医院网络安全治理的实施路径
——从《医院信息互联互通标准化成熟度测评方案(2020年版)》看医院网络安全治理

李云霄 余张杰 傅承主

广东省卫生健康委员会事务中心 广东广州 510060

1 引言

随着医院数字化、智慧化建设逐步深入，医院信息系统或集成平台(以下简称“医院信息平台”)已由原来封闭、隔离的院区网络系统，向开放的互联网体系融合[1-2],网络安全边界在不断外延，业务系统复杂性在不断增加，与外部机构之间的数据共享和业务协同也越来越频繁，使得医院的网络安全问题不断突显[3]。为了实现医疗信息数据共享利用和信息安全保护之间的平衡，加强医院网络信息安全治理，不仅需要国家的法律法规框架进行强制和约束，也需要明确的、有效的实施路径。国家卫生健康信息标准专业委员会和国家卫生健康委统计信息中心发布的《医院信息互联互通标准化成熟度测评方案(2020版)》(以下简称：医院测评方案)提出了对医院信息互联互通标准化成熟度测评(以下简称：医院互联互通测评)从硬件基础设施、网络安全、环境安全、应用安全、数据安全、隐私保护、管理安全7个维度提出测评标准[4]，为医院网络安全治理提出顶层设计和具体实施路径。

2 规范医院信息化网络安全建设和治理

2.1 强化医院信息化网络安全不同等级差异化要求

医院测评方案将医院互联互通测评的应用效果评价分为7个等级，由低到高依次为一级、二级、三级、四级乙等、四级甲等、五级乙等、五级甲级[5-6]。不同等级提出不同的网络安全要求，使得医院信息平台的网络安全建设有了明确的指导性，有助于各级医疗卫生机构根据自身医院规模、等级、资金等各方面情况，选择适合的互联互通测评等级，对标开展网络安全建设。

2.2 规范医院信息化网络安全的治理要求

当医院在开展以电子病历和医院信息平台为核心的信息化项目建设时，在网络安全规划设计、建设、治理的过程中，可参照医院测评方案中网络安全方面相关指标。医院测评方案提出了网络安全治理的可操作的实施路径，从硬件基础设施建设、网络及网络安全、环境安全、应用安全、数据安全、隐私保护、管理安全等方面测评指标，细化了网络安全整体要求和目标，有效引导和规范医疗机构在网络安全方面的建设和治理。医院互联互通测评网络安全相关评价内容见图1所示：

图1 医院互联互通测评网络安全评价内容

3 医院网络安全治理实施路径

《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》(等保2.0)从安全物理环境、安全网络通信、安全区域边界、安全计算环境、安全管理中心等方面提出具体的防护要求[7-9]。医院互联互通测评分为标准符合性测试和应用效果评价两个部分，应用效果评价的评价内容包含了硬件基础设施情况、网络及网络安全情况、信息安全情况等。本文基于当前医院申请最多的互联互通测评四级甲等及以上等级对应的网络安全相关指标，结合等保2.0相关要求，形成一种有效的医院网络安全治理实施路径。

3.1 硬件基础设施建设

加强服务器、存储设备、网络设备等硬件基础设施建设是做好网络安全防护工作的基础。关键硬件基础设施是否安全、稳定、可靠是医院网络安全治理成功的前提。针对医院信息平台的硬件基础设施建设，医院测评方案明确以下网络安全要求

3.1.1 服务器设备 医院测评方案将服务器设备划分为集成服务器、应用服务器和数据库服务器，要求这三类服务器均应采用专用的服务器或独立的服务器，排除无关人员、无关信息造成的网络安全风险；实现高可用部署，保证业务连续性；采用虚拟化、云计算技术，实现计算资源统一管理、弹性调配，提高资源使用效率；五乙以上等级还要求集成服务器、应用服务器、数据库服务器具备标准化的接口，支持服务器资源、运行状态、部署信息等进行统一管理及监控。

3.1.2 存储设备 存储设备应具备有效的冗余机制，设置合理的RAID级别；在存储架构方面，应采用云端存储网络架构、分布式存储或多台存储同步写入架构中的一种，实现数据在多个存储节点保存；应具备良好的灾备能力，可选择本地备份、异地备份、数据快照、云端备份等方式；应具有可靠的离线存储能力，要严格落实离线备份机制，不能过于依靠线上存储。医院测评方案针对不同的测评等级对灾备恢复时间提出不同的要求,四级甲等要求RTO(恢复时间目标)不得高于4小时，RPO(恢复点目标)不得高于6小时，且必须确保能够有效恢复。五乙以上等级还需将存储空间虚拟成资源池，使存储系统具备冗余或容灾能力；五甲要求平台存储具备连续数据保护(CDP)能力，实现过去任意时间点的数据恢复，即RTO和RPO均为0。

