2023年醫(yī)院新興技術創(chuàng)新應用典型案例征集活動經(jīng)行業(yè)專家背靠背盲審以及終審，共選出24篇典型案例，將陸續(xù)刊登出來，以饗讀者。

1 項目申報單位簡介

　　天津市疾病預防控制中心是天津市政府舉辦的實施全市疾病預防控制與公共衛(wèi)生技術管理和服務的公益事業(yè)單位，是天津市衛(wèi)生安全體系的重要組成部分。在市政府和衛(wèi)生行政等相關部門領導下，天津市疾病預防控制中心承擔著政府公共服務任務，是國家疾病預防控制體系樞紐，負責對區(qū)級疾病預防控制機構(gòu)的業(yè)務管理、技術指導、科研培訓、質(zhì)量控制和績效考核，以及對醫(yī)療機構(gòu)公共衛(wèi)生工作的業(yè)務管理、技術指導和績效考核。

2 項目具體內(nèi)容

　　(1)解決問題

　　天津市傳染病信息系統(tǒng)是在國家全民健康信息規(guī)劃的總體指導下，提供全市疫情數(shù)據(jù)的監(jiān)測、管理、分析預警的重要支撐系統(tǒng)。系統(tǒng)按照應用服務器、交換服務器、數(shù)據(jù)庫服務器三層架構(gòu)部署在天津市政務云平臺(紫光云)。同時，系統(tǒng)與國家疾控中心實現(xiàn)實時數(shù)據(jù)同步，以滿足統(tǒng)計、簡報及預警系統(tǒng)中對業(yè)務數(shù)據(jù)的要求，逐步與各區(qū)衛(wèi)生健康委、醫(yī)療機構(gòu)和其他相關機構(gòu)的信息平臺實現(xiàn)互聯(lián)互通、業(yè)務協(xié)同。該系統(tǒng)承載著全市2004年至今的傳染病報告的數(shù)據(jù)，涉及近180萬條個人信息，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害公共利益和社會秩序，經(jīng)專家和主管部門認定為等級保護三級。

　　(2)解決方案

　　依據(jù)國家法律法規(guī)、標準制度對天津市傳染病信息系統(tǒng)進行全視角的安全設計和應用實踐。采用集約化思想，依托政務資源，通過制訂相關安全策略，首次嘗試利用國產(chǎn)操作系統(tǒng)適配國產(chǎn)網(wǎng)絡安全設備，通過相關網(wǎng)絡設備和系統(tǒng)的部署，實現(xiàn)傳染病信息系統(tǒng)的安全管理，有效地保障信息系統(tǒng)安全。

　　順應國家網(wǎng)絡安全戰(zhàn)略和新基建的建設趨勢，強化系統(tǒng)保障，滿足天津市各級醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡直報用戶安全使用國家疾控信息系統(tǒng)和天津市傳染病信息系統(tǒng)，達到網(wǎng)絡安全等級保護三級的相關要求，為醫(yī)療衛(wèi)生機構(gòu)提供更完善、更安全、更及時的服務保障。

　　(3)建設內(nèi)容

　　對本系統(tǒng)進行了全視角的安全設計與實踐。按照網(wǎng)絡安全等級保護三級基本要求、云擴展要求進行綜合設計，制定相關安全策略，部署云數(shù)據(jù)庫審計、云堡壘、云漏洞掃描、云防火墻、云安全管理平臺、虛擬化數(shù)據(jù)防泄漏、數(shù)據(jù)備份等系統(tǒng)，實現(xiàn)對天津市傳染病信息系統(tǒng)云上的安全管理;利用全市已搭建的疾病預防控制安全專網(wǎng)和數(shù)字認證技術對系統(tǒng)用戶身份進行識別與鎖定管理，基于數(shù)字證書認證登錄方式，通過“一人一證”實現(xiàn)系統(tǒng)雙因子認證，保證傳輸鏈路和用戶認證安全;每年定期組織網(wǎng)絡安全培訓，針對全員開展網(wǎng)絡安全教育，內(nèi)部運維人員全部持證上崗，按照國家相關標準，定期開展安全風險評估和網(wǎng)絡安全攻防與應急演練;建立全周期的數(shù)據(jù)安全技術防護措施，對傳染病信息系統(tǒng)數(shù)據(jù)進行分類分級，通過管理與技術相結(jié)合的方式，保障數(shù)據(jù)采集、傳輸、存儲、交換、運維的各個環(huán)節(jié);傳染病信息系統(tǒng)所涉及的相關密碼算法符合國家相關標準，并按國家要求定期更新，保證密鑰使用的安全性，符合商用密碼安全性測評的要求。

　　(4)建設期限及投資情況

　　該項目歷時三年，總投資約830萬用于網(wǎng)絡安全相關建設。

　　(5)硬件保障情況

　　在中心本部部署了防火墻、上網(wǎng)行為、終端安全管理、數(shù)據(jù)庫審計、堡壘機、態(tài)勢感知、CA認證、Web應用防火墻、網(wǎng)關運維平臺、VPN等系統(tǒng)，在天津市政務云平臺的云環(huán)境部署了云數(shù)據(jù)庫審計、云堡壘、云漏洞掃描、云防火墻、云安全管理平臺、虛擬化數(shù)據(jù)防泄漏、數(shù)據(jù)備份等系統(tǒng)。

