刘雷宁

（中信医疗健康产业集团有限公司 北京 100004）

对于信息安全的概念，国际标准化组织（ISO）的定义是为数据处理系统建立和采用技术、管理的安全保护，保护计算机硬件、软件、数据不受偶然的或者恶意的原因而造成的破坏、更改、泄露。信息安全的主要任务是要保障数据的保密性、完整性、可用性、真实性、不可否认性和可靠性［1］。

我国的信息安全随着信息化的发展也在逐步完善，国家也不断出台相关的信息安全法律法规。2014年，中央网络安全和信息化领导小组成立，2018年改为中央网络安全和信息化委员会；2017年6月，《中华人民共和国网络安全法》正式施行；2019年12月，《信息安全技术等级保护》开始实施；2021年，《数据安全法》和《个人信息保护法》相继实施，我国信息安全的顶层设计已经初具规模，这些法律法规的出台为医院日常经营过程中的信息安全提供了制度保障和有效支撑，促使医院按照相关要求不断从人才保障、技术保障、制度保障进行全方位的保护，并持续不断地进行信息安全防护。信息安全的防护是一场长期的、艰苦的、动态的博弈过程，在这个过程中，需要相关的干系人持续不断地通过PDCA 的管理流程不断优化完善，为医院的发展保驾护航［2］。

1 “互联网+医疗”环境下医院面临的信息安全威胁

在医院的实际运行过程中，会碰到各类信息安全风险和挑战，特别是2020年以后，随着“互联网+医疗”的发展，新冠肺炎疫情也极大地促进了互联网医院的发展，各级医院逐步开通自己的互联网医院业务，随着对外服务的增多，各医院面临的风险和威胁也逐步增大。

国内医院相关的安全事件层出不穷，例如，国内某儿童医院多台服务器感染了Globe Imposter勒索病毒，导致医院服务器数据文件被强制加密，导致系统瘫痪，患者无法进行正常的挂号、就医、缴费等流程。2018年2月份，湖北省某医院系统被植入升级版的勒索病毒，导致系统瘫痪，黑客勒索30万人民币。

目前，很多医院都建立起了互联网医院、微信小程序、微信挂号等服务和应用，这类服务和应用都要开通与外部访问的对接接口，这些接口也成为黑客重点攻击的目标，这些也是需要重点关注和加强的地方。目前，综合各省市卫健委的相关要求，都将互联网医院三级等保作为申请互联网医院拍照的前置条件之一，因此要不断应对医院所面临的各类信息安全威胁和挑战。

目前，医院面临的外部威胁主要有木马后门通信、异常连接、远程漏洞连接远程代码执行、暴力破解、漏洞扫描破解（IP扫描）、FTP匿名登录攻击、软件漏洞导致的信息泄露、DOS 攻击、溢出攻击、WEB 攻击（恶意命令执行攻击、远程代码执行攻击）、木马后门攻击、病毒蠕虫、挖矿行为。

（1）木马后门攻击。主要是利用计算机的C/S 模式，在目标主机（被攻击主机）和主控主机之间试图建立一个连接，从而达到控制目的主机的目的。这类攻击主要是黑客通过专门的漏洞工具或者软件来定期地扫描医院的对外服务系统、防火墙等设备或者服务，获取系统的漏洞或者风险点，然后利用这些漏洞风险点注入木马程序，达到控制医院系统的目的，有的是通过控制有漏洞的主机，达到控制医院核心系统的目的。

（2）暴力破解。目前，医院的对外服务面临许多暴力破解攻击，这类攻击的特点是通过反复的测试、尝试破解，一般都是通过社会工程学搜集到的信息，创建密码字典，用这些字典进行尝试，虽然这种攻击是比较老的攻击方式，但是确实是比较有效的方式。暴力破解攻击方式随着防护手段的提升也在不断地变换，目前，黑客们借助专门的自动化工具，能通过很短的时间破解用单词或者数字组成的密码。

（3）漏洞扫描。漏洞扫描主要是通过专门的漏洞扫描工具、渗透性测试工具集等测试工具，在互联网业务接入端进行漏洞扫描，对医院的信息系统的组成部门，如服务器主机、操作系统，通过扫描软件查找系统中操作系统、数据库、WEB应用、第三方产品及插件的安全漏洞，并且通过这些漏洞获取系统的控制权、获取大量的敏感数据的行为。

