打开文本图片集

【摘 要】医院信息系统是医院信息化建设、医院信息开放与保护、医院信息开发与利用的 “大脑”和“神经中枢”。对国家的医疗战略安全，影响社会秩序、民众正常生活有重大意义。网络安全等级保护工作的开展不仅是实现国家对重要信息系统重点保护的重要措施，也是一项事关国家安全、社会稳定的政治任务。本文侧重分析了当下医院信息系统网络安全方面的态势，其所面临的威胁因素以及医院信息系统进行等级保护测评的重要性，并根据日常工作中的经验，归纳总结了开展网络安全等级保护工作的流程和注意事项。

【关键词】医院信息系统;网络安全;等级保护;测评流程

中图分类号：TP309                            文献标识码：A

一、什么是医院信息系统

医院管理信息系统运用了现代化计算机及网络通信等综合性的管理技术，便于分类管理对于院内及其相关部门的人员、物品使用及财务运转等方面，从而对各阶段的医疗过程形成的数据信息加以存档、整理及汇总，形成相应的数据分析，便于为各大医疗部门的正常运营提供全面的管理和自动化的信息服务系统，是医院管理和社会信息化的一个重要组成，。现代医院规模庞大、关系复杂、对临床信息和管理信息的高度共享和响应时间要求高，因此，以计算机网络为基础的医院信息系统具有以下特点：

（1）支持联机事务处理。

（3）支持信息汇总与分析。

（4）统一医疗信息的标准。

（5）保护信息的安全性和机密性。

（6）生命周期长。

医院信息系统是互联网在医学领域的一个新应用，涵盖电子病历、疾病在线咨询、风险评估、远程就诊和医疗等。作为医疗领域的一个新兴产品，医院信息系统利用互联网、人工智能、大数据等技术，建立了新的医疗服务模式，为医疗机构、医生、医疗公司和患者提供了新的功能，重塑了医疗价值网络，努力解决“医疗能力三角”问题。目前，医院信息系统也存在很多优势，有：

（1）强化医疗资源供应链，促进阶梯诊疗发展。把诊疗工作从线下转到线上，扩大了医疗服务和活动范围，刺激优质医疗资源流动，在扩大医院品牌影响力的同时，为重点医生提供技术支持和培训，提高其初步诊断能力。

（2）方便患者治疗和减少医疗工作量优化医疗服务的提供流程，中断时间和限制空间，节省医疗预约和等待时间，可以提高诊断和治疗的效率。特别是在农村和偏远地区，患者可以“在家”就医，这样他们就可以不用外出就可以去看知名医生，减少了医疗资源的不平衡，大大增加了地区之间的医疗服务需求[1]。

（3）推动医院信息化发展，加快大数据共享。借助云平台和移动智能终端，获取患者健康状况和体验病例数据，实现健康监护和病历共享，消除医院之间的信息壁垒和不对称。

（4）降低医疗纠纷的可能性。互联网可以在整个过程中留下印记，服务过程更加透明。加强医生之间的网络沟通，改善医生患者之间的关系，扩大医院患者的来源。

二、医院信息系统网络安全建设原则

信息系统网络安全建设原则主要有：

网络信息安全的整体性及统筹规划原则、木桶原则、分步实施和等级性原则、 良好的动态发展原则、易操作性原则、安全性评价与平衡原则、信息安全的标准化与一致性原则、技术与管理相结合原则。

但是在医院内建立安全的网络系统时，需要网络技术人员对该医院内原有的系统、平台等方面进行升级或更新，并合理规划现代化的网络安全系统，确保医院内部的各种数据、患者的个人信息予以安全性保障。在合理的网络规划与设计过程中，安全建设的主要内容包含防火墙的建设、安全网闸的设置、外来信息认证与监测功能的实现等方面，将此类功能进行有效串联，并以此形成院内、外的安全网络平台。只有确保内部系统与外部系统具有相同安全度，才能实现基本的交互功能，以及为院内数据、信息提供基础性保障。通常来看，互联网平台的有效建设能够对医院内的各类业务起到一定的延伸作用，还有人们最为关心的挂号系统，必须具有一定的稳定性才能投入正常使用。

