近日,国家卫生健康委、国家中医药局、国家疾控局联合印发《医疗卫生机构网络安全管理办法》(以下简称《办法》),为医疗卫生机构指明了网络安全管理的总方向。在网络安全管理方面,医院进行了哪些探索,取得了哪些经验?面对风险和挑战,如何进一步筑牢网络安全防线?
围绕上述问题,《健康报》邀请医院管理者、业内专家分享经验与思考。
【嘉宾】
浙江大学医学院附属儿童医院副院长
俞刚
医疗行业是关系国计民生的关键行业,医疗健康数据是国家基础性战略资源,具有极高的分析研究与应用价值。医疗机构做好网络安全工作的主要目标是保障医院的数据安全,确保医院业务的稳定和连续。网络安全工作不仅仅是安全设备的部署,更重要的是管理制度的制定与落实以及安全运营的闭环管理。医疗机构管好网络安全,需要从组织、流程、技术三个方面持续建设、持续运营、持续优化。
管理体系涵盖四个层次
网络安全首先是要抓安全管理。浙江大学医学院附属儿童医院很早就成立了网络安全和信息化领导小组,由医院领导担任组长。在网络安全和信息化领导小组之下,专门成立了网络安全工作小组,负责网络安全工作的落实。每季度,两个小组都会召开网络安全办公会,对网络安全工作进行总结,对下一季度网络安全工作进行规划。
网络安全不仅仅是信息中心的工作,还要坚持“管业务就要管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,建立群防群控工作机制,将网络安全工作纳入各科室及部门负责人年终考核体系,层层签订《网络安全责任书》,落实网络安全责任制,明确各方责任。
医院构建了涵盖四个层次的网络安全管理制度体系:
第一层是网络安全总体方针策略,即网络安全工作的纲领性文件,如《浙大儿院信息安全工作总体方针》《浙大儿院信息安全工作管理策略》。
第二层是制度办法。在安全策略的指导下,制定了各项安全管理与技术的制度、办法和准则,用来规范各部门网络安全管理工作,如《浙大儿院人员安全管理制度》《浙大儿院系统建设管理制度》《浙大儿院网络安全管理制度》《浙大儿院恶意代码防范管理制度》。
第三层是流程细则。通过细化实施细则、管理技术标准等内容,促进对应的制度与管理办法有效实施,如《浙大儿院设备维护手册》《浙大儿院安全员操作规范》《浙大儿院资产分类分级指南》。
第四层是运行记录。记录活动以符合前三层文件要求的客观证据,阐明所取得的结果或提供完成活动的证据,如《浙大儿院机房出入登记表》《浙大儿院设备操作维护记录表》《浙大儿院网络开通审批表》《浙大儿院资产登记表》。
此外,网络安全宣传与意识培养同样重要。医院不定期下发国家网络安全政策学习文件;每年进行两次医院内部网络安全宣传周活动,通过一系列网络安全小游戏等,宣传树立网络安全意识的重要性;建立网站系统备案及年审机制,坚持把安全放在首位。
建立持续运营流程
浙江大学医学院附属儿童医院以IPDRR为模型建立了网络安全持续运营流程,IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力。网络安全持续运营流程分为五步:
第一步,理清资产,这是提升安全运营能力的第一步,也是最基础的一步。如果不清楚自身资产的情况,就无法从全局高度考虑后续的安全建设。医院每季度会进行一次资产全面扫描,厘清对外业务资产和对内业务资产,建立清晰的资产台账,并且明确每项资产的责任人,防止出现“影子资产”。
第二步,以攻击者视角定期开展互联网暴露检测和攻击面检测,及时发现对外暴露的高危端口和高危服务,再通过访问控制、关闭互联网访问、减少高危端口等手段,降低入侵风险,在提高效率的同时,也满足组织内部自查、上级核查和行业普查的安全需求。
第三步,每月进行漏洞扫描,通过多扫描器多次交叉扫描网络中的核心服务器、重要的网络设备以及WEB业务系统,对网络设备进行安全漏洞检测,对互联网侧漏洞进行持续的验证和跟踪,并通过漏洞管理平台,将这些漏洞信息与业务资产信息进行统一关联、展示与追踪,使管理人员可以有效地监控业务资产漏洞,实现核心服务资产全生命周期的可视、可控和可管。
第四步,通过SOAR技术建立自动化威胁检测响应机制,运用态势感知对医院内部安全设备的安全日志和流量进行关联分析,识别网络和主机中的安全威胁,通过自动联动部署组织本地的防火墙、WEB应用防火墙、终端EDR等设备,实现安全事件的闭环处置。
第五步,建立了一套应急响应机制,并且定期进行应急演练,出现网络安全事件后第一时间响应,保证业务不中断。
在安全技术能力建设方面,医院按照等级保护要求,建设了“一个安全管理中心”管理下的“三重防护体系”,以安全态势感知、堡垒机统一运维审计、日志集中审计为安全管理中心,以零信任建设安全通信网络,从边界安全防护和未知威胁检测与防护等层面建设安全区域边界防护,从主机安全、应用安全、数据安全等层面建设安全计算环境,逐步建立“实战化、体系化、常态化”的安全防护体系,形成“动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控”的安全防护能力。
探索数据管理新路径
医院内部有大量的高价值数据,包括医患个人信息、疾病诊疗、检验检查、医院运营等隐私数据。医院内部数据调用接口复杂,面临比较大的数据泄露风险,医院数据安全管理任务十分艰巨。
目前,医疗数据安全管理缺少顶层建设指引,建议行业主管部门加紧制定数据安全实施细则或工作指南。行业组织也可按照章程,依法制定符合卫生健康行业特点的数据安全行为规范和团体标准,加强行业自律,提高数据安全保护水平,促进行业健康发展。
细则或指南应以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》为基础,从细化信息系统等级保护标准、数据分级分类、重要数据目录、数据加密方法、去标识措施、敏感数据保护规则、数据使用规范等层面,引导各医疗机构建立并不断完善医疗数据保护管理机制,为行业落实数据全生命周期保护提供有效指引,促进医疗数据规范治理与合理应用。
在浙江省全面推进数字化改革的背景下,浙江大学医学院附属儿童医院在如何创新儿童医疗数据分类分级方法,平衡儿童医疗数据分类分级标准中数据保护与开放应用的关系做了一些探索。数据科研团队正着手运用自然语言处理、结果集流式处理、深度神经网络等技术,研发儿童医疗数据动态脱敏系统,构建儿童医疗数据智能分类分级模型,制定儿童医疗数据分类分级标准。
文:浙江大学医学院附属儿童医院副院长 俞刚
策划:王乐民 张灿灿
编辑:吴风港(实习) 肖薇 张漠
校对:马杨
审核:徐秉楠 闫龑