　　(6)項目效果

　　通過項目實施，進一步加強網(wǎng)絡安全、數(shù)據(jù)安全的常態(tài)化管理意識和運維理念;建立健全一套行之有效的網(wǎng)絡安全、數(shù)據(jù)安全的保障體系和制度體系;打造一支滿足疾控信息化建設的網(wǎng)絡安全保障隊伍，有效避免由于系統(tǒng)遭到破壞、喪失功能或者數(shù)據(jù)泄露，造成的嚴重危害公共利益和社會秩序事件的發(fā)生。

3 技術特點及成果產(chǎn)出

　　(1)技術特點

　　按照“同步規(guī)劃、同步建設、同步使用”的三同步原則，協(xié)調(diào)安全與信息化發(fā)展的深度融合，指導安全保障措施的規(guī)劃及應用實踐。在網(wǎng)絡安全保障體系方面，基于業(yè)內(nèi)最佳實踐“預警、防護、監(jiān)測、響應”的安全閉環(huán)方法論、“一個中心、三重防護”的技術理念，結(jié)合傳染病信息系統(tǒng)的業(yè)務特點，在完成網(wǎng)絡安全等級保護三級基本要求建設的基礎上，從安全人員配置、資產(chǎn)安全管理、安全管理制度、網(wǎng)絡安全監(jiān)測、風險評估、應急演練等多個維度實行重點防護，以履行重要系統(tǒng)運營者的網(wǎng)絡安全義務。

　　采用集約化思想，依托政務資源，通過制訂相關安全策略，首次嘗試利用國產(chǎn)操作系統(tǒng)適配國產(chǎn)網(wǎng)絡安全設備，通過部署云數(shù)據(jù)庫審計、云堡壘、云漏洞掃描、云防火墻、云安全管理平臺、虛擬化數(shù)據(jù)防泄漏、數(shù)據(jù)備份等國產(chǎn)化安全設備和安全系統(tǒng)(如圖1所示)，實現(xiàn)對傳染病信息系統(tǒng)云上的安全管理;利用全市疾控安全專網(wǎng)和數(shù)字認證技術對系統(tǒng)用戶身份進行識別，通過“一人一證”實現(xiàn)系統(tǒng)雙因子認證，保證傳輸鏈路和用戶認證安全;定期組織網(wǎng)絡安全培訓，開展安全風險評估和網(wǎng)絡安全攻防與應急演練;建立全周期的數(shù)據(jù)安全技術防護措施，保障數(shù)據(jù)采集、傳輸、存儲、交換、運維的各個環(huán)節(jié);符合商用密碼安全性測評的要求。

圖1 政務云安全設備部署情況

　　(2)成果產(chǎn)出

　　目前共有天津市科技成果1項和天津市地方標準1項，發(fā)表核心期刊論文5篇，信息技術與標準化論文1篇。

4 項目應用推廣情況

　　通過項目的實施，構(gòu)建全面覆蓋網(wǎng)絡安全、數(shù)據(jù)安全、個人信息安全的安全能力，保障全市500余家網(wǎng)絡直報單位的1700余用戶安全使用，實現(xiàn)了傳染病信息報告的全流程的實時追蹤和責任追蹤，全面符合國家、行業(yè)安全標準規(guī)范要求。通過開展網(wǎng)絡安全、數(shù)據(jù)安全保障體系建設，可有效抵御高級網(wǎng)絡攻擊，減少因網(wǎng)絡安全事件帶來的經(jīng)濟損失。順應國家網(wǎng)絡安全、數(shù)據(jù)安全國家戰(zhàn)略和新基建的建設趨勢，強化系統(tǒng)保障的同時，為公共衛(wèi)生、醫(yī)療機構(gòu)提供更完善、更安全、更及時的服務保障。

　　在公安部、天津市委網(wǎng)信辦、天津市公安局、天津市衛(wèi)生健康委網(wǎng)絡安全檢查中獲得好評。在天津市2021年網(wǎng)絡安全攻防實戰(zhàn)演習中獲得“優(yōu)秀防守單位”稱號。在國家疾控局2022年網(wǎng)絡安全和信息化年會上做經(jīng)驗介紹，將經(jīng)驗與其他單位進行交流分享，更加有效防范衛(wèi)生健康系統(tǒng)網(wǎng)絡安全事件發(fā)生和可能對社會秩序造成的不良影響以及對公眾利益的損害，共同促進行業(yè)網(wǎng)絡安全健康快速發(fā)展。

5 項目未來前景

　　通過天津市傳染病信息系統(tǒng)全視角的安全設計與實踐，建立健全了一套行之有效的網(wǎng)絡安全、數(shù)據(jù)安全保障體系和制度體系，為同行業(yè)醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡安全和數(shù)據(jù)安全建設提供寶貴經(jīng)驗。目前正在積極爭取財政支持，加強密碼改造項目建設，進一步完善數(shù)據(jù)分級分類標準，加強數(shù)據(jù)安全防護，確保系統(tǒng)密碼應用滿足商用密碼應用安全評估要求，實現(xiàn)重要數(shù)據(jù)的合規(guī)合法應用，保障系統(tǒng)業(yè)務開展的安全性、合法合規(guī)性。依托政務資源構(gòu)建系統(tǒng)數(shù)據(jù)安全的全生命周期的網(wǎng)絡安全與數(shù)據(jù)安全保障體系。

　　申報單位：

　　天津市疾病預防控制中心

　　技術方向：

　　智慧醫(yī)療服務

　　業(yè)務領域：

　　網(wǎng)絡安全