打开文本图片集

【摘 要】开展网络安全等级保护工作不仅是实现国家对重要信息系统重点保护的重要措施，也是一项事关国家安全、社会稳定的政治任务。医院信息系统是医院信息化建设、医院信息开放与保护、医院信息开发与利用的 “大脑”和“神经中枢”。医院信息系统的网络安全关系到医院的职能及医疗能力和国家的医疗战略安全，影响社会秩序、民众正常生活。本文分析了当下医院信息系统网络安全方面的态势，其所面临的威胁因素以及医院信息系统进行等级保护测评的重要性，并根据在日常工作中的经验，归纳总结了开展网络安全等级保护工作的流程和注意事项。

【关键词】医院信息系统;网络安全;等级保护;测评流程

中图分类号：TP309                             文献标识码：A

一、什么是医院信息系统

医院信息系统是指利用计算机软硬件技术和网络通信技术等现代化手段，对医院及其所属各部门的人流、物流、财流进行综合管理，对在医疗活动各阶段产生的数据进行采集、存储、处理、提取、传输、汇总，加工形成各种信息，从而为医院的整体运行提供全面的自动化管理及各种服务的信息系统。现代医院规模庞大、关系复杂、对临床信息和管理信息的高度共享和响应时间要求高，因此，以计算机网络为基础的医院信息系统具有以下特点：

（1）支持联机事务处理。

（3）支持信息汇总与分析。

（4）统一医疗信息的标准。

（5）保护信息的安全性和机密性。

（6）生命周期长。

医院信息系统是互联网在医学领域的一个新应用，它包括电子病历、疾病风险评估、在线咨询、远程就诊和医疗等。作为医疗领域的一个新兴产品，医院信息系统利用互联网、人工智能、大数据等技术，建立了新的医疗服务模式，为医疗机构、医生、医疗公司和患者提供了新的功能，重塑了医疗价值网络，努力解决“医疗能力三角”问题。目前，医院信息系统也存在很多优势，有：

（1）强化医疗资源供应链，促进阶梯诊疗发展。把诊疗工作从线下转到线上，扩大了医疗服务和活动范围，刺激优质医疗资源流动，在扩大医院品牌影响力的同时，为重点医生提供技术支持和培训，提高其初步诊断能力。

（2）方便患者治疗和减少医疗工作量优化医疗服务的提供流程，中断时间和限制空间，节省医疗预约和等待时间，可以提高诊断和治疗的效率。特别是在农村和偏远地区，患者可以“在家”就医，这样他们就可以不用外出就可以去看知名医生，减少了医疗资源的不平衡，大大增加了地区之间的医疗服务需求[1]。

（3）推动医院信息化发展，加快大数据共享。借助云平台和移动智能终端，获取患者健康状况和体验病例数据，实现健康监护和病历共享，消除医院之间的信息壁垒和不对称。

（4）降低医疗纠纷的可能性。互联网可以在整个过程中留下印记，服务过程更加透明。加强医生之间的网络沟通，改善医生患者之间的关系，扩大医院患者的来源。

二、医院信息系统网络安全建设原则

信息系统网络安全建设原则有九个，分别是：网络信息安全的木桶原则、网络信息安全的整体性原则、安全性评价与平衡原则、标准化与一致性原则、技术与管理相结合原则、统筹规划和分步实施原则、等级性原则、动态发展原则、易操作性原则。

但是在医院内建立安全的网络系统时，需要网络技术人员对该医院内原有的系统、平台等方面进行升级或更新，并合理规划现代化的网络安全系统，确保医院内部的各种数据、患者的个人信息予以安全性保障。在合理的网络规划与设计过程中，安全建设的主要内容包含防火墙的建设、安全网闸的设置、外来信息认证与监测功能的实现等方面，将此类功能进行有效串联，并以此形成院内、外的安全网络平台。只有确保内部系统与外部系统具有相同安全度，才能实现基本的交互功能，以及为院内数据、信息提供基础性保障。通常来看，互联网平台的有效建设能够对医院内的各类业务起到一定的延伸作用，还有人们最为关心的挂号系统，必须具有一定的稳定性才能投入正常使用。