首先，互联网技术的运用要为医院内的诊疗服务进行全面增强，在对医院网络的建设过程中，可选用具有长久稳定性的平台或系统，并在网络拓扑基础上对院内网络结构进行合理规划，在最大程度上促使网络平稳运作。在达到最基本的平稳运行前提下，互联网业务不存在地域差以及时间差，要达到不间断运行，不能出现“断网”现象，否则会为患者的出行就诊带来非常大的影响，该功能的实现要建立在虚拟化以及堆栈技术的应用下，以及提前做好

网络装置的备份，确保能在出现突发事件的第一时间，备份网络也能够快速的投入使用[2]。

其次，在对医院的网络安全建设过程中，会存在一定的互联网移动终端数量不断增长的现象。若没有及时提前拓宽网络线路，则会大大提高服务器的瘫痪概率。所以，在网络规划设计阶段，应将网络设备的性能与功能参数进行提前设置，确保在运作过程不会出现运行堵塞的现象。

最后，在医院网络的安全性方面，由于网络系统在没有防护的情况下非常容易遭受外部未知访问或网络攻击，所以，构建安全的网络管理平台十分必要，网络安全平台能够对院内网络系统中的各类设备进行管理，并提供一系列的安全功能，例如故障报警、日志追溯等。 在网络安全交换区建设中，医院内网和外网都要配置安全设备，另外在人员培训等方面培养相关意识，只有做好充分的准备才能给医院网络的稳定运行提供保障。

三、医院信息系统网络安全面临的威胁因素

当前，我国信息化建设步伐加快，对网络安全的保障也迫切需要加强。网络技术越来越多的运用于工作中，在促进医院发展的同时，也出现了新的网络安全问题。2021年3月，西安市某医院网络系统突然崩溃，医疗控制室、咨询室系统等网络设备无法正常连接，医院诊疗秩序受损。经初步检查，医院信息系统的重要文件被人为篡改，导致诊疗系统瘫痪。医疗行业与人民生活息息相关，百姓在医院就诊的医疗数据一旦被篡改和泄露，势必对医疗机构的声誉、医患隐私和健康安全构成严重威胁。现阶段对医院信息系统网络安全的威胁主要包括以下5个方面：

管理问题。

影响医院网络信息不确定性的因素很多。作为一个关键因素，管理因素在网络安全中起着重要作用。在医院网络安全管理中，权责不清直接导致管理混乱，安全管理体系的不完善也在一定程度上导致管理问题。

2.病毒问题。

伴随计算机自动化的崛起，网络办公技术在我国发展迅速、在医院发挥的作用越来越不可替代，在给医院的办公带来极大的便利，获得更多的经济效益，同时，网络的开放性和便利性也带来了安全风险。由于办公自动化技术以互联网为基础，病毒会入侵开放的计算机网络系统，对网络和系统软硬件发起攻击，导致整个信息系统陷入危机甚至瘫痪，从而影响医院信息系统的正常运行。除此之外，病毒还会对系统中的数据库发起攻击，窃取医院系统里的病人隐私信息和机密数据，给医院造成巨大损失[3]。

3.极具攻击性的特洛伊木马程序。

在使用医院信息系统时，不法分子容易使用特洛伊木马对系统发起攻击。特洛伊木马程序的破坏性大，如果系统受到特洛伊木马的攻击，系统中存储的无纸化办公信息就会面临被窃取、篡改或丢失。另外，木马程序经常会在工作人员浏览的广告或视屏网站中编写各种病毒程序，窃取系统信息并操纵或攻击网络系统，导致办公系统彻底崩溃，同时还可以盗取和篡改用户信息等，这种情况将对医院办公运行和用户造成极为恶劣的后果。

4.非法访问网络系统的现象。

由于现在的网络是开放的，医院信息系统在正常运行时，不法分子可能会利用网络漏洞，利用读写和存储权限，通过非法访问系统这种行为，致使信息系统的重要信息造成严重损失，导致隐私信息泄露，甚至让系统不可控和失去用途。

