庞震 吴鑫 姚远 李秋艳

（1.中国中医科学院西苑医院，北京 100091；2.北京中医药大学管理学院，北京 100029）

0.引言

近年来国内越来越多的中医医院正加速实施医院信息系统的整体建设。中医互联网医院的发展建设已经和信息化建设结合为一体，给中医医院各项管理工作的开展带来了很大便利，后疫情时代，预约挂号、移动支付、远程会诊等“互联网+医疗”快速兴起，同时针对医疗机构的网络攻击如勒索软件、钓鱼攻击等行为也大量激增，且呈现出有组织、有预谋等特点。大型中医医院往往拥有大量中医特色信息系统，统一信息标准、实现院内中西医系统整合不易，同时中医医院对网络安全的重视程度普遍较低，信息化建设与发展相对落后，存在着基础差、底子薄、投入不足、应用不深入等问题[1]，这种现实压力也就对中医互联网医院网络安全防护提出更高的要求。

1.中医互联网医院网络安全现状

1.1 风险高

疫情防控期间，许多中医医院积极建设中医互联网医院平台，通过互联网提供在线问诊、智能问药、药品快递到家等服务，减少了接触传染的风险，增强了就医的便捷性，提高了优质医疗资源的利用效率。与此同时，医疗行业面临的网络安全风险也逐渐增多。根据Check Point Research发布的一份报告显示，自2020年11月以来，针对医疗保健机构的网络攻击激增了45%。范德堡大学的研究人员报告称，针对医院的勒索软件攻击与数据泄露可能导致心脏病患者在事件发生后数月数年间面临较高死亡率，因为数据泄露修复时间干扰了患者护理与治疗效果。

1.2 基础薄弱

从国内看，我国医疗行业仍存在等级保护工作落实情况不佳、整体安全风险较高、医疗信息系统的安全防护水平相对落后的问题，医疗行业网络安全形势不容乐观[2]。

中医互联网医院网络安全防护能力薄弱，主要体现为几点：信息化基础设施不完整，医疗数据保护手段不足，网络安全应急处置能力和事件调查处理能力不规范、对网络病毒、蠕虫、木马等威胁无有效的防护措施、漏洞导致信息泄露严重；等级保护建设还需加强。王松等[3]通过调查北京市39家二级以上公立中医医院信息安全状况发现，公立中医医院网络安全措施主要是防火墙和网络版防病毒软件。抗DDOS设备、内容过滤产品、Web应用防护系统、邮件防病毒网关应用比例较低；操作系统及数据库安全措施则主要采用密码管理、单机版或网络版反病毒软件以及访问控制，在资源控制、系统镜像快速恢复、恶意代码防范方面较为薄弱。因此，中医互联网医院应在信息化规划设计、建设的过程中，同步推进网络安全工作，按照同步规划、同步建设、同步运行的要求，统一推进网络安全和信息化工作。

1.3 发展缓慢

相比于西医医院，中医互联网医院起步较晚，受限于传统观念和“望闻问切”线上化的难度，2018年开始许多省份才陆续建设中医互联网医院，互联网医院通用安全和设备安全防护能力离不开基础设施的建设，由于起步较晚，中医互联网医院在这方面还与西医存在一定差距。基础设施建设对互联网医院的发展有着举足轻重的作用，当下中医互联网医院基础设施在功能和数量上还存在较大短板。大数据技术实现了医疗数据存储和管理，方便了医疗数据交互共享，但也常成为了黑客重点攻击目标，存在数据泄露风险，物联网技术帮助实现对患者的智能化医疗，主要应用在人体健康数据监测和体内植入设备，但是目前物联网也存在技术标准不统一以及数据安全和隐私保护等问题需要解决。

2.中医互联网医院信息安全面临的挑战

以北京市某三甲医院为例，2020年4月为筹备建设高质量中医互联网医院，满足患者线上诊疗需求，北京市某三甲中医医院通过开放式访谈、文档查阅等方式开展全院信息与网络安全调研，并通过远程管理、现场摸排确认医院现网架构及梳理医院信息资产运行状况，发现建设互联网医院中亟待解决的信息安全问题。该院成立于20世纪50年代，经过多年信息化建设，拥有HIS、LIS、PACS等多个业务系统，正处于建设发展互联网医院的过程中，具有一定的代表性。现以该医院信息安全调研中发现的网络安全、数据泄露风险和信息资产管理问题为例，探讨建设中医互联网医院的信息安全挑战。

2.1 纵深防御体系存在缺陷，网络可靠性有待提升

从目前网络建设现状分析，该医院内部网络安全建设过于简单，主要依靠现有防火墙设备实现网络层面的攻击防护，在主机安全、终端安全、虚拟化安全、分支安全、横向威胁、漏洞防护、Web防护、安全审计等多方面缺乏技术保障手段（见表1）。整体网络不具备入侵检测、安全态势感知功能，对各部门、各分支网络的网络安全运行状态不能实现实时监测。一旦发生网络安全入侵，医院将难以及时发现，同时对潜伏在网络内的如勒索病毒、木马程序医院也无法通过扫描发现和处理。

