摘要：探讨互联网医院网络信息安全的防护技术、措施和策略。从互联网医院网络特点入手，分析其网络信息安全的脆弱性及风险，结合实体医院安全架构，按照多重技术防护、针对性策略、管理体系三个维度，全面构建互联网医院“一个中心、三个维度、多重防护”的安全体系。满足信息安全等级保护三级要求，提高互联网医院网络信息安全应对能力和防护水平。

关键词：互联网医院；信息安全；防护；措施；研究

1引言

近年来，随着“互联网+”技术在医疗行业应用的逐步深入[1]，许多实体医院都在建设互联网医院，并呈现出实体医院与互联网医院信息管理、应用一体化的趋势[2]。互联网医院与实体机构信息系统数据的交互，打破时间、空间的限制，推倒院内相对封闭的网络“围墙”，导致医院网络信息安全环境的复杂变化。2018年，国家卫生健康委员会《互联网医院管理办法（试行）》[3]，要求互联网医院信息系统实施第三级信息安全等级保护[4]，并从信息安全、患者隐私保护等多个方面，对互联网医院的执业活动进行详细规定[5]。郑雪倩等在“互联网+医疗健康”规范发展研究中提出[6]，医疗信息线上线下联通，互联网医院使得医疗信息数据更加集中、更易获取，这对保护患者个人健康信息安全提出了更高的要求，互联网诊疗信息安全保护问题是重中之重。王建强等研究显示[7]，“互联网+”的应用，让医院信息安全不再是单一的局域网安全，必须要做到局域网与互联网的全面管理和防护。裴莹蕾等研究指出[8]，对患者信息和数据安全保障不足，直接影响互联网医院的发展。本研究从基于实体机构的互联网医院网络特点入手，分析线上线下一体化互联网医院网络信息安全环境的脆弱性，以及面临的风险，通过头脑风暴汇总问题，系统性构建“一个中心、三个维度、多重防护”的网络信息安全建设体系。从网络安全防护、网络安全检测、数据安全保障、应用安全防护、终端安全管理与准入、网络安全审计等方面，采取技术防护手段，有针对性地建立、调整安全策略，配套信息安全管理措施，确保互联网医院网络、系统、数据的安全、稳定、高可用，为互联网医院高质量发展提供参考。

2互联网医院的网络特点和问题

在“智慧医院”建设中，“互联网+”、大数据、5G、云计算等新技术的应用[9]，以及线上线下一体化诊疗服务模式，让互联网医院网络呈现以下特点：①患者移动端服务模式的广泛使用，让医院封闭式局域网边界外延；②线上线下一体化的服务业态，决定互联网医院最佳的硬件架构是内网和“云端”混合部署；③部分内网、外网交互的业务需要前置服务器，并部署在数据隔离交换区（DemilitarizedZone，DMZ）；④医保及线上资金的结算，需要在内网打通医保专网、银行专线等出口，让医院内网出口增多；⑤互联网医院广覆盖、安全要求高的属性，不光服务于广大人民群众，还服务医联体等组织机构，强调机构间的信息互联互通。

2.1基于互联网医院资产的脆弱性分析

从系统应用角度，互联网医院的主要使用角色分为患者、医护人员、管理员和监管部门。患者在线上入口发起咨询、问诊等线上诊疗业务，以及预约挂号、排队、缴费、电子发票、智能导诊等线上线下一体化服务；医护人员通过内网或手机端APP处理患者诊疗申请，开展相关诊疗活动；监管部门查询诊疗过程数据，进行业务、行为监管，以及监管数据上传；管理员做本地和云端系统的维护。所有业务涉及资产分为内网本地、云端以及部署在DMZ区的前置服务器等。具体用户角色、业务、涉及资产情况如表1，互联网医院资产概览表。经过分析，互联网医院的脆弱性环节包括：一是内网与外网互通之后的网络边界蔓延，互联网出口的业务端口开放，以及未知的系统及端口漏洞；二是网络线路稳定性，无备用线路的互联网医院存在单线故障可能；三是互联网医院收集、处理的医院和患者数据安全，对患者个人隐私保护的影响；四是支撑互联网医院运行的数据库及中间件等基础信息系统资源安全，高可用性支持；五是第三方人员远程维护带来的不安全因素，信息化管理部门网络安全人才队伍的不足等。

2.2网络信息安全风险识别

基于互联网医院的网络特点和资产脆弱性分析，其面临的风险主要来自两个方面，分别是来自内部的漏洞、威胁和来自外部的入侵、攻击。主要包括：内部网络蔓延带来的边界安全风险；网络、线路、设备本身存在的安全漏洞；软件系统的后门、漏洞可能导致的信息泄露；计算机病毒、木马等非法程序所带来的安全风险；监管制度、手段不足导致的内部人员操作风险；数据库管理不严格导致的数据安全风险。从外部来看，主要是互联网开放性、虚拟性带来的安全风险[10]；黑客、恶意攻击造成的业务系统中断，数据被加密、勒索风险；渗透、爬虫等手段窃取医患信息，医院诊疗数据、患者隐私泄露的风险[11]。

