智慧医院建设背景下的信息安全问题与对策

孔 琳

（天津市南开医院，天津 300100）

0 引言

“互联网+”作为一种革命性方式，正在冲击着现有传统医疗建设模式，传统医疗建设模式效率低、体验差等问题与实现医疗信息外向扩展和内在联通要求相差较大，消除医院内的“信息孤岛”，必须提升信息化建设底层改造，实现诊疗信息内外联通、数据交互已成为后续医疗信息化改造的重要环节。在确保医院信息化建设互通的同时，必将会带来诸多信息安全方面的问题和挑战。本文通过介绍智慧医院建设基本要求，分析医院现存的主要问题，给出针对性的建议，对实现医院应用系统和数据等的高效、安全管理具有重要意义。

1 智慧医院建设的基本要求

国家卫生健康委员会明确指出智慧医院是借助于物联网、互联网等技术提升医疗服务智慧化、患者就医便利化和医院管理精细化的一种创新性医院，主要包括智慧医疗、智慧服务、智慧管理三大方面[1]。

智慧医院建设已经成为当下医疗领域标准化医院建设的基本要求，主要以互联网等为基本载体，借助先进的移动科技、大数据分析、云计算及物联网等，最终实现医疗数据信息的共享调阅、居民信息存档、预测病种等多种现代化医疗业务支撑。通常情况下，以医院的内部网络为基础，实现信息和数据的互联互通，可以提升医院的管理水平，优化医疗服务流程。这需要医院各类数据和信息服务由封闭转为开放式，确保数据传输过程中安全信息的加密防泄漏，打破封闭模式，在确保医疗业务安全传输的前提下，最大限度为患者带来移动便携的就医服务。智慧医院的建设需要医院从现有信息数据底层开始，依照建设标准梳理系统数据架构，多维度多层次地使系统功能和院内网络系统进行信息融合。

2 信息安全面临的问题分析

近5 a来，随着国家对智慧医疗和智慧服务有了更明确的指标要求，三甲医院对信息和数据安全技术的应用日益看重，务实性也随之增加，陆续开展了许多基于微信、网站、微信公众号程序、医疗使用软件等多种类型的服务，实现了多个自助机和手机线上App类预约便民式挂号缴费、线下实体自助打印各类检查检验报告、患者信息推送服务、在线沟通、医患互评等功能，为患者提供了更优质的服务和便利的流程，更重要的是大大缩减了医疗方面人力和各项成本的支出损耗。

新技术和功能的上线也更加促进了医院内网信息系统和互联网、卫生银行类服务专网等平台的融合，应用内外网交互功能的同时随之带来的是网络的高度依赖性，一旦出现网络链接故障，会给医院和患者造成巨大损失。从目前我国大多数医院信息系统运行情况可以看出，尽管各医院强化了安全监管制度，部署了许多重要安全设备，但仍不能完全满足新的管理需求，且存在安全方面的隐患，医院信息系统瘫痪影响正常医疗和管理工作的案例屡见不鲜，因此加强医院信息系统安全建设工作已刻不容缓。

2.1 网络硬件安全保障方面

医院内各种硬件设备极易因水火等事故而损坏。此外，网络环境的设置，如核心机房内弱电线路混乱、重要服务器存储设备缺失本地和异地备份或数据还原机制差、无防火防雷设备、UPS设备超载或不足等均会导致硬件安全隐患。因此对于新建、改建、扩建的信息系统，应严格按照等级保护的管理规范和技术标准进行信息系统的规划设计、建设施工[2]。