首先，互联网技术的运用要为医院内的诊疗服务进行全面增强，在对医院网络的建设过程中，可选用具有长久稳定性的平台或系统，并在网络拓扑基础上对院内网络结构进行合理规划，在最大程度上促使网络平稳运作。在达到最基本的平稳运行前提下，互联网业务不存在地域差以及时间差，要达到不间断运行，不能出现“断网”现象，否则会为患者的出行就诊带来非常大的影响，该功能的实现要建立在虚拟化以及堆栈技术的应用下，以及提前做好

网络装置的备份，确保能在出现突发事件的第一时间，备份网络也能够快速的投入使用[2]。

其次，在对医院的网络安全建设过程中，会存在一定的互联网移动终端数量不断增长的现象。若没有及时提前拓宽网络线路，则会大大提高服务器的瘫痪概率。所以，在网络规划设计阶段，应将网络设备的性能与功能参数进行提前设置，确保在运作过程不会出现运行堵塞的现象。

最后，在医院网络的安全性方面，由于网络系统在没有防护的情况下非常容易遭受外部未知访问或网络攻击，所以，构建安全的网络管理平台十分必要，网络安全平台能够对院内网络系统中的各类设备进行管理，并提供一系列的安全功能，例如故障报警、日志追溯等。

三、医院信息系统网络安全面临的威胁因素

当前，我国信息化建设步伐加快，网络安全技术也在不断优化。网络技术在促进医院发展的同时，也出现了安全问题。2021年3月，西安市某医院网络系统突然崩溃，医疗控制室、咨询室系统等网络设备无法正常连接，医院诊疗秩序受损。经初步检查，医院信息系统的重要文件被人为篡改，导致诊疗系统瘫痪。医疗行业与人民生活息息相关，百姓在医院就诊的医疗数据一旦被篡改和泄露，势必对医疗机构的声誉、医患隐私和健康安全构成严重威胁。现阶段对医院信息系统网络安全的威胁主要包括以下5个方面：

1.管理问题。影响医院网络信息不确定性的因素很多。作为一个关键因素，管理因素在网络安全中起着重要作用。在医院网络安全管理中，权责不清直接导致管理混乱，安全管理体系的不完善也在一定程度上导致管理风险。

2.病毒的威胁。随着计算机网络办公自动化技术在我国的迅速发展，医院在获得更多经济效益的同时，也带来了巨大的风险。由于办公自动化技术的迅速发展，病毒会入侵开放的计算机网络系统，对网络和系统软硬件发起攻击，导致整个信息系统陷入危机甚至瘫痪，从而影响医院信息系统的正常运行。除此之外，病毒还会对系统中的数据库发起攻击，窃取医院系统里的病人隐私信息和机密数据，给医院造成巨大损失[3]。

3.特洛伊木马程序的危害。在使用医院信息系统时，不法分子容易使用特洛伊木马对系统发起攻击。特洛伊木马程序的破坏性很大，一旦系统受到特洛伊木马的攻击，系统中存储的重要信息就会窃取、篡改和丢失。特洛伊木马程序会在工作人员浏览的网站中编辑各种病毒程序，窃取系统信息并操纵系统，进而攻击系统，导致系统崩溃。

4.非法访问网络系统。由于现在的网络是开放的，医院信息系统在运行时，不法分子会利用网络漏洞非法访问系统。这种行为会给信息系统的重要信息造成严重损失，导致隐私信息泄露，系统失去可用性。

5.数据共享引发的数据泄露问题。在数据保护方面，医疗数据的复杂性使得脱敏和加密等技术难以实施，并且缺乏明确的分类和分类管理标准。在不受控制的互联网环境和不同机构之间的数据交换的情况下，患者身份数据的丢失、第三方对数据的不当存储以及对互联网医院系统的攻击可能会导致患者数据的泄露。在立法方面，我国尚未出台统一的个人数据保护法，缺乏实质性立法，医疗信息系统在网络安全方面面临严峻挑战。

