引言：

随着信息技术的快速发展与融合创新，近年来，医疗行业将各种新技术、新业务、新终端运用到医院与公共卫生的管理系统和各项业务功能中，对医院、公共卫生系统进行流程化管理，实现特定的业务功能，医院的管理水平、业务效率、服务质量都得到了极大的提升，不论对医院还是患者，都在享受信息系统带来的高效和便利。与此同时，用于支撑信息系统的各个环节，包括网络、系统、终端等安全问题相互交织、相互影响，敏感信息扩散、病毒传播、网络攻击、业务中断等安全威胁日益增多，成为医院信息管理部门不得不面临的一个严峻课题，保障应用系统整体的安全、营造健康的网络环境，面临着前所未有的压力和挑战。

医院信息化安全建设之路没有尽头，从技术上也无法做到绝对安全；技术在发展和更新的同时，安全隐患也在动态的变化。从近年大多数安全事件的原因分析来看，一方面随着技术的发展，来源于外部攻击的方式层出不穷，攻击方式更加隐蔽，攻击工具更智能化，攻击的破坏力更大，更加难于处理和防范；另一方面，来自于内部的攻击威胁日趋严重，以经济利益驱动的攻击和窃取医疗信息等重要数据行为成为新形势下的主要攻击形式。

如何对数据采集、数据传输、数据存储以及数据使用进行有效的安全控制，同时在应用系统中断后如何采取有效的快速恢复处理措施，在安全投资与应用效果之间达到平衡，合理有效地构建信息安全体系，是医院决策者需要做好的头等大事。

一、医院信息化建设安全目标

医院信息系统的安全直接影响到医院能否正常有序的提供医疗服务。建立健全的信息安全保障体系，全面保证医院各业务系统整体安全的目标，本着“管理与技术并重、分级防护、集中管控、循序渐进”的方针，逐步提升“风险识别、威胁主动防御、事件响应处理”三项安全保障能力，为规范及优化医疗行为、提高医疗活动效率、提升医疗质量和患者体验，最终提高医院运行效率。各级医院根据自身的实际情况可利用1-2年的时间建设较完备的信息系统安全保障体系，具体建设目标包括如下几点：

（一）业务连续性目标

医院应用系统需要提供7×24小时的业务连续性，任何原因引起的医院应用系统中断，不仅严重影响医院的正常运转，给医院带来社会负面影响，严重时还会加剧医患矛盾、产生医疗纠纷。因此，建设一个安全、稳健的高可用应用系统，既是保障医院信息服务的基本条件，又是终极目标。

（二）数据安全性目标

数据安全首先要保证数据能够被安全传输、保存、利用以及数据文件备份和恢复等，即数据在传输、保存以及被利用的时候，避免被非授权人员拦截、篡改、盗用，以及授权人非法使用，以及根据国家相关规定各类数据保存年限选择合适的保存方式；因此，需要在物理环境、网络环境、应用系统、主机服务器、管理体系等方面做好安全策略选择，以实现数据安全目标。

二、医院信息安全面临的威胁与挑战

根据影响信息安全所涉及的不同方向，我们从技术和管理两个维度分析了以下六个方面的问题：

（一）物理环境安全威胁

医院信息安全的首要任务就是要保障信息机房的安全，机房供电安全、场地环境条件以及荷载安全、温湿度、消防安全、空调及防尘等细节均影响着机房运行的安全，所以，在机房建设之初就需要做好物理环境安全的规划设计，避免此类安全威胁。

（二）网络安全威胁

医院构建网络基础架构设计在很大程度上决定了基础网络的可靠性和安全性，主要包括网络安全域设计思路、划分原则、边界整合、安全防护措施等，因此在网络拓扑结构设计的同时就要考虑到各种各样种类繁多的安全威胁。为了防止医院内通信网络阻塞、中断、瘫痪或者被非法控制，以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展相应的风险识别、威胁主动防御工作，安全防护工作坚持积极防御、综合防范、分组保护的原则。

1、来自外部网络安全威胁

网络外部安全是通过暴力破解或字典破解等破坏方式，干扰业务网络正常运行，甚至使通信服务中断、瘫痪或者被非法控制，采用密码盗用攻击、恶意端口和IP地址扫描、抗拒绝服务攻击DDos、木马、传播计算机病毒等手段，并不断更新恶意攻击方法，以威胁信息安全。

