专业咨询
致力推进中国医疗卫生信息化

沈玉强:以底线思维筑牢无故障的安全体系

来源:HIT专家网   作者:沈玉强

【编者按】

未来已来,新型IT技术层出不穷,在与医疗业务场景深度融合的同时,也为医疗机构带来了新的安全风险与挑战。浙江省卫生和健康委员会在大力推进“未来医院”建设,其中建筑、设施设备和数字化是重点考量因素,对医疗机构提出了新的建设要求。在网络和数据安全管理方面,医疗机构应如何做?浙江大学医学院附属第四医院信息中心主任沈玉强撰写系列文章,分享医疗机构网络和数据安全建设的思考与实践经验。该系列文章分为三篇,本文为第三篇。

浙江大学医学院附属第四医院信息中心主任沈玉强

医疗机构信息化工作,稳定压倒一切。网络和数据安全工作是管理出来的。管理和技术手段结合,是构筑稳定的安全体系的基础;而有效管控和闭环处置,是避免网络和数据安全事件发生的有效手段。不发生网络和数据安全重大事件、不出现网络和数据安全上级通报事件,是医疗机构网络安全工作的最低要求,也是最高要求。

浙大四院的具体实践

以下是浙江大学医学院附属第四医院(简称浙大四院)的一些具体做法。

在物理和环境层面,完备和冗余的基础设施环境是有效措施,如核心机房冗余、关键设备冗余、多类型链路冗余等。如存在资金和其他条件的限制,可以考虑分步实施。目前浙大四院采取“两地三中心”机房架构,主院区设立核心和备用机房,实现真正意义上的双活数据中心,在研究院设立异地容灾备份机房。汇聚机房与主备机房之间采用双链路的冗余备份机制,同时租用云端进行异地数据容灾备份。另一方面,机房的门禁也是重点,基于生物识别技术(如指纹、人脸等)对进入人员进行身份鉴别是目前常用手段。而采用国家认可的密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性是未来的趋势。

在网络和通信层面,浙大四院采取以下措施:建立SDN融合网络,基于物理共享逻辑隔离的原则划分网络,实现外网/内网/设备网/监控网相隔离。通过SSL VPN和零信任等设备,管控外部访问医院局域网。在互联网出口建立冗余机制,避免网络故障导致的全面瘫痪,强化网络可用性。构建实名制联网认证体系(员工采用钉钉认证、患者/家属通过手机号认证、医疗设备通过MAC认证等),实现身份真实性、行为可溯源,明确责任归属。安全设备联动自动封堵存在攻击行为的恶意IP。

在供应链管理方面,浙大四院建立了所有运维公司/外包工程师清单,要求公司/外包员工签订保密协议、提供外包员工无犯罪证明等背景调查材料。

信息系统稳定性是医院信息中心的重要指标。为此,应建立一套有效的灾备系统确保业务连续性。浙大四院核心系统数据库采用双RAC机制、单RAC上组3节点。主备库机制可提高数据库可用性。核心数据库具备独立备份和容灾系统。核心系统每年开展两次切换演练,每次备份/容灾和RAC单节点运行,验证灾备机制是否可靠。使用安全设备OSM监控核心数据库,每半年开展核心数据库专项性能优化。对于其他系统的重点数据库通过一体机备份,其余通过CDP连续数据保护。

浙大四院现有虚拟化服务器近400台,两组虚拟化服务池,单组物理服务器分别为10台和6台,可实现不同虚拟化组之间的备份和切换。虚拟机镜像快照用于关键服务器备份,每日增量备份,周末全量备份。

在医院主机房系统宕机情况下,可在10分钟左右启用位于研究院的异地灾备系统。核心系统实时进行同地备份和容灾备份。异地容灾备份的RTO(恢复时间目标)为15分钟,RPO(恢复点目标)为0分钟。

在数据安全方面,浙大四院探索数据分类分级,创新提出数据资产单元和数据保护单元等概念。避免单纯使用数据库字段分类分级可能发生的机械化分类分级、分类分级结果无意义等问题。浙大四院对核心系统数据进行资产梳理,初步确定5个大类、25个中类、98个小类、424个子类、564个数据资产单元和2637个数据字段,形成医疗健康数据分类分级资产清单。同时,医院牵头起草省级团体标准《医疗健康数据分类分级规范》。数据服务可分为数据集服务和数据API服务,后者被更为广泛地使用。浙大四院搭建互联网安全接入平台,统一管控对外API服务,对参数和格式实现规范化,当出现非法调用时及时告警。

