基于三级等级保护的医院信息安全体系建设与评估

邯郸市中心医院信息科，河北邯郸056001

引言

随着医疗体制改革的不断深入和信息技术的广泛应用，以“互联网+”、移动互联为代表的新技术不断渗透到传统医疗行业中，医院信息化程度已成为医院现代化的重要标志。随之，网络安全的重要性也日益凸显，医院信息系统的安全性将直接影响到医院的正常运行。然而，近年来，网络安全形势日益严峻。各种安全威胁，如蠕虫、木马病毒、黑客攻击，对医院的信息网络系统和数据的安全造成严重的威胁[1-2]。近年来，网络安全事故频发，2017年由于方程式组织漏洞泄露，爆发了大规模勒索病毒事件，时至今日勒索病毒及其变种依然肆虐网络，为网络安全敲响了警钟。2017年6月，国家《网络安全法》正式施行，明确规定国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度的要求，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。医院信息安全建设进入了一个新的阶段。

目前，我院拥有医院信息系统（Hospital Information System，HIS）、电子病历（Electronic Medical Record，EMR）、影像归档和通信系统（Picture Archiving and Communication Systems，PACS）、实验室信息管理系统（Laboratory Information Management System，LIS）等各类信息化系统70多个，涉及临床、医技、行政管理、后勤运营等方面，2018年我院率先在河北省实现电子病历无纸化，对信息系统运行的安全性和稳定性提出了更高的要求。2017年10月医院正式通过了等级保护三级验收评审，2018年医院再度通过了等级保护三级复审，医院的信息安全工作上了一个新台阶。

1 等级保护概述

1.1 实施原则

医院等级保护的核心是依据国家相关标准对信息系统进行分级、整改和建设[3-4]，在实施安全等级保护的过程中应遵循以下原则。

（1）重点保护原则。依据业务系统的重要性，标定不同的等级，集中优势力量保护重点业务，实现重点系统的重点保护。

（2）全面防护原则。考虑安全风险要全面，兼顾技术层面的安全防护措施设计与管理措施的设计，双管齐下。不能片面化，只关注外部威胁，在采取由点到面的各种安全措施时，在系统整体上还应保证各种安全措施的组合运用，从外到内构成一个纵深的安全防御体系，形成全面的安全保护体系。

（3）动态调整原则。安全威胁不断更新变化，网络安全不可能一劳永逸，等级保护工作将会是一项持续性、长久性的工程。根据信息系统情况的变化，保护措施也要做出相应的调整。医院要有步骤、有计划地推进网络安全体系的建设。

1.2 流程与内容

医院等级保护的测评主要包括5个流程：准备、定级与备案、建设/整改、测评、监督与运维，见图1。其中，前三个流程一般由主管单位，即医院主导。在定级阶段，医院根据相关法律法规，制作定级报告，然后向有关单位递交备案表。现场测评由第三方测评机构主导。根据卫生部相关规定，三甲医院的核心业务信息系统的安全保护等级原则上不低于第三级。等级保护三级，即监督保护级，每年必须至少测评一次。等级保护测评主要包括两大方面：技术方面要求和管理方面要求。等级保护三级共有控制点73类，要求项290个，其中技术要求136项，管理要求154项[5-13]。

图1 信息安全等级保护的流程

2 系统安全建设与整改

2.1 技术方面

2.1.1 物理安全

医院充分发挥了两个院区的优势，在东西两区分别建立机房，当一个机房出现故障时，另一个机房能够保证信息系统的正常运行。机房需根据要求进行物理安全防护，包括防盗窃、放破坏、防雷击、防电、防火、防水、电力供应、温湿度检测和控制、电磁防护等。同时机房采取了严格物理访问控制，安排专门人员值守，入口和重要区域配备了电子门禁系统和监控防护设施，外来人员进入机房需进行严格的审批和控制，并在值守人员陪同下在机房活动。在整改前，机房采用一路不间断电源，整改后，东西区机房所有设备实现了双不间断电源保障，见图2。

图2 医院机房分布

2.1.2 数据安全及备份恢复

数据安全主要包括两个方面，一方面是指关键基础设施与设备、网络线路、服务器系统等硬件方面冗余；另一方面是数据备份与恢复。

在设备与系统方面，医院的主要业务系统在东西区主备机房采用双机冗余，针对的核心系统是HIS和EMR。东区主机房内各系统采用两台IBM P740服务器双机冗余，当其中一台故障时，能够实时切换；在西区备用机房里，分别使用一台IBM P520作为HIS及EMR系统的热备，当主机房出现紧急状况或者主机房两台小机同时出现故障时，确保核心业务的运行。整改后，PACS、LIS等其他业务系统也实现了东西区机房使用双机设计。连接主备机房内的核心交换设备都采用了双机、双线、双电，东西区机房之间采用三条独立的万兆光纤通讯。

在数据备份和恢复方面，在主机房内使用两组存储构建了镜像存储，HIS和EMR制定了备份策略，西区备用服务器同时制定了实时备份策略。整改后，在西区门诊楼添加了容灾机房，对HIS及EMR数据每天进行全量备份，保留最近三次备份数据。2018年，医院与第三方云存储厂家合作，通过云备份方案，将主要业务的数据备份到云存储上，实现了异地容灾备份。