2、来自内部网络安全威胁

据ICSA(International Computer Security Association:国际计算机安全协会)?统计，来自系统内部的安全威胁高达60%，非法用户的入侵、合法用户对系统资源的非法占用、非法用户对业务数据进行恶意篡改等；发生以上原因，主要涉及到系统管理员权限管理缺失、使用人员的违规操作、人员安全意识淡薄、共用共享账号密码、少数内部人员恶意破坏都是导致内部安全威胁的主要来源。

3、多网融合发展所带来的网络安全问题

传统医院网络建设，因信息安全考量而划分为独立的物理网络建设，一般分为内网、外网、银联专网、医保专网等，整体网络应用操作体验差，人为造成医院内部数据互联互通、数据共享等障碍，形成信息孤岛和信息烟囱；业务系统中资产价值最高的设备往往位于内网，如服务器群、数据库以及重要存储设备，外部不能通过互联网直接访问该区域内设备。该区域仅和该业务系统其它安全子域直接互联，不与任何外部网络直接互联。但随着网络、通信以及安全等技术发展，以及数据互联互通、数据有效利用的需求不断增加，在构建IT网络架构时，更多医院已经采用多网融合技术，在物理层面打通网络壁垒，通过选择适宜的安全策略，提高数据传输、共享效率和安全性。

（三）主机安全威胁

主机安全主要是指非授权人进入服务器，对系统设置、数据进行篡改，从而影响系统正常运行，这里既包括接入网络终端的使用权限分配和管理，也包括对主机入侵进行防范，须特别关注主机防病毒、系统漏洞扫描、终端安全、身份认证等策略的选择及执行。

（四）应用安全隐患

医院信息系统实际上是指在医院内部，为医院运行数字化、智能化，采用几十或上百种各类应用系统实现医院数据互联互通、高效共享，在各类应用系统运行时，会存在以下几种隐患：

其一、各应用系统资源分配时，没有进行审慎的资源规划，导致资源分配不合理或资源利用率不足，这均会给系统运行带来隐患；其二、启动、运行各应用系统时，需做身份识别和访问控制，如口令简单、管理混乱也会对应用系统安全运行带来威胁；其三、没有完备的容灾系统支撑，预案准备不足，医院HIS、电子病历等核心业务系统需要7×24小时运行，当支撑应用系统的某个环节和子系统出现故障，无法通过启用容灾系统来恢复业务服务，导致数据丢失或数据恢复时间过长等问题。

（五）数据安全

医院各类应用系统生产并保存的数据，针对数据安全可以分为两大类，其一、根据国家相关法律法规，医院必须对所有数据进行分级管理，数据分为公开、内部、秘密及机密四级，避免外部基于商业、政治或外国战略等目的窃取医院数据，进行非法利用；其二、数据备份与恢复的安全需要，尽可能在数据文件损坏、误删除等情况下及时恢复，如果医院在数据备份和恢复等方面考虑不足，那么数据安全将无法保证。

（六）安全管理隐患

1、信息管理部门组织管理安全；

医院安全管理体系建设均有信息主管部门牵头设计、制定，如果没有统一领导、技管并重，建立以预防为主、责权分明、重点防护、适度安全的管理体系，必然会出现管理混乱、漏洞百出等现象。

2、缺乏信息安全管理制度、系统权限管理制度、数据库管理制度、机房管理制度等基础安全管理制度；没有基本制度，就无法规范信息管理过程中的各种操作、行为，必然会存在更多的安全隐患，因此建章立制是信息主管部门重要工作，除此之外，还需严格执行，强化有法可依、有法必依、执法必严、违法必究，在管理层面上杜绝安全隐患和威胁。

3、离职人员管理不细、不严；

4、信息部门工程师缺乏安全意识，安全知识储备不足；网络攻击手段多样化、复杂化以及机房设备老化的问题，使得医院信息部门的技术人员在危机出现时面临更大的考验，而难以获得有效的信息安全技术培训、安全知识储备不足，又使得技术人员往往缺乏处理安全事故的实战经验，因此医院信息部门技术人员知识储备的不足也成为影响医院信息安全的不利因素。

