浅谈医院信息系统网络安全等级保护三级建设与实践

施 亮

（甘肃省中医院，甘肃 兰州 730050）

随着国家对公立医院改革的不断深入，医院信息系统已由原来封闭、隔离的网络环境向开放的互联网体系融合。因此，信息和网络技术在带来业务便利性的同时，也带来前所未有的网络安全风险与挑战[1],各大医院信息化系统建设稳步推进，分阶段实施，陆续建成互联网医院、智慧医院等应用，信息安全成为了信息化建设的重中之重。

1 医院信息系统网络安全等级保护建设的背景

医院信息化正在经历日新月异的发展，医疗行业信息系统的稳定性、安全性和可靠性显得更加突出，由卫生部下发的《卫生行业信息安全等级保护工作的指导意见》，明确要求三甲医院的核心业务系统应按照信息安全等级保护第三级进行建设和测评。伴随互联网医院出现，网上问诊需求增多，针对互联网医院的相关网络安全等级保护要求也陆续出台。

2019年5月，《信息安全技术网络安全等级保护基本要求》（GB/T22239—2019）由国家标准化管理委员会正式发布，标志着网络安全等级保护已进入2.0时代[2]，规定承载医疗大数据的平台必须落实等级保护制度，医疗健康数据中心及关联的重要业务系统要开展定级、备案、测评等工作。医院信息安全建设进入了一个全新的阶段。

2 信息系统安全等级保护体系架构

医院医疗业务信息系统按照网络安全等级保护2.0标准的相关要求，建立以“安全管理平台”为中心，以“安全网络通信、安全区域边界、安全计算环境”为防护体系的，满足内网、外网数据安全、可信交互的互联模型[3]，如图1所示。

图1 信息系统安全等级保护体系框架

3 网络安全等级保护建设流程

医院网络安全等级保护测评主要有5个流程：定级、备案、建设整改、测评、监督与运维[4]。定级、备案、建设整改阶段一般由医院主导。在定级阶段根据相关法规确定待备案系统的等级，按照要求完成定级报告，并向属地公安机关提交备案表和定级报告，公安机关对材料进行审核，符合要求后会颁发备案证明。整改阶段，医院依据管理规范和技术标准，补充、完善信息安全产品，建立符合等级要求的信息安全设施，成立安全组织，制定并实施相关安全制度。测评阶段，医院择优选择有测评资质的测评机构，对信息系统安全级别进行评估，对发现的问题和风险及时整改，并对最终的结果出具测评报告。监督与运维阶段，公安机关根据信息安全等级保护管理规范及网络安全法相关条款，对医院的测评系统进行监督，定期对信息系统进行安全检查。

4 网络安全等级保护体系规划

网络安全等级保护2.0相比较网络安全等级保护1.0有所不同。首先，涵盖的范围不同，网络安全等级保护2.0增加了大数据、物联网等新兴事物主体。其次，网络安全等级保护的分类结构发生变化，网络安全等级保护2.0明确定义了两部分内容：管理部分和技术部分。管理部分包括管理机构、管理人员、运维等，技术部分则包含物理环境、网络边界、计算环境、终端安全等。

4.1 管理体系

安全管理是必不可少的手段，所谓“三分技术，七分管理”更加凸显了安全管理的重要性，健全、合理的安全管理体系是安全技术得以实施的重要保证，安全管理措施和安全技术手段相得益彰，共同构建合理、完善、可靠的网络安全保障体系。

（1）网络安全管理委员会。医院成立网络安全管理委员会，下设网络安全办公室、信息安全小组和各科室网络安全员。网络安全管理委员会由主管信息化的院长、信息科主任、各临床和医技科室主任组成，负责医院整体网络安全工作，重大信息系统的建设与改造、信息制度的审批、授权以及信息相关岗位的任职与罢免。网络安全办公室由信息科构成，负责安全制度的起草，人员的安全管理、安全考核、对外工作、系统的具体实施、组织安全相关会议等。信息安全小组由网络管理员、系统管理员、安全管理员等成员组成，负责机房、服务器、网络设备、安全设备、存储等安全，定期对科室人员进行安全培训和检查，提高全院人员的安全意识。科室网络安全员由各科室熟悉计算机硬件和网络基本常识的医生或护士组成，主要职责包括指导科室人员学习安全制度、负责网络安全的日常检查、反馈与总结。