表1 北京市某三甲中医院建设互联网医院信息安全措施差距

内部网络方面，医院采用双核心3层网络架构，但部分关键的网络节点采用单节点设计，增加了网络可靠性的风险点，中医互联网医院对网络可靠性要求较高，线上诊疗服务需要医院HIS、LIS、PACS等多个信息系统的支持，信息系统只有通过网络与数据库连接才能正常运行工作，网络节点单点故障可能中断互联网医院线上服务，对患者生命安全和医院经济利益造成影响。

2.2 人员安全意识有待提高，专职安全管理人员技能有待提升

该医院信息安全的人员数量较少，安全意识薄弱，缺乏定期的信息安全培训，该医院2020年开展信息安全培训2次，其中一般性的信息安全培训1次，针对岗位要求进行的专门培训1次，无定期培训。相关技术人员能力以跟不上互联网医院安全需求。根据等保2.0关于安全意识教育和培训要求，应对医院各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；应定期对各个岗位的人员进行安全技能及安全认知的考核，对安全人员或运维人员开展专业技术培训，并对培训结果进行考核，考核结果应记录保存留档。

2.3 信息资产台账管理不规范

该医院共有3个信息机房，信息资产数量较多，共有服务器设备111台，网络设备270台，安全设备29台，跨机房光纤1202条以及专线11条。该医院信息资产管理存在台账混乱问题，较多的信息资产未贴资产标识卡或标识卡损毁难以辨认，同时医院也未对介质进行登记和盘点，导致医院信息资产存在严重记录缺失问题。另一方面，医院信息资产购置和使用涉及多个部分，财务会计主体、采购主体、核算主体之间缺乏相互沟通也导致了部分账实不符的现象。内部监管制度方面，医院虽建立了相应的信息资产管理制度，但制度描述宽泛不够具体，且部分管理制度未严格进行落实，也没有安排专门的部门和人员对信息资产的相关内部控制制度的执行情况进行监督和检查，仍存在信息资产责任人不明确、信息资产损毁未入账等问题。

2.4 数据共享平台存在信息泄露隐患

中医互联网医院线上服务必将产生大量医疗数据，而数据共享平台是破除信息孤岛，实现医疗大数据应用价值的重要手段，随着信息化建设程度加深，中医医院普遍参与数据共享平台，但倘若缺乏与之相应的数据安全保障措施，将导致每一个增加的平台都成为了医院信息泄露的风险点。该医院数据共享平台收集了大量的数据，但医院在平台管理方面未对数据共享平台设置严格的审批、授权、提取程序，未建立分级分类保护制度，在技术防护方面平台也缺乏有效的安全措施，包括检测非授权设备手段、漏洞扫描、数据库脱敏动态、数据库脱敏静态、数据备份一体机等，可能导致数据共享平台在未经医院允许的情况下将共享数据非法授权给他人访问，产生信息泄露风险。

3.中医互联网医院网络安全建设建议

3.1 加强信息化基础设施建设，增加网络信息安全投入

中医互联网医院开展信息化建设的同时，也应保证其安全性，建设中医互联网医院应高度重视网络安全，加大投入，确保信息系统安全、稳定运行。

3.2 加强医疗数据保护，建立数据全流程保护措施

医疗数据一旦遭受篡改、破坏或泄露，势必对医疗机构的声誉以及医患双方的隐私和健康安全构成严重威胁，甚至影响社会的稳定和谐。对以上的安全隐患，医疗数据的安全需求有以下几类：

（1）数据访问：针对内网普通医护人员访问数据，可通过终端管理软件判断终端的安全性和准入控制功能进行身份认证；针对外网用户远程移动办公，可通过VPN身份认证，搭建加密隧道进行访问；运维人员和测试人员访问数据可通过堡垒机进行统一身份认证、账号登录和权限分发。（2）数据传输：针对互联网医院内外网传输的数据，可通过数据安全交换系统进行数据交互；针对终端到内网的数据传输，可采用SSL加密方式；针对专线到内网的数据传输，可采用前置机+网闸的方式进行数据传输。（3）数据存储：在数据存储上，应用系统应在开发初期已经对关键字段进行加密后保存在数据库，并定期进行增量备份和全量备份，并周期开展数据恢复演练，验证存储及备份数据完整性。（4）数据使用：在个人用户信息等敏感数据的使用上，分为数据安全测试以及业务访问使用两类使用场景。首先在数据安全测试上，通过数据库静态脱敏系统，从核心应用区域生产系统中，按照设定脱敏规则静态脱出个人用户信息等数据到安全测试区数据库，以供安全开发、测试、分析使用。其次在生产环境的业务访问中，通过数据库动态脱敏系统，做到用户级细粒度实时脱敏展示，如仅放行用户访问字段，对于整条数据的非必须访问字段实施脱敏等形式，个人只能看到自己权限相对应的数据展示。确保个人用户信息数据在使用中的安全性。（5）数据销毁：数据销毁可采用内存释放和数据清空手段删除数据或设备在弃置、数据存储设备转售前将其所有数据彻底删除。应全面贯彻替换磁盘每盘必消、消磁记录每盘可查、消磁视频每天可溯的标准作业流程。

