前言

　　本文總結提煉、共享不同團隊的信息安全工作經驗，供大家交流。受限于本人自身的從業經歷和所處行業，可能不具有普遍代表性，希望能給有需要的同仁一些參考幫助。

　　隨著近年來數字化轉型和智慧醫院建設的不斷深入，醫院作為服務人民健康的醫療機構，在享受信息化帶來的種種便利的同時，也面臨著網絡威脅、信息泄露等安全挑戰。醫院信息安全不僅是一個單純的技術問題，還是一個管理和業務問題。受技術能力的限制，目前大部分醫院在安全策略上多采用購買模式，即醫院購買軟硬件安全產品，供應商負責實施和集成。看業內同仁探討交流大醫院的信息安全架構和運作方法，總是有很多共鳴，同時看到很多同行的信息安全工作還是小團隊運作，經常遇到各種困難，于是一直思考小團隊應該如何開展信息安全工作。從某種程度上，小團隊可參考大團隊在安全方面的運作方式，并根據自身情況進行優化和剪裁。

大醫院的信息安全策略

　　根據安全規劃方案，不同醫院在不同階段的安全建設和布局方式是不一樣的。就以某醫院為例，通過每年購買服務，實現技術防范與業務發展聯動，更有針對性防范風險。

　　醫院可購買安全服務，服務周期通常為一年，服務內容如下：

　　1.安全管理體系咨詢與建設

　　按照信息安全主管部門相關管理要求和國家相關標準，結合本地實際，參考相關國家標準，健全完善醫院安全管理制度體系，并提交符合相關標準和要求的最終成果文檔。

　　2.系統網絡安全檢查與整改加固

　　(1)成立專門的技術專家團隊，全面研究衛生健康系統網絡安全現狀，結合上級主管部門要求，針對當前的重點工作，從技術和管理兩方面綜合考慮，形成年度網絡安全檢查工作方案，指導開展網絡安全自查工作。

　　(2)重點對各應用系統開展規范全面的網絡安全自查和風險評估，形成完整的評估報告，指明存在的問題和整改加固建議。

　　(3)協助開展問題整改，結束后進行復測并出具復測報告。

　　(4)配合省衛生健康委等主管部門要求，完成對本單位的信息安全檢查工作。

　　(5)切合實際形成細致明確的整體安全檢查報告，提出下一步的工作意見和建議。成果文檔應包括但不限于：《網絡安全檢查工作方案》《網絡安全自查實施方案》《網絡安全風險評估報告》《網絡安全主要問題和整改加固建議》《××醫院信息安全抽查情況報告》。

　　3.應用系統業務連續性監測和滲透測試及漏洞掃描與挖掘

　　對醫院互聯網等應用系統進行業務連續性監測和定期滲透測試及漏洞挖掘，形成監測分析報告、滲透測試報告和漏洞掃描報告。

　　(1)業務連續性監測

　　需對所有應用系統定期進行監測和滲透測試，主動按其存在的問題，分析整體安全狀況、所面臨的主要威脅，詳細分析主要的風險點并提供解決方案，配合進行安全加固。

　　(2)滲透測試

　　提供內部、外部信息安全滲透測試服務，對系統安全進行全方位的人工診斷，嘗試模擬黑客入侵獲取敏感數據，以最高等級的智能滲透策略揭露安全漏洞，不限于使用社會工程學手段以確保系統的安全。

　　(3)漏洞掃描與挖掘

　　多手段全方位檢測系統存在的脆弱性，發現信息系統存在的安全漏洞、安全配置問題、應用系統安全漏洞，檢查系統存在的弱口令，收集系統不必要開放的賬號、服務、端口，形成整體安全風險報告。

　　4.應用系統代碼審查等安全審核

　　按照國家衛生健康委要求，參照風險評估中對于代碼編寫的安全規范要求，采取定期與不定期相結合的方案，對部分應用系統(包括App)的代碼進行安全審核，及時發現其中存在的安全風險并提出整改建議，協助完成安全整改加固工作。成果文檔包括但不限于：《應用系統代碼審計報告及加固建議》《XX系統風險報告及加固建議》。

　　5.應急預案修訂、應急演練及應急處置

　　(1)對網絡安全應急制度體系進行修訂，完善應急響應流程，對安全事件進行準確定位，及時響應處理，快速恢復系統運行，降低安全事件造成的損失和影響 。

　　(2)選擇主題開展應急演練(不少于2次)。制定應急演練方案，按照應急預案應急響應流程，組織相關人員進行應急演練。

　　(3)對安全事件進行應急處置。發生安全事件后，安全專家必須在1小時內到場，24小時內解決安全事件。及時消除安全事件不良后果，并分析安全事件發生的事件原因，處理事件并提交書面的安全事件調查分析報告(包括事故原因、過程描述、入侵來源、解決方案、安全建議、處理結果等)。

　　6.安全意識培訓、安全技能培訓

　　(1)信息安全意識培訓

　　針對當前的安全形勢，以及國內外重大安全事件，面向本單位全體工作人員，開展一場信息安全意識和技能培訓，培訓力求突破傳統的教學方式，更加形象生動地傳遞信息安全意識的基本知識和基本技能，加深學員對信息安全和技能的理解，提升全員安全意識水平和基本安全技能。

　　(2)安全技能培訓

　　組織一次面向技術人員的現場安全技術培訓，提升安全技術人員的安全管理和技術保障水平。培訓人員不少于5人，培訓時間不少于3天。培訓內容需結合形勢發展及本單位需求，雙方共同商定。