3.1.3 网络设备 数据中心的网络设备应种类多样，功能齐全，如三层交换机、二层交换机、VPN网关、路由器、防火墙、IDS/IPS等，并支持设备级和链路级的冗余机制，不因出现单点故障导致服务中断，保证服务稳定性和延续性，支持标准SNMP协议并可管理。五乙以上等级还在网络设备安全性、数据流量和性能等方面的监控告警控制、远程管理及故障诊断能力，无线网络的物联网与5G部署接入能力等方面提出了具体要求。

3.2 网络及网络安全

随着信息化建设不断推进，医疗机构与医保部门、商业保险、卫生行政部门、公共卫生防疫部门、医联体等外部之间的数据共享和交换越来越频繁，导致网络安全边界不断扩大，网络安全风险不断增加。医院测评方案明确医院网络带宽要保证接入网络和核心网络满足业务高峰期需要，要满足大容量医学影像数据的传输，最低要求是千兆以上。无线网络应单独组网，并通过边界防护设备接入到内部有线局域网络，至少应实现门急诊、住院等核心临床医疗业务环境的全覆盖，有条件的要实现医技、行政管理区域乃至运营管理、后勤保障、教学科研等区域在内的全院区无线覆盖。终端和服务器之间应处于不同的广播域，不同网络、网段之间应根据业务实行分区隔离措施；网络设备应具备自身防护措施，针对不同权限用户进行身份鉴别和权限控制。整个网络应设置安全管理中心，同时兼具可信验证能力、网络流量恶意代码防范措施及新型和未知威胁发现能力、集中安全审计和管理能力以及设备运行状态监测能力等。

3.3 环境安全

医院测评方案对机房环境安全也提出了具体要求，数据中心机房要按照《GB50174-2017数据中心设计规范》[10]《GB/T 2887-2011计算机场地通用规范》[11]要求，做好机房的防磁、防尘、防水、防火、防雷、防静电、温湿度控制、电源接地等措施，应通过第三方专业的机房检测并出具检测报告。医院应保持干净整洁，电源和网络布线规范整齐、强弱分离、标识清晰，减少其他外部因素带来的安全风险。

3.4 应用安全

医院业务数字化应用场景越来越普遍，基本上涵盖了医院业务的方方面面，应用系统数达到几十个甚至上百个，各个应用系统通过医院信息平台进行业务交互和数据共享。医院测评方案对应用系统软件的用户授权和审计、应用系统备份、软件容错、数据痕迹修改和访问控制、CA或第三方认证、等级保护定级备案和测评、安全检查、应急演练等方面提出相应规范和要求。在用户授权控制方面，应对系统软件和应用软件的访问和使用有精细的授权粒度；在应用系统备份方面，需要定期进行完全备份并留存备份记录文档；在软件容错方面，需要保障当平台及核心业务在部分节点发生软硬件故障后，其余节点和功能都能够正常运行；在数据痕迹修改和访问控制方面，需要严格控制数据修改功能的权限，并记录数据修改人、修改时间、修改内容等关键信息，未经授权的人不得对数据进行修改；在安全检查方面，每年不少于一次对医院信息平台和核心业务系统开展渗透测试、漏洞扫描和安全检查，并按要求完成整改，做好整改记录，形成整改报告；在应急演练方面，应定期在全院范围内开展安全应急演练，且每年不少于1次；尤其值得注意的是，相对于2017年版的医院测评方案，2020年最新版测评方案明确提出了四级乙等及以上的核心业务系统(含平台)应完成网络安全等级保护三级定级备案并通过测评，要求提供备案证明及本年度或上一年度相关系统的安全测评报告。五级甲等还要求医院信息平台支持CA认证或其他第三方认证，并应用于门诊、急诊、病房、检查检验等关键场景。

3.5 数据安全

医院信息化包括医疗业务及管理业务的全流程路径，数据安全是医院的生命线。①做好数据存储、备份和恢复，制定完善的数据备份和恢复的机制；②做好数据防丢失、防泄露、防篡改、可追溯等。当数据需要开放共享或提供第三方使用时，还应实现数据脱敏，去除数据中的敏感信息。医院测评方案在这几方面均做出了规范，提出了具体要求和标准。