在数据出境方面,浙大四院采取以下措施:(1)树立风险意识:医疗健康数据出境的安全风险意识,在全院范围内传达知晓。(2)合作备案、内部审核:国际合作需要向浙江省卫生健康委国际合作处备案,涉及医疗健康数据出境的要提前说明。涉及个人信息与医疗健康重要数据出境行为,根据相关法律法规要求进行数据出境安全评估,需报院长办公会同意。(3)流程统一管理:医疗健康数据的统计和采集,院内院外使用,均需要通过OA“数据采集和统计”流程申请和审批。(4)内部论证:涉及数据出境,申请方应提交相关说明,说明中需包含数据规模、数据范围、数据类型格式、是否属于个人信息或重要医疗健康数据、数据出境方式、数据出境合法性、正当性、必要性论证等内容。(5)签订数据保护合同:数据出境需与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件,其中应明确境外接收方的数据安全保护责任和义务。(6)使用专用信道:如果有长期国际合作交流,涉及医疗健康数据频繁出境传输的,需要申请互联网专用传输线路。

在应急预案与应急演练方面,浙大四院制定信息系统宕机应急预案、网络数据安全应急预案,根据医院信息系统清单和医院场景进行划分,牵头部门以职能部门为主,信息部门主要负责宕机情况下的故障定位和快速恢复,牵头部门负责每年开展培训和演练,制定相关的纸质版本多联表单,列出常规药物和检查检验医嘱,供临床医生直接勾选使用。门诊、住院和医技等区域一年一次开展宕机演练,核心数据库和关键链路/互联网出口等一年两次进行切换演练,实际演练运行时间不少于24小时,验证高峰期的业务压力。自主研发应急管理系统,同步药品、检查、检验等项目,同步患者基本信息和过敏史、检查检验异常指标等关键信息。同时结合新发布的标准与法律,定期对应急预案进行修订。安全预警和设备故障通过实时短信和钉钉通知,实现快速响应机制;网络和数据安全事件发生时根据预案快速上报,进行处置。

医院开展网络安全工作时,往往有安全公司的参与。不同的公司规则库不一,条件允许的情况下可尝试引进不同安全厂商进行交叉验证。医院与安全公司的常见合作模式的有安全设备与安全服务两种形式。对于安全设备,应做到及时将策略更新到官方版本,与厂商的设备探究联动功能,能否做到1+1>2。对于安全运维服务,技术和服务可以通过购买方式获得,但责任不能被转移,医院要有清醒的认识。安全运维服务应做到实时监测、24H值守、限时响应、脆弱性管理(漏洞扫描、弱口令)、风险预判、事件通报机制和防护机制等关键任务。

浙大四院紧随政策潮流,合规开展工作,开展网络安全等级保护、商用密码安全性评估和信息技术创新应用替代等关键工作。在等级保护方面,定期进行复测,力求测评结果达到良,持续落实整改发现的问题。在商密测评方面,尝试开展商密改造与测评,特别是密码安全体系建设,力求打造省级样板。在信创替代方面,综合办公、经营管理、生产运营等系统,选择信创替代软件系统,重点做好CPU芯片、操作系统和数据库等关键替换,探寻高效的系统迁移机制。

在重保时期或医院重大活动时期,医疗机构应进行对应的安全保障工作。制订重保期间常规操作流程和管控清单,照此执行。事前,应加强技术防护,加强电子屏管控。制定安全值班排班表。关闭互联网上非必要系统,缩小暴露面。事中,应每日进行零报告,向上级部门反馈当日安全情况。进行安全值班。事后,应总结发生的问题,提出改进措施。

