基于等級保護2.0標(biāo)準(zhǔn)體系的醫(yī)院信息化安全建設(shè)
醫(yī)療行業(yè)是勒索病毒威脅的重點目標(biāo),患者單體數(shù)據(jù)價值較高,病案和藥物則成為數(shù)據(jù)泄密的主要內(nèi)容,由此建立安全的網(wǎng)絡(luò)架構(gòu)尤為重要。2007年,公安部等四部門印發(fā)了《信息安全等級保護管理辦法》(以下簡稱“等保1.0”),為信息安全建設(shè)提供了框架標(biāo)準(zhǔn)的具體要求。在相關(guān)政策文件基礎(chǔ)上,原衛(wèi)生部在2011年發(fā)布的《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》中明確指出,三級甲等醫(yī)院的核心業(yè)務(wù)系統(tǒng)必須通過等保的三級安全測評。近些年來,隨著云計算、移動互聯(lián)和物聯(lián)網(wǎng)等的發(fā)展,既往的安全架構(gòu)面臨越來越多的挑戰(zhàn),醫(yī)療機構(gòu)中各類信息安全事故時有發(fā)生。面對嚴(yán)峻的網(wǎng)絡(luò)安全形勢,2019年5月,《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(以下簡稱“等保2.0”)正式發(fā)布,給醫(yī)療行業(yè)帶來了全新的安全規(guī)范和要求。
1 等保2.0提出的新要求
等保2.0新規(guī)相比較等保1.0而言,增加了顯著的新變化和建設(shè)要求,主要體現(xiàn)在以下4個方面:(1)覆蓋對象的變化。新規(guī)范中的對象不僅包含傳統(tǒng)對象,更與時俱進地添加了新興事物主體,例如大數(shù)據(jù)平臺、物聯(lián)網(wǎng)、移動互聯(lián)等。(2)安全要求的改變。安全擴展的邊界更側(cè)重于考慮如大數(shù)據(jù)技術(shù)、互聯(lián)網(wǎng)技術(shù)等便捷性技術(shù)所同步產(chǎn)生的安全隱患。(3)分類結(jié)構(gòu)的變化。等保2.0定義了技術(shù)部分和管理部分兩塊內(nèi)容,技術(shù)部分側(cè)重于物理環(huán)境、通信網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界、計算方面和整體框架;管理部分則包括管理制度、管理機構(gòu)、管理人員、建設(shè)跟蹤和持續(xù)運維。(4)強調(diào)云端連接安全。不僅要求既往基礎(chǔ)設(shè)施與公有云的安全,更增加了虛擬化等私有云的安全內(nèi)容,甚至涉及了云服務(wù)商資質(zhì)和云計算環(huán)境等制度性強制審核要求。
2 醫(yī)院建設(shè)原則
以上海市胸科醫(yī)院為例,上海市胸科醫(yī)院是一所以診治心肺疾病為主的三級甲等??漆t(yī)院,一直對信息安全非常重視。按照既往要求,醫(yī)院的核心業(yè)務(wù)系統(tǒng)和門戶網(wǎng)站系統(tǒng)于2018年6月通過了等保1.0的安全測評。醫(yī)院針對等保2.0要求的新變化,結(jié)合醫(yī)院現(xiàn)有基礎(chǔ),進行了充分的頂層設(shè)計,制定了全新的整改方案,升級改造主要體現(xiàn)在3個重點方面。
2.1 擴大覆蓋范圍,延展新場景
醫(yī)院信息系統(tǒng)在原有基礎(chǔ)上進行了分類擴展,增加了特定的技術(shù)領(lǐng)域,重新劃分為傳統(tǒng)應(yīng)用和新型應(yīng)用兩個范圍。傳統(tǒng)應(yīng)用指支撐醫(yī)院所需的基本業(yè)務(wù)系統(tǒng),包括醫(yī)療業(yè)務(wù)系統(tǒng)(HIS)、實驗室系統(tǒng)(LIS)、放射檢查系統(tǒng)(RIS)、行政辦公系統(tǒng)以及后勤運維系統(tǒng)等。新型應(yīng)用指圍繞特定新技術(shù)展開的應(yīng)用,包括人機交互系統(tǒng)、數(shù)據(jù)分析平臺和云數(shù)據(jù)存儲平臺等應(yīng)用。