四、医院信息系统网络安全态势

随着信息技术在医疗行业的快速发展，网络安全风险也在不断上升。目前，我国医疗卫生水平在层次保护、安全风险、系统安全水平等方面还存在薄弱问题，医院信息系统的网络安全形势不容乐观。医疗行业部门通常处于“高”风险水平，存在多种网络安全风险，黑客获取潜在安全风险的方法也在逐步增多。通过对15539家医疗机构的观察，1029个单位有僵尸、种马或蠕虫等恶意软件，6446个单位存在公共互联网接入问题，4546个单位有被操纵网站的问题。目前，绝大多数医院仅使用防火墙来提供网络安全，只有一半以上的医院使用VPN和VLAN来规范互联网行为[4]。

五、近年来发生的医院信息系统网络安全事件

1. 2020年4月，世界卫生组织宣布，在新冠疫情流行期间，网络攻击的数量急剧增加，暴露了约450名世卫组织及其数千名工作人员的电子邮件地址和密码。据外媒报道，同世界卫生组织（WHO）的数据一起泄露的，还有美国国立卫生研究院，美国疾病预防控制中心，盖茨基金会等众多机构的数据，共计近25000对邮箱和密码。不过除了世卫组织外，其他机构尚未承认数据遭到泄露。

2. 2019年11月，根据网络安全解决方案公司Greenbone对图片存档和通信系统（PACS）服务器安全性的研究，约有11.9亿张机密医学图像可以在互联网上免费使用，包括患者姓名，检查原因，出生日期和某些情况下的身份证的详细信息遭到泄露。在美国发现的7.86亿张医学图像中，甚至包括列出了美国国防部军事防御人员身份的详细信息。目前已有172台PACS服务器（包括来自英国，德国，泰国和委内瑞拉等11个国家的所有系统）完全脱机，并且无法再通过互联网访问患者数据，进行物理隔离的方式防止信息再次泄露。

3. 2018年8月1日至2019年3月30日期间，黑客入侵了美国医疗保健行业计费提供商AMCA的支付门户网站。被泄露的系统包含了血液检测公司LabCorp和医疗检测巨头Quest Diagnostics的患者隐私信息数据库。LabCorp表示，770万名患者的数据被泄露，包括姓名、生日、地址、电话号码以及欠款或已付款金额。Quest Diagnostics称其近1200万客户的记录遭到了黑客的攻击，虽然没有泄露检测结果，但是个人和财务信息、社会保险号和医疗信息等客户信息被窃取。目前，这两家公司目前都终止了与ACMA的合作关系。

4. 2020年7月，Cybernews研究人员发现，上海孝新网络的一个数据库存在安全问题，该数据库包含数十万用户的数据。上海孝新网络科技有限公司，运用互联网+老年科技的新理念，致力于改善中国2亿老年人的生活质量，为老年人提供不同的app和服务。这个数据库中含有超过34万条的GPS位置信息、个人基本信息、手机号、地址、 用户亲属和监护人的姓名和手机号、哈希的口令等敏感信息记录[5]。

5. 2018年8月，研究人员公开披露了openemer软件的22个安全漏洞。OpenEMR是一种广泛使用的医疗实践管理软件，支持电子病历并存储近1亿份病历，其中超过1000万份在美国。在公开的漏洞中，有一个门户身份验证绕过漏洞，它允许攻击者访问任何患者的记录。此外，Project Insecure发现攻击者可以利用此漏洞和发现的8个SQL注入漏洞访问目标数据库中的数据，并破坏患者记录。openemer开发人员表示，他们已经发布了一系列补丁来修复这些漏洞。

由上述安全事件可以看出，医院信息系统的网络安全关系到国家和医疗单位的战略安全、以及整个国家的医疗安全，严重影响了社会秩序、民众正常生活。

六、医院信息系统进行网络安全等级保护的重要性

网络安全等级保护是指对网络（包括信息系统和数据）进行分级保护和监督，对网络中使用的网络安全产品进行分级管理，对网络中发生的安全事件进行分级响应和处置。“网络”是指按一定的规则和程序收集、存储、传输、交换和处理信息的计算机或其他信息终端及相关设备组成的系统，包括网络设施、信息系统和数据资源。网络安全分级保护是实现国家对重要信息系统重点保护的重要措施，也是关系国家安全和社会稳定的一项政治任务。

