中国医院网络安全建设：从单机杀毒到全方位防护的三十年历程

hwyzw

    介绍

    我国医院信息化已经走过了30年的历程。过去是围绕HIS应用系统构建的。在小型局域网中，很少考虑网络安全问题，防病毒软件也只是单机版本。随着社保系统的接入，医院局域网的围墙被打破，防火墙开始逐渐被使用。互联网应用越来越广泛，互联网行为管理、网守、入侵检测、漏洞扫描、桌面终端安全管理等边界安全设备相继推出。移动医疗的发展也加强了无线网络安全。打击医院药品处方垄断，催生了中国独有的网络安全产品——反垄断管理系统。为了防止数据被破坏、丢失、篡改，使用数据库防火墙、防水坝、数据审计、日志审计等工具。即使勒索软件肆虐全球，许多公司也通过开发特殊的反勒索软件产品来应对。

    当前医院网络安全建设迎来了黄金时期，但在意识、方法、技术、人员以及专业安全公司的经营理念等方面还存在不少问题。很少有医院真正从整体架构上思考网络安全建设，且大多以达标考核为主流，建设内容较为碎片化，无法形成合力。专业安防公司之间的竞争不断，所谓的解决方案都是基于自己的产品。在网络信息共享日益严峻的时代，医院信息系统真的安全吗？

    构建务实的医院整体网络安全架构

    (1) 网络安全与成本效率的平衡

    对于一个医院来说，规划一个完善的网络安全防御体系可能并不困难，因为这是一个理想的网络安全建设。事实上，除了国防和军事需要外，医院很难投入大量资金将信息系统筑成铜墙铁壁。医院本身是一个全年 365 天、每天 24/7 永不休息的单位，并且始终敞开大门。业务的开放带来信息的开放。同时，医院也是一个讲求效率、讲求效益的单位。对网络应用不宜过于严格，否则会引起医生的强烈抵制，失去使用网络的初衷。

    一、找到安全与效率的平衡点

    安全性越高，成本越高，效率越低。每个医院的管理理念不同，临床对互联网的开放程度不同，安全级别要求不同，安全投入也不同。因此，每个医院在安全与效率之间都有一个动态平衡点。只有找到这个平衡点，才能做好网络安全工作。

    互联网的开放程度也与医院的遗产有很大关系。例如，某医院使用互联网行为管理10多年，开设白名单，允许医院内所有联网的计算机访问经过专业公司测试的医疗网站和科研成果。项目申请网站、业务工作直报网站等，受到临床工作人员欢迎，未发生重大网络安全事件。还有医院从一开始就彻底禁用互联网出入口、禁用U盘、禁止安装程序、禁止修改C盘内容、重启后自动恢复等。

    目前仍有不少医院不计成本建设两套网络，内外网分开。但在实际使用中，临床科室工作人员仍感到极为不便。也有两块网卡相连，内外网可以互换，但硬盘共享时病毒传播仍然不可避免。还有安装了两个逻辑上分离的操作系统，但内存中仍然存在病毒驻留的隐患。

    医院办公室内外部网络并不存在绝对的隔离，部分计算机上总会存在内外网络之间的数据传输，包括从U盘复制文件。

    因此，医院信息部门一直在为这个问题而苦苦挣扎。事实上，开放比封锁更好。当今社会已经进入网络时代。不管多么安全，都很难避免出现问题。最好定期做好防护。那么，最重要的是提高出现问题时快速处理的能力，控制住对局部地区的危险威胁。从小规模上，把它处理在萌芽状态。这不仅体现了信息技术人员的价值，也方便了临床科室的使用，减少了成本投入。

    二、找到投入与产出的平衡点

    网络安全始终在路上。世界上没有绝对的安全，防御总是容易受到攻击。通常只有在新病毒或特洛伊木马出现并造成严重破坏后，才会发现并开发有针对性的安全产品。因此，医院有限的资金不能完全用于安全防护，必须在投入和产出之间找到平衡。

    我们必须明白，医院的核心数据资产在哪里？医院风险控制最薄弱的点在哪里？哪里可以只用少量的投资获得更大的安全性？哪里可以通过增加人力巡查来预防呢？哪些地方可以通过增加人力巡查更好地防范？通过行政命令能否达到更好的安全效果？等等。