2.2 分類結(jié)構(gòu)細化,保證標(biāo)準(zhǔn)性
醫(yī)院依據(jù)等保2.0中的基本要求、設(shè)計要求和測評要求產(chǎn)生了相應(yīng)的分類結(jié)構(gòu)。相應(yīng)的分類結(jié)構(gòu)下綜合考慮安全、流程、制度和人員的相關(guān)要求,通過合規(guī)性檢查加強管理規(guī)范,配置安全設(shè)備阻斷內(nèi)外攻擊,設(shè)定防御策略保護數(shù)據(jù),定期災(zāi)難演練提升應(yīng)急處理能力,從而形成安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心的防護體系架構(gòu)。
2.3 內(nèi)嵌可信計算,全流程管理
醫(yī)院強化了可信計算技術(shù)使用的要求,在1~4級中都提出了可信建模空間。將可信驗證完全列入等保測評的級別中,逐級提出各環(huán)節(jié)的主要信任鏈實體內(nèi)容。基于可信根設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等對數(shù)據(jù)流進行傳遞,涵蓋應(yīng)用程序的所有采集和執(zhí)行環(huán)節(jié),并將最終驗證結(jié)果形成審計記錄發(fā)送至安全管理中心,方便醫(yī)院的信息管理人員動態(tài)感知環(huán)節(jié)中關(guān)聯(lián)細節(jié)。強化醫(yī)院自主可控的可信應(yīng)用,從而實現(xiàn)網(wǎng)絡(luò)內(nèi)的全閉環(huán),實時安全動態(tài)監(jiān)控。
3 醫(yī)院建設(shè)情況
醫(yī)院信息系統(tǒng)按照等保2.0標(biāo)準(zhǔn)的合規(guī)要求,圍繞以“安全管理平臺”為中心,建立了“安全計算環(huán)境、安全區(qū)域邊界、安全網(wǎng)絡(luò)通信”的三重防御體系,設(shè)計內(nèi)外網(wǎng)信息交互的安全可信互聯(lián)模型,確保整改后安全的應(yīng)用交互和數(shù)據(jù)傳輸。
3.1 安全管理平臺
安全管理平臺負(fù)責(zé)針對整體系統(tǒng)提出安全管理方面的技術(shù)控制要求,并通過相應(yīng)手段實現(xiàn)安全的集中化管理。醫(yī)院經(jīng)過授權(quán)的安全管理平臺,以此作為整體安全管理系統(tǒng)的中樞神經(jīng)。同時,利用云存儲保存患者的醫(yī)療影像數(shù)據(jù),如將檢查圖像上傳到云端進行備份,也催生云端互聯(lián)的應(yīng)用實踐。為了保證云平臺的安全可靠,安全管理平臺不僅囊括了傳統(tǒng)的信息機房及網(wǎng)絡(luò)基礎(chǔ)設(shè)施,還重點加強了對網(wǎng)絡(luò)結(jié)構(gòu)、隔離設(shè)備和虛擬化終端的在線評估,做到日常運維管理與實時監(jiān)控一體化。
3.2 安全計算環(huán)境
通過安全計算環(huán)境的控制節(jié)點,規(guī)定了醫(yī)院信息系統(tǒng)所需要達到安全要求的各個維度。在不同的視角維度,相應(yīng)地設(shè)定了相關(guān)的目標(biāo)要求。例如,在醫(yī)護人員身份鑒別中,部署了兩種組合的鑒別技術(shù)對用戶身份進行鑒別,以達到身份認(rèn)證的維度要求;在安全審計維度,對物理機、宿主機、虛擬機、數(shù)據(jù)庫系統(tǒng)等進行計算安全控制。通過發(fā)揮網(wǎng)絡(luò)計算環(huán)境中的安全框架,首先滿足所有計算實體完整性的有效度量優(yōu)勢,同時也保證了用戶終端在域間數(shù)據(jù)計算交互中的動態(tài)安全管控。
3.3 安全區(qū)域邊界