近年来，云计算、大数据、物联网、移动互联网等新兴技术与传统医疗服务进一步融合，在为医疗服务提供便利的同时，也带来了新的安全风险。应关注医疗行业的网络安全，特别是新技术带来的网络安全风险。等级保护2.0从数据保密性和完整性、个人信息保护、通信网络安全、移动应用和移动终端控制等方面提出安全要求，保障云计算、大数据、物联网、移动互联网等新技术为医疗行业网络安全保驾护航。因此，对医疗信息系统进行评价是必不可少的一步。

七、网络安全等级保护工作流程

网络安全等级保护工作主要分为五个规定步骤：定级、备案、安全建设整改、等级测评和监督检查，如图3所示。

八、定级

《保护条例》在分级阶段增加了新的要求，二级以上的级别必须由专家审核，行业主管部门批准。跨省或全国统一联网的，制定安全防护等级，并组织分级评审的过程由行业主管部门统一进行。

分级是分级保护的第一步，同样也作为信息系统建设、整改、评估、备案、监督检查等工作一系列工作的重要依据。如果不确定信息系统的安全等级，将会使得系统的建设、整改、归档、等级评估等一系列工作难以进行，缺乏针对性。

根据《信息安全等级保护管理办法》的规定，信息系统的安全等级，应当根据信息系统在各个领域的重要性，以及对国家安全、社会秩序等方面的影响，被破坏后的信息系统，对公共利益和公民、法人及其他组织的合法权益。

（一）确定定级对象

作为定级对象的系统应当具有以下三个基本特征：

①确定的主要安全责任体;

②相对独立的业务应用;

③相互关联的多个资源。

为了达到各级的安全保护能力要求，国家等级保护基本安全要求提出了技术要求和管理要求两大类，涵盖了十个方面的内容：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

（二）确定等级保护对象受到破坏时所侵害的客体和侵害的程度

确定信息系统的安全防护等级包括等级保护物损坏时被侵害的客体和对客体的侵权程度、造成的损害。

研究对象包括以下三个方面：1.公民、法人和其他组织的合法权益;2.社会秩序和公共利益;3.国家安全。

（三） 确定安全保护级别。被保护物受到损害后，对被保护物的侵权程度可以概括为：①造成一般损害;②造成严重损害的;③造成特别严重的损害。业务信息安全保护等级如表1所示

九、医院信息系统受破坏后产生的危害后果

医院信息系统受破坏后，可能产生以下危害后果：医院职工隐私泄露、 病患隐私泄露、影响医院内各部门工作职能并降低业务、医疗能力、引起法律纠纷、导致财务损失、对社会秩序和公共利益造成损害、对国家安全造成损害。

十、网络安全等级保护备案办理流程

（一）定级

医院信息系统的等级保护定级常定级为第三级（信息系统划分及定级建议如表4所示），一般备案需准备以下材料：

①信息系统安全等级保护备案表;

②信息系统安全等级保护定级报告;

③信息系统安全保护等级专家评审意见;

④主管部门审核批准信息系统安全保护等级的意见。

同时，等保三级系统还需额外提供4份材料：

①系统拓扑结构及说明;

②系统安全组织机构和管理制度;

③系统安全保护设施设计实施方案或改建实施方案;

④系统使用的信息安全产品清单及其认证、销售许可证明。

（二）审核

材料进行审核时，在10个工作日内将会得到网络安全等级保护的备案证明。这些不符合有关标准的，必须在收到备案材料之日起的10天之内通知备案单位，并通知他们予以纠正，否则审核不通过;如果定级不准确，应当在收到备案材料之日起的10天内通知备案单位，重新确定定级级别，否则不予通过