5、对在建项目与已建项目之间的协调配合没有做好安全审计思考；6、未建立项目管理、售后服务管理及日常维护监督、报告制度；7、未建立健全应急预案以及应急能力训练；没有一套可操作性强的医院信息安全应急预案，并且缺乏规范的应急演练，一旦出现信息安全事故，导致医院业务系统停止运行或者效率下降而且不能及时排除故障，就会造成医疗秩序混乱，严重时甚至会造成数据丢失或者信息泄漏，影响信息安全。

8、未建立基于信息安全的持续改进能力；

管理缺失，会对系统带来致命性打击，“三分技术、七分管理”，再好的技术方案均需通过管理落地，根据医院安全技术发展及各类安全威胁与隐患增加，逐步研究、制定、部署医院安全防御措施，从而建立医院持续改进能力。

三、医院信息安全部署决策分析表

在进行安全防御的时候，我们基本都是在被动的防御，披上厚厚的铠甲，在每个关键节点上设置防止病毒或黑客入侵的设备设施，尽可能避免出现可能被攻击的漏洞；事实上，不管在内外网边界上、还是应用系统、物理环境、主机安全等方面增加怎么样的防护，如设置防病毒网关、防火墙、防入侵、流量控制、各类人员身份认证等，怎么增加安全投入，也无法实现100%的安全；在目前实施的被动式安全策略情况下，如何做好安全投入与安全目标的平衡，我们通过建立信息安全部署决策表，详见表1：医院信息安全部署决策分析表（仅供参考），根据医院等级、信息系统规模以及高峰时段会话数量，结合医院实际情况，通过必选、可选项来确定以下具体安全部署项目，控制安全投资与安全目标的平衡。

（一）物理安全决策

1、供电与UPS系统

（1）配备稳定的机房电力供应系统、UPS系统以及应急电力系统；（2）供电电源技术指标应符合GB/T2887-2011《电子计算机场地通用规范》中的规定，即信息系统电力供应应在负荷量、稳定性和净化等方面应满足需要而且要配备应急供电措施；（3）输出到不同用途的机柜、机架的电源接入需要提供合理、充足的容量（负荷），安全、标准的连接插头（PDU)。

2、中心机房环境（场地安全）

（1）信息系统机房场地条件应符合国标GB/T2887-2011的规定；（2）信息存储场所应符合国标GB/T9361-2011规定第9章的规定，具有完善的防水、防火、防雷、防磁、防尘措施；（3）机房建设应符合国标GB/T9361-2011中A／B／C类中的规定，以及在场地选择、防火、内部装修、供配电系统、空调系统、火灾报警、消防、防水、防静电、防雷击、防鼠患方面的具体要求。

3、设备安全

（1）严格执行出入机房登记的规则；

（2）有访客和第三方服务人员进入机房时需要由内部员工陪同；（3）避免非授权和无关人员能够接近重要设备而带来信息安全风险；（4）部署机房视频监控系统，无死角覆盖机房全部位置；（5）安装警报系统以检测和报告非法进入的情况；（6）设备应放在可加锁的机柜/机架中；（7）设备应放在进出得到控制的上锁的专用房间内；（8）敏感的备品、备件、材料应保存在上锁的文件柜中。

4、一体化数据中心

建设完备的机房动力环境监控系统，对机房设备实现集中监控，包括对机房动力系统（包括配电柜和UPS）、环境系统（机房精密空调、非精密空调、漏水检测、温湿度监测、烟雾检测,消防监测等）、安防系统（门禁、防盗报警等）、消防系统的监控管理。

表1：医院信息安全部署决策分析表

（二）网络安全决策

1、网络安全架构设计

架构合理，设备冗余，三层交换，VLAN划分，运维监控，备用链路；重要岗位配置备用设备。

2、网络访问控制

（1）网络准入控制，部署统一的管控平台，实现各类安全产品的管理，其实现的功能包括安全域内的身份认证、权限控制、病毒防护和补丁升级，各类安全事件信息的收集、整理、关联分析，安全审计、入侵检测和漏洞扫描等；

（2）网络的区域分离，对各子域之间互联可通过边界防火墙或者ACL访问控制列表方式实现访问控制，核心业务区的各个业务子系统之间采用VLAN、防火墙等方式进行隔离，VLAN间应通过ACL进行访问控制；网络连接控制，汇聚交换机上配置ACL访问列表，实现针对内部系统的访问行为进行控制；

