王光明

（南京市溧水区第三人民医院，江苏 南京 211200）

1 信息安全服务及其在医院的应用

根据ISO/IEC TR 15443-1：2005国际标准的术语，信息安全服务是由供应商、机构或人员执行的一项安全过程或任务。具体到医院环境里，多指由专业第三方单位向医院提供信息安全服务，本文所指的服务也是指安全专业机构向医院的一种服务输出。

笔者以为，信息安全服务是指为满足客户持续发展的信息安全需求，通过安全专家提供 完整的行业或特定客户的信息安全咨询或解决方案，帮助客户应对来自信息安全领域的各种挑战，为信息系统支撑业务发展提供安全保障。

在各级医院，信息技术服务应从网络、应用及IT资产三个方面构建医院信息安全保护体系。结合医院总体信息安全方针，在协议、互联、接口、人机界面、数据存储等方面实现安全技术要求；在流程、组织、员工、项目管理和运行维护等方面实现安全管理要求，保障医院相关业务信息平台与系统的稳定运行，以及系统高可用性和敏感数据安全可靠。

总的来说，信息安全服务大致有风险识别服务、安全规划服务、安全应急服务、数据与应用容灾服务、安全开发服务、安全运维服务、安全审计服务和安全评测服务等。这些服务可由医院通过招标、竞争性谈判等采购方式，确定服务提供商（安全服务机构），并以订立合同的形式约束服务内容和服务质量（或SLA，即服务水平协议）。

2 等级保护规定及其在医院的推行

等级保护规定是我国在信息安全、网络安全领域的最重要的规定之一，并且在《网络安全法》中得到明确。

1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》为等保奠定了法律基础。2011 年，卫生部通过贯彻《卫生行业信息安全等级保护工作的指导意见》文件的落地，推动等保合规建设得以在医疗行业全面展开。2019年12月1日，国家标准GB/T 22239-2019《 信息安全技术 网络安全等级保护基本要求》的正式施行，标志着网络安全等级保护正式进入2.0时代。

在各级医院，通过对等保政策的推动实施，基于评测整改定级的迭代升级，安全保障能力持续提升。等保规定强化部署安全设备、安全软件以及安全加固服务，提升院内信息系统安全防护能力，确保医院内、外网硬件及业务软件包括数据受到保护，不因偶然或恶意因素遭受破坏、更改和泄露，确保业务连续性。

3 等级保护视角下医院信息安全服务的内容探析

3.1 等级保护流程

GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》规定了对等级保护对象实施等级保护的基本流程。包括如下几个阶段：

保护对象定级与备案阶段：可理解为启动阶段。

总体安全规划阶段：可理解为顶层设计阶段。

安全设计与实施阶段：可理解为建设实施阶段。

安全运行与维护阶段：可理解为平稳运行阶段。

定级对象终止阶段：可理解为结束阶段。

3.2 等级保护对象定级与备案阶段的服务

本阶段的目标是实施等保的医院按照国家有关管理规范和定级标准，确定院内等级保护对象及其安全保护等级，通常二、三级医院也可对应等保第二、三级，定级后应经过专家评审并主管部门核准，报公安机关备案审查。在此阶段，对应如下为两类服务。

等保定级咨询服务：在自行定级基础上，参照国家卫生健康主管部门对等级保护定级要求，对信息系统开展摸底调查工作，了解信息系统（包括信息网络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息，协助用户单位完成撰写信息系统定级报告，明确信息系统的边界和安全保护等级，并组织专家评审。

等保备案辅助服务：根据《信息安全等级保护管理办法》，信息系统运营使用单位或主管部门需到当地公安机关备案。备案辅助服务，即是协助医院信息部门填写《信息系统安全等级保护备案表》等准备材料，直到完成备案工作。

