前言

　　本文總結(jié)提煉、共享不同團(tuán)隊(duì)的信息安全工作經(jīng)驗(yàn)，供大家交流。受限于本人自身的從業(yè)經(jīng)歷和所處行業(yè)，可能不具有普遍代表性，希望能給有需要的同仁一些參考幫助。

　　隨著近年來數(shù)字化轉(zhuǎn)型和智慧醫(yī)院建設(shè)的不斷深入，醫(yī)院作為服務(wù)人民健康的醫(yī)療機(jī)構(gòu)，在享受信息化帶來的種種便利的同時，也面臨著網(wǎng)絡(luò)威脅、信息泄露等安全挑戰(zhàn)。醫(yī)院信息安全不僅是一個單純的技術(shù)問題，還是一個管理和業(yè)務(wù)問題。受技術(shù)能力的限制，目前大部分醫(yī)院在安全策略上多采用購買模式，即醫(yī)院購買軟硬件安全產(chǎn)品，供應(yīng)商負(fù)責(zé)實(shí)施和集成。看業(yè)內(nèi)同仁探討交流大醫(yī)院的信息安全架構(gòu)和運(yùn)作方法，總是有很多共鳴，同時看到很多同行的信息安全工作還是小團(tuán)隊(duì)運(yùn)作，經(jīng)常遇到各種困難，于是一直思考小團(tuán)隊(duì)?wèi)?yīng)該如何開展信息安全工作。從某種程度上，小團(tuán)隊(duì)可參考大團(tuán)隊(duì)在安全方面的運(yùn)作方式，并根據(jù)自身情況進(jìn)行優(yōu)化和剪裁。

大醫(yī)院的信息安全策略

　　根據(jù)安全規(guī)劃方案，不同醫(yī)院在不同階段的安全建設(shè)和布局方式是不一樣的。就以某醫(yī)院為例，通過每年購買服務(wù)，實(shí)現(xiàn)技術(shù)防范與業(yè)務(wù)發(fā)展聯(lián)動，更有針對性防范風(fēng)險。

　　醫(yī)院可購買安全服務(wù)，服務(wù)周期通常為一年，服務(wù)內(nèi)容如下：

　　1.安全管理體系咨詢與建設(shè)

　　按照信息安全主管部門相關(guān)管理要求和國家相關(guān)標(biāo)準(zhǔn)，結(jié)合本地實(shí)際，參考相關(guān)國家標(biāo)準(zhǔn)，健全完善醫(yī)院安全管理制度體系，并提交符合相關(guān)標(biāo)準(zhǔn)和要求的最終成果文檔。

　　2.系統(tǒng)網(wǎng)絡(luò)安全檢查與整改加固

　　(1)成立專門的技術(shù)專家團(tuán)隊(duì)，全面研究衛(wèi)生健康系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀，結(jié)合上級主管部門要求，針對當(dāng)前的重點(diǎn)工作，從技術(shù)和管理兩方面綜合考慮，形成年度網(wǎng)絡(luò)安全檢查工作方案，指導(dǎo)開展網(wǎng)絡(luò)安全自查工作。

　　(2)重點(diǎn)對各應(yīng)用系統(tǒng)開展規(guī)范全面的網(wǎng)絡(luò)安全自查和風(fēng)險評估，形成完整的評估報告，指明存在的問題和整改加固建議。

　　(3)協(xié)助開展問題整改，結(jié)束后進(jìn)行復(fù)測并出具復(fù)測報告。

　　(4)配合省衛(wèi)生健康委等主管部門要求，完成對本單位的信息安全檢查工作。

　　(5)切合實(shí)際形成細(xì)致明確的整體安全檢查報告，提出下一步的工作意見和建議。成果文檔應(yīng)包括但不限于：《網(wǎng)絡(luò)安全檢查工作方案》《網(wǎng)絡(luò)安全自查實(shí)施方案》《網(wǎng)絡(luò)安全風(fēng)險評估報告》《網(wǎng)絡(luò)安全主要問題和整改加固建議》《××醫(yī)院信息安全抽查情況報告》。