（三）安全建设整改

最新建立的信息系统，需根据其安全保护等级的相关要求，结合其系统的特殊要求，自立项之初，同时开始安全建设的规划设计、系统集成等一系列规划工作与实施工作。

已有的信息系统，需根据等级保护的测评结果，针对结果进行整改，从安全通信网络、安全区域边界、安全计算环境和安全管理中心等方面有针对性的进行安全技术整改实施工作，直到达到标准才重新开始测评。

建设整改工作是网络安全等级保护制度的最重要的一步，不可改变，定级备案、等级测评和监督检查最终都要根据整改工作的内容出发，符合相关规定。安全的、符合规定的建设整改是为了保证当建立新的医院信息系统时，能让系统在满足自身需求的同时，保障系统的安全保护能力，使系统达到相应等级的基本保护水平。

当医院需要开展安全技术建设整改之前，就必须进行安全保护技术现状分析，对症下药，根据现状，有理有据的查找等级保护对象在安全保护技术建设整改过程中发现的需要解决的问题，知道这其中的需求;符合“一个中心（即安全管理中心）、三重防护（指的是安全计算环境、安全区域边界、安全通信网络）”的安全架构，必须设计一个信息系统的安全建设方案，保证安全措施在项目实施过程中同步规划、建设、使用。实际工作中，应该秉承“三分技术、七分管理”的理念，设计建设方案时，设计人员需要把技术措施和管理措施需要结合在一起，才能够有效的建立信息系统综合防护体系，这才能够保证信息系统安全保护能力。安全管理是指在信息系统中对人员参与的活动制定相关规章制度，限定其职责职能，对信息系统的生命周期全过程实施科学管理。安全技术即是通过在信息系统中部署、配置软硬件，让安全功能得到实现。

等级保护上的管理分为五个方面：

安全管理制度：建立、明确信息系统领导机构，责任领导的明确工作，落实一些相关的责任部门，建立人力资源管理体系，分派各个岗位的职责和任务，建立工作包等机制，把责任落实到具体人员和岗位上。

安全管理机构：建立、明确信息安全领导机构，明确主管领导，落实责任部门，建立岗位和人事管理制度，明确各岗位职责和任务，落实安全管理责任制。

安全管理人员：即加强人员的安全管理。规范他们的工作流程、离开工作岗位的手续，以及关键岗位必须签订保密协议，加大力度的开展各类人员在各个岗位上的安全意识培训、在职技术培训。对重点岗位人员进行安全评价和技术评价，定期进行人事测评、绩效报告等。实现访问控制等技术，控制不确定的人员进入区域、系统、设备

安全建设管理：指建设过程管理系统的加强。建立一个系统，说明了管理、分类、管理、规划、产品设计、软件的采购、使用和开发以及项目封条，例如分配、提高评价和管理安保事务、确定部门责任、管理内容管理和确定控制方法。根据管理系统实施各种管理措施

安全运维管理：指加强系统运行过程的管理。制定了系统运营、环境管理、资产管理、媒体管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理等管理责任部门的相关管理制度，具体管理内容和控制方法，变更管理，变更备份和恢复管理，安全事件处理，应急管理等。按照管理制度执行各种管理措施

GBT22239-2019《信息安全技术网络安全等级保护基本要求》中划分为安全通用要求和安全扩展要求。提出一般保护要求的一般安全要求。无论目标高度如何，都必须以安全等级对应的一般安全要求为基础。考虑到对人身保护的要求，作者建议延长抵押请求权。级别保护对象必须根据安全保护级别、特定技术或特定应用场景满足安全扩展的要求。分级保护措施应符合一般安全和安全要求，更有效地保护分级保护。例如，传统信息系统的一般安全要求提出了保障措施。云计算平台既要使用一般安全需求进行保障，又要采取保障措施。根据云计算平台的技术特点，有必要扩展云计算安全。

（四）等级测评

3级或更高级别的新系统发布前必须在同一质保评估中并通过评级方可投入运行;3级及以上级别的系统评估每年一次。要求运营单位每年进行一次自查，并向备案的公安机关报告。三级网络每年做等保测评可以看做一次自查。