    医院进行信息化建设时，需要明智地花钱，尤其是在预算不够的情况下。

    数据库安全应该是重中之重。即使整个医院的信息系统瘫痪，仍然可以启用人工工作。只要数据库数据不丢失，就是福气，也是医疗IT技术人员的底线。所以，不管医院有没有资金，至少要做好数据库的备份，对操作系统和数据库进行补丁和加固。有钱的话可以做异地容灾，可以使用数据库防火墙、数据审计、日志审计系统，可以使用堡垒机来限制和监控访问等等。

   

    一般来说，医院的级别越高，数据的价值就越高，投入必须与医院的信息量相匹配。

    （2）如何构建务实的医院整体网络安全架构？

    一、符合A级担保的评估要求

    不可否认，当前网络安全等级防护评估仍然是最完善的安全建设要求。从建设绩效来看，遵守并获得MLA评估认证证书仍然是医院网络安全建设的一个目标。

    现在有很多成熟的评估工具，可以通过连接医院内网来检测医院网络中的许多漏洞和不完善的保护。分级担保的评估报告都是针对这些风险控制点的缺陷而编写的书面报告。人工检查的内容是制度、流程和执行情况。

    评估的目的是发现问题并向评估公司提出整改建议。这些建议往往只注重修复风控点的漏洞，很难从整体和成本角度考虑用户如何进行整改。缺陷需要评估，但如何改正必须立足实际。

    二、风险控制点分类分级

    医院评估的安全问题可能有很多，需要对问题进行分级，以便后期整改。分级分类的好处是知道问题的难度和优先级，哪些是目前可以解决的，哪些是需要预算投入的。哪些即使投入预算也很难完成，哪些根本不可能完成，目前也没有必要这样做。

    例如，医院信息部门可以将问题分为：数据库、服务器操作系统、终端管理、无线安全、WEB网站和HIS应用软件等。有些问题只需做一些加固或端口封锁即可解决，而有些问题则可以通过以下方式解决：问题可以通过购买专门的安全产品来解决。比如日志要求保留6个月，可以通过购买日志审计系统来解决。有些是不急需解决的，比如WEB网站，目前访问量很少。他们通常会进行异地备份。网站一旦被黑客攻击，不会超过2小时即可完全恢复。在关键时期，网站也可以暂时关闭。 HIS应用软件中的一些缺陷即使花钱也不愿意被HIS公司纠正以符合安全性。目前资金投入不多，比如终端接入安全。采用简单粗暴的方法，封锁、禁用也能保证医院信息系统的安全，这或许是解决问题的一个办法。

    三、分层分类建设路径

    在医院信息安全预算有限的情况下，需要非常清楚应该先建什么内容、后建什么内容，并且医院领导也应该了解目前提供了哪些方面的安全防护、什么级别的安全保障。达到了保护的程度，以及没有得到保护的程度。有哪些地方，有什么影响，可以用什么手段来避免或控制等等。

    这就回答了前面的问题：不投资安全还好，但投资了东西又是谁的问题呢？

    世界上没有绝对的安全。医院信息化负责人一定要让医院领导明白，安全方面的投资是必要的，但不能保证投资后信息系统就安全。对于每一项安全投资，你都要清楚地告诉你的领导，已经实施了哪些方面的防护，可以保护哪些内容，可以抵御哪些类型的网络威胁，以及哪些缺陷可能导致失败。如果出现这个问题怎么办？解决如何将损失控制在最低限度。

    医院无需害怕网络安全事件。最重要的是如何迅速将事故控制在最小范围，防止事故蔓延。这是网络安全建设的核心内容。

    每个医院的情况不同，关注点或痛点不同，使用的安全设备不同，投入的资金和人力也不同。因此，网络安全解决方案必须为医院量身定做、符合实际情况、可实施。计划。然后每年分批建设。这是医院网络安全建设真正务实的路径指南。

    四、交叉验证不留隐患

    目前，个人网络安全产品的功能越来越多。除了原有的主要功能之外，还增加了很多附加功能，这些附加功能可能是另一个产品的主要功能。例如：很多防火墙都带有防病毒功能，但这是防病毒软件公司的强项。事实上，医院可以开启这些辅助功能，达到交叉查杀的效果。