　　3.應(yīng)用系統(tǒng)業(yè)務(wù)連續(xù)性監(jiān)測和滲透測試及漏洞掃描與挖掘

　　對醫(yī)院互聯(lián)網(wǎng)等應(yīng)用系統(tǒng)進(jìn)行業(yè)務(wù)連續(xù)性監(jiān)測和定期滲透測試及漏洞挖掘，形成監(jiān)測分析報告、滲透測試報告和漏洞掃描報告。

　　(1)業(yè)務(wù)連續(xù)性監(jiān)測

　　需對所有應(yīng)用系統(tǒng)定期進(jìn)行監(jiān)測和滲透測試，主動按其存在的問題，分析整體安全狀況、所面臨的主要威脅，詳細(xì)分析主要的風(fēng)險點(diǎn)并提供解決方案，配合進(jìn)行安全加固。

　　(2)滲透測試

　　提供內(nèi)部、外部信息安全滲透測試服務(wù)，對系統(tǒng)安全進(jìn)行全方位的人工診斷，嘗試模擬黑客入侵獲取敏感數(shù)據(jù)，以最高等級的智能滲透策略揭露安全漏洞，不限于使用社會工程學(xué)手段以確保系統(tǒng)的安全。

　　(3)漏洞掃描與挖掘

　　多手段全方位檢測系統(tǒng)存在的脆弱性，發(fā)現(xiàn)信息系統(tǒng)存在的安全漏洞、安全配置問題、應(yīng)用系統(tǒng)安全漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不必要開放的賬號、服務(wù)、端口，形成整體安全風(fēng)險報告。

　　4.應(yīng)用系統(tǒng)代碼審查等安全審核

　　按照國家衛(wèi)生健康委要求，參照風(fēng)險評估中對于代碼編寫的安全規(guī)范要求，采取定期與不定期相結(jié)合的方案，對部分應(yīng)用系統(tǒng)(包括App)的代碼進(jìn)行安全審核，及時發(fā)現(xiàn)其中存在的安全風(fēng)險并提出整改建議，協(xié)助完成安全整改加固工作。成果文檔包括但不限于：《應(yīng)用系統(tǒng)代碼審計報告及加固建議》《XX系統(tǒng)風(fēng)險報告及加固建議》。

　　5.應(yīng)急預(yù)案修訂、應(yīng)急演練及應(yīng)急處置

　　(1)對網(wǎng)絡(luò)安全應(yīng)急制度體系進(jìn)行修訂，完善應(yīng)急響應(yīng)流程，對安全事件進(jìn)行準(zhǔn)確定位，及時響應(yīng)處理，快速恢復(fù)系統(tǒng)運(yùn)行，降低安全事件造成的損失和影響 。

　　(2)選擇主題開展應(yīng)急演練(不少于2次)。制定應(yīng)急演練方案，按照應(yīng)急預(yù)案應(yīng)急響應(yīng)流程，組織相關(guān)人員進(jìn)行應(yīng)急演練。

　　(3)對安全事件進(jìn)行應(yīng)急處置。發(fā)生安全事件后，安全專家必須在1小時內(nèi)到場，24小時內(nèi)解決安全事件。及時消除安全事件不良后果，并分析安全事件發(fā)生的事件原因，處理事件并提交書面的安全事件調(diào)查分析報告(包括事故原因、過程描述、入侵來源、解決方案、安全建議、處理結(jié)果等)。

　　6.安全意識培訓(xùn)、安全技能培訓(xùn)

　　(1)信息安全意識培訓(xùn)

　　針對當(dāng)前的安全形勢，以及國內(nèi)外重大安全事件，面向本單位全體工作人員，開展一場信息安全意識和技能培訓(xùn)，培訓(xùn)力求突破傳統(tǒng)的教學(xué)方式，更加形象生動地傳遞信息安全意識的基本知識和基本技能，加深學(xué)員對信息安全和技能的理解，提升全員安全意識水平和基本安全技能。

　　(2)安全技能培訓(xùn)

　　組織一次面向技術(shù)人員的現(xiàn)場安全技術(shù)培訓(xùn)，提升安全技術(shù)人員的安全管理和技術(shù)保障水平。培訓(xùn)人員不少于5人，培訓(xùn)時間不少于3天。培訓(xùn)內(nèi)容需結(jié)合形勢發(fā)展及本單位需求，雙方共同商定。