（3）网络路径控制；

3、网络防入侵检测、防御及安全审计

（1）部署入侵检测系统并开启告警功能来防范；

（2）部署网络型入侵防护系统并开启告警功能来防范，部署在网络防火墙之后，实现对网络上的流量进行检测防御；

（3）部署网络行为审计系统来管理内部网络。

4、网络边界安全防护与审计

（1）通过在边界位置部署UTM或者NG Firewall来实现入侵防护、网关级防病毒、安全通道目标；外部终端接入可采用可审计的VPN连接，将数据校验等安全功能都开启；

（2）在防火墙上只开放必须的服务端口，并设置严格的访问控制策略，以控制互联网用户、外部用户和其他业务系统用户的访问；

（3）安全配置加固，针对本区域网络设备，包括无线网络设备进行安全配置的检查和配置加固工作，提高设备自身的安全性；

（4）部署非法接入预警系统；

（5）在资金预算不足的情况下，可通过选用具有防毒墙、防火墙、流量控制等多功能的一体化设备实现防护，但安全性不及专业的设备；

（6）部署具有拒绝服务攻击防护功能的设备实现相关功能。

5、网络流量控制及互联网出口防护

（1）对于访问互联网的流量进行必要控制管理；

（2）面临来自外部的风险，应针对该出口采取如访问控制、网络防毒、入侵检测等安全措施。

图1：大型三甲综合医院常规网络拓扑图

（三）主机安全防护

1、服务器安全

（1）设备支持故障预警功能，支持内存保护、支持本地磁盘配置为RAID1、RAID5或其他保护级别的RAID，支持冗余电源，支持硬盘和PCI板卡热添加、移除；

（2）安装原厂正式版操作系统并升级到最新补丁，并对操作系统进行安全加固。

2、终端安全及身份认证

（1）安装原厂正式版操作系统并升级到最新补丁，开启操作系统防火墙，配置防护策略，关闭默认开启的服务和端口，部署病毒防护软件，启用复杂密码和密码定期更改

（2）除原有口令外再增加另一种鉴别技术，比如动态口令、CA证书、指纹等。

3、主机安全审计

（1）在主机系统中分别创建和分配系统管理员、安全管理员、安全审计员，各种角色职责权限分立、互不兼任，约束各个管理员的行为；

（2）启用日志功能，记录主机和设备的安全事件；

（3）对操作系统和应用程序配置为不改写事件；

（4）经常轮换日志文件以确保有足够空间可用；

（5）将对日志文件的访问限定为管理员级别账户；

（6）将日志写入中央日志服务器；

4、主机入侵防范及防病毒

（1）在主机操作系统中部署入侵防护功能的软件；

（2）任何操作系统都存在漏洞和缺陷，应周期性地检查系统漏洞，对已知的漏洞及时更新补丁。

5、系统漏洞扫描

（1）通过专业的漏洞扫描工具对网络内的所有操作系统和数据库系统进行漏洞扫描并修复漏洞；

（2）可采用购买服务的方式定期扫描漏洞。

（四）应用安全策略

1、应用资源合理分配

（1）通过监控应用系统对各个子系统（包括CPU、内存、磁盘及网络IO）的资源利用情况，掌握应用系统对支撑平台的资源利用范围，对资源利用率严重不足的系统做针对性的性能优化，包括提升硬件设备配置，优化操作系统参数和应用程序代码；

