近年來(lái)，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等一系列信息安全相關(guān)法律法規(guī)的頒布實(shí)施，對(duì)網(wǎng)絡(luò)安全建設(shè)、數(shù)據(jù)共享應(yīng)用、個(gè)人信息保護(hù)提出了更高的要求。

　　同時(shí)，隨著互聯(lián)網(wǎng)醫(yī)療的快速發(fā)展、互聯(lián)互通建設(shè)的不斷深入、臨床科研等需求的不斷增加，信息系統(tǒng)互聯(lián)網(wǎng)暴露面日益增大，數(shù)據(jù)共享的范圍和數(shù)據(jù)量持續(xù)擴(kuò)大，內(nèi)外網(wǎng)數(shù)據(jù)交互日益頻繁，網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息安全風(fēng)險(xiǎn)持續(xù)增加，新型網(wǎng)絡(luò)攻擊、程序漏洞、數(shù)據(jù)庫(kù)脫庫(kù)、科研數(shù)據(jù)流失、個(gè)人隱私泄漏風(fēng)險(xiǎn)始終存在。伴隨著無(wú)線網(wǎng)絡(luò)的全面覆蓋，無(wú)線網(wǎng)近源攻擊等風(fēng)險(xiǎn)持續(xù)增加。各類(lèi)風(fēng)險(xiǎn)的跨界性、穿透性、關(guān)聯(lián)性、擴(kuò)散性特征明顯增加，系統(tǒng)性風(fēng)險(xiǎn)持續(xù)增大。這些因素給醫(yī)院網(wǎng)絡(luò)及信息安全建設(shè)帶來(lái)了更大的挑戰(zhàn)。

　　構(gòu)建完善的信息安全保障體系，對(duì)于提升整體信息安全保障能力、推動(dòng)公立醫(yī)院高質(zhì)量發(fā)展，具有重要的研究?jī)r(jià)值和現(xiàn)實(shí)意義。

強(qiáng)化制度建設(shè)，規(guī)范信息安全行為

　　制度是規(guī)范也是指導(dǎo)，是信息安全工作開(kāi)展的重要保障。北京大學(xué)第三醫(yī)院在醫(yī)院層面成立了網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組與技術(shù)領(lǐng)導(dǎo)小組，科室成立了網(wǎng)絡(luò)安全技術(shù)支持小組，明確崗位職責(zé)。以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)為基礎(chǔ)，不斷制定完善各項(xiàng)規(guī)章制度。制定標(biāo)準(zhǔn)操作流程，嚴(yán)格落實(shí)系統(tǒng)與安全“同步規(guī)劃、同步建設(shè)、同步使用”三同步要求，實(shí)現(xiàn)“需求調(diào)研、規(guī)劃設(shè)計(jì)、項(xiàng)目實(shí)施、系統(tǒng)上線、運(yùn)行維護(hù)”全流程的安全監(jiān)測(cè)體系。制定數(shù)據(jù)使用安全責(zé)任書(shū)，明確“最小、夠用、知情”的數(shù)據(jù)采集原則，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全每日監(jiān)測(cè)制度，制定《網(wǎng)絡(luò)安全設(shè)備日常巡檢表》，通過(guò)每日巡檢監(jiān)測(cè)，發(fā)現(xiàn)問(wèn)題，解決問(wèn)題。

　　加強(qiáng)面向不同人群的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，規(guī)范安全行為，完善各類(lèi)人員安全責(zé)任制度，構(gòu)筑全員安全堡壘，防范網(wǎng)絡(luò)釣魚(yú)、近源攻擊等事件發(fā)生。開(kāi)展數(shù)據(jù)安全培訓(xùn)，探索科室安全員管理模式。

　　醫(yī)院不斷加強(qiáng)數(shù)據(jù)安全管理建設(shè)，逐步實(shí)現(xiàn)數(shù)據(jù)安全管理的“規(guī)范化、制度化、程序化”，最終達(dá)到崗位有分工、執(zhí)行有依據(jù)、日常有檢查、全員有認(rèn)知。

夯實(shí)安全基礎(chǔ)，強(qiáng)化網(wǎng)絡(luò)邊界防護(hù)

　　實(shí)施終端準(zhǔn)入控制，實(shí)現(xiàn)終端可信接入管控。醫(yī)院構(gòu)建網(wǎng)絡(luò)版殺毒軟件及虛擬補(bǔ)丁相結(jié)合的防護(hù)體系，實(shí)現(xiàn)主機(jī)病毒及漏洞安全防護(hù)。利用去隱私、脫敏、水印等技術(shù)，并結(jié)合多因子驗(yàn)證、密碼復(fù)雜度校驗(yàn)等身份鑒別、訪問(wèn)控制、安全配置手段，確保數(shù)據(jù)應(yīng)用安全。打造實(shí)時(shí)雙活的容災(zāi)虛擬化數(shù)據(jù)中心，保障數(shù)據(jù)存儲(chǔ)安全。明確網(wǎng)絡(luò)邊界劃分，在不同邊界區(qū)域通過(guò)防火墻策略、IPS(入侵防御系統(tǒng))、WAF(網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng))、防毒墻網(wǎng)關(guān)、NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)、端口控制及VLAN(虛擬局域網(wǎng))劃分等，實(shí)現(xiàn)邊界訪問(wèn)防護(hù)隔離，提升互聯(lián)網(wǎng)訪問(wèn)的邊界安全防護(hù)。

　　同時(shí)，通過(guò)數(shù)據(jù)傳輸、存儲(chǔ)加密，防止信息泄露。加強(qiáng)系統(tǒng)整合，收斂互聯(lián)網(wǎng)暴露面，提升安全風(fēng)險(xiǎn)應(yīng)對(duì)能力。