2.2 安全管理措施方面

医疗机构安全管理水平还停留在保障系统正常运行阶段，未能全面规划安全运维管理流程，没有实现对安全防范的全生命周期闭环管理[3]。在医院实际使用中，防止病毒和非法入侵、确保内网安全、增强人为因素监管仍是影响信息安全的重要因素。如医院信息系统入口简单，私密保护差，个别医院仍存在硬盘共享等渠道，USB接口未封锁使得可以随意接入移动硬盘等外部设备，极易导致病毒侵入院内网络。近2 a，也出现过大型三甲医院因中勒索病毒造成全院网络瘫痪从而导致业务停止的案例，大多是由于移动存储类介质随意插入导致内网病毒传播。另外，服务器终端的远程高危端口开放也会使病毒侵入内部网络，再加之管理人员监测不能做到实时管控，极易出现风险问题。此外，人为因素方面，随着系统使用和维护人员范围的扩大，第三方厂商人员远程直接访问的运维方式也需要引起关注，如果内部人员涉及违规操作病毒代入以及恶意的破坏侵入，在安全监管机制不牢固的前提下，会引起关键信息数据被破坏和盗取，严重影响医疗运行中各个系统数据的完整性和保密性。

2.3 软件系统监管方面

大多数医院在使用内网软件系统时，维护人员和使用人员大都缺乏有效的安全认证手段，表现为以下几个方面：

（1）权限分配方面：医院信息系统目前依然采用个人账号和密码登录，缺少电子认证，一旦使用弱口令密码、密码重用或者因维护人员权限把关不严格等，外网侵入者或黑客等都会轻松地攻击内网系统；维护人员如随意篡改、调高人员权限，因监管不到位也极易在出现问题时无从溯源。

（2）网络管理方面：由于系统信息的流通和共享性要求，大多数医院均已达到网络互访模式，更多的管理维护人员都可以通过管理软件快速访问医院内任意节点的全部数据资源，获取数据途径简单，也使数据的隐秘盗取更加方便。

（3）数据库管理方面：在医院核心系统数据库的管理方面，安全管理人员对访问用户和管理用户的建立注册大多缺失规范化管理，对于重要系统应用和日志也缺失行为溯源的规范要求。一旦数据库中关键核心数据被破坏和盗取，便缺少数据补充和溯源。对于医院已上线的核心系统，在初始搭建和后期运维中，大都没有对普通软件运维厂商和医院信息科的管理权限进行严格的区分，一般设定1～2个超级用户管理账号，就可以访问整个数据库所有表单架构，如人员变动或管理不当，对医院底层数据安全危害巨大。

2.4 医院安全保障资金方面

通过调查30家我市大型三甲医院信息安全现况，60%的医院有明确的安全保障投入年预算，40%的医院尚未列入每年固定支出保障。在医院新建、改建、扩建信息系统时，同步信息安全措施和防护的医院仅有10%，且三甲医院大多不能满足信息化投入5‰的医院年收入支出，而用于安全防护设备等每年投入的支出更是少之又少。

3 信息安全建设的对策与思考

3.1 提升网络设备安全保障对策

3.1.1 服务器和网络设备方面

首先，结合三级医院等保测评和数据中心标准要求，硬件机房的基础环境需逐条对照国标要求，严格控制温湿度标准、做好基础防雷等；对于老旧机房的未达标项目应进行有条件性地分批次改造实施。

其次，为了确保各设备24 h不间断运行，除了配置双路市电外还需要UPS电源双备份，并增加智能化管理方式，在医院出现电路切换调整，或出现不可控外力导致电力中断时，另一组电源可以持续承载。

另外，机房管理设立专职人员进行重点管理，所有网络和安全类设备等均需从设备硬件参数的安全性、稳定性和功能性不同维度进行指标性分析，比如巡检时可通过态势感知类设备对重要指标进行重点关注，稳定性方面需关注CPU、内存、硬盘、网口、日志、版本等指标记录巡检，安全性方面需关注管理员弱密码、关键补丁修复等检测项巡检，功能性方面需关注策略配置合理性、合规性和设备性能，应分别根据巡检指标逐一分析重要设备每天的运行情况。在设备安全管理方面需加强：（1）部署全流量监测设备，及时发现恶意网络流量，加强追踪溯源能力并以此作为依据。人为监管的同时，增加对核心设备和网络的运维辅助监测，做好全流程闭环管理。（2）对于内网和内外网隔离区（demilitarized zone，DMZ）的防火墙设备有效加强控制策略，细化防御策略粒度，按区域和业务严格限制各个网络区域以及服务器之间的访问。（3）建立白、黑名单机制，白名单只允许开放必要、特定业务端口，135、139、445等高危端口一律关闭并禁止，并授权为仅管理员IP对管理端口唯一访问。（4）保障硬件高效稳定的同时，必须以双机热备和容错为基础，增加异地备份应急解决方案，对于院内重要备份系统须进行分系统、分情况的日备份和实时备份等，备份后的数据完整性和业务还原性验证需要演练和有预案，这也是病毒攻击后确保数据完整安全的最有效方法。