　　7.網(wǎng)絡(luò)安全資產(chǎn)梳理服務(wù)

　　全面掌握信息系統(tǒng)部署、運(yùn)行、應(yīng)用和運(yùn)維工作基本情況，編制和完善信息化基礎(chǔ)資料。

　　(1)信息資產(chǎn)梳理：包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、業(yè)務(wù)應(yīng)用等。

　　(2)基礎(chǔ)架構(gòu)梳理：根據(jù)本單位實(shí)際的網(wǎng)絡(luò)環(huán)境，繪制詳細(xì)的網(wǎng)絡(luò)拓?fù)鋱D。

　　8.網(wǎng)絡(luò)安全資產(chǎn)梳理服務(wù)

　　從應(yīng)用系統(tǒng)、信息資產(chǎn)、基礎(chǔ)架構(gòu)三個維度進(jìn)行梳理，全面掌握信息系統(tǒng)部署、運(yùn)行、應(yīng)用和運(yùn)維工作基本情況，編制和完善信息化基礎(chǔ)資料。

　　9.等級保護(hù)測評服務(wù)

　　(1)定級備案

　　協(xié)助本單位對相關(guān)系統(tǒng)進(jìn)行定級備案工作。

　　(2)等級保護(hù)測評

　　通過詳細(xì)的調(diào)研，對上述系統(tǒng)開展等級保護(hù)測評工作，找出安全現(xiàn)狀與標(biāo)準(zhǔn)要求之間的差距，并遵循適度安全的原則，協(xié)助制定安全整改建設(shè)方案，指導(dǎo)整改工作，最終完成測評報告。

　　10.安全運(yùn)維服務(wù)

　　向信息科提供信息系統(tǒng)相關(guān)的安全通告，包括國內(nèi)外廠家、著名安全組織最新發(fā)布的安全漏洞和安全警告、安全升級通告和廠商安全通告(包括 Windows、Linux等)，說明各種通告對信息系統(tǒng)的影響程度，并提出相應(yīng)的解決方案：遇有重大嚴(yán)重安全漏洞發(fā)布，要求在漏洞發(fā)布的24小時內(nèi)通告給采購人，并提出相應(yīng)的解決方案。

小規(guī)模安全團(tuán)隊(duì)工作思路

　　小規(guī)模安全團(tuán)隊(duì)成員較少，普遍身兼多職，在具體安全實(shí)踐中可采取以下思路：

　　1.先解決重要、緊迫問題，站穩(wěn)腳跟

　　我們的第一件事情是站穩(wěn)腳跟。如何站穩(wěn)?就是首要解決管理層關(guān)注的重點(diǎn)問題、緊迫問題。

　　2.做到PDCA

　　重點(diǎn)問題基本解決之后，要通過運(yùn)營、檢查等綜合措施運(yùn)行一階段(一般是半年到一年)，定期匯報，以實(shí)現(xiàn)PDCA的循環(huán)。這樣既可以保證問題真正得到解決，又可以讓領(lǐng)導(dǎo)層等核心干系人放心，他們會覺得信息安全措施靠譜，后續(xù)對信息安全工作的支持力度也會更好。

圖一 醫(yī)院信息安全PDCA循環(huán)圖

　　3.建立安全基準(zhǔn)

　　安全基線是為了使相關(guān)設(shè)備和系統(tǒng)具備最基本的安全防護(hù)能力而制定的標(biāo)準(zhǔn)和要求。安全基線制定時切忌大而全，這樣往往很難落地。核心的安全基線標(biāo)準(zhǔn)主要包括：

　　(1)密碼強(qiáng)度(如果密碼強(qiáng)度不夠或無定期改密，就很容易被暴力破解)。

　　(2)帳號安全(比較常見的問題是以root權(quán)限啟動應(yīng)用程序，若發(fā)生泄漏，得到了root權(quán)限)。

　　(3)日志記錄(沒有日志記錄，或者日志沒有集中到日志服務(wù)器上，發(fā)生安全事件時無法進(jìn)行監(jiān)控和審計)。

　　(4)安全漏洞修復(fù)(需要修復(fù)高危漏洞，避免被攻擊者利用獲取權(quán)限)。

表1 某醫(yī)院Linux服務(wù)器安全基線

表2 Windows服務(wù)器安全基線標(biāo)準(zhǔn)