5.数据共享引发的数据泄露问题。

在数据保护方面，医疗数据的复杂性使得脱敏和加密等技术难以实施，并且缺乏明确的分类和分类管理标准。在不受控制的互联网环境和不同机构之间的数据交换的情况下，患者身份数据的丢失、第三方对数据的不当存储以及对互联网医院系统的攻击可能会导致患者数据的泄露。在立法方面，我国尚未出台统一的个人数据保护法，缺乏实质性立法，医疗信息系统在网络安全方面面临严峻挑战。

四、医院信息系统网络安全态势

随着信息技术在医疗行业的快速兴起，网络安全风险也在逐渐上升。目前，我国医院信息系统的网络安全防范形势并不乐观，当前的医疗卫生水平在较低的保护层次，网络系统安全意识等方面还存在各种薄弱问题，医疗行业部门通常处于“高”风险水平，存在多种网络安全风险，黑客获取潜在安全风险的方法也在逐步增多。通过对15539家医疗机构的观察，1029个单位有僵尸、种马或蠕虫等恶意软件，6446个单位存在公共互联网接入问题，4546个单位有被操纵网站的问题。目前，绝大多数医院仅使用防火墙来提供网络安全，只有一半以上的医院使用VPN和VLAN来规范互联网行为[4]。如图1所示：

五、近年来发生的医院信息系统网络安全事件

1.联合国世卫组织表示，在新冠疫情流行时期，网络攻击的数量急剧增加，据统计在2020年4月，泄露了约四百五十名左右世卫组织人员及其数千名相关的电子邮件地址和密码。据外媒报道，同世界卫生组织（WHO）的数据一起泄露的，还有美国国立卫生研究院，美国疾病预防控制中心，盖茨基金会等众多机构的数据，共计近25000对邮箱和密码。不过除了世卫组织外，其他机构尚未承认数据遭到泄露。

2. 2019年11月，根据网络安全解决方案公司Greenbone对存档图片和通信系统（PACS）服务器安全性能的研究，涉及机密医学图像，据统计大约有约有11亿多张图像可以在互联网上免费获取并使用，包括患者姓名，检查原因，出生日期和某些情况下的身份证的详细信息遭到泄露。在美国发现的7.86亿张医学图像中，甚至包括列出了美国国防部军事防御人员身份的详细信息。目前已有172台PACS服务器（包括来自英国，德国，泰国和委内瑞拉等11个国家的所有系统）完全脱机，并且无法再通过互联网访问患者数据，进行物理隔离的方式防止信息再次泄露。

3. 2018年8月初至次年3月底，黑客入侵了美国医疗保健行业计费提供商AMCA的支付门户网站。被泄露的系统包含了血液检测公司LabCorp和医疗检测巨头Quest Diagnostics的患者隐私信息数据库。负责人LabCorp表示，共计七百七十万名患者（涵盖姓名、生日、地址、通讯录以及已付款项等）隐私数据被泄露，。Quest Diagnostics称其近1200万客户的记录遭到了黑客的攻击，虽然没有泄露检测结果，但是个人和财务信息、社会保险号和医疗信息等客户信息被窃取。目前，这两家公司目前都终止了与ACMA的合作关系。

4. 2020年7月，Cybernews研究人员发现，上海孝新网络科技有限公司的一个数据库存在安全问题，该数据库涵盖了数十万用户的用户信息。采用最新理念：互联网+科技养老，着力于为老年人提供不同的科技服务，目的是改善中国当时现有的两亿多老年人的生活质量，当时数据库中含有超过34万条的GPS位置信息、个人基本信息、手机号、地址、 用户亲属和监护人的姓名和手机号、哈希的口令等敏感信息记录[5]。

5.研究人员于2018年8月公开披露了OpenEMR软件的二十二个安全漏洞。OpenEMR是在医院内大量运用的一种医疗实践管理软件，支持电子病历并存储近一亿份患者病历，其中美国有超过十分之一万份的记录，在公开的漏洞中，有一个门户身份验证绕过漏洞，它允许攻击者访问任何患者的记录。此外，Project Insecure发现攻击者可以利用此漏洞和发现的8个SQL注入漏洞访问目标数据库中的数据，并破坏患者信息。openemer开发人员表示，他们已经发布了一系列补丁来修复这些漏洞。

