基于等级保护2.0的医院网络安全防范与应急处置

关键词：计算机安全；智慧医院；应急处置；等级保护

中图分类号：TP311 文献标识码：A

文章编号：1009-3044（2024）18-0070-03

0 引言

随着2017年6月《中华人民共和国网络安全法》、2021年9月《中华人民共和国数据安全法》、2021年11 月《中华人民共和国个人信息保护法》相继出台实施，医疗卫生机构的网络安全合规性要求也越来越高[1-2]。医院信息化在为医疗行业带来便利的同时，也带来了各种网络安全风险，而医疗行业的信息安全更是与民生问题密切相关。一旦医疗行业发生信息系统瘫痪、勒索病毒等网络安全事件，不仅会对系统本身造成影响，危及就诊的患者生命健康，还会对医院整体利益造成不可挽回的损失，甚至对整个社会秩序和公共利益造成严重损害[3-4]。

1 医疗行业网络安全现状分析

随着国家鼓励互联网医院和“最多跑一次”等业务的发展，医院信息系统由原先封闭、隔离的网络系统逐步转变为与互联网体系融合的新模式。在医疗信息快速发展的过程中，这一转变为患者带来了便利，但也不可避免地给医院的外部网络环境带来一系列风险和挑战。各种病毒和外部入侵事件也层出不穷。根据CHIMA发布的《2021—2022年度中国医院信息化状况调查报告》显示，医院防火墙、入侵检测、网闸和漏洞扫描的使用逐年上升。通过梳理日常工作，医院层面的网络安全主要还存在以下问题[5-6]。

1.1 医院内网防护较困难

医疗行业内部系统繁多，对每个业务系统进行渗透测试需要大量的精力。而医院工作人员数量众多，如果对每个业务系统都启用强口令，必然会降低医院工作人员的整体工作效率。降低内网安全防护会带来一系列网络安全风险，一旦网络入侵者绕过安全设备直接入侵医院内网，将直接威胁医院核心业务系统。由于医院内部防范措施较为薄弱，如果一台内网服务器被控制后，入侵者利用该服务器对内网进行横向渗透相对容易。另外，需要进入内网的医疗设备往往由于软硬件兼容性等各种因素不允许院方安装杀毒软件等进入内网的必备软件，因此终端设备存在网络安全隐患。

1.2 网络安全防护能力弱

从人力角度看，绝大多数医院信息科工作人员身兼多职，负责多个业务系统相关工作，其精力无法与网络安全维保公司工程师相提并论，因此需要安全维保公司对网站进行防护。从安全设备角度看，医院所购买的设备大多是使用病毒特征库比对等手段进行静态的安全防护。如果病毒特征库更新不及时，将导致感染新型病毒的风险。然而，频繁更新防火墙等安全设备会对院内业务造成影响，干扰正常的医疗秩序。

1.3 医院部分人员网络安全意识薄弱

医院主体人员以医护为主，系统的安全性常常与便捷性相悖。医护人员缺乏专业的计算机处置能力，网络安全意识不高，在追求个人便捷的同时，也带来了信息系统外部的高风险行为。另一方面，医院内部工作人员出于各种原因需要使用U盘进行内外网文件传输，这在传输过程中会带来病毒等外部风险。随着医院规模的扩大，从外网到内网，从服务器到终端，难免会出现各种网络安全风险。这些风险常常是由于医院内部工作人员图方便或人为操作失误引起的。

1.4 医院外部第三方运维人员网络安全意识薄弱

由于医院拥有多种信息系统，不可避免需要引入第三方厂家进行建设。在厂家建设过程中，为了尽快解决相关问题，使用医院提供的虚拟专用网络（Virtual Pri⁃vate Network， VPN） 进行服务器运维。在运维过程中，厂家的数据传输到内网会带来病毒等外部风险，而厂家从自身服务器下载数据又会带来数据泄露的风险。

