运维人员的作用，医院信息人不能做信息系统的“救火队员”。为了让日常巡检不流于形式，真正起到在“火情”发生前防微杜渐的作用，北京大学肿瘤医院信息部建立了运维巡检管理机制，引入PDCA方法论，随时解决巡检时发现的问题，消灭安全隐患，更新管理机制，形成新一轮的管理闭环。

衡反修主任认为：“要以‘不可信’为基础来建设可信的运维机制。”系统是“不可信”的，不能依赖系统的自动报警功能；供应商是“不可信”的，驻场运维人员时常出现岗位变动；工程师也是“不可信”的，工作繁忙，运维巡检易发生疏忽。只有建立完善的信息安全管理机制，才能将“不可信”因素的影响降至最低。

同样重视“信息安全管理PDCA循环”的还有广东省中医院。广东省中医院信息管理办公室主任、广东省中医药数据中心办公室主任傅昊阳将医院信息安全管理体系归纳出六大关键点：架构、技术、设备、制度、流程与人才队伍，他认为“信息安全管理PDCA循环”的作用就是在不断进行风险识别的过程中，修正安全体系架构，选择对应的防护技术与安全设备，完善信息安全管理制度，修正信息安全管理流程，并以此过程培养信息安全人才。

第四，重视实战化，要让医院网络安全人员在“枪林弹雨”下成长。

“很多医院在建设好信息安全体系、布置好安全防护策略以后，没有经历过太多的实战，就如同没有进行过战斗的军队一样，一旦遇到安全事件，很难以理论知识去面对实实在在的安全问题。”傅昊阳表示，希望各医院在进行安全体系建设时能够加强实战化训练，积极配合相关部门组织的网络安全攻防演练活动，增加网络安全防护人员的实战经验，在“枪林弹雨”下成长，让网络安全防护工作从实践中来，到实践中去。

值得关注的是，主流网络安全企业也纷纷针对医疗行业推广各自在多个行业实战中建立的方法论：安恒信息提出了“CAPE数据安全治理模型”，通过风险核查（Check）、数据梳理（Assort）、数据保护（Protect）、监测预警（Examine）四个环节，帮助医院应对潜在网络安全挑战；美创科技提出了数据安全治理五步法——明现状、定规划、立组织、定制度、建标准，倡导医疗机构开展数据安全治理，建立健全数据安全态势感知能力。

应该说，在有关各方努力下，各地区重点医院信息部门在网络安全实战化的新常态中，对于“网络安全三分靠技术、七分靠管理”这句话有了更为深刻的理解与认知。期待更多经过实战化“锤炼”的方法论能够被总结上升为行业规范；尤其在应对《数据安全法》《个人信息保护法》等一系列新法规、新挑战的背景下，更多有价值的经验、方法必将在实践中脱颖而出，也必将为推动行业应对网络安全挑战做出积极的贡献。

【责任编辑：秦勉】