来源:健康报 作者:北京大学第三医院信息管理与大数据中心 贾末 计虹
近年来,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等一系列信息安全相关法律法规的颁布实施,对网络安全建设、数据共享应用、个人信息保护提出了更高的要求。
同时,随着互联网医疗的快速发展、互联互通建设的不断深入、临床科研等需求的不断增加,信息系统互联网暴露面日益增大,数据共享的范围和数据量持续扩大,内外网数据交互日益频繁,网络安全、数据安全、个人信息安全风险持续增加,新型网络攻击、程序漏洞、数据库脱库、科研数据流失、个人隐私泄漏风险始终存在。伴随着无线网络的全面覆盖,无线网近源攻击等风险持续增加。各类风险的跨界性、穿透性、关联性、扩散性特征明显增加,系统性风险持续增大。这些因素给医院网络及信息安全建设带来了更大的挑战。
构建完善的信息安全保障体系,对于提升整体信息安全保障能力、推动公立医院高质量发展,具有重要的研究价值和现实意义。
强化制度建设,规范信息安全行为
制度是规范也是指导,是信息安全工作开展的重要保障。北京大学第三医院在医院层面成立了网络安全领导小组与技术领导小组,科室成立了网络安全技术支持小组,明确岗位职责。以《网络安全法》《数据安全法》《个人信息保护法》等法律法规为基础,不断制定完善各项规章制度。制定标准操作流程,严格落实系统与安全“同步规划、同步建设、同步使用”三同步要求,实现“需求调研、规划设计、项目实施、系统上线、运行维护”全流程的安全监测体系。制定数据使用安全责任书,明确“最小、够用、知情”的数据采集原则,严格落实网络安全每日监测制度,制定《网络安全设备日常巡检表》,通过每日巡检监测,发现问题,解决问题。
加强面向不同人群的网络安全意识培训,规范安全行为,完善各类人员安全责任制度,构筑全员安全堡垒,防范网络钓鱼、近源攻击等事件发生。开展数据安全培训,探索科室安全员管理模式。
医院不断加强数据安全管理建设,逐步实现数据安全管理的“规范化、制度化、程序化”,最终达到岗位有分工、执行有依据、日常有检查、全员有认知。
夯实安全基础,强化网络边界防护
实施终端准入控制,实现终端可信接入管控。医院构建网络版杀毒软件及虚拟补丁相结合的防护体系,实现主机病毒及漏洞安全防护。利用去隐私、脱敏、水印等技术,并结合多因子验证、密码复杂度校验等身份鉴别、访问控制、安全配置手段,确保数据应用安全。打造实时双活的容灾虚拟化数据中心,保障数据存储安全。明确网络边界划分,在不同边界区域通过防火墙策略、IPS(入侵防御系统)、WAF(网站应用级入侵防御系统)、防毒墙网关、NAT(网络地址转换)、端口控制及VLAN(虚拟局域网)划分等,实现边界访问防护隔离,提升互联网访问的边界安全防护。
同时,通过数据传输、存储加密,防止信息泄露。加强系统整合,收敛互联网暴露面,提升安全风险应对能力。
依托预警监测,构建综合防御体系
构建动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全综合防控体系。
借助态势感知等大数据分析平台,实现威胁监测、预警、响应处置、可视化决策一体化管理。通过流量采集分析,结合威胁情报、行为建模、机器学习、关联分析、可视化等技术,对全流量进行智能分析,实现海量网络流量数据的实时动态解析,实现对全网安全威胁的可视化实时展示,协助快速发现高级未知威胁攻击,构建事前安全感知防御、事中威胁预警响应、事后追踪溯源的安全主动防御体系,并实现威胁风险全流程闭环处置管理。
开展实战演练,多岗协同联动防御
加强实战化训练,以网络安全大赛、网络安全演练为抓手,网络安全、系统安全、应用安全、终端安全多岗协同,防火墙、WAF、态势感知、服务器深度防护、终端杀毒等全系统联动,访问策略、流量监测、日志分析等全要素综合研判。在实战中不断总结经验,完善应急预案,最终实现“网络入侵拦得住、异常流量识别准、恶意文件消得清、故障原因排查快,应急预案可落地”,不断提升综合防御实战能力。
注重隐私保护,提升个人信息安全
根据《数据安全法》《个人信息保护法》的有关要求,医院对数据采集、传输、存储、处理、交换、销毁实施全周期管理。明确“最小、够用、知情”数据采集原则,利用国密算法加强数据传输、存储加密,对数据进行分级分类管理,加强权限管控,逐级授权开放。对数据进行脱敏处理,建立数据安全审查制度,加强对科研等数据使用的监管。利用数据库审计,加大审核分析力度,对可疑数据进行排查,加强数据溯源管理。
针对个人信息保护,在程序端增加去隐私化、匿名化处理,对涉及个人隐私的数据,增加知情同意提示。强化审核及个人信息分类管理。制定信息安全事件应急预案,对处理敏感个人信息的情形进行评估。
加强自主研发,保障核心数据安全
医院积极培养自主研发人才,开发自主可控的安全管理信息系统,实现对网络安全、数据安全、个人信息保护相关的核心资产信息的管理。通过多因子认证、国密算法以及新技术的自主探索应用,持续提升信息化核心资源的安全管理能力。
网络安全建设永远在路上。下一步,医院将持续完善制度建设,保障基础环境安全;加强态势感知和主动预警能力;推动国密算法等安全加密措施的落地实施;持续加强数据监管审计、数据监测和应急能力。另外,对重要数据进行定期风险评估,部署新一代安全保护设备设施,开展实战演习、应急演练,提升网络安全风险应对及应急处置能力;筑牢网络安全防线,为医院高质量发展奠定坚实基础。
(本文首发于《健康报》,原标题为《关注医疗数据安全 | 怎样为医院信息系统构筑“保护盾”》)
【责任编辑:秦勉】
评论前必须登录!
注册