2.3信息安全“头脑风暴”

外联网络的增多，导致多出口管理混乱，互联网医院的各种对外链接，形式多样，让网络信息安全面临巨大的挑战。部分医院在网络安全管理中，“以设备代替管理”，虽然部署网闸、防火墙等安全设备，但是将设备使用设置为“透明模式”，致使安全策略形同虚设。医院传统网络架构与互联网医院安全域划分不清，边界安全设备规则库缺失或更新不及时；只注重外部防护，忽视内部风险；服务器和终端没有漏洞修复，缺乏有效的补丁修复能力；针对第三方工程师进行内网远程访问等特殊需求，没有防护办法；技术人员防护意识不足，面向全景网络信息安全的应对能力欠缺。

3互联网医院的网络信息安全体系构建

互联网医院网络信息安全的总体思路是“一个中心”管理下的“多重防护”，从安全技术（设备）、安全策略、安全管理三个维度，建立三维立体模型，构建整体安全防护体系。如图1为互联网医院网络信息安全体系框架图。患者线上线下一体化服务是互联网医院建设目标的重要组成部分[12]，互联网医院网络信息安全不单要考虑线上业务的安全，还应注重和线下实体网络的信息、数据、业务保护相融合。网络信息安全防护体系在提供计算环境、存储、网络、应用、数据等传统安全防护能力的基础上，以消除外部和内部高级威胁为目标，积极应对各类物理、逻辑隔离网络或者边界的隐蔽性威胁、攻击，以及漏洞防护，体现出全面、整体的防护能力。安全技术、安全策略、安全管理既是体系的不同维度，也是防护实践建设的重要组成部分，安全防护体系以威胁感知为基础，威胁识别为重点，安全技术的应用为手段，通过人工或自适应动态调整安全策略、管理方式，将感知、识别、发现、处置、整改落实到安全防护的全过程，形成技术精准可控，策略动态可调，管理匹配适应的闭环路径，发挥一体化安全防护效果。

3.1多重技术防护构建

多重技术防护的构建，包括采用网络安全防护、网络安全检测、数据安全保障、应用安全防护、终端安全管理与准入、网络安全审计等手段，确保网络、系统、数据的安全、稳定、高可用，通过采购安全服务，委托第三方进行安全扫描、漏洞发现、攻击测试等，形成整改意见，并不断完善，提高系统应对急剧变化安全态势的技术能力。（1）网络安全防护。网络安全防护的基础是网络架构，在全网拓扑规划时，一方面要考虑网络、带宽、业务处理能力满足医院内外部工作需要，另一方面，通过划分子网、网段、VLAN，划清网络边界，规划访问路径，必要时采取VPN等方式建立专用网络访问通道。在网络边界位置，部署防火墙、隔离网闸等设备，通过特征库降低内部网络对外暴露；在网络出口部署入侵防御系统（IntrusionPreventionSystem，IPS）、分布式拒绝服务攻击（DistributedDenialofService，DDoS）系统，清洗异常流量，使外部攻击无法正常实施。（2）网络安全检测。安全检测技术以传统的入侵检测、网络监控，异常流量、端口监控和漏洞扫描为主，收集系统、网络、主机的状态和行为信息，查找、分析表征入侵的异常和可疑情况以及性质，提醒管理人员及时进行预警和处置。态势感知作为近两年兴起的新技术[13]，以网络安全环境、安全动态以及风险大数据为基础，从全局视角发现识别安全威胁，特别是在复杂网络环境中，提取、分析可能引起网络态势发生变化的安全要素，形成可视化数据，结合安全发展趋势，进行顺延性预测，进而影响相关决策与行动，提高管理人员的处置能力。（3）数据安全。数据安全从数据的采集、传输、存储、应用，以及共享与管理等全生命周期展开[14]，采集阶段主要是数据的合法性、真实性，采用数字检验、数据标签等技术，为后续的数据应用和管理奠定基础；数据传输安全是通过加密、解密技术实现非法窃取，数据篡改防护；数据存储安全包括数据集在时间、空间上的多维度备份、双活、容灾等，防止数据丢失、破坏、被恶意加密；互联网医院数据的使用重点是防止患者隐私数据的泄露，利用数据库防火墙、数据脱敏、数据标签等技术，实现数据访问的行为审计，可溯可查；针对重点、隐私数据进行隔离，能有效提高核心数据共享和管理的安全。（4）应用安全。应用安全主要体现在应用的完整性方面，首先是系统研发时原始代码的安全，防止被逆向工具进行反编译和破解，对ID、字符串加密，隐藏函数调用关系等，防止资源文件被篡改。其次是为应用系统服务器操作系统安装网络专用杀毒软件，及时更新补丁，或实施虚拟补丁防护，开展主机资源操作主体身份识别、权限访问控制等防护主机安全。第三是针对互联网医院云端部署的业务主机，采用Web应用防护、云态业务保护等手段，从系统架构、代码编写、系统部署等方面进行综合防护。（5）终端安全。互联网医院的应用终端包括固定电脑和移动终端，都需要做好防护，一是安装终端桌面管理软件、网络杀毒软件、网络准入及安全监控软件、虚拟补丁系统等，并保证防护规则库、病毒码、补丁程序更新和集中管理，特别是对已知漏洞的修复。二是终端管理的规则设置，既要保证应用的需要，又要实现灵活的配置。三是上网行为管理，对互联网医院终端访问过程中的行为审计、限制，敏感内容预警、防泄密，以及网络准入等。（6）安全审计。网络安全审计涉及网络行为、数据库、日志和运维等方面，集中采集各种安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息[15]，实现全网安全审计综合管理；审计内容包括：事件的时间、用户、类型，事件是否成功及其他与审计相关的信息，通过严格的权限控制，审计记录保护，避免日志受到未预期的删除、修改或覆盖；安全管理中心对全部信息进行归并和分析，通过统一的控制台进行实时、可视化的呈现，通过网络回溯、日志检索等进行方法，还原事件经过，避免二次发生。（7）安全服务。受专业性影响，医院信息管理部门很难独立面对复杂的网络攻击，威胁情报来源不足也无法长期跟踪国际、国内安全漏洞；缺乏高阶的合规自查、攻防渗透和持续监测能力，需要借助第三方力量来提高主动响应水平。特别是在安全检测、攻防守备、重大保障等网络信息安全活动中，为医院提供安全扫描，攻击测试，漏洞发现等服务，提供有针对性的意见和建议，以及各种问题、漏洞、可疑事件的解决方案，提高系统应对信息安全事件的综合能力。