3.3 总体安全规划阶段的服务

本阶段目标是根据院内等级保护对象的划分情况、定级情况和承载业务情况，通过分析明确医院等级保护对象安全需求，规划设计满足等保要求并科学合理的总体安全方案，制定方案实施计划，指导其后等保对象安全建设项目实施。此阶段对应如下两类分析服务。

等保资产分析服务：根据等级保护范围内的资产组成，派遣专业工程师到医院整理各系统网络拓扑以及相关联资产，编制信息系统资产清单及资产报告，对服务范围内信息系统及安全管理制度进行调研和梳理，编制信息系统详细描述文档。提供详细的资产台帐，协助医院完成总体安全规划。

等保风险分析服务：根据等级保护基本要求，开展现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评判，结合数字资产属性、威胁性、脆弱性等基本因素，完成信息系统安全风险分析，编制风险分析报告。

3.4 安全设计与实施阶段的服务

本阶段的目标是按照医院等级保护对象安全总体方案要求，结合其安全建设实施规划，分阶段、分步骤落实安全措施。在此阶段可实施如下二类服务。

等保差距评估服务：在设计和实施阶段，特别是实施收尾期，根据GB/T 22239-2019标准将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题并进行差距分析。

等保整改建设服务：依据相应等级要求对当前实际情况的差距分析结果对应策略设计整改加固措施，针对不符合项以及行业特性要求进行个性化的整改方案设计，包含岗位职责梳理、技术策略实施、风险评估、管理体系建设、安全设备集成、安全方案优化、提供安全情报等方面，落实信息安全等级保护详细建设方案，协助医院完成网络安全建设和整改工作。

3.5 安全运行与维护阶段的服务

本阶段涉及的内容包括医院安全运行与维护机构的完善，相关安全运维机制的建立，包括不限于人员、资产、技术、流程的管理，以及网络、系统的管理，密码、密钥的管理和运行、变更的管理，同时须采取技术措施完成安全状态监控，通过与网安部门配合参与网络安全事件的处置，以及安全审计和安全巡检等内容。本阶段周期较长，涉及四类服务。

等保整改加固服务：根据等级保护基本要求以及风险和差距分析结果，对服务范围内信息系统的关键资产编制安全加固实施方案。派遣专业工程师到医院现场，根据安全加固实施方案实施边界防护安全策略优化辅导，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议，并在授权后付诸实施。

等保制度建设服务：协助医院对安全管理制度建设，主要包括信息安全工作职责，信息安全监督、检查机制，辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度等，达到等级保护测评要求。

安全策略复查服务：派遣专业工程师到医院现场针对加固前后的系统脆弱性进行复查，复查手段包括协议分析、漏洞扫描、漏洞验证以及配置核查等方法。复查完成后，应出具复查报告，反应加固前后对比。

等保测评辅助服务：在测评阶段协助用户准备测评对象相关材料，指导医院配合测评机构开展等级测评工作，监督测评整改，保障医院以较高分数获得测评报告，通过等保测评。

4 简析信息安全服务框架及与等保关联

在等级保护政策下，医院信息安全服务框架有了更完整的画像。该信息安全服务框架提供外部支持服务，以帮助各类医疗机构、卫生管理部门和更广泛的公共部门组织管理信息安全风险并在发生网络安全事件时进行恢复。经过一系列的设计、交付、测试、治理和保证等合规行动，它通过确保患者数据的安全和关键服务及系统保持可用，来实现医疗机构服务连续性。

医院信息安全服务框架由核心方针、实施程序和配置文件构成。各方作用如下：

核心方针——能够在整个医院内传达网络安全风险；

实施程序——帮助为安全计划找到合适的执行程度；

配置文件——使相关行业标准和医院最佳实践保持一致。

框架核心是一组信息安全活动、预期结果和适用的参考标准，这些活动在关键基础设施部门中是通用的。它由五个并发和连续的阶段功能组成：识别、保护、检测、响应和恢复。在等级保护政策来看，GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》标准就相当于核心方针。它规定了（医疗机构）网络安全等级保护的第一级到第三级（通常）等级保护对象的安全通用要求和安全扩展要求。 第四级鲜有医院定，本标准不涉及第五级。