3.3 加强网络安全防护措施，提高中医互联网医院安全防护保障能力

根据网络安全法要求以及实际业务安全需求，参考网络安全模型以及等级保护的重要核心思想“一个中心三重防护”，结合中医互联网医院网络安全实际情况，从安全计算环境、安全区域边界、安全通信网络和安全管理中心4个方面加强安全防护。当中医互联网医院面临安全威胁时，可采用网闸、防火墙、数据库审计、网络入侵检测等技术，建立系列安全策略，保障应用系统整体安全，营造一个健康的网络环境。

3.4 规范应急处置流程，建立健全的应急管理体系

结合中医互联网医院特点，逐步建立起全面、系统的应急预案，针对可能发生的事故，有序地开展应急行动。针对各级各类可能发生的网络安全事件和所有风险源制定专项应急预案和处置方案，并明确事前、事发、事中、事后的各个过程中相关部门和有关人员的职责。对所形成的应急预案，定期开展应急演练工作，不断完善应急预案中的缺陷部分。

对网络安全事件调查规范化管理：网络安全事件调查规范化管理主要分为3个环节：（1）梳理网络风险隐患项，对存在的网络安全风险隐患进行梳理，对不同的风险进行等级分类，针对不同的风险制定不同的应对措施；（2）规范事件的上报机制，根据所发生安全事件的风险等级，建立不同层级的上报机制；（3）建立事件调查机制，根据安全事件上报内容，针对安全事件发生的场所、性质等方面因素，召集能调查对应情况的安全专家，制定对应的调查方案。

4.中医互联网医院信息安全建设的有效措施

4.1 健全信息安全机构，增强信息安全人员投入

该医院建立了网络安全领导小组。党委书记为信息安全第一责任人，并明确了信息安全工作主要负责人与工作职责；信息中心为信息安全工作的职能部门。但未配备专职信息人员、目前由中心副主任、网络工程师、业务运维工程师、桌面运维工程师等组成兼职信息安全小组；为建立有效信息安全技术防护体系，中医医院应加强对信息安全的人员投入，健全信息安全机构，提高其战略地位。

为适应中医互联网医院的发展需要，在管理上需对内进行安全管理机构的建设，加强专职安全管理人员的配置，对外需补充专业的安全技术团队，综合提升医院安全运维能力和技术实力。医疗行业信息安全保障作为一项政治任务。必须依靠健全的信息安全机构来落实。如下架构有利于提信息安全高度见图1。

图1 中医互联网医院信息中心组织架构

4.2 加强通用安全建设，重视医疗设备安全需求

中医互联网医院加强通用安全建设是现有设备的基础上，解决在安全建设初期单纯满足合规性建设，到完善传统的纵深防护安全能力，构建的主动防御技术和持续检测技术带来的目标。主要思路如下：

（1）基于安全风险评估情况，夯实基础安全架构。通过持续性的风险评估，进行安全架构的升级改造，缩小攻击面、减少风险暴露时间。包括：安全域改造、边界加固、主机加固等内容。（2）加强持续检测和快速响应能力，进一步形成安全体系闭环。针对内网的资产、威胁及风险，进行持续性检测；基于威胁情报驱动，加强云端、边界、端点的联动，实现防御、检测、响应闭环。（3）提升单位安全可视与治理能力，让安全了然于胸。基于人工智能、大数据技术，提升全网安全风险、脆弱性的可视化能力，大幅度提升安全运维能力，以及应急响应和事件追溯能力。

建立和发展中医互联网医院必然需要以相关信息资产为基础，医疗设备是医院现代化程度的重要标志，是医疗、科研、教研、教学工作的最基本要素，也是不断提高医学科学技术水平的基本条件。互联网医院的深层定义也包含了医疗设备的互联互通。医疗设备产生大量涉及患者隐私的医疗数据。而受诸多因素影响，医疗设备的安全防护能力较弱，大部分情况下医疗设备生产商一般都不允许院方对其设备进行修改，即使是安装一些杀毒软件，而是由设备厂商人员使用自身携带的电脑通过医院内部网络连接医疗设备，或采用远程接入内部网对医疗设备进行调试，因此，这些行为使得恶意软件对医疗设备的侵袭和威胁数据安全提供了机会。这是严重的信息安全隐患。现有访问措施多为封堵USB接口，网络隔离、限制源地址访问等手段。这类防护手段已经不能应对数据安全保护的需求。

5.结语

总之，网络安全基础设施是建设中医互联网医院的底座基石，网络安全防护是建设中医互联网医院的有力保障。只有高质量地做好日常的网络安全保障工作，才能更好地提升医院智慧化安全运营，助推医院稳定发展，更好地为患者和医护服务。