醫(yī)院現(xiàn)存多套網(wǎng)絡(luò),包括內(nèi)網(wǎng)、外網(wǎng)和視頻監(jiān)控網(wǎng)等。為更好地打造安全區(qū)域邊界,使用了區(qū)塊隔離的方法來達到網(wǎng)絡(luò)邊界的有效控制和防御,邊界間增加了包括附加的防毒墻和入侵檢測等設(shè)備。不同區(qū)域劃清邊界,通過應(yīng)用服務(wù)、中間件、鏡像文件和用戶隱私鑒別等手段來跨越邊界和數(shù)據(jù)互聯(lián)。區(qū)域內(nèi)的業(yè)務(wù)盡量采用虛擬化控制策略來防止非授權(quán)情況下的接入,安裝虛擬機防火墻(virtualapplication firewall,VAF)防止病毒越界蔓延,以保證出現(xiàn)問題后風(fēng)險最小化的控制原則。
3.4 安全網(wǎng)絡(luò)通信
加強在網(wǎng)絡(luò)層次的安全防護和通信建立,通過人員、制度和流程的有機結(jié)合,構(gòu)建對重要業(yè)務(wù)活動的管理。安全網(wǎng)絡(luò)通信保證了各應(yīng)用的安全鏈接,通過內(nèi)外網(wǎng)隔離和服務(wù)器隔離(demilitarized zone,DMZ)等通信物理來保障數(shù)據(jù)通信的加密。尤其針對云計算和互聯(lián)網(wǎng)業(yè)務(wù),像郵箱、官網(wǎng)預(yù)約和掌上醫(yī)院等應(yīng)用,實施了網(wǎng)絡(luò)通信上的網(wǎng)頁應(yīng)用安全防護。不同類型的網(wǎng)絡(luò)制定了不同的安全等級,尤其是對外鏈接的外網(wǎng)、政務(wù)網(wǎng)、醫(yī)聯(lián)網(wǎng)和干保網(wǎng),在外聯(lián)端和院內(nèi)端均同步強制設(shè)立安全通信設(shè)備。
4 實施效果
經(jīng)過整改建設(shè)工作,醫(yī)院實現(xiàn)了基于可信計算的防御體系,在數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護以及個人信息保護等方面,加強了對數(shù)據(jù)安全和患者隱私的安全網(wǎng)絡(luò)保護。在醫(yī)院的網(wǎng)絡(luò)架構(gòu)中,充分體現(xiàn)了基于等保2.0的“一個中心、三重防御”的理念,整合了系統(tǒng)安全和集中管控的能力。其中,內(nèi)網(wǎng)和醫(yī)學(xué)影像信息系統(tǒng)網(wǎng)絡(luò)存放著核心的業(yè)務(wù)系統(tǒng),相關(guān)的數(shù)據(jù)庫服務(wù)器等被放置在單獨的DMZ區(qū);外網(wǎng)與內(nèi)網(wǎng)通過網(wǎng)閘進行物理隔離,數(shù)據(jù)交互建立在應(yīng)用服務(wù)器上,在互聯(lián)網(wǎng)出口實施了安全出口控制;對于部分在技術(shù)和管理上達不到最高標(biāo)準(zhǔn)的應(yīng)用,納入過渡的安全隔離網(wǎng);安全管理中心主要針對數(shù)據(jù)中心安全計算環(huán)境,監(jiān)控了業(yè)務(wù)應(yīng)用、行政后勤和運維管理等系統(tǒng),審計所有的物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境和后臺預(yù)警管理。各項專有網(wǎng)絡(luò),分別按照安全擴展要求的評測指標(biāo),達到技術(shù)、人員和流程上的有機結(jié)合,保證整個醫(yī)院網(wǎng)絡(luò)的安全可信。具體安全整改后的全院網(wǎng)絡(luò)拓?fù)淙鐖D1所示。
5 結(jié)語
通過分析等保2.0的評估標(biāo)準(zhǔn),可幫助醫(yī)院確定關(guān)鍵的信息系統(tǒng),識別醫(yī)院信息系統(tǒng)存在的風(fēng)險。醫(yī)院通過夯實網(wǎng)絡(luò)安全保護的基礎(chǔ),達到了政策法規(guī)和指南的要求,化被動防護為主動防御,更好地保護了醫(yī)院中各類應(yīng)用產(chǎn)生的患者醫(yī)療數(shù)據(jù)的信息安全。面對移動互聯(lián)網(wǎng)等革新技術(shù)應(yīng)用給醫(yī)院帶來的安全沖擊,通過各項安全整改措施,可以更好地為醫(yī)院信息化發(fā)展保駕護航。