構(gòu)建安全文化

　　醫(yī)院的安全文化是趨嚴(yán)的，對于違規(guī)行為是低容忍的，那么信息安全的策略、導(dǎo)向在一定程度上可以犧牲一些可用性和用戶體驗(yàn)，盡可能避免數(shù)據(jù)安全風(fēng)險的發(fā)生。在建設(shè)文化過程中，北京兒童醫(yī)院信息中心副主任鄧卓建議：發(fā)現(xiàn)涉嫌違規(guī)就要及時處理，以體現(xiàn)無處不在的潛在威懾，數(shù)據(jù)安全策略應(yīng)以記錄、檢測為主，同時根據(jù)安全事件推動策略調(diào)整。信息安全與IT管理成熟度相關(guān)，安全也需要根據(jù)成熟度進(jìn)行規(guī)劃，忽視業(yè)務(wù)重點(diǎn)，不能建設(shè)初期就用一套大而全并且看似理論正確的體系，在基礎(chǔ)設(shè)施都沒有建全的時候，態(tài)勢感知、AI防御等看似高大上的東西可能并不適合自己的當(dāng)下安全需求。

　　在醫(yī)療場景中經(jīng)常有這樣的現(xiàn)象：醫(yī)院內(nèi)部有些高價值人員對醫(yī)院的數(shù)據(jù)安全、信息安全措施不信任，不用醫(yī)院的辦公電腦，不裝本單位的安全軟件。出現(xiàn)這種情況的絕大部分原因，在于他們都認(rèn)為IT人員、安全人員掌握了超級權(quán)限，要么可以在后臺改數(shù)據(jù)，要么可以在后臺進(jìn)行監(jiān)控，出于各種原因，這些高價值人員對IT、安全人員不信任。面對這樣困局，來自青海醫(yī)療信息化工程師李順海，建議采取以下幾種方式破局、增進(jìn)互信：

　　(1)將IT人員掌握超級權(quán)限、可以后臺修改數(shù)據(jù)、查閱數(shù)據(jù)的風(fēng)險等行為視為高風(fēng)險，對此優(yōu)先采取安全控制措施，加以改進(jìn)。

　　(2)引入第三方力量對IT人員、安全人員進(jìn)行監(jiān)管，比如紀(jì)檢、審計部門或者主管單位。

　　(3)在落地重點(diǎn)項(xiàng)目時，不能以醫(yī)院要求和監(jiān)管需要去推動項(xiàng)目落地，需要以客戶為中心的心態(tài)，以服務(wù)促管控，通過跨部門的溝通協(xié)調(diào)，形成合力去推動安全項(xiàng)目。否則，項(xiàng)目不做好，把自己變成孤家寡人，就可能會落得痛打落水狗的下場。

小結(jié)

　　面對日益復(fù)雜的網(wǎng)絡(luò)安全、數(shù)據(jù)安全形勢和醫(yī)院高速發(fā)展的信息需求，對醫(yī)療信息人提出了更高要求。我們必須清晰自己的定位，基于醫(yī)院的業(yè)務(wù)、發(fā)展階段和內(nèi)外部環(huán)境，綜合統(tǒng)籌制定安全規(guī)劃和實(shí)施路徑，幫助醫(yī)院達(dá)成工作目標(biāo)。在協(xié)作工作中能夠客觀看待事物和藝術(shù)的處理矛盾，積極主動、不忘初心的去達(dá)成目標(biāo)，慢慢歷練出專業(yè)感和職業(yè)感。我們一起見證攜手奮斗的往昔，也為美好的未來助力護(hù)航。

　　作者簡介

　　李巍，CHIMA委員，秦皇島市婦幼保健院醫(yī)療設(shè)備與計算機(jī)服務(wù)中心副主任，河北省信息學(xué)會委員，河北省中醫(yī)信息學(xué)會委員。作者觀點(diǎn)僅代表個人，純屬技術(shù)交流，與供職單位無關(guān)。