3.6 隐私保护

《GB/T 35273-2020信息安全技术个人信息化安全规范》规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求，同时也定义了个人信息和个人敏感信息的判定路径[12]。结合上述标准，除了满足传统的数据完整性和数据保密性要求，医院测评方案还要求对涉及个人隐私的数据，医院信息平台应具备数据访问警示、匿名化处理等功能和技术手段，并具有对个人隐私数据的识别能力、风险判别能力和自动提醒功能。五级乙等以上还要求具备数据访问许可、数据分级分类保护、加密存储等功能。

3.7 管理安全

网络安全“三分靠技术，七分靠管理”[13]，做好安全管理是开展网络安全建设的有力保障。医院测评方案要求做好机房管理，通过机房进出控制和监控系统，对非授权人员进出机房进行严格控制，并做好监控记录。要求医院建立健全安全管理制度体系，明确网络安全职责，设立网络安全领导小组和网络安全主管部门，设立系统管理员、审计管理员和安全管理员，保障关键岗位专员负责；签订保密协议和岗位责任协议，做好安全培训；加强系统安全建设和安全运维，制定安全应急保障方案等[14]。原则上，网络安全管理制度应以文件形式正式印发执行，重要制度应挂墙展示。

4 医院网络安全治理实施效果分析

通过网上问卷方式，对广东省参加2019年度、2020年度医院互联互通测评的36家医院开展调查，针对各参评医院按照医院互联互通测评方案开展网络安全治理的实施效果进行分析。调查结果显示如下：

4.1 医院互联互通测评关于网络安全的要求不低于网络安全三级等保的要求

全部医院都认为医院互联互通测评指标体系中关于网络安全方面的要求不低于网络安全三级等保的要求，其中11家医院(占比30.6%)认为医院互联互通测评在网络安全方面较网络安全三级等保提出更高的要求；25家医院(占比69.4%)认为医院互联互通测评在网络安全方面的要求与网络安全三级等保的要求基本持平。具体见表1。

表1 医院互联互通测评网络安全要求与网络安全三级等保要求对比情况

4.2 医院互联互通测评对医院网络安全治理有较大促进作用

全部医院都认为开展互联互通测评对加强网络安全等级保护，开展网络安全治理有较大促进作用。在开展互联互通测评前，36家医院共有三级等保系统111个，二级等保系统78个，仅有20家医院的核心业务系统(含平台)全部都通过三级等保测评；在开展互联互通测评后，36家医院共有三级等保系统159个(增加48个)，二级等保系统110个(增加32个)，有35家医院(增加15家)的核心业务系统(含平台)全部都通过三级等保测评。在开展互联互通测评前后,36家医院信息系统(平台)网络安全等级保护对比情况具体见图2。

图2 36家医院开展互联互通测评前后等保对比情况

同时，在开展互联互通测评前后，36家医院中有24家医院的三级等保系统个数增加，没有任何一家医院的三级等保系统个数减少；有7家医院的二级等保系统个数增加，有3家医院因二级等保系统备案升级为三级等保系统导致二级等保系统个数减少；有24家医院的二级及以上级别等保系统(三级+二级)个数增加，没有任何一家医院的二级及以上级别等保系统个数减少。不同等保级别系统个数增减情况具体见表2。

表2 不同等保级别系统个数增减情况

根据2021年国家卫生健康委统计信息中心组织的全国医疗健康信息互联互通标准化成熟度自评估结果显示，广东省281家医院参与了互联互通自评估，其中自评估达到互联互通测评三级的医院有29家，四级乙等的医院有15家，四级甲等的医院有60家，五级乙等的医院有12家。自2017年起，我省各级各类医院开始参与互联互通测评，从2017年度全省仅8家医院通过测评，到2019年度全省有23家医院通过测评(2家医院从四级甲等升为五级乙等)，每年医院通过测评数量较上一年几乎成倍增加，目前广东省通过互联互通测评四级乙等以上的医院有40家，且正在参加2020年度互联互通测评的医院已超30余家。随着互联互通测评工作逐步推开，越来越多的医院参加互联互通测评，按照医院测评方案中申报四级乙等以上级别的医院的核心系统(含平台)必须通过网络安全三级等保测评的要求，可以预见的是，未来几年广东省医疗机构的网络安全防护水平必然会得到提升。

5 小结

医院测评方案给出医院网络安全治理的实施路径，通过对参加互联互通测评的医院开展问卷调查，充分表明开展互联互通测评对加强网络安全等级保护，开展网络安全治理具有一定的促进作用。开展医院互联互通测评工作有助于医院网络安全规范化建设，真正达到了“以评促建、以评促改、以评促用”的目标[15]。医院网络安全治理是一个长期工作，结合《中华人民共和国网络安全法》和《网络安全等级保护基本要求》等法律法规，要经常性开展网络安全评估[16]，优化网络安全治理方案，保障数据安全。