由上述安全事件可以看出，医院信息系统的网络安全关系到国家和医疗单位的战略安全、以及整个国家的医疗安全，严重影响了社会秩序、民众正常生活。

六、医院信息系统进行网络安全等级保护的重要性

网络安全等级保护是指对系统和数据信息进行分级保护和监督，对使用的网络安全产品进行分级管理，对网络中发生的安全事件进行分级响应和处置。“网络”是指按一定的规则和程序收集、存储、传输、交换和处理信息的计算机或其他信息终端及相关设备组成的系统（网络设施、信息系统和数据资源）。网络安全分级保护是实现国家对重要信息系统重点保护的重要举措，也是关乎社会稳定和国家安全的一项政治任务。

近几年，自动化、移动互联网等新兴技术与传统医疗服务进一步融合，在为医疗服务带来变化的同时，新技术带来的网络安全风险尤其不可小觑。我们应关注医疗行业的网络安全，等级保护2.0从个人信息保护、数据完整和保密性、通信安全、和终端控制等多个方面提出安全要求，保障自动化、互联网等新技术为医疗行业网络安全保驾护航。因此，对医疗信息系统进行评价是必不可少的一步。

七、网络安全等级保护工作流程

网络安全等级保护工作主要分五个规定步骤：

首要环节-定级，核心节点-备案，关键步骤-整改安全建设，评价方法-登记测评，基本保障-监督检查。如图2示。

八、定级

《保护条例》 在分级阶段增加了新的要求，二级以上的级别必须由专业人员审核，经由行业主管部门同意。跨省或全国统一联网的，制定安全防护等级，由行业主管部门统一进行并全程参与分级评审的过程。

分级是第一步，同样也作为信息系统后期建设整改、评估备案、监督检查等一系列工作的重要参考。如果不确定信息系统的安全等级，将会使得系统的建设、整改、归档、等级评估等一系列工作难以进行，无法针对性开展。

依照 《信息安全等级保护管理办法》，信息系统的安全等级，应当根据信息系统在各个领域的重要性，以及对国家安全、经济效益、社会建设等方面的影响，被破坏后的信息系统，对公共利益和公民、法人及其他组织的合法权益。

《保护条例》规定运营者必须在前期规划阶段核实网络安全等级，意味着味着系统使用前须优先定级。

（一）确定定级对象

定级对象的系统应具备三个特征：

特定的主要安全责任体;

业务应用相对独立;

多个资源相关联

为提升安全保护标准和能力，国家等级保护基本要求提出这几个方面的安全内容要求：管理中心、管理制度、管理机构、管理人员、建设管理、运维管理、物理环境、通信网络、区域边界、计算环境。涵盖了技术要求和管理要求两大类。

（二）确定等级保护对象受到破坏时所侵害的客体和侵害的程度

安全防护等级包括等级保护物损坏时被侵害的客体和对客体的侵权程度、造成的损害。

确定信息系统的研究对象包括以下三个方面：

1.公民、法人和其他组织的合法权益;

2.公共利益、社会秩序

3.国家安全。

（三）在确定级别以后，对于被保护物受到不同程度的损害，业务信息安全保护等级侵权程度可以分类为：①一般性损害;②严重性损害;③特别严重损害。如表1所示

九、医院信息系统受破坏后产生的危害后果

医院信息系统受破坏后，可能产生以下危害后果：医院职工隐私泄露、 病患隐私泄露、影响医院内各部门工作职能并降低业务、医疗能力、引起法律纠纷、导致财务损失、对社会秩序和公共利益造成损害、对国家安全造成损害。

十、网络安全等级保护备案办理流程

（一）定级

医院信息系统的等级保护定级常定级为三级（信息系统划分及定级建议如表2所示）

信息系统安全等级保护登记需准备的材料分为：

等级保护备案表

等级定级报告;

专家评审意见;

主管部门审核意见。

此外，等保第三级系统还需额外提交4份材料：

拓扑结构及说明;

安全组织机构和管理制度;

安保设施设计或改建实施方案;

采用的信息安全产品清单及其认证、销售许可证。

（二）审核

材料进行审核时，约莫十个工作日内将会得到由公安机关出具的安全等级保护的反馈，备案单位在收到反馈材料通知后，如果有不符合相关标准的，应及时予以纠正，否则审核不通过;如果定级不准确，应当在收到备案材料之日起的10天内通知备案单位，重新确定定级级别，否则不予通过。