    没有哪个网络安全公司能够穷尽所有已知的病毒数据库。当新病毒产生时，每个公司都会以不同的速度进行更新。因此，不建议所有安全产品都使用一家公司的产品。这样可能会减少部署中的一些麻烦，甚至可能会被部署。比较完美，但是有一个完美的缺陷，那就是如果公司在安全方面存在致命的漏洞，那么所有的部署都将毫无用处。

   

    使用不同公司的产品，功能重叠、边界重叠、应用重叠，可以进行第二次、第三次测试，防止漏网之鱼、钻空子。

    目前，能做到这一点的医院并不多。也许由于多种原因，技术能力不足、怕麻烦不愿意尝试、或者公司产品之间存在竞争等，导致安全产品利用率低、合作度低。 ，这是一个值得大家思考的问题。

    五、统筹规划、统一布局

    “不谋全局者，不足以谋地区”。做好医院网络安全建设，必须有大局观，着眼大局，从小事做起。就像部队的编队一样，有的负责进攻，有的负责防守，有的负责侦察，有的负责诱捕，有的负责补漏，有的负责增援等等。导演就像教练。只有意志坚强，才能坐稳中国军队的帐，决战千里之外。

    信息总监必须了解目前有多少人员、有多少工具、有多少资金，并且要与医院信息化的整体发展相适应。例如，如果一家医院计划使用移动医疗系统，则必须建设无线网络并支持无线安全管理。安全产品日新月异。如果提前买了不使用，后期升级要花很多钱，而你又没有钱买该买的，这样只会增加人力运维成本。

    过去，医院信息安全建设主要集中在本地安全。比如，我们在做数据库安全防护时，只关注数据库，不考虑终端访问的安全，没有与终端访问安全产品挂钩。每个安全产品或者每个公司的产品很少有与其他公司统一的配置。他们都以自己的方式进行防御。它们不是一个整体，很容易出现保护漏洞或缺口。

    统一布局的最大好处就是提前预设某种产品是否适合放置在某个位置以及将发挥什么作用，即提前配置功能。医院网络安全就像一个大网络。某个环节的产品到位了，就像站在了一个好的位置上一样，能够发挥出应有的作用。首先逐步将重要点全部安装到位，然后补充完善辅助部件，从而形成医院网络安全的整体防护网。

    六、安全运维永远在路上

    医院安全的核心是数据安全，基础资产是这些核心数据的载体。因此，在构建安全运维服务体系的基础工作中，首先要做好基础资产的发现和管理工作。如果连基本的资产发现和管理都不能出现问题，安全运维就漏洞百出。

    持续的风险监控、发现和处置是安全运维的核心。风险检测主要包括与系统基础服务相关的常见漏洞、不当服务配置的风险检测；应用风险检测主要包括部分第三方应用的软件漏洞和自主研发（含外包研发）应用风险。对发现和监测的风险要制定持续改进计划和措施，并持续跟踪，形成常态化的持续风险管理和处置体系。

    处理安全事件必须建立及时有效的流程，从发现问题开始，然后将风险通报相关业务部门，同时会同业务部门进行风险整改和处置。处理。最后，修复处理完成后，及时进行回归测试。

    综上所述，安全运维必须基于资产及其风险生命周期进行持续管理和改进，并制定真正可执行的风险管理流程体系，明确职责和KPI考核指标。安全运维永远在路上，没有终点。

    医院网络安全建设的思考

    医院网络安全建设从单机版走向网络版，从局域网走向广域网，从浅薄的认识走向更加不可预测的未知。网络安全就像悬在头顶的达摩克利斯之剑；就像生怕被触碰的潘多拉魔盒，让医院信息科如履薄冰，惶恐不安。实力，只为了一句领导的认可和医生的夸奖。

    但我们必须重新思考，网络安全应该如何建设？

    技术永远解决不了无休无止的问题，所以规划和方法更重要。医院信息化负责人需要开始制定全院网络安全一盘棋的总体思路。棋子怎么布局、放哪里，固墙清田，铁壁围城，宁可犯错，也不要犯错，丢车保帅。这既是一种技术方法，也是一种管理艺术。

    专业的网络安全公司必须保持良知和敬畏，才能做好安全工作。凭借精湛的技术和优质的服务，敢于承担责任，与同行开放兼容，扎根行业，勇于吃亏。只有这样的企业才值得尊重和信任，才值得医院将网络安全托付给他们。