依托預(yù)警監(jiān)測(cè)，構(gòu)建綜合防御體系

　　構(gòu)建動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控的網(wǎng)絡(luò)安全綜合防控體系。

　　借助態(tài)勢(shì)感知等大數(shù)據(jù)分析平臺(tái)，實(shí)現(xiàn)威脅監(jiān)測(cè)、預(yù)警、響應(yīng)處置、可視化決策一體化管理。通過(guò)流量采集分析，結(jié)合威脅情報(bào)、行為建模、機(jī)器學(xué)習(xí)、關(guān)聯(lián)分析、可視化等技術(shù)，對(duì)全流量進(jìn)行智能分析，實(shí)現(xiàn)海量網(wǎng)絡(luò)流量數(shù)據(jù)的實(shí)時(shí)動(dòng)態(tài)解析，實(shí)現(xiàn)對(duì)全網(wǎng)安全威脅的可視化實(shí)時(shí)展示，協(xié)助快速發(fā)現(xiàn)高級(jí)未知威脅攻擊，構(gòu)建事前安全感知防御、事中威脅預(yù)警響應(yīng)、事后追蹤溯源的安全主動(dòng)防御體系，并實(shí)現(xiàn)威脅風(fēng)險(xiǎn)全流程閉環(huán)處置管理。

開(kāi)展實(shí)戰(zhàn)演練，多崗協(xié)同聯(lián)動(dòng)防御

　　加強(qiáng)實(shí)戰(zhàn)化訓(xùn)練，以網(wǎng)絡(luò)安全大賽、網(wǎng)絡(luò)安全演練為抓手，網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、終端安全多崗協(xié)同，防火墻、WAF、態(tài)勢(shì)感知、服務(wù)器深度防護(hù)、終端殺毒等全系統(tǒng)聯(lián)動(dòng)，訪問(wèn)策略、流量監(jiān)測(cè)、日志分析等全要素綜合研判。在實(shí)戰(zhàn)中不斷總結(jié)經(jīng)驗(yàn)，完善應(yīng)急預(yù)案，最終實(shí)現(xiàn)“網(wǎng)絡(luò)入侵?jǐn)r得住、異常流量識(shí)別準(zhǔn)、惡意文件消得清、故障原因排查快，應(yīng)急預(yù)案可落地”，不斷提升綜合防御實(shí)戰(zhàn)能力。

注重隱私保護(hù)，提升個(gè)人信息安全

　　根據(jù)《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的有關(guān)要求，醫(yī)院對(duì)數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷(xiāo)毀實(shí)施全周期管理。明確“最小、夠用、知情”數(shù)據(jù)采集原則，利用國(guó)密算法加強(qiáng)數(shù)據(jù)傳輸、存儲(chǔ)加密，對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類(lèi)管理，加強(qiáng)權(quán)限管控，逐級(jí)授權(quán)開(kāi)放。對(duì)數(shù)據(jù)進(jìn)行脫敏處理，建立數(shù)據(jù)安全審查制度，加強(qiáng)對(duì)科研等數(shù)據(jù)使用的監(jiān)管。利用數(shù)據(jù)庫(kù)審計(jì)，加大審核分析力度，對(duì)可疑數(shù)據(jù)進(jìn)行排查，加強(qiáng)數(shù)據(jù)溯源管理。

　　針對(duì)個(gè)人信息保護(hù)，在程序端增加去隱私化、匿名化處理，對(duì)涉及個(gè)人隱私的數(shù)據(jù)，增加知情同意提示。強(qiáng)化審核及個(gè)人信息分類(lèi)管理。制定信息安全事件應(yīng)急預(yù)案，對(duì)處理敏感個(gè)人信息的情形進(jìn)行評(píng)估。

加強(qiáng)自主研發(fā)，保障核心數(shù)據(jù)安全

　　醫(yī)院積極培養(yǎng)自主研發(fā)人才，開(kāi)發(fā)自主可控的安全管理信息系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)的核心資產(chǎn)信息的管理。通過(guò)多因子認(rèn)證、國(guó)密算法以及新技術(shù)的自主探索應(yīng)用，持續(xù)提升信息化核心資源的安全管理能力。

　　網(wǎng)絡(luò)安全建設(shè)永遠(yuǎn)在路上。下一步，醫(yī)院將持續(xù)完善制度建設(shè)，保障基礎(chǔ)環(huán)境安全;加強(qiáng)態(tài)勢(shì)感知和主動(dòng)預(yù)警能力;推動(dòng)國(guó)密算法等安全加密措施的落地實(shí)施;持續(xù)加強(qiáng)數(shù)據(jù)監(jiān)管審計(jì)、數(shù)據(jù)監(jiān)測(cè)和應(yīng)急能力。另外，對(duì)重要數(shù)據(jù)進(jìn)行定期風(fēng)險(xiǎn)評(píng)估，部署新一代安全保護(hù)設(shè)備設(shè)施，開(kāi)展實(shí)戰(zhàn)演習(xí)、應(yīng)急演練，提升網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)對(duì)及應(yīng)急處置能力;筑牢網(wǎng)絡(luò)安全防線，為醫(yī)院高質(zhì)量發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)。

　　來(lái)源：健康報(bào)

　　作者：北京大學(xué)第三醫(yī)院信息管理與大數(shù)據(jù)中心 賈末、計(jì)虹

　　原文鏈接：《關(guān)注醫(yī)療數(shù)據(jù)安全 | 怎樣為醫(yī)院信息系統(tǒng)構(gòu)筑“保護(hù)盾”》