2 改进医院整体网络安全管理模式

针对医疗行业出现的各类问题，依据等级保护2.0要求，本文针对以上问题提出了三道防线，即建立提升网络安全思想意识、提升安全防护能力、打造数据备份和恢复体系，以提升整体网络安全防护能力。

2.1 第一道防线，提升网络安全思想意识

对于医院内部工作人员，积极宣传使用正版软件及操作系统。医院工作人员常常使用盗版软件和操作系统，而盗版软件常与病毒等行为挂钩。医院以软件正版化、软件国产化为契机，在医院内网建立小型的院内正版软件仓库，统一版本、统一采购操作系统、办公软件和杀毒软件。通过正版终端杀毒软件定期查杀病毒，通过虚拟化杀毒软件对服务器进行防护。针对院内员工内外网文件传输需求，搭建内外网跨网文件安全交换系统替代传统的U盘。在院内外网文件传输时，均须通过该系统，可以有效监管院内职工的文件传输行为，并可通过系统限制文件传输类型，杜绝病毒的传播。对于医院外部第三方运维厂家，在项目开始时签署《信息安全保密承诺书》，并提供VPN 结合堡垒机的方式访问院内服务器，通过堡垒机可在后台对厂家的各类行为进行审计，对厂家的行为进行有效约束。

2.2 第二道防线，提升安全防护能力

依据等保2.0的指导和管理网络安全工作的“信息化建设和网络安全委员会”，由医院书记担任组长，科室信息安全员小组作为执行机构的网络安全组织架构。根据等保2.0的要求，在岗位设置上将管理员岗位分为系统管理员、审计管理员和安全管理员三种角色，并根据角色给予相应权限，实现三权分立。在此组织架构的基础上，引入各类安全设备和设施以提升医院的防护能力。

利用态势感知平台及时发现外部风险。态势感知平台接入内外网流量探针后，通过对内外网流量的智能分析，可以发现高风险入侵行为和异常IP。通过防火墙联动的方式，态势感知平台自动封堵外部风险IP地址，避免外部风险的进一步扩大。

利用内外网防火墙控制策略和交换机虚拟局域网（Virtual Local Area Network，VLAN） 的划分提高网络的安全性。在内外网设置外网出口防火墙、内网防火墙和内网出口防火墙。利用网闸实现医院内部网络与外部网络的隔离。同时，对医院内部网络进行VLAN的划分，将医院内网划分为行政办公区、医疗业务区、医疗设备区、服务器管理区等多个不同的区域，并对不同区域设置不同的访问控制策略，对重要区域实施重点防护。针对医疗设备区可能不装杀毒软件的情况，通过准入设备绑定医疗设备的MAC地址保证入网设备的确定性，并通过核心交换机设置ACL访问策略进行限制。

2.3 第三道防线，打造数据备份和恢复体系

当数据丢失或数据库被勒索之后，数据库的备份和恢复是数据高可用的最后一道防线，保证系统数据崩溃时系统可以快速恢复数据。医院在信息系统建设之初就设置了各类数据备份策略，对重要业务系统进行每日全量备份或增量备份，确保数据的安全性，防止数据的丢失。按照医院电子病历五级评级要求，每一季度至少进行一次数据恢复验证，保障备份数据的可用性。同时，通过容灾系统保证重要系统数据与系统的数据恢复时间不大于2小时，数据丢失时间不超过1天，以保证在系统发生故障时，能够快速恢复数据和系统运行，减少因系统故障造成医院的影响和损失。通过以上措施的实施，医院网络安全防护能力得到了显著提升，有效地保障了医疗业务的正常运行和患者的就医安全。

3 医院应急处置

在实际业务生产环境中，不仅需要预防各种网络安全风险，当发生网络安全事件之后，也需要对各种风险进行及时处置。在实际医院生产环境中，通过应急处置演练可以模拟发生故障之后各科室的应对措施，可以提升各科室对突发事件的处置能力[7]。