（三）安全建设整改

最新建立的信息系统，需根据其安全等级的相关要求，结合其系统的特殊要求，自立项之初，同时开始安全建设的规划设计、系统集成等一系列规划工作与实施工作。

现有的信息系统，需要根据要求，以及结合等级保护的测评结果，从安全区域边界、通信网络、云计算环境和安全管理中心等三个方向有针对性的进行安全技术整改工作，直到达到标准才重新开始测评。

当前，整改建设工作是网络安全等级保护的最重要的一步，不可改变，定级备案、等级测评和监督检查最终都要根据整改工作的内容出发，符合相关规定。安全的、符合规定的建设整改是为了保证当建立新的医院信息系统时，能让系统在满足自身需求的同时，保障网络安全，同时使让系统相应的保护水平达到其对应的等级。

医院必须先进行安全保护技术的现状分析，才能开展相应的安全技术建设整改，对症下药，根据现状，有理有据的查找等级保护对象在安全保护技术建设整改过程中发现的迫切要解决的问题，知道这其中的需求;符合“一个中心（即安全管理中心）、三重防护（即 安全计算环境、安全区域边界、安全通信网络）”的安全架构，设计有关信息安全建设的方案，保证安全措施在项目实施和建设过程中同步投入使用。在实际运用过程中，设计人员需要把技术和管理措施需要结合在一起，设计建设方案时，我们应秉着这样的理念： “技术三分 管理七分”，才能够有效的建立信息系统综合防护体系，这才能够从整体上保障信息系统安全。在信息系统中，我们所说的安全管理，是指约束人员活动过程中的相关规章制度，限定其职责职能，对系统的周期全过程实施科学管理。安全技术即是在信息系统中，通过配置软硬件，部署各项功能让安全得以实现。

等级保护上的管理分为五大方面：

管理制度：建立健全责任领导、系统机构的相关工作，落实一些相关的责任部门，建立人力资源管理体系，分派各个岗位的职责和任务，建立工作包等机制，把责任落实到具体人员和岗位上。

管理机构：明确领导机构及主管领导，完善岗位和责任制度，明确各岗位职责和任务。

管理人员：即规范人员管理，工作安全流程、特别是离开工作岗位的手续，以及关键岗位必须签订保密协议，加大力度的开展各类人员在各个岗位上的安全意识培训、在职技术培训。对重点岗位人员进行安全评价和技术评价，定期进行人事测评、绩效报告等。实现访问控制等技术，控制不确定的人员进入区域、系统、设备

安全建设管理：指建设过程管理系统的加强。建立相关系统，说明了管理、分类、管理、规划、产品设计、软件的采购、使用和开发以及项目封条，根据管理系统实施各种管理措施。例如分配、提高评价和管理安保事务、确定部门责任、管理内容管理和确定控制方法。

运维管理：指系统运行过程的加强管理。制定了系统运营、环境管理、资产管理、媒体管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理等管理责任部门的相关管理制度，具体管理内容和控制方法，变更管理，变更备份和恢复管理，安全事件处理，应急管理等。按照管理制度执行各种管理措施

在GBT22239-2019 《信息安全技术网络安全等级保护基本要求》中，提出一般安全要求和安全扩展要求。无论目标高度如何，需要以安全等级对应的一般安全要求为基础。考虑到对人身保护的要求，作者建议延长抵押请求权。级别保护对象必须根据一定的标准满足安全扩展的要求，即安全保护级别、特定技术或特定应用场景等。分级保护措施应更有效地保护分级保护目标，实现一般安全和安全扩展要求。像传统信息系统的一般安全要求提出了保障措施。云计算平台既要使用一般安全需求进行保障，又要采取保障措施。根据云计算平台的技术特点，有必要扩展云计算安全。

（四）等级测评

3级或更高级别的新系统发布前必须在同一质保评估中并通过评级方可投入运行;3级及以上级别的系统评估每年一次。要求运营单位每年进行一次自查，并向备案的公安机关报告。三级网络每年做一次等级保护测评可以视为自查。