（2）避免在业务高峰时段执行影响应用系统正常运行的任务；合理采用虚拟化解决方案和私有云技术分担核心的压力。

2、应用系统身份识别和访问控制

（1）增加口令复杂度校验功能，除原有口令外再增加另一种鉴别技术，比如动态口令、CA证书、指纹等；

（2）对应用开发者提出安全要求，对易攻击的特殊字符进行校验和过滤；

（3）部署应用层安全防护设备(WAF防火墙、ADS等）；

（4）根据应用系统开放的端口，关注高危的管理服务以及蠕虫、木马等常用商品是否开放；

（5）在关键应用程序中强制执行密码策略控制；

（6）对关键应用程序在处理敏感数据和业务关键数据时进行加密；

3、业务连续性

（1）HIS系统采用2台或多台服务器配置为集群模式提供服务，并在前端部署应用负载均衡设备；

（2）其他应用系统采用2台或多台服务器通过集群软件配置为主备、互备的高可用模式；

（3）采用虚拟化高可用技术，比如HA、DRS、FT方式提高应用系统的高可用和灵活性；

4、应用系统容灾

尤其对于医院HIS、电子病历等需要7×24小时提供服务的应用系统，当支撑应用系统的某个环节和子系统出现故障，可通过紧急启用容灾系统来恢复业务服务，缩短中断服务的时间。常用的技术包括存储镜像复制、数据库同步复制等方案。

图2：三级系统安全保护环境建设框架图

（五）数据安全策略

1、数据库审计

（1）部署数据库审计系统并制定审计规则，对违反规则的访问行为进行相应的干预操作；

（2）按审计规则形成多种形式的审计报告；

2、数据保密

按数据资源的敏感程度进行分级，分为公开、内部、秘密、机密四级：

（1）公开：所有可以为内外人员获取的信息如：医院公开医疗政策等，公开数据应保证其完整性和信息的及时性，确保信息的使用人能够及时正确获得所需要的信息；

（2）内部：只可以(或希望)为内部人员获耿的工作秘密、商业秘密信息，内部信息必须保证只能在全院网络管辖范围内被及时、正确地使用：

（3）秘密：只可以为全院一定范围人员获取的信息，并且有安全级别的要求；

（4）机密：极少数的医院指定人员获取的最高秘密信息(根据有关规定，绝密信息不能上网)。

3、数据备份和恢复

（1）制定完善的数据保护方案，执行严格的备份执行计划；

（2）利用备份软件在合理的时间窗口完成不同应用系统关键业务数据的备份，副本数据保存；

（3）根据医院对数据使用要求，数据可以在线、近线以及离线保存，确保数据的可用性、有效性和完整性；

（4）在出现数据文件损坏、误删除的情况下，利用副本数据完成恢复；

（5）避免将生产数据和备份副本数据存储在同一物理设备上。

（六）安全管理体系

1、管理安全和机构设置

（1）管理安全

确定人员责任，培养安全意识与习惯，灌输安全理念，进行相关信息安全培训，尤其是提高信息中心网络管理与技术人员的安全管理技术，使用先进网络管理软件与安全软件，对网络和安全设备进行合理有效的配置与管理，确保整个系统的安全。

（2）信息安全领导小组

统一领导、技管并重、预防为主、责权分明、重点防护、适度安全。

（3）信息安全工作小组

设立专门的安全管理员和审计管理员岗位，该岗位不兼任其他职责。

（4）信息安全协调小组

被迫启动应急预案时，由安保、财务、医疗、护理等组成的协调小组，负责维持正常的医疗秩序以及疏导患者和家属。

2、安全制度建设

（1）信息安全管理制度

（2）系统权限管理制度

（3）数据库管理制度

（4）机房管理制度

（5）离职人员信息管理制度

终止职责，任用终止或任用变更的职责应清晰的定义和分配；资产的归还，所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时，应归还他们使用的所有组织资产；撤销访问权，所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权，应在任用、合同或协议终止时删除，或在变化时调整。"

（6）其他信息管理制度

合具体情况，制定并梳理管理制度；定期对安全管理体系的适用性进行评估，变化较多的情况下进行重点修订（比如每年一次）；加强安全制度的宣传，将信息安全知识作为考核的一部分；针对系统的关键责任人员（如安全员、系统管理员、网络管理员），在上岗和平时的考核中，包括信息安全的知识和认知。

3、系统建设与管理：规范项目建设前期、方案设计及优化、施工管理、交付与验收管理等；

4、运维管理

（1）服务外包

定期监控和评审外包服务、报告和记录；

对外包变更行为进行评估、审批和记录；

对关键的软件代码安全性进行检查。

（2）运维管理

利用运维审计系统，可实现对账号管理、身份认证、资源授权、访问控制、操作审计；利用日志审计系统，能够收集各种设备和应用程序的安全日志。并进行存储、监控、审计、分析、报警、响应和报告。

