网络安全等级保护2.0时代医院管理的方法与对策

刘阳，俞准

1.中南大学湘雅医学院附属海口医院(海口市人民医院)信息管理处，海南 海口 570208；

2.海南省医学会办公室，海南 海口 570200

网络安全等级保护2.0是一系列与网络安全相关的法律和法规、标准和规范的泛称，包含定级、备案、建设、整改、测评、检查等过程，贯穿于信息系统的全生命周期的各个阶段，是当今全球各国应对网络安全和信息安全的通行做法。后疫情时代，医院信息安全事件层出不穷，并呈明显增加的趋势，这从一个侧面反映出医院信息安全管理存在的风险隐患，也暴露了处置能力薄弱等环节。本文是根据2017年6月1日颁布实施的中华人民共和国《网络安全法》[1]和2018年6月27日公布的《网络安全管理条例(征求意见稿)》[2](以下简称“条例”)，结合网络安全等级保护2.0 时代医院对于网络安全的需求，阐述了笔者对于如何做好医院网络安全管理的方法和对策，以求抛砖引玉，希望对医疗机构的网络安全管理者们能够有所帮助。

1 网络安全等级保护2.0时代的理解

网络安全等级保护制度是国家网络安全的基石[3]。网络安全等级保护2.0 时代，如图1 所示，网络安全等级保护控制措施包含技术、管理、服务3个方面，共10个具体类别的要求。网络安全等级保护2.0用“网络”的大概念涵盖了原有1.0 当中的网络和信息两个概念，管理策略提高为“明确等级、增强保护、常态监督”。“条例”与国家《网络安全法》保持一致，对于维护国家网络空间主权、安全和发展利益具有十分重要的意义[4]。《网络安全法》中包含了“条例”的相关标准要求，而条例是《网络安全法》中所提及的一项重要的制度规范，使得网络安全等级保护管理任务上升到法律高度[5]。具体实操工作须参照2019年12月1日实施的《信息安全技术网络安全等级保护基本要求》执行。

图1 网络安全等级保护2.0控制措施要求

2 医疗行业在目前的网络安全形势下面临的主要问题

2.1 新技术、新应用从管理上提出更多的安全挑战 随着新技术大量在医疗领域的应用和医疗数据的开放共享，推动健康大数据应用，带动了互联网医院、远程医疗、分级诊疗等创新医疗模式和各种互联网便民服务措施的应用，极大地方便了患者就医的全过程，有效地提高了社会效益和经济效益。但是与此同时，网络环境复杂多变，各类威胁和攻击事件不断发生，各种木马、病毒、黑客横行，对医疗机构的网络安全工作提出了更高的要求。在过去几年时间里，不法分子利用美国国家安全局(National Security Agency，NSA)泄露的危险系统漏洞，进行“永恒之蓝(Eternal Blue)”病毒的传播，造成的破坏和危害值得我们认真的反思和总结。

2.2 国家及医疗行业的合规性新要求需要医院安全管理同步跟进 随着医疗业务范围的不断扩大、业务需求的不断延展等特点(也是网络安全的难点所在)，为进一步提升网络安全等级保护的能力，国家卫健委在2018年4月18日发布的《全国医院信息化建设标准与规范(试行)》[6]，这个标准规范“针对现状，着眼未来”，覆盖二、三级医院信息化建设主要业务需求，包含业务应用(EMR、CIS 等)、信息平台、基础设施(中心机房、混合云数据中心[7]等)、安全防护、新兴技术(AI大数据等)共5 个章节、26 个类别、262 项具体内容，全面细化了医疗行业的信息化建设内容和要求。

3 医疗行业网络的安全防护和管理

根据国家《网络安全法》[1]、《全国医院信息化建设标准与规范(试行)》[6]的规定，医院作为自有业务网络系统的运营者，必须按照医院信息系统定级备案的等级落实网络安全等级保护制度的相关要求，履行安全保护义务。在这样的前提下，无论从技术体系，还是管理体系来看，医院都必须做好以下安全管理措施：

首先，做好安全运维管理[8]。国家《网络安全法》[1]第三章第一节在网络安全等级保护制度、网络产品和服务、关键网络安全设备产品和网络运营服务等方面作出了明确要求，对网络安全运维管理提出了更高的要求。