漏洞扫描又分为恶意和良性。良性的主要是医院聘请专业的机构进行，用来发现系统中存在的漏洞和风险；恶意的就是外部黑客通过专门工具进行扫描，窃取系统的敏感数据，达到非法目的。

漏洞又分为超危（非常危险）、高危、中危、低危4个级别，其中，超危、高危是必须要进行整改的，医院关键系统必须进行高危漏洞的修复，因为这关系到信息系统的三级评审，且每年的复测也需要针对发现的漏洞进行修复完善。

（4）DDOS。这是一种比较老的攻击方式，黑客通过控制大量的僵尸主机发送大量的数据或者请求，导致系统在短时间内无法及时处理巨量请求，从而导致系统无法为合法用户提供正常服务。常用的攻击方式有典型的利用协议攻击，例子是TCP SYN攻击、洪水攻击。

DDoS的表现形式主要有两种：一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

（5）病毒攻击。计算机病毒主要是在计算机中能附着或者插入到计算机程序上，能够自我复制、传播的一组代码或者指令，它主要是通过邮件、网页木马、程序传播。

病毒又分为系统病毒（前缀：Win32、PE、W32）、蠕虫病毒（如恶鹰——Worm.BBeagle）、木马病毒、黑客病毒（如QQ 消息尾巴木马——Trojan.QQ3344）、脚本病毒（如红色代码——Script.Redlof）、宏病毒（如美丽莎——Macro.Melissa）、后门病毒（如灰鸽子——Backdoor.Win32.Huigezi）、病毒种植程序病毒（如冰河播种者——Dropper.BingHe2.2C）、破坏性程序病毒（如杀手命令——Harm.Command.Killer）、玩笑病毒（如女鬼——Joke.Girl ghost）、捆绑机病毒（如捆绑QQ——Binder.QQPass.QQBin）。

（6）社会工程学攻击。这是一种比较特殊的攻击方式，主要是利用了人们的某种心理，也是一种综合性比较强的攻击方式，主要利用人性的弱点，通过各种手段和方法搜集个人信息，通过这些信息来实现欺骗、入侵和破坏，例如，现在比较多的诈骗电话都是通过电话、短信诱导受害者按照攻击者设定好的程序进行操作，从而造成财产损失。总体来说，社会工程学是计算机技术和心理学结合的产物，这类攻击没办法通过技术手段、管理手段而达到完全消除，所以这类攻击防范起来比较难。

2 信息安全面临的威胁——造成安全事件的原因

（1）技术弱点：主要是因为系统、程序、设备中存在诸多漏洞或缺陷，这些缺陷或者漏洞中，有些是没有及时修复，有的是医院基于成本考虑没有考虑替换或者进行补丁修复。例如，有的医院的内网终端还是采用Windows XP 系统，一旦木马通过U 盘感染了内网的机器，这些终端很容易成为攻击的重点，也很容成为重要的风险点。

（2）操作弱点：主要指配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份过程的不当操作等。另外，有的医院虽然制定了相关的操作规范和流程，但是由于人员的素质、操作可行性等因素，导致未按照规定操作、定期进行备份、定期进行应急演练，从而造成一些风险事件的发生。

（3）管理弱点：主要指策略、程序、规章制度、人员意识、组织结构等方面的不足，有的医院没有从顶层设计，安全制度缺失，容易形成信息安全风险点。

3 医院做好信息安全需要关注的重点

外因是条件，内因才是根本，医院的信息安全工作需要不断地利用系统厂商、安全厂商的资源，以等保测评为手段，不断提高自身应对风险的能力，主要通过以下几个方面加强和提高。