3.1.2 网络安全对策

网络安全管理重点是优化防火墙的配置和合理设定准入规则，首先，需不断调整、升级拦截通信规则，对于可疑高风险需及时进行阻隔，此外利用上网行为等管理软件对外网使用权限进行审核把关，确保医院内外网独立运行且业务协同[4]；其次，在内网终端计算机和医疗设备上安装内网准入软件，与桌面管理软件、杀毒软件等配合进行强制的准入提示限制，非管理人员授权不能私自接入，同时配置开启关键系统、应用和系统日志的归档备份，避免在出现攻击时对攻击途径、行为溯源不清；最后，定期升级院内所有终端和服务器病毒库，对于病毒库的更新版本和实效性应重点关注，定期进行全面扫描，加强终端尤其是服务器上的病毒消除能力。在安全改造实施中，我院分区域、分功能建立了终端机和自助机的准入控制机制，基本实现了全院内网接入的防病毒和防私自接入的目的。另外，当前最应关注的是院内老旧医疗设备的网络安全问题，由于设备的识别、清点、统一管理分属于信息科和设备科，信息科与设备科应加强联动管理，对设备厂商的远程权限控制和操作进行严格审核把关和随时监测，及时督促设备厂商进行系统的漏洞修复工作，这应该也是后期需要持续加强的环节。为了满足医院互通性，在已有管理环节中还要持续建立跨部门、跨职能的医疗设备管理流程，在准入、使用、运维、监控等阶段进行全方位管理，确保无死角、无缺位。

3.2 完善安全管理措施

3.2.1 规范制度建设和管理

信息安全建设须坚持“技术与管理并重，3分技术+7分管理”的原则[5]。严格按照等保2.0版本要求，制订院内明确的安全策略、管理制度和工作流程。结合医院实际情况，制订相应信息安全管理总体策略方案，切实提高自身信息安全防护水平，做到主动防御，降低内部不合规操作带来的危害，从而实现“以此为据，有章可依”。

3.2.2 搭建完善系统内信息风险评估体系

风险评估体系是衡量医疗安全的依据，在信息安全中同样适用。通过系统数据对潜在风险因素进行预测评价，也是事前评估风险隐患的根本环节[6]。现阶段，医院出现的信息安全风险主要来源于人为和技术因素。因此，医院可以通过制度和技术完善补充：一是建立专业专职的信息技术管理团队，明确人员职责分工；二是制订一套覆盖全面的信息安全检查方案；三是强化重点核心岗位人员安全意识；四是提高精细化管理水平并持续性改进；五是对院内软硬件系统、机房和数据安全管理等要有明确的系统恢复时间、级别界定和应急预案举措要求，必须在院内形成联动机制，分工协作且可操作性强，加强真实环境下的应急演练，使每个院内科室和使用人员了解流程、熟悉操作，形成体系性闭环管理；六是对医院所有使用系统的第三方厂商涉及的数据安全加强重点监管，严格使用私人软件进行远程访问和控制，建立相应安全的运维人员区域，通过堡垒机对需远程运维的人员根据角色进行分类和操作授权审计，这样操作过程和故障可进行后台追溯跟踪，人防技防同步落实。

