近年來，《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等一系列信息安全相關法律法規的頒布實施，對網絡安全建設、數據共享應用、個人信息保護提出了更高的要求。

　　同時，隨著互聯網醫療的快速發展、互聯互通建設的不斷深入、臨床科研等需求的不斷增加，信息系統互聯網暴露面日益增大，數據共享的范圍和數據量持續擴大，內外網數據交互日益頻繁，網絡安全、數據安全、個人信息安全風險持續增加，新型網絡攻擊、程序漏洞、數據庫脫庫、科研數據流失、個人隱私泄漏風險始終存在。伴隨著無線網絡的全面覆蓋，無線網近源攻擊等風險持續增加。各類風險的跨界性、穿透性、關聯性、擴散性特征明顯增加，系統性風險持續增大。這些因素給醫院網絡及信息安全建設帶來了更大的挑戰。

　　構建完善的信息安全保障體系，對于提升整體信息安全保障能力、推動公立醫院高質量發展，具有重要的研究價值和現實意義。

強化制度建設，規范信息安全行為

　　制度是規范也是指導，是信息安全工作開展的重要保障。北京大學第三醫院在醫院層面成立了網絡安全領導小組與技術領導小組，科室成立了網絡安全技術支持小組，明確崗位職責。以《網絡安全法》《數據安全法》《個人信息保護法》等法律法規為基礎，不斷制定完善各項規章制度。制定標準操作流程，嚴格落實系統與安全“同步規劃、同步建設、同步使用”三同步要求，實現“需求調研、規劃設計、項目實施、系統上線、運行維護”全流程的安全監測體系。制定數據使用安全責任書，明確“最小、夠用、知情”的數據采集原則，嚴格落實網絡安全每日監測制度，制定《網絡安全設備日常巡檢表》，通過每日巡檢監測，發現問題，解決問題。

　　加強面向不同人群的網絡安全意識培訓，規范安全行為，完善各類人員安全責任制度，構筑全員安全堡壘，防范網絡釣魚、近源攻擊等事件發生。開展數據安全培訓，探索科室安全員管理模式。

　　醫院不斷加強數據安全管理建設，逐步實現數據安全管理的“規范化、制度化、程序化”，最終達到崗位有分工、執行有依據、日常有檢查、全員有認知。

夯實安全基礎，強化網絡邊界防護

　　實施終端準入控制，實現終端可信接入管控。醫院構建網絡版殺毒軟件及虛擬補丁相結合的防護體系，實現主機病毒及漏洞安全防護。利用去隱私、脫敏、水印等技術，并結合多因子驗證、密碼復雜度校驗等身份鑒別、訪問控制、安全配置手段，確保數據應用安全。打造實時雙活的容災虛擬化數據中心，保障數據存儲安全。明確網絡邊界劃分，在不同邊界區域通過防火墻策略、IPS(入侵防御系統)、WAF(網站應用級入侵防御系統)、防毒墻網關、NAT(網絡地址轉換)、端口控制及VLAN(虛擬局域網)劃分等，實現邊界訪問防護隔離，提升互聯網訪問的邊界安全防護。

　　同時，通過數據傳輸、存儲加密，防止信息泄露。加強系統整合，收斂互聯網暴露面，提升安全風險應對能力。

依托預警監測，構建綜合防御體系

　　構建動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控的網絡安全綜合防控體系。

　　借助態勢感知等大數據分析平臺，實現威脅監測、預警、響應處置、可視化決策一體化管理。通過流量采集分析，結合威脅情報、行為建模、機器學習、關聯分析、可視化等技術，對全流量進行智能分析，實現海量網絡流量數據的實時動態解析，實現對全網安全威脅的可視化實時展示，協助快速發現高級未知威脅攻擊，構建事前安全感知防御、事中威脅預警響應、事后追蹤溯源的安全主動防御體系，并實現威脅風險全流程閉環處置管理。

開展實戰演練，多崗協同聯動防御

　　加強實戰化訓練，以網絡安全大賽、網絡安全演練為抓手，網絡安全、系統安全、應用安全、終端安全多崗協同，防火墻、WAF、態勢感知、服務器深度防護、終端殺毒等全系統聯動，訪問策略、流量監測、日志分析等全要素綜合研判。在實戰中不斷總結經驗，完善應急預案，最終實現“網絡入侵攔得住、異常流量識別準、惡意文件消得清、故障原因排查快，應急預案可落地”，不斷提升綜合防御實戰能力。

注重隱私保護，提升個人信息安全

　　根據《數據安全法》《個人信息保護法》的有關要求，醫院對數據采集、傳輸、存儲、處理、交換、銷毀實施全周期管理。明確“最小、夠用、知情”數據采集原則，利用國密算法加強數據傳輸、存儲加密，對數據進行分級分類管理，加強權限管控，逐級授權開放。對數據進行脫敏處理，建立數據安全審查制度，加強對科研等數據使用的監管。利用數據庫審計，加大審核分析力度，對可疑數據進行排查，加強數據溯源管理。

　　針對個人信息保護，在程序端增加去隱私化、匿名化處理，對涉及個人隱私的數據，增加知情同意提示。強化審核及個人信息分類管理。制定信息安全事件應急預案，對處理敏感個人信息的情形進行評估。

加強自主研發，保障核心數據安全

　　醫院積極培養自主研發人才，開發自主可控的安全管理信息系統，實現對網絡安全、數據安全、個人信息保護相關的核心資產信息的管理。通過多因子認證、國密算法以及新技術的自主探索應用，持續提升信息化核心資源的安全管理能力。

　　網絡安全建設永遠在路上。下一步，醫院將持續完善制度建設，保障基礎環境安全;加強態勢感知和主動預警能力;推動國密算法等安全加密措施的落地實施;持續加強數據監管審計、數據監測和應急能力。另外，對重要數據進行定期風險評估，部署新一代安全保護設備設施，開展實戰演習、應急演練，提升網絡安全風險應對及應急處置能力;筑牢網絡安全防線，為醫院高質量發展奠定堅實基礎。

　　來源：健康報

　　作者：北京大學第三醫院信息管理與大數據中心 賈末、計虹

　　原文鏈接：《關注醫療數據安全 | 怎樣為醫院信息系統構筑“保護盾”》