实施程序描述了医院信息安全风险管理实践表现出框架中定义特征的程度。国标GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》大致相当于（其中某项）实施程序。它给出了医疗机构内等级保护对象的安全保护等级定级方法和定级流程。适用于指导医院管理员开展针对本机构的等级保护对象定级工作。

配置文件表示医院根据业务需求确定优先级的核心功能类别和子类别，可用于衡量医院朝着目标配置文件的进度。通常在行业内被称为“规程”文件。比如国标GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》文件实际上就是指导测评过程的一个规程性文件。它不仅规定了测评服务的工作要求、工作流程，甚至还明确了测评方式、报告模板等。

等保工作中的定级、备案、测评、建设整改和监督检查一系列闭环流程，也可以理解为近似本框架的5个关键阶段。即识别、保护、探测、回应、恢复。其中识别阶段是基础。识别就是列支准确的 IT 资产清单，并了解资产的重要性。识别还关注发现攻击者可以利用的漏洞。识别能力就像人类的感官，感知风险，并通过信息安全策略、工作计划来提供指导和帮助。

4.1 识别

识别也称确认，该阶段专注于为有效的信息安全计划奠定基础。有助于形成医院上下理解，以管理系统、人员、资产、数据和能力的网络安全风险。为了使医院能够根据其风险管理战略和业务需求集中精力并确定其工作的优先级，该阶段强调了解卫生医疗业务背景、支持关键职能的资源以及相关网络安全风险的重要性。该阶段的基本活动包括：

4.2 保护

保护功能概述了可用于医院的适当的保护措施，以确保院内关键基础设施服务的交付，并支持限制或控制医院潜在网络安全事件影响的能力。该阶段中的关键活动包括：

4.3 探测

检测潜在的网络安全事件至关重要，该阶段定义了适当的活动，以及时识别医院网络安全事件的发生。该阶段的活动包括：

4.4 回应

响应阶段侧重于在检测到医院网络安全事件时采取适当的行动，并支持控制潜在网络安全事件影响的能力。该阶段的基本活动包括：

4.5 恢复

恢复阶段确定适当的活动，以更新和维护弹性计划，并恢复因网络安全事件而受损的任何能力或服务。及时恢复正常运营，以减少网络安全事件的影响。此阶段的基本活动与响应的活动有些重叠，包括：

4.6 层级关系

如上图，识别、保护、探测、回应、恢复等各阶段的关系，可理解为均属实施程序的环节。组成首尾呼应的“戴明环”，该环内圈为组织的核心安全方针，外圈为各阶段、各程序的配置和记录文件。

5 结束语

当今，医疗卫生行业已经变得容易受到网络攻击，就像任何其他行业一样。在所有这些领域中，一个值得注意的事实是现有威胁和新兴威胁的相似性。与此同时，医疗机构组织越来越需要向客户和监管机构保证他们的网络和系统已经采用了足够的安全措施。实现这一目标的一种方法包括遵守各种公认的安全标准和框架。在国内，首选自然是通过网络安全等级保护定级和测评、监督（当前版本为2.0），选择等保不仅是政策上的考量，而且也源于它的安全框架设计科学、有效，可最大限度抵抗“木桶原理”。

尽管信息安全服务包罗甚广，但当视角锁定等级保护时，所需的安全服务基本上是未然流程中各阶段而完成的。除等保定级对象终止阶段外，其余各阶段均可由专业的安全服务机构向医院输出服务，协助用户完成等保完整流程。兹列表如下：

等保阶段 定级备案 总体规划 设计实施 安全运维 定级终止所需服务列表 定级咨询备案辅助资产分析风险分析差距评估整改建设整改加固制度建设策略复查无

同时也明确，部分更深一层次的服务，比如安全渗透服务，其实是包含在风险分析服务中的。