（2）安全管理制度。医院网络安全管理委员会结合年度计划和长远规划对当前的安全管理体系下的安全管理制度进行合理性评估和审阅。依据医院业务管理的实际情况和具体要求对管理制度进行修改和完善，确保资产登记、资产调整、网络准入审核、角色调整、权限分配、数据统计等网络安全等级保护要求落到实处，做到有据可查。

（3）安全管理运维。依据相关规定和制度对机房内的精密空调、供电、安全设备、存储设备、网络设备、服务器等进行巡检，发现潜在风险和异常及时上报并立即处理。数据库管理员定期执行数据的本地和异地备份，并定期进行恢复验证。机房运维服务商和安全服务提供商定期对设备进行巡检，出具巡检报告。加强重要节点巡视工作，确保医院业务的可靠性和稳定性。

4.2 技术体系

在建立配套的安全管理平台的基础上，针对安全现状和目标提出技术层面的控制要求，通过具体的措施实现安全的集中化监控、管理和优化，构建安全技术体系。安全管理平台包括传统的信息机房和网络设备以外，还囊括了虚拟化设备、安全设备及日常运维、监控的一体化。

（1）安全通信网络。安全通信网络是安全计算环境之间进行数据传输、业务可靠运行及实施安全策略的重要保障，更是实现医院数据内部交互、对外交流的重要通道。加强网络层面的安全防护，通过技术、制度和人员的有机结合构建对网络通信安全的管理。尤其是对互联网医院、网上预约等对公网提供服务的业务采取防火墙、入侵检测系统等安全防护。做好互联网出入口的线路冗余备份，最好选择不同网络服务提供商的网络链路，在极端情况下实现运营商链路的自由切换，确保与互联网相关业务不受中断和影响。

（2）安全区域边界。医院网络包括内网、外网、监控网络、物联网等多个网络，各网络之间应采取物理隔离。公网接口处应部署防火墙、网闸、入侵检测等安全设备，满足安全区域边界对安全计算环境及安全通信网络的安全需求。区域边界安全防护是实现各安全域边界隔离和计算环境之间安全保障的重要手段，是实现纵深防御的重要防护措施。通过访问控制、边界防护、恶意代码防范、可信验证、入侵防范、安全审计，实现保护对象的区域边界安全。

（3）安全计算环境。安全计算环境是对系统的存储、处理、计算环境及实施安全策略的软硬件的安全，包括各类计算服务资源、存储资源、操作系统层面的安全。作为信息存储、传输、应用处理的计算服务资源，其自身安全性涉及到承载业务的各个方面，任何一个节点安全隐患都有可能威胁到整个系统的安全。医院在信息系统改造之前几乎每个应用都独占一台服务器，硬件利用率不高、安全性差，并且存在单点故障，随着服务器数量增多，机柜网线变得凌乱不堪，给日常硬件运维带来不便，存在很大安全隐患。随着医院信息系统升级，服务器利用虚拟化技术，由多台物理机创建虚拟化资源池，按照服务对资源的需求不同做到存储资源、计算资源等按需分配，而且当物理机出现故障时虚拟机可以自动漂移，业务不会中断，这样不仅节约了资源，而且提高了系统的可靠性和可用性。

（4）安全物理环境。在网络安全等级保护2.0基本要求中将安全物理环境划分为技术要求的第一部分，是信息系统安全运行的基础和前提，是安全建设的重要组成部分，包括机房物理位置选择、电力供应、访问控制、防火、防盗、防破坏、防潮、防雷击、防静电、防水、电磁防护、温湿度控制等方面。信息中心机房严格按照B类机房建设标本进行设计和建造，满足网络安全等级保护2.0中关于安全物理环境的要求，上桥架走弱电、防静电地板下布设强电，机房采取了严格的访问控制，入口处配备电子门禁系统，整个机房安装监控，外来人员进入机房要通过严格的审批和登记，并在信息科人员的陪同下在机房活动。

（5）终端病毒防护。医院的区域边界、骨干网络及服务器是网络安全防护的重点，但终端安全容易被忽视，很可能造成安全的短板。依据权威机构调研大部分安全事件源于内网。近年勒索病毒暴发，造成许多医院业务中断、数据破坏，种种迹象表明内网安全形势严峻，不容忽视。这就需要增强终端杀毒能力，从源头上阻断业务系统遭受病毒的风险。在病毒防护方面，采用360企业版杀毒软件，定制需要的功能，实现全网终端的病毒查杀、攻击防御、漏洞修复、软件管理、行为管理、外设管理、流量管理、远程维护等。