其次，完善基础设施管理。国家《网络安全法》[1]第三章第二节明确指出医疗等行业关键信息基础设施应实行重点保护，对关键信息基础设施系统应实现专门管理、专职管理。

其三，规范安全监测与应急处置。国家《网络安全法》[1]第五章明确规定了必须履行网络安全监测预警和信息通报制度，并对出现的安全事件和事故加强应急处置。

4 医院网络安全管理的方法和对策

保护网络安全运行是医疗行业在国家《网络安全法》[1]指导下的核心工作职责，针对医疗行业的现状，需要依照《全国医院信息化建设标准与规范(试行)》[6]进行建设。

4.1 网络架构规范化设计 网络安全等级保护2.0与1.0的相比较，主要是增加了通信传输安全、集中管控及个人信息保护方面内容，基于这样的变化，我们构想出符合网络安全等级保护2.0 要求的医院网络安全体系架构[9]，详见图2 医院网络安全架构图：该图主要说明了网络安全分区分域管理的理念以及各区域之间的边界安全防护要点。

图2 医院网络安全架构图

4.2 提高网络安全的综合防护能力 近年来，由于大量新型科技医疗设备的应用，需加强对工控协议的威胁分析和安全防护，建设基于大数据的具有威胁感知和预警能力的安全防护平台，实现以“安全监测、安全管理，安全防护，可视一体化”的安全防护能力，形成“事前能预警、事中能防护、事后能审计”的全流程防御体系[10]。重点落实通用的边界安全防护措施，应用防护需要增强对WEB和数据库的安全保护能力，强化医院内外网之间数据交互的安全措施，加强密码认证识别如生物特征(人脸、指纹、虹膜)技术的应用。

4.3 加大数据安全的防护力度是落实医疗行业落实网络安全等级保护2.0要求的关键要素 首先，医疗机构应建立一体化的集中平台与服务机制。①各类数据资源集中管理，避免数据分散流失；②统筹安全防护能力，降低数据安全风险；③处理能力统一提供，减少数据脱机下载；④合规有序开展数据服务，规范数据的合理和科学利用。采用去隐私技术，降低数据敏感度，对于文本数据，如：可将姓名、居住地等敏感信息进行隐藏，通过采用自然语言处理技术进行识别与替换。对于医学影像数据，DICOM影像中进行读取数据文件进行结构化替换，将模拟影像使用模版进行遮蔽。按照独立的数据资源进行授权，按资源需求授权分解安全风险，将数据资源“化整为零”，要为不同的专科、病种建立数据资源库；为每个临时研究抽取、建立数据资源库。此外，还需要进行有效的数据库审计，重点追踪异常使用行为，数据利用“监”重于“控”，建设“前置规定+事后审计”的监管机制，建立审计日志的安全分析成为关键；应用运维审计技术，实现对运维过程的记录与回放，并对运维权限进行统一管理。

4.4 加强网络安全服务管理能力 首先，应定期(至少每年一次)的安全风险评估，并进行有效整改。全面(从核心到边界，再到终端)检查现有网络：①安全保护技术措施有效性、合理性；②安全配置与策略的一致性；③安全管理制度的执行情况。其次，应定期开展安全测试，采取必要的措施识别安全漏洞和安全隐患，采取加固措施应对发现的安全问题。其三，应制定符合医院业务需求的可以落实的网络安全应急预案，并每年演练一次，加强应对突发事件的应急管理处置能力，并定期对原有的应急预案进行重新评估、优化，修订完善。

4.5 在国家《网络安全法》[1]指导下落实管理制度 完整的制度才能让安全建设具有权威性。成立医院网络安全委员会，由院领导和相关管理部门组成，作为医院网络安全的最高决策组织，网络安全委员会代表医院发布网络安全管理制度，制订安全管理措施，由信息管理部门作为网络安全管理执行部门负责日常网络安全管理，进而规范工作流程、落实管理制度、控制质量需求。对医院职工进行全员网路安全意识教育和计算机岗位技能培训，组织学习并使其了解相关的网络安全责任和惩戒措施，才能确保网络安全保护措施有效执行。

5 总结

网络安全等级保护2.0 时代，随着IT 技术的不断进步，医疗行业信息化建设不断深入，网络安全的形势将会更加严峻，只有做到“网络安全三同步”：同步规划、同步建设、同步运行，让网络安全和信息化并行，才能避免“事后补救”，实现“事前防控”。与此同时，网络安全建设是一个动态、主动、持续的过程，要从“安全管理体系”、“安全技术体系”两个维度来合理规划、适度建设、有效实施，才能做好网络安全等级保护工作，构建一个更加安全的安全保障体系。