　　7.網絡安全資產梳理服務

　　全面掌握信息系統部署、運行、應用和運維工作基本情況，編制和完善信息化基礎資料。

　　(1)信息資產梳理：包括網絡設備、安全設備、服務器、業務應用等。

　　(2)基礎架構梳理：根據本單位實際的網絡環境，繪制詳細的網絡拓撲圖。

　　8.網絡安全資產梳理服務

　　從應用系統、信息資產、基礎架構三個維度進行梳理，全面掌握信息系統部署、運行、應用和運維工作基本情況，編制和完善信息化基礎資料。

　　9.等級保護測評服務

　　(1)定級備案

　　協助本單位對相關系統進行定級備案工作。

　　(2)等級保護測評

　　通過詳細的調研，對上述系統開展等級保護測評工作，找出安全現狀與標準要求之間的差距，并遵循適度安全的原則，協助制定安全整改建設方案，指導整改工作，最終完成測評報告。

　　10.安全運維服務

　　向信息科提供信息系統相關的安全通告，包括國內外廠家、著名安全組織最新發布的安全漏洞和安全警告、安全升級通告和廠商安全通告(包括 Windows、Linux等)，說明各種通告對信息系統的影響程度，并提出相應的解決方案：遇有重大嚴重安全漏洞發布，要求在漏洞發布的24小時內通告給采購人，并提出相應的解決方案。

小規模安全團隊工作思路

　　小規模安全團隊成員較少，普遍身兼多職，在具體安全實踐中可采取以下思路：

　　1.先解決重要、緊迫問題，站穩腳跟

　　我們的第一件事情是站穩腳跟。如何站穩?就是首要解決管理層關注的重點問題、緊迫問題。

　　2.做到PDCA

　　重點問題基本解決之后，要通過運營、檢查等綜合措施運行一階段(一般是半年到一年)，定期匯報，以實現PDCA的循環。這樣既可以保證問題真正得到解決，又可以讓領導層等核心干系人放心，他們會覺得信息安全措施靠譜，后續對信息安全工作的支持力度也會更好。

圖一 醫院信息安全PDCA循環圖

　　3.建立安全基準

　　安全基線是為了使相關設備和系統具備最基本的安全防護能力而制定的標準和要求。安全基線制定時切忌大而全，這樣往往很難落地。核心的安全基線標準主要包括：

　　(1)密碼強度(如果密碼強度不夠或無定期改密，就很容易被暴力破解)。

　　(2)帳號安全(比較常見的問題是以root權限啟動應用程序，若發生泄漏，得到了root權限)。

　　(3)日志記錄(沒有日志記錄，或者日志沒有集中到日志服務器上，發生安全事件時無法進行監控和審計)。

　　(4)安全漏洞修復(需要修復高危漏洞，避免被攻擊者利用獲取權限)。

表1 某醫院Linux服務器安全基線

表2 Windows服務器安全基線標準

構建安全文化

　　醫院的安全文化是趨嚴的，對于違規行為是低容忍的，那么信息安全的策略、導向在一定程度上可以犧牲一些可用性和用戶體驗，盡可能避免數據安全風險的發生。在建設文化過程中，北京兒童醫院信息中心副主任鄧卓建議：發現涉嫌違規就要及時處理，以體現無處不在的潛在威懾，數據安全策略應以記錄、檢測為主，同時根據安全事件推動策略調整。信息安全與IT管理成熟度相關，安全也需要根據成熟度進行規劃，忽視業務重點，不能建設初期就用一套大而全并且看似理論正確的體系，在基礎設施都沒有建全的時候，態勢感知、AI防御等看似高大上的東西可能并不適合自己的當下安全需求。

　　在醫療場景中經常有這樣的現象：醫院內部有些高價值人員對醫院的數據安全、信息安全措施不信任，不用醫院的辦公電腦，不裝本單位的安全軟件。出現這種情況的絕大部分原因，在于他們都認為IT人員、安全人員掌握了超級權限，要么可以在后臺改數據，要么可以在后臺進行監控，出于各種原因，這些高價值人員對IT、安全人員不信任。面對這樣困局，來自青海醫療信息化工程師李順海，建議采取以下幾種方式破局、增進互信：

　　(1)將IT人員掌握超級權限、可以后臺修改數據、查閱數據的風險等行為視為高風險，對此優先采取安全控制措施，加以改進。

　　(2)引入第三方力量對IT人員、安全人員進行監管，比如紀檢、審計部門或者主管單位。

　　(3)在落地重點項目時，不能以醫院要求和監管需要去推動項目落地，需要以客戶為中心的心態，以服務促管控，通過跨部門的溝通協調，形成合力去推動安全項目。否則，項目不做好，把自己變成孤家寡人，就可能會落得痛打落水狗的下場。

小結

　　面對日益復雜的網絡安全、數據安全形勢和醫院高速發展的信息需求，對醫療信息人提出了更高要求。我們必須清晰自己的定位，基于醫院的業務、發展階段和內外部環境，綜合統籌制定安全規劃和實施路徑，幫助醫院達成工作目標。在協作工作中能夠客觀看待事物和藝術的處理矛盾，積極主動、不忘初心的去達成目標，慢慢歷練出專業感和職業感。我們一起見證攜手奮斗的往昔，也為美好的未來助力護航。

　　作者簡介

　　李巍，CHIMA委員，秦皇島市婦幼保健院醫療設備與計算機服務中心副主任，河北省信息學會委員，河北省中醫信息學會委員。作者觀點僅代表個人，純屬技術交流，與供職單位無關。