5 网络安全等级保护建设效果

经过近四个月的时间，医院顺利完成网络安全等级保护建设工作。在这期间利用测评结果并参照标准不断整改，包括完善制度、优化管理、增加安全设备进行安全加固、调整和细化安全策略。通过网络安全等级保护建设有效增强了网络安全防护能力，显著提升了网络安全管理水平，降低了信息事故和隐患，保障了信息化的稳定发展。经过梳理，总结出以下6个方面成效。

（1）管理制度方面。建立安全管理制度体系，通过不断修订与医院信息系统发展相符合的、配套的管理制度，始终使制度建设与信息发展相互匹配。通过组织信息系统应急演练，从中发现问题、解决问题，进而补充、修改和完善医院信息系统应急预案，不断提升安全管理。

（2）基础网络方面。优化了医院网络三层架构，尤其是内、外网核心层交换机都采用双主备模式，在一定程度上提升了网络的稳定性、可靠性和可用性。在网络出口，采用电信和移动双链路，有效确保医院业务的正常开展。

（3）安全控制方面。内网和外网采用物理隔离，利用网闸实现物理隔离的网络之间的安全通信，通过日志审计系统对日志进行记录并保护。网闸是在电路上切断网络之间链路层连接的一种专用的硬件控制器，是实现内网和外网间进行适度的、安全的数据交换的网络安全设备。具体的硬件包括内部处理单元、外部处理单元、仲裁单元，当内网和外网之间没有数据交换时它们之间是完全断开的[5]。

（4）数据保护方面。对关键数据进行异地备份，并采取加密措施，提高数据的可靠性。容灾备份是保障信息系统安全的最后一道防线[6]。

（5）网络安全等级保护建设与运维方面。结合网络安全等级保护建设和测评的内容，在备案、定级、测评和整改方面严格按照网络安全等级保护相关的标准执行，加强医院信息系统整体安全水平和防护能力，明确系统维护建设方案，包括设备维护、网络维护、安全系统维护、应用系统维护的机制和方案，满足访问控制、恶意代码防护、区域边界、入侵检测、身份鉴别、入侵防护和安全审计的要求。

（6）安全运维管理方面。应用堡垒机防范来自内部和外部运维工程师的非法操作行为，通常采用身份鉴别、协议代理、单点登录、资源授权、操作审计等手段，对网络内部存储设备、服务器、安全设备、交换机等的运维操作和过程进行实时的、详细的记载与分析，是实现审计定责和集中管控的安全设备。从功能上讲，堡垒机囊括了账户管理、分权管理、系统运维及安全审计的功能。以体系化的思路进行整体考虑，建立完善、规范、可行的网络安全管理的流程和方案，提升安全运行维护的自动化、可控化程度，实现安全可视化、安全可管理、安全可处置、安全可量化。建立包括基础设施、安全设备、服务器、存储、安全、应用等各个层面的监控、检测、运维保障和应急响应的安全运维管理体系。

6 建设亮点

医院部署了态势感知系统，利用探针捕获网络的流量和关键安全设备的日志，通过综合分析得出当前网络的安全状况，为信息安全策略提供指导。该系统包括6大核心：数据采集中心，情报预警中心，态势感知中心、安全分析中心，风险管理中心，运维中心，实现医院海量日志管理、威胁分析、情报预警、脆弱性管理、风险管理等。通过整合各类风险数据，利用标准化的研判规则结合可视化技术呈现整体安全威胁态势情况。实现对医院内、外网的资产的梳理，监控资产变化，发现异常情况及时告警。结合漏洞发现、漏洞评估、漏洞处理和处理评价的不同业务需求，利用对漏洞全生命周期的处理过程进行记录，实现医院安全管理人员对运维过程进行记录审核，定义管理基线。

7 结语

医院信息化发展日新月异，尤其在智慧医疗背景下实施医院网络安全管理是非常必要的，重要信息系统与基础信息网络属于国家关键基础设施，“没有信息安全就没有国家安全”，因此，网络安全等级保护工作已经上升到国家战略层面。医院网络安全等级保护建设凸显出自身的特点，医院信息安全不是简单地买设备，须在科学合理网络架构的基础上，加强网络安全运维，利用先进的网络运维工具，及时发现和处理网络安全存在的隐患，建立完善的网络安全体系，确保医院核心业务稳定运行。