3.2.3 落实信息安全数据的保障举措

信息数据是医院重要的核心内容，必须做到真实有效且隐私性强。随着患者保护意识增强，科研数据分析挖掘要求不断提高，已成为医学研究重要的分析基础。疫情期间患者个人敏感信息，包括姓名、身份证等信息，在进行数据上报及处理时必须严格进行脱敏和加密。此外，要防止医院数据的丢失，在保障业务系统正常运行的同时，管理人员除了做好常规数据的备份外，还要定期对数据库进行优化校验和恢复性验证，在数据丢失的情况下能将备份数据迅速还原使用。另外检查测试备份数据的完整性、快速性也是后续提升的关键点。最后，加强对使用维护信息系统人员的保密性教育、安全技能教育，加强安全服务三方团队安全管理能力，审查运维人员背景，签订保密协议书，增加审查授权，定期监管网络及数据安全，确保三方支持单位的安全可靠[7]。

3.2.4 明确划分安全区域和管理

随着医院网络服务区域的增加，每个区域功能定位都要具体明确并分区域重点管理。尤其对于内网核心交换区域，安全防护策略最为关键，通过探针部署流量监测，管理员可直观了解当前网络风险态势；部署入侵检测和防御系统，加强对流经的每个数据进行深度检测，实现事前的危险分析和阻断；部署网络审计设备，对用户操作行为进行记录和跟踪审计，形成事后追踪模式。信息科内外网办公区域也是安全管理的重要一环，应在办公区域做好终端设备防护和安全策略设置，保证办公区域环境安全。图1为分区域后的医院网络拓扑图，按业务环境、管理需求、安全要求重新划分为业务内网区（核心业务区和非核心业务区）、内外网DMZ区、内网核心交换区、内网楼层接入区、互联网接入区、专线外联区、运维管理区等。

图1 分区域后的医院网络拓扑图

3.3 制订完整的软件系统监管方案

3.3.1 数据库管理安全解决方案

医院信息系统管理用户要重新梳理所有用户分类，取消单一权限用户数据库直接访问模式，细化责权重新划分，分别分配超级管理员、管理部门单项授权管理、系统三方人员维护用户和信息科普通管理用户。

对于超级管理用户，因数据库使用内容和范围广，医院必须严格规范管理，由医院信息科主管和保密安全员授权分发。管理部门单项授权要根据科室职责控制修改访问权限，做好数据库表权限的精细设置，使用用户和密码匹配的连接但需要增加二进制级别加密管理，用户保密级别同超级管理人[8]。对于内网系统维护三方人员用户，如实验室信息系统（laboratory information system，LIS）、影像归档和通信系统（picture archiving and communication systems，PACS）等，则只能访问自有库中的管理表和关联的接口表。信息科普通管理用户则需要根据管理范围属性设定一些匹配的权限，比如备份数据库、锁表管理、访问部分可见后台表单。权限分配的工作至关重要，前期数据库人员分类和细化功能对于后期数据库维护、分权限用户管理事半功倍。除了建立人员实名分配，还需要借助技术手段做好每个用户操作的溯源跟踪和原始日志记录，配备数据库和日志审计软件支撑以及建立严格的审核制度，这样才能起到重要支撑作用。

3.3.2 应用端安全对策

目前医院使用的核心系统软件以客户端/服务器（Client/Server，C/S）架构为主要连接方式，系统中原始基本信息一般只做了简易的字符加密，极易被非法用户截取，因此要调整、改造用户连接方式，增加加密的二进制算法方式，如需调整，必须经医院信息主管人员授权才可以把加密后的连接文件更新至本地使用端。

众所周知，信息数据的联通与安全防护是冲突矛盾的，采用多层次复杂性高的安全防护手段，结合管理方面的约束，才能确保医院信息系统（hospital information system，HIS）、电子病历系统（electronic medical record system，EMRS）等核心业务的稳定和安全防护，形成一个真正集监管防护于一体，持续优化改进的良性循环。

3.4 加大信息安全建设投入

智慧医院信息化建设需要大量资金来进行安全管理软硬件的运作与升级，还需要引进专业的信息安全管理人员和服务厂商[9]，在事前安全管理方面才可以做到事前把关监测、事中及时解决，建立防护屏障。

4 结语

在智慧医院建设的大背景下，医院信息安全建设要切合自身条件特点，分批分期循序建设，保证医院各系统长期、稳定、安全运行，以适应医院不断扩展的业务和管理需求[10]，建立一套适合自身发展、全面稳定的信息数据安全管理模式。