评估目的：首先，了解信息系统安全现状，调查系统风险和薄弱环节，明确完善信息系统安全建设的要求。第二，评估信息系统安全防护措施是否满足防护等级的基本要求，是否有适当的安全防护等级。

在取得网络安全等级保护备案证明后，选择具有国家或行业认可资质的第三方测评机构对系统进行等级测评。等级保护测评围绕着技术要求和管理要求两个大类进行测评。

测评机构的工作流程：

①项目启动，与客户沟通，收集系统基本信息，确定测评范围;②进场后与运营单位开项目启动会议，明确现场测评的工作计划并落实配合人员信息;③现场测评，通过工具测试、问卷调查、人员访谈、现场查看等方式进行数据采集;④整理现场采集的数据，采集的记录由配合测评的工作人员确认签字;⑤对采集数据进行初步分析，对照测评标准量化系统现状与标准的差距;⑥与运营单位开结项会，汇报在现场测评工作中发现的问题;⑦对采集数据进行综合分析，根据评估模型得到评估结果，提出合理的整改建议，完成测评报告的编写、报告评审等工作。

在进行测评时，也存在一定的风险，由于医院信息系统的特殊性，数据传输、信息处理的实时性要求高，业务需要一直持续，不能中断服务，不可预料的中断会造成经济损失或者灾难。在进行等保测评中与传统的IT系统的风险有所不同，有一些特殊的方面需要引起注意：

在线搜索漏洞可能导致服务器故障，导致重要的操作数据丢失。但是，在渗透测试的过程中，如果对医院信息系统的理解不够，导致任何失败，测试都会在一定程度上变得失败。因此，在设备使用评估过程中，有必要制定完整的危害识别和处理方案。例如，漏洞扫描不直接应用于信息系统，而是通过准备或封闭系统。同时，对于一些重要、尤其是核心基础设施的医院信息系统，打补丁、软件版本更新必须慎之又慎，最好能在备用系统上先做测试，确保补丁及更新不会对系统产生不良影响后再在正在运行的系统中进行相应的操作！

（五）测评结论

根据现场采集的数据，参照测评标准，得出各个测评项的得分情况，经过特定的公式进行加权计算，得出被测系统的综合得分，并根据表5得出其测评结论

综合得分计算公式：

q：被测对象所涉及到的安全类;p（j）：某个安全类所对应的测评项数的全部数量，但不含不适用的测评项;m（k）：测评项k所对应的测评对象的总数数，0.5的分数和更低分数，在高风险的安全问题上，完成评估后被直接判定为“差”。

（六）监督检查

公安、密码、安全和其他部门负责监控、控制和管理用户部门和责任部门的分级保护，以及关键信息系统的安全监控。故意降低信息系统安全等级，逃避公安、密码、安全等服务监督，造成信息系统重大安全事故的，必须依法追究单位和个人责任。结语

医院信息系统的网络安全防护和保护是一个极其复杂的系统工程，需要从软件、硬件、网络以及人员管理、制度规范等多方面同时着手，做好等级保护等级测评工作，找出医院信息系统的安全现状与系统所属等级的安全基线的差距点，制定妥善的整改方案，并落实整改措施，提高系统的安全防护能力，才能真正有效的针对医院的关键设施和关键信息安全进行保护，保障医院的职能与效率，进一步巩固国家的医疗系统安全、战略安全等。

参考文献

[1]GBT22239-2019《信息安全技术网络安全等级保护基本要求》

[2]GBT28448-2019《信息安全技术网络安全等级保护测评要求》

[3]易汉超.医院信息系统网络安全问题及对策研究[J].数字通信世界，2021（10）：119-120.

[4]张广文.医院信息系统的网络安全维护探讨[J].网络安全技术与应用，2022（02）：119-120.

[5]袁骏毅，潘常青，宓林晖.基于等级保护2.0标准体系的医院信息化安全建设与研究[J].中国医院，2021，25（01）：72-73.DOI：10.19660/j.issn.1671-0592.2021.1.23.

作者简介：刘伟杰（1992.03），男，广东兴宁人，汉族，本科学历，贵州亨达集团信息安全技术有限公司，主要研究方向：网络安全