5、应急响应机制

建立应急预案：由主管院领导批准、发布应急预案文档并传达所有员工、业务部门和外部所有相关服务方；应急预案评审，应按计划的时间间隔或当重大变化发生时进行应急预案的评审，以确保应急预案的可行性；确保应急预案的适宜性、充分性和有效性；定期演练确保方案的可行性。

四、信息安全决策

医院经营管理过程中，针对医院信息系统运行安全的物理安全、网络安全、主机安全、应用安全以及数据安全所做的安全决策，除了根据以上每一安全大项所提到的具体安全策略，还需要根据医院自身资源整合以及资金投入能力，实施一次性投入或分步骤实施的安全决策，同时还需要做好安全评估以及通过安全策略实施对数据传输、存储等效率的影响，最终调整安全方案，通过持续资金投入和不断改进的安全方案，以配合、支撑医院信息系统运行，实现各项安全目标。

五、未来医院信息安全建设发展趋势

目前医院所做的安全策略基本都属于被动式的安全防御，同时也是对抗网络入侵的基础，在做好基础安全防护工作的同时，医院更应该转向主动防御，变被动为主动，笔者结合多年医院信息化建设管理经验，从以下几个方面探讨未来医院信息安全建设发展趋势：

（一）联合网络安全提供商，提升信息安全管理水平

（二）与CNNIC以及安全执法部门建立良好互动

通过在最基础的互联网名称与数字地址分配方面建立安全审查，减少威胁，同时加大安全违法纠察力度，通过使用安全战术来增加网络犯罪风险，降低收益，进而降低网络犯罪率；并通过公开披露网络犯罪具体人员、关闭受影响的域、做好垃圾邮件过滤、冻结疑似欺诈账户等，提高网络社区的安全环境，这需要更多配合和互动。

（三）与基本通信服务提供商建立信息共享机制

建立与信息安全攸关方信息共享机制，通过实时元数据共享，找到和发现数据入侵痕迹，并做好防护。

（四）使用模糊查询技术、渗透测试等黑客技术来测试及发现各类系统存在的bug，及时解决；

（五）医院应与信息安全主管部门建立提供威胁报告及参与安全培训的协作模式，在医院运行过程中发现威胁隐患并上报，同时由安全专家提供、研发工具以识别系统威胁，为医院信息安全奠定基础。

在政府安全主管部门的牵头下，基础通信运营商、安全服务提供商、以及各类终端用户配合下，对互联网进行全面检测、扫描，利用海量传感器收集来自主机 IP 地址、互联网域、特定 UR、文件、图像和电子邮件等实时威胁智能信息，建立威胁信息数据库，构建以可靠信息共享为基础的网络社区，预防与捕获网络违法犯罪分子，通过建立系列安全策略，实现被动安全防护向主动预防的转变，为医院信息系统运行提供更有效的外部环境安全保障。

参考资料

在编写本文的过程中，参考了以下资料：

[1] GB/T22239-2008 信息安全技术-信息系统安全等级保护基本要求.

[2]李小华.《医院信息化技术与应用》——第21章 医院信息安全540-569. 人民卫生出版社，2014年10月1日.

[3] GB?17859-1999计算机信息系统安全保护等级划分准则；[4] GB/T 22080-2008信息安全技术-信息安全管理体系要求.

[5]韩作为. 医院信息安全等级保护三级建设流程与要点.中国数字医学，2013,8（9）：33-35.

[6]GB/T 20270-2006信息安全技术-网络基础安全基础.

[7]?GB/T20274-2008信息安全技术-信息系统安全保障评估框架准则.

[8]GB50174-2008 电子信息系统机房设计规范.

[9]GB/T 2887-2011电子计算机场地通用规范.

[10] IT安全保障体系规范IT系统安全保护要求V1.0；[11] IT安全技术保护措施应用指南V1.0[12] GB/T9361-2011计算站场地安全要求.

[13]美国国家标准和技术研究所NIST 系列文档：《IT 系统安全自评估指南》、《IT系统风险管理指南》、《联邦IT 系统安全认证和认可指南》、《信息系统安全规划指南》

[14]美国国家安全局，信息保障技术框架IATF（Information Assurance Technical Framework），V3.1版[15]中华人民共和国通信行业标准，YD/T 2701-2014,电信网和互联网安全防护基线配置要求及检测要求操作系统。