3.2针对性策略

安全域的划分与防护。对医院网络进行安全区域划分，设计出关键业务区、终端区、外联业务区、运维区等，构建标准规范的DMZ服务，并对主要区域、关键服务进行重点防护，保障互联网医院的高可用与连续性。区域边界访问控制。根据划分的安全域做好边界防护，在数据出入口部署防火墙、网闸等设备，实现网络区域边界端口级的访问控制；通过交换机的VLAN或ACL访问控制列表实现逻辑网络隔离；区分核心网与应用服务区、数据交换区及其他安全域间的访问，尽可能降低访问控制的粒度、密度。针对性的安全策略。调整所有设备的默认安全策略，避免采用路由模式、“透明模式”，默认拒绝所有非可信服务；对IP、端口、服务采用白名单管理；加强终端准入管理，杜绝非法外联与内联；采用最小授权、职责分离、角色分离等策略加固各种服务器，防止因设备自身安全性而造成的侵入和完整性损害。安全策略的升级维护。注重各种网络信息安全设备、设施策略的升级与维护管理，定期升级各种防守型设备的规则库、病毒码；根据新发现的问题，动态调整各项规则库内容；处理好规则与业务的关系，对非法的访问、连接、响应作出拒绝和处理。

3.3管理体系构建

落实好网络信息安全等级保护。根据《信息安全等级保护管理办法》规定，按互联网医院被破坏后对社会秩序和公共利益造成严重损害的程度，进行等保定级、备案、安全建设和整改，采购第三方等保测评服务，不断自查、整改，强化网络信息安全规范建设。落实网络信息安全常态化管理。建立网络信息安全管理组织机构，明确人员与责任体系，建章立制；根据国家和行业有关网络信息安全的法律、法规和政策，研究制定信息安全规划、方案，技术路线等[16]，按需投入，保障安全防护能够持续、高效运转。落实网络信息安全的应急管理。定期组织机房消防安全应急演练和信息系统应急演练，通过演练检验系统运行过程中的各种应急管理策略；建立和健全互联网医院突发事件应急处理机制，提高工作人员对应急预案的知晓度，对处理应急事件的熟练度；及时进行应急管理预案的更新、修订，不断完善处理机制。落实互联网医院安全观培养。明确“谁使用、谁负责”的原则，要求互联网医院所有参与人员了解安全形势，遵守安全规定，掌握操作技能，严格按照制度使用工作站、业务系统及使用权限。强化信息安全知识培训，提高职工防范意识，建立全员网络信息安全观。

4小结

互联网医院作为影响区域群众健康服务的重要信息基础设施，必须纳入国家网络信息安全等级保护范围，特别是等保2.0标准后，增加了显著的变化和建设要求[17]，通过信息安全体系的建设、评估与不断改进，才能实现医院信息系统安全性的逐步提高[18]。基于实体机构的互联网医院作为实体医院信息化的一部分，其发展趋势不只是线上诊疗，还包括线上线下一体化的患者服务、远程医疗、远程诊断等，与院内信息系统的融合应用、数据共享，让网络信息安全管理工作趋于复杂和综合，只有通过建立完善的一体化安全防护体系，才能保障信息系统安全平稳运行，既便于人民群众就医问诊，又确保患者隐私、诊疗数据的安全保护。

作者:丁涛 潘继强 单位:汉中市中心医院 西安交通大学医学部公共卫生学院 陕西理工大学数学与计算机科学学院