2.1.3 主机与应用安全

主机安全主要包括身份鉴别、访问控制、安全审计、入侵防范和恶意代码防范。根据等级保护的要求对HIS、EMR等业务系统启用密码复杂度策略，定期修改密码；需要远程管理的系统，开启加密远程的功能；细分用户权限，设置系统管理员、普通管理员，普通管理员仅授予最小权限；删除过期账户和共享账户。基于操作系统最小安装的原则，关闭危险端口及默认共享；安装杀毒软件及防恶意代码软件，并及时更新。

针对科室的终端主机，首先区分账户权限，管理员与用户账户分离，普通用户只能使用guest权限；安装杀毒软件，采用卡巴斯基企业版，定期更新病毒库，定期进行全盘杀毒。针对业务系统，整改前，主要采用密码认证方式；整改后，医院引入了CA认证系统，临床用户只能持有个人信息标识的加密硬件配合用户名密码才能登陆使用HIS、EMR等相关应用软件[14]。

整改前，内网设备主要采用IP地址认证接入的方式。为进一步加强内网设备的科学化管理，2017年医院上线全新桌面准入控制管理系统；到2018年底，完全实现了全院内网1800多台设备的准入控制。通过准入系统，设备必须获得授权才能内接入内网，对恶意或未授权接入请求能够进行有效的阻断。通过控制系统，可以对内网设备进行策略管理，如U盘接入、驱动管理、双网卡管理、端口及服务控制，同时实现了内网设备加密远程控制，如远程访问、文件传输、远程软件安装等功能。

2.1.4 网络安全

整改前，东西区单核心交换机运行，多数的楼层交换机不可管理，全院业务网处在一个大的局域网LAN环境中。整改后，东西区核心交换机采用双机冗余设计，楼层交换机全部更换为可管理交换机，同时将医院内网划分不同的虚拟局域网VLAN，各个VLAN之间严格实施访问控制，依据实际需求分配访问权限。设备通过楼层交换机接入内网必须安装准入系统，移动查房等移动设备需接入无线网络必须进行mac地址绑定，而且无线核心上严格控制设备的数量和流量。

随着“互联网+”医院的发展，医院内网与外部的数据交流也日益增多，如医院移动应用、健康管理等互联网应用以及医保网、云存储等各类专用网络，网络边界的安全也逐渐成为网络安全建设的重要一环[15-16]。

整改前，医院的网络边界主要采用建立隔离区（Demilitarized Zone,DMZ）的方式进行防护，内外网没有实现物理隔离，对来自DMZ的威胁不能很好防护。如图3所示，整改后，网闸被应用到边界防护系统中，通过在医院内网与DMZ之间添加前置区域，实现了内外网的物理隔离。配合新一代防火墙，网络边界实现了多层次的纵深防御，每一层防护都能实现端口级的安全控制。同时在防护体系中加入了入侵检测防御防病毒、Web应用防护和抗拒绝服务等功能，用于保障内网的安全。

图3 网络边界防护系统

2.2 管理方面

基本管理要求和基本技术要求是确保信息系统安全不可分割的两个部分[17]。整改前，医院的制度建设比较薄弱，网络安全工作主要由医院信息科成立专门的网络安全小组负责，工作重心也集中在技术层面。从2017年开始，根据等级保护要求，通过不断的完善与改进，医院建成了完整的、自上而下的网络安全管理制度。机构设置如图4所示，各个部门职能分工明确，并通过有效的反馈机制，形成了PDCA循环管理。

图4 医院网络安全管理组织架构

（1）网络安全领导小组。由医院院长及负责信息系统的主管副院长组成，负责统筹医院网络信息安全工作，相关信息安全制度的审核，重大系统建设与变更，重要操作的授权以及关键安全岗位任免的审批。

（2）网络安全办公室。负责信息安全制度规范的建设、制定与改进；人员的安全管理：安全主管、安全管理各个方面的负责人、系统管理员、网络管理员、安全管理员、各科室网络安全管理小组等岗位人员的录用、考核及备案；对外交流工作：业界相关专家及公司的合作、沟通与交流机制的建立、信息安全相关会议的定期组织等。

（3）信息安全小组。主要由系统管理员、网络管理员、安全管理员等岗位组成，主要职责包括负责机房、服务器、数据存储器、网络主干线路等网络核心部分的安全；定期组织专业人员对科室进行网络安全普及培训，提高人员的安全意识；对全院所有科室进行包干负责，每周对重点科室进行排查一次，每月对全院所有科室排查一次。

（4）科室网络安全管理小组。由科室主任、护士长及1-2名熟悉计算机软硬件和网络基本知识网络安全管理员组成，主要职责包括按照医院信息系统安全相关制度指导科室人员工作、科室日常网络安全排查、及时向信息安全小组反映有关问题、定期听取安全管理员的工作汇报，并对科室网络安全工作进行总结。对于破坏网络安全的非法行为，责任到人，对相关责任人根据事故大小和危害进行不同程度的处罚。