3.1 应急处置分类

根据《信息安全技术信息安全事件分类分级指南》（GB/Z20986-2007） ，将网络安全事件分为四级：特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件[8]。根据医院实际情况，特别重大网络安全事件特指将造成医院信息系统大面积瘫痪，全院完全丧失业务处理能力，医院重要敏感信息被窃取、篡改等特别严重的行为，需由医院上报到上级主管部门统一处理。重大网络安全事件一般指医院信息系统30分钟以上业务中断且无法短时间内恢复或影响两至三个科室业务瘫痪，全院业务处理能力受到极大影响，医院重要敏感信息被窃取、篡改、假冒等严重行为，视情节决定是否上报上级主管部门，由医院网络与信息安全管理委员会处理此类事件。较大网络安全事件一般指影响医院一个科室的业务，对医院业务、患者就诊等行为具有一定的影响，由信息科科长处理此类事件，并需上报医院不良事件，在不良事件系统上再根据实际情况进行持续改进。一般网络安全事件指除以上事件外，不影响科室的正常运行的其他事件划分为一般网络安全事件，如个别诊室计算机硬件设施故障或个别计算机业务系统发生错误。针对此类一般的故障事件，由信息科值班工程师统一安排人员进行维修。接收到临床的报修消息或报修电话后，由信息科值班工程师分配工单至相关软硬件工程师，软硬件工程师完成后经报修人确认形成闭环。

实战防护演练可以在真实的网络环境中全方位评估所在网络的整体防护能力，检验医院的安全检测、防护和应急响应能力。随着信息化的发展，在医院层面的日常网络安全维护工作中，系统漏洞扫描、应用系统渗透测试、硬件安全设施加固也逐步成为日常工作。通过组织实战攻防演练，每个成员参与病毒的防护，了解外部入侵的整个过程，加深科室成员对常见的攻击行为的认识。

针对医院网络安全事件的分类，定期组织安全应急演练工作。医院根据每年度工作计划开展各方面的应急演练工作。医院信息科需每年度组织模拟网络瘫痪门急诊应急演练，针对数据库层面每年度组织一次容灾演练，针对网络安全入侵每年度组织一次安全防护应急演练。

在门急诊系统应急演练过程中，全院网络大面积瘫痪，全院信息系统完全丧失功能。全院门急诊开始使用单机版医院信息系统，保卫科、志愿者在门急诊进行疏导，导诊台护士分诊引导患者直接前往诊室。医生在诊室根据患者身份证挂号接诊，并按照每月维护的价表生成医嘱和诊断，打印出含收费金额的患者检验检查导诊单、药疗导诊单。患者持收费单前往收费处缴费，收费员根据标注的金额收取费用并盖收费章，同时根据复印缴费凭证作为交易凭据。患者按照盖有收费章的导诊单前往检验检查科室、药房。在网络恢复之后，由门急诊办公室统一指定医生录入故障期间患者的各类诊疗信息。事后若患者需医保结算，则需要前往医保局等机构进行线下报销，流程可见图2。

在容灾演练中，模拟业务生产数据库宕机。容灾数据库在业务正常时与生产库实时同步，一旦生产库发生故障，信息科及时启用容灾系统，使终端访问业务系统的容灾数据库，保证业务的正常运行。当生产库恢复正常后，容灾数据库将故障期间产生的数据同步到生产库，保证数据的一致性。

4 讨论及展望

网络安全是相对的而不是绝对的安全，具有时效性，新的网络安全漏洞在持续不断地被挖掘中。未来智慧医院的网络安全防护及应急处置应当参照等级保护2.0为标准，在技术方面提升主动防御技术，集中管控相关技术、可信验证技术、个人信息保护技术，在管理方面提升安全管理中心、个人信息保护制度。未来需要采用综合性网络安全防护技术来增强信息科同各环节的安全性[9]。随着未来信息技术的发展，各类外部风险仍将不断涌现，下一步医院层面需要善用涉密信息系统分级保护、网络安全等级保护、关键信息基础设施保护和商用密码应用安全评估等措施，为医院的网络安全保驾护航。在加强基础网络安全建设的基础上，通过强化外部风险防护能力的强化，构建持续改进的闭环安全防护体系。