评估目的：首先，了解信息系统安全现状，调查系统风险和弱项环节，明确需要处理的隐患和完善信息安全建设要求。第二，评估是否有适当的安全防护等级，等保是否与信息系统安全防护措施相匹配，具备相应保护能力。

在系统等级保护正规备案后，选择测评机构对其进行测评。等级保护测评主要由国家或行业认可资质的第三方进行，围绕着技术要求和管理要求两个大类测评。

测评机构的工作流程：

项目正式开始，与被测评单位交流，针对系统基础信息进行沟通和整理，从而确定测评范围;②进场后与运营单位开项目启动会议，明确现场测评的工作计划并落实配合人员信息;③现场测评，通过工具测试、问卷调查、人员访谈、现场查看等方式进行数据采集;④整理现场采集的数据，采集的记录由配合测评的工作人员确认签字;⑤对采集数据进行初步分析，对照测评标准量化系统现状与标准的差距;⑥与运营单位开结项会，汇报在现场测评工作中发现的问题;⑦对采集数据进行综合分析，根据评估模型得到评估结果，提出合理的整改建议，完成测评报告的编写、报告评审等工作。

在进行测评时，也存在一定的风险，由于医院信息系统的特殊性，数据传输、信息处理的实时性要求高，业务需要一直持续，不能中断服务，不可预料的中断会造成经济损失或者灾难。在进行等保测评中与传统的IT系统的风险有所不同，有一些特殊的方面需要引起注意：

在线搜索漏洞过程中可能导致服务器故障，导致重要的操作数据丢失。另外，在渗透测试的方式下，如果对医院信息系统的理解不够，出现任何的操作纰漏，测试都会在一定程度上变得失败，甚至产生攻击性。所以，在设备使用评估过程中，有必要制定完整的危害识别和处理方案。例如，漏洞扫描尽可能的不要运用在该信息系统测评，而是通过备用系统或封闭系统。同时，对于一些重要、尤其是核心基础设施的医院信息系统，打补丁、软件版本更新必须慎之又慎，最好能在备用系统上先做测试，确保补丁及更新不会对系统产生不良影响后再在正在运行的系统中进行相应的操作！

（五）测评结论

根据现场采集的数据，参照测评标准，得出各个测评项的得分情况，经过特定的公式进行加权计算，得出被测系统的综合得分，并根据表3得出其测评结论

以上公式的解释：

Q{测评组的安全项目};

P（J）{适用内的某个安全项目所对应的测评的全部数量 };

m（k）{ k所对应的测评对象的总数，0.5为符合测评的分数，完成评估后的更低分被直接判定为“差”。}

（六）监督检查

相关部门应积极的负责监控和管理用户部门的分级保护，针对关键信息系统的主管部门进行全面监督。加大监管力度，针对逃避公安和保密、安全部门监督、甚至有意拉低信息系统安全等级，从而导致出现重大系统安全事件，将要承担相应的法律责任。

结语

医院信息系统的网络安全防护和保护是一个极其复杂的系统工程，需要从软件、硬件、网络以及人员管理、制度规范等多方面同时着手，做好等级保护等级测评工作，找出医院信息系统的安全现状与系统所属等级的安全基线的差距点，制定妥善的整改方案，并落实整改措施，提高系统的安全防护能力，才能真正有效的针对医院的关键设施和关键信息安全进行保护，保障医院的职能与效率，进一步巩固国家的医疗系统安全、战略安全等。

参考文献

[1]GBT22239-2019《信息安全技术网络安全等级保护基本要求》

[2]GBT28448-2019《信息安全技术网络安全等级保护测评要求》

[3]易汉超.医院信息系统网络安全问题及对策研究[J].数字通信世界，2021（10）：119-120.

[4]张广文.医院信息系统的网络安全维护探讨[J].网络安全技术与应用，2022（02）：119-120.

[5]袁骏毅，潘常青，宓林晖.基于等级保护2.0标准体系的医院信息化安全建设与研究[J].中国医院，2021，25（01）：72-73.DOI：10.19660/j.issn.1671-0592.2021.1.23.

作者简介：刘伟杰（1992.03），男，广东兴宁人，汉族，本科学历，贵州亨达集团信息安全技术有限公司，主要研究方向：网络安全