3 测评结果分析

在根据等级保护的要求对医院信息系统进行建设、整改和自评达到要求之后，现场测评工作正式开启[15]。通过现场考察、访谈和文档审查等方式，结合等级保护的具体要求，针对总计290个要求项进行逐项测评。

针对评测结果，本文提出了重点保护与分项评分相结合的评估方式。重点保护即测评过程中将一些对系统安全影响重大的要求项设为必须项，实行一票否决制，任意一项不符合则无法通过评审。在符合所有必须项的前提下，对每个小项进行加权得到测评最终的分数。测评分计算如式（1），其中p为每个要求项的评分，q为每个小项的最高分，我们在评测中取q为5，W为每个小项的权值。每个小项测评结果为不符合、部分符合以及全部符合三项，其中不符合为0分，符合为最高分，部分符合由评审专家根据符合的情况给出相应分数。最终加权获得总分然后转换为百分制得到最终评分P，60分及以上为满足评测要求。

图5 为根据评测方案得到的结果，包括整改前结果、2017年整改后测评结果及2018年整改后测评结果。通过图5可以看出，医院的信息安全在整改建设后有了明显的提升。

图5 评测结果对比

在监督运维阶段，医院一方面要接受公安机关和上级主管部门的监督和指导，另一方面医院也要定期进行自查，例如对照2019年4月实施的《网络安全等级保护测试评估技术指南》[18]，医院对信息系统进行了全面的渗透测试，并对照测试结果着重整改了薄弱环节。

4 讨论

通过等级保护测评，医院的信息安全建设得到了长足进步。在进行等级保护测评前，医院的信息安全建设相对滞后，与近年来医院的信息化建设高速发展不相匹配。整改后，医院建立了系统的信息安全体系。

首先在技术上，一方面通过及时引进新技术、新设备，将信息安全建设融合到信息化建设当中，提高医院信息系统的安全防护能力；另一方面，充分利用医院自身的特点，提出新的方法，例如在院区设立两个核心机房，实现业务系统双机冗余、数据跨区域备份等，在网络边界区域，在传统的DMZ方式基础上进行革新建立了新的边界保护体系。自2017年起，在信息系统和数据量不断暴增的情况下，医院保持了安全稳定运行，未发生大规模网络故障和信息安全事件。尤其是桌面控制系统上线后，医院内网电脑病毒感染率和系统故障率明显下降。

其次在管理上，我院改变以信息部门为主导的点工作方式，建立了自上而下、以点带面、分工明确的管理制度，将信息安全管理渗透到全院。统一的管理机制实现了信息化建设与信息安全建设统一规划，在信息网络新系统、新技术建设阶段就考虑信息安全，防止信息安全建设的滞后。例如2018年，医院手机移动App在建设初期就将信息安全纳入规划。有效的反馈机制能够迅速发现信息安全系统在使用过程中存在的问题，并对其进行整改。同时经过定期培训和演练机制，全院职工的网络安全意识和信息安全技能也得到了很大提高，为医院“互联网+”战略的推进奠定了坚实基础。

在测评评估阶段，我们在之前对每一分项划分为符合、部分符合、不符合等传统的标签式评估的基础上，结合医院的现状，提出了重点项目一票否决和分项详细量化评分相结合的方法。在更加突出重点的同时，对医院信息安全系统描述更加精确和全面，弥补了传统评估方法的不足。

目前，医院信息工作重点主要是两方面，一是实施“互联网+”医院战略，在现有医院手机App基础上，将陆续上线集成移动支付、预约挂号、居民健康卡、远程在线诊断等功能；在病案无纸化的基础上，医院病区将实现移动查房、远程诊疗等功能，同时智能导诊、手术机器人等也在实施当中。另一方面是区域医疗集团战略，医院将与多家二级医院和一级社区卫生服务中心构建医疗集团，实现分级诊疗、医保打包付费等功能以及人员信息一体化管理。由于原来医疗结构分布广、信息化水平不均衡，集团的信息建设与对接工作也对信息安全工作提出了新的挑战。2019年7月，等级保护2.0标准开始实施，新标准针对近年来网络安全形势做了大量的修订与补充，例如增加云计算、移动互联和物联网的安全要求，而这些正是目前医院网络安全重点和薄弱环节。对照等级保护2.0标准，进一步完善医院信息安全体系将是未来工作的重点。

5 结论

总之，通过在医院开展等级保护评审工作，结合HIS的实际情况和安全需求，整改和建设医院信息安全体系，对于保证医院网络安全具有重要的现实意义。同时，也必须意识到信息安全不是绝对化的，医院的信息安全工作也不是静态化，而是一项动态的持续性工作，虽然医院通过了三级等级保护的评审工作，但在某些方面还存在一定的不足。医院依然需要根据信息系统的变化和等级保护要求的变更，不断改进安全技术和完善管理制度，使医院的信息安全体系更加有效和健全，最终达到保护HIS安全的目的。