关于提高医疗行业网络安全保障能力的建议

　　近年来，医疗行业信息化快速发展，互联网、大数据、云计算等新兴技术与传统医疗不断深化融合，促进了医疗服务水平提升。与此同时，医疗行业面临的网络安全风险也逐渐增多。虽各方高度重视，但国内医疗行业网络安全仍处于工作起步较晚、整体风险较高、防护水平相对落后的局面，网络安全形势不容乐观。

　　为了保障医疗行业网络安全稳定运行，帮助医疗行业网络运营者做好网络安全保障工作，中国软件评测中心网络空间安全测评工程技术中心（以下简称“中国评测网安中心”）根据医疗行业网络安全现状和保障需求，基于近三年医疗行业网络安全的测评经验，提出了医疗行业网络安全实现架构。该架构分别从安全物理环境、安全网络架构、安全计算环境、安全制度管理和医疗数据安全方面提出了医疗行业网络安全重点实现内容。其中，安全物理环境和安全网络架构是网络安全防护基础；安全计算环境是网络安全防护的重要组成部分；安全制度管理和医疗数据安全工作需覆盖到物理环境、网络架构和计算环境三个层面。基于该实现架构，重点开展以下四个方面工作。

　　重视网络安全基础防护

　　1。加强机房安全建设。物理安全是系统安全的基础，保障系统物理安全工作的重点是保护机房安全。如果机房环境遭到物理破坏或非法入侵，那么系统将直接不可使用或者发生数据泄露，这是对系统最简单直接彻底的破坏。这种安全威胁不需要任何技术手段，部署的安全产品都无法发挥作用，所以机房安全建设是最基础的防护措施。

　　根据中国评测网安中心对医疗行业信息系统的测评经验，在机房安全方面，建议用户关注以下四点：一是使用专用的房间建设机房。房间所在的建筑物应具有防风防雨防震能力，机房不能在建筑物的顶层或地下室。二是确保机房附近没有水源，防止用水设备故障影响机房设备正常运行。三是为机房设置门禁系统并避免闲杂人员访问。四是建设灾备机房并实时备份数据。

　　2。完善安全网络架构。系统网络架构是系统运行的基础，设计安全的网络架构是保护信息系统安全的前提。系统网络架构如果存在安全缺陷，使用再多的安全防护措施都无法修复，并且后期的整改费用昂贵。中国评测网安中心建议，从网络规划阶段就重视网络架构安全设计，并关注以下三个方面的内容。

　　（1）安全划分子网。分出数据存储区、非军事区（DMZ区）、运维区、办公区等子网，如有必要根据职能不同对办公区做进一步细分。不同子网间部署防火墙进行隔离，避免将重要网段部署在网络边界处，通信线路和关键设备要有硬件冗余。

　　（2）配置细粒度的访问控制策略。根据中国评测网安中心的测评经验，现在大部分系统的访问控制策略没有设置到协议端口，并且源IP地址和目的IP地址的范围偏大。建议根据业务理清IP间相互访问规则和其间的访问协议，并确保运维区不能直接访问互联网，把访问控制表记录下来，以便后续增加业务需求时与总体访问控制规则保持一致。

　　（3）使用安全设备提高网络安全防护能力。网络中应部署IDS/IPS、防毒墙、WAF、资源监控系统、垃圾邮件检测系统、上网行为管理系统、堡垒机和日志服务器等安全设备，并定期更新安全设备的规则库和系统版本。

　　建设安全计算环境

　　安全计算环境涉及交换机等网络设备、防火墙等安全设备、服务器操作系统、数据库管理系统、中间件和业务系统。在安全计算环境层面，建议重点关注登录口令复杂度和安全审计两个安全控制点。

　　1。强制使用复杂口令。设备和软件安全的第一道防线是身份鉴别，黑客攻击系统的一般方法首先是猜测或爆破登录口令，然后再进行其他破坏操作。身份鉴别是设备和软件安全的重要模块，使用复杂密码，可以有效阻止三分之一以上的网络攻击行为。建议从以下几方面关注用户口令安全。

　　（1）为设备和软件设置复杂口令并定期更换。按照网络安全等级保护要求，确保口令至少8位以上，包含数字、大小写字母、特殊字符中两种或以上，交换机、防火墙、服务器等重要设备的口令在等保要求基础上尽量复杂。