3.1 管理保障

主要是通过建立一个自上而下的信息安全管理体系来达到信息安全的动态防御的目标。首先，医院必须认识到信息安全关系到医院的正常运行，一旦出现信息安全事件，将会对医院的业务造成致命的打击。信息安全不是医院一个部门的工作，也不是某个人的职责，更不是一段时期安全就永远不用担心了，信息安全应该贯穿整个医院的全流程管理，医院的每个成员都要承担相应的职责和义务。另外，信息安全应该得到医院高层的重视，网络安全法规定，医院的最高领导是医院信息安全的第一责任人，对于医院的信息安全事件负主要责任，所以就需要我们的医院管理层提供适当的人力、物力、财力，充分保障医院的信息安全活动正常进行。

医院的信息安全管理体系采用PDCA 的过程方法，PDCA 过程方法是由美国管理专家戴明博士提出的，在该模型中，按照完整的“Plan—Do—Check—Act”的顺序依次进行，在医院的信息安全过程中，医院的每一次都是逐步完善、逐步提升的阶段。

图1中，将信息安全的流程描述为一个动态的过程，信息安全都需要预先计划、分步实施、监督检查、处置完善流程，一个阶段完成后，重新进入下一个PDCA流程。

图1 信息安全建设PDCA流程图

3.2 制度保障

信息安全管理体系是建立在文档的基础上的。目前，医院常用的制度体系包括：高级领导方针、政策；中层的制度、流程及规范；基层的操作手册、使用说明、预案，以及过程文件、日志、记录、巡查表等内容［3］。图2中主要将信息安全管理过程中所涉及的相关制度、规范进行梳理分类，并形成体系。

图2 医院信息安全体系框架

医院日常管理管理方面需要具备以下制度体系，医院的信息安全制度应该按照等保三级的制度体系进行制定和规范［4］。

信息安全管理机构：主要包括信息安全工作的委员会或领导小组制度，并成立相关信息安全部门。

安全管理人员：主要包括人员录用及离职管理、人员安全意识教育和培训、外部人员访问管理等制度。

安全管理制度：主要包括网络安全工作的总体方针和安全策略、管理人员或操作人员执行的日常管理操作规程等内容。

安全建设管理：主要包括项目管理、供应商管理、软件开发管理、外包管理、软件测试及验收等相关制度规范。

安全运维管理：主要包括环境管理、资产管理、设备维护管理制度、网络系统安全管理制度、安全事件管理、数据备份及恢复管理、业务连续性管理制度及IT设备管理制度。

3.3 技术保障

在日常的管理过程中，要严格按照以下标准不断提升医院应用系统的风险防范能力。

服务器安全：修改及重新命名默认账户、卸载所有未使用的应用程序、关闭所有不需要的服务（如443、3389 等高危端口），并对端口进行监控，设置对诸如cmd.exe、sethc.exe的程序的访问权限。

防火墙：应该配置好WAF 相关端口及服务，设置内部访问IP 的白名单，并定期检查防火墙日志，及时进行策略调整。

杀毒软件：配置服务器杀毒软件，并定期进行离线升级，保障服务器应用安全。

漏洞补丁：应用所有最新的服务包和更新。

日志审计：配置日志审计设备或者软件，将应用系统、数据库、服务器日志单独存放到日志审计系统中，并定期进行日志查看。

堡垒机：使用堡垒机（运维审计系统）远程登录设备进行维护操作。

主机防护：配置好主机防护软件，定期进行漏洞扫描，及时发现系统、应用的漏洞，如果允许的话，每半年或者一年请外部机构进行渗透性测试，发现系统的薄弱点［5］。

3.4 人员保障

医院应该建立信息安全人员保障制度，规范信息安全人员的录入、培养、培训，并建立信息安全定期培训机制，针对全员展开信息安全意识培训，针对医院信息人员进行信息安全知识培训，针对信息安全人员进行专业技能培训，并且保障须持有CISP、CISSP、CISA、信息安全工程师等相关证书之一［6］。

4 结语

针对医院面临的各类信息安全威胁和挑战，需要坚持动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的原则，筑牢信息安全的防线，补足信息安全的短板，从而避免信息安全中的“木桶效应”的出现，不留死角。通过建立顶层的信息安全管理领导架构、培养专业的信息安全人才、不断持续做好系统漏洞、加强公司整体的安全意识、不断加大信息安全方面的技术投入和资金投入，持续不断地保障公司业务的健康、良性发展，不断提高公司的信息安全水平。