网络安全日常管控措施方面,开展网络安全工作,应遵循最小化授权原则。落实到具体的工作上则有多种形式。通过互联网安全管控平台实现对外API服务和应用系统的封装管理、流量监控和访问控制,这种做法能够有效避免互联网上的不安全事件。服务器IP和开放端口最小化,以白名单的形式开放必需端口,封闭其他不提供服务的所有端口,特别要限制135、136、137、139和445端口,端口功能留档、责任人实名认证。互联网访问限制,以黑名单形式记录恶意IP与恶意域名信息,通过厂商实时推送更新和根据工作反馈手工更新补充。核心数据库账户权限最小化,通用账户分离、增删改查权限分离,实行账户实名制。各类终端设备接入,采用员工电脑和终端钉钉实名制授权、医疗设备MAC授权、病人/家属手机号码实名制授权等方式实现,非必要不接入。远程运维,VPN堡垒机双重管控,实名制授权与最小化服务器/系统访问,使用结束后及时回收运维权限。应用系统账户权限管控最小化,回收多余的权限。

持续改进机制是完善网络安全体系的一环。浙大四院的持续改进机制体现在以下方面:巡检整改、故障记录处置、疑难故障PDCA。医院开展各类定期巡检和自动化巡检,以及定期预防性维护措施。巡检固定表单格式、确定巡检频率、要求提交巡检报告、相关材料留档。根据巡检结果总结问题清单,制定改进措施和监督整改。开展定期预防性维护措施,如服务器安装Windows操作系统的,每隔180天在晚上空闲时间进行预防性重启,能够解决大部分因操作系统或程序/服务等假死导致的故障,具有非常好的效果。

医院通过24小时客服记录全院发生的各类信息故障。所有信息故障均需经过登记、派单、处置和结束四个流程,亦可进行满意度评价,进行闭环管理流程。信息中心定期针对信息故障进行全面的总结分析和趋势分析,针对周末和晚上非工作日发生的信息故障进行每周个案总结分析,尽量减少非工作时间的故障发生概率,减轻值班期间的压力。

信息中心通过PDCA管理办法处理信息疑难故障,要求科级干部牵头,联合疑难故障责任人,组建分析小组专题讨论,撰写详细的PDCA分析报告,经小组认可后的报告在部门周例会上进行详细说明。一方面是针对该疑难故障提供解决办法,以及避免类似问题再次发生进行总结和听取大家意见;另一方面是让大家形成一种改进文化和分析意识,在平时工作中能够充电,利用PDCA思维提升自我能力。

网络和数据安全思考总结

网络和数据安全工作,有两个重要考核指标,一是无上级正式书面通报,二是信息系统无大面积长时间宕机事件。

对于通报,自查发现问题总比接到上级正式通报好,上级正式通报总比实际发生安全事件或数据泄露好。应争取做到全年不发生网络和数据安全重大事件,力求零上级通报。

保障信息系统稳定可靠运行,是医疗机构信息部门责无旁贷的责任,信息部门也是与临床部门一样的技术部门,不能把根本丢失了。信息系统宕机不能完全避免,只能无限接近不出现大面积长时间宕机,以及宕机发生时的快速恢复机制。我们要做到每年99.99%的稳定运行时间,也即每年只有52分钟用于计划性停机工作。医疗机构要加强网络和数据安全项目的全面投入,关键设备、关键节点一定要冗余备份,不要想着省钱。定期巡检、定期不断完善、不定期的持续性改进,不要想着偷懒靠运气。

网络和数据安全工作,可以说70%是管理问题,30%是技术问题。客观来看,网络安全攻防双方是不对等的,攻易于守,且防守手段更新往往滞后于攻击技术。因此,在保证技术和手段不落后的同时,一套合适高效的管理体系能更好地完善网络和数据安全工作。如果出现突发的、无先例的网络安全事件,能实时快速高效响应、依据完善的应急预案处理的医疗机构能够将危害降到最小化。

网络和数据安全工作具有相当程度的不确定性,因此我们要采用规则和流程的确定性来应对结果的不确定性。始于流程,终于流程,将网络和数据安全成果内化到无生命的管理体系中。

【往期回顾】

沈玉强:以安全思维推进“未来医院”建设

沈玉强:以流程思维构建医院信息管理体系

此图片的alt属性为空;文件名为HIT%E4%B8%93%E5%AE%B6%E7%BD%91%E8%AE%A2%E9%98%85%E5%8F%B7.png
关注HIT专家网微信订阅号
精彩不容错过!
寻求“商务合作”请扫码填写需求
我们将尽快与您联系!

【责任编辑:陈曦 版式:明超】

赞(3)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 沈玉强:以底线思维筑牢无故障的安全体系
分享到: 更多 (0)