　　（2）设置企业自己的登录口令，不使用厂商运维人员的口令。同一个厂商的设备可能部署在不同企业，他们的运维人员可能为不同企业设置相同的运维登录口令。这类口令在业内类似于明文存在，应该避免使用这些口令。

　　（3）避免使用共享账号。不同运维人员不使用同一个账号登录系统。

　　（4）使用双因素身份鉴别方式。双因素认证的其中一种身份鉴别方式是系统用户所记忆的内容，如口令、身份证号码、PIN码等；另外一种身份鉴别方式是系统用户拥有的实体，如Ukey、动态令牌等。

　　堡垒机提供定点登录管控和审计功能，在系统设备较多的场景下，用户可以部署堡垒机对系统设备提供统一登录管理。堡垒机将双因素认证、用户权限分配、安全审计功能集中实现，并且能够减少零散管理用户的繁琐。

　　2。注重安全审计。安全審计功能是为了在安全事件发生后可以溯源，以便尽快修复系统，找到事件发生源头，并做好预防和惩戒。一旦发生安全事件，之前做好的审计记录就是修复系统并找到攻击源的重要途径。建议关注以下几个方面。

　　（1）对重要用户行为进行审计。关注用户登录登出、修改口令和修改用户权限等事件的审计。

　　（2）保护审计进程。防止审计进程受到未预期的中断。

　　（3）实时备份审计日志到日志服务器。攻击者攻击系统后会清理攻击痕迹，所以要保护审计进程和审计记录。使用网络审计和数据库审计系统对日常操作行为进行审计。

　　加强医疗数据安全保护

　　医疗行业对数据的保密性和完整性要求都很高。建议从以下三个方面严防数据泄露和篡改事件的发生。

　　1。加密存储与传输数据。为设备和系统建立普通权限账号，远程访问系统时使用普通用户身份通过SSH或HTTPS协议。

　　2。加强数据备份与恢复。在医院网络信息化系统中，数据备份尤为关键，这是系统面临安全隐患问题时数据恢复的最佳途径。建议网络安全管理人员根据医院实际情况，从业务需求出发，对各科室的数据进行等级划分，随后按照等级进行数据备份，备份内容可以存储在磁盘或者云平台中。当医院信息系统面临系统数据不可用时，可通过数据备份将数据尽快恢复，保证业务正常开展。目前，医院可以应用HIS服务器完成数据存储与保护处理，确保医院所有信息与数据的完整性，为数据恢复奠定基础，确保医院各科室工作正常展开。在系统上线后，应实时备份重要数据，定期检查备份数据的有效性，保证备份数据能保存6个月以上。

　　3。注重数据脱敏与分级保护。公众场合或支付场景展示数据时，无论是移动终端还是公示大屏，患者关键信息应该采用脱敏的方式来显示。比如姓名的第二位或第三位、身份证号的部分数字、手机号的部分数字用星号来代替，防止患者数据被其他人员掌握。在数据分级保护方面，不仅对患者病史数据进行分级保护，对医护人员医疗行为的操作权限也应进行分级，需要能够区分在授权情况下医护人员数据调用行为、数据管理员的数据管理行为、应用开发商的软件调试行为，不同的数据访问有相应等级的安全操作。

　　强化网络安全制度管理

　　1。完善应急预案与响应机制。建立网络安全应急响应预案，进行预案培训与演练，及时修订应急响应预案。保证发生安全事件时，系统运维人员能有步骤有策略地应对，降低损失。

　　2。加强网络安全人员管理。建立内部运维管理团队，提高人员专业技能。医院信息化进程中对网络安全人才不可或缺，而现在医院体系里不但缺少网络安全人才，而且缺少计算机专业人才，不能专业地完成信息化建设工作。服务外包形式的前提要有自己的专业人员领导，能够把控外包给第三方公司所存在的安全风险。一是完善岗位设置，在人力资源充分条件下，尽量避免网络管理员、安全管理员、安全审计员这三个岗位兼任。二是加强人员培训，根据业务需求为不同人员提供与其岗位对应的技能培训。不但要进行技术人员培训，系统使用者的培训也尤为重要。三是强化人员考核，通过考核督促相关人员主动提高专业技能，并提高培训效果。

　　刘思思 徐丽娟 路红 李杺恬 黄峥 张德馨