信息安全|关注医疗数据安全 | 怎样为医院信息系统构筑“保护盾” 保障体系|管理|基本建设|威胁

开栏的话
2021年6月，国务院办公厅印发《关于推动公立医院高质量发展的意见》，明确指出要强化信息化支撑作用，引领公立医院高质量发展新趋势。
2021年10月，国家卫生健康委和国家中医药管理局联合印发《公立医院高质量发展促进行动（2021－2025年）》，也明确提出将信息化作为医院基本建设的优先领域，建设电子病历、智慧服务、智慧管理“三位一体”的智慧医院信息系统。
在医院信息化建设中，如何加强数据安全保护，有效实施数据全生命周期安全管理，夯实信息化发展的安全底线，是值得医院管理者们思考的问题。健康报开设“关注医疗数据安全”专栏，邀请业内专家对上述问题进行探讨。
本期嘉宾
北京大学第三医院信息管理与大数据中心
贾末计虹
近年来，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等一系列信息安全相关法律法规的颁布实施，对网络安全建设、数据共享应用、个人信息保护提出了更高的要求。
同时，随着互联网医疗的快速发展、互联互通建设的不断深入、临床科研等需求的不断增加，信息系统互联网暴露面日益增大，数据共享的范围和数据量持续扩大，内外网数据交互日益频繁，网络安全、数据安全、个人信息安全风险持续增加，新型网络攻击、程序漏洞、数据库脱库、科研数据流失、个人隐私泄漏风险始终存在。伴随着无线网络的全面覆盖，无线网近源攻击等风险持续增加。各类风险的跨界性、穿透性、关联性、扩散性特征明显增加，系统性风险持续增大。这些因素给医院网络及信息安全建设带来了更大的挑战。
构建完善的信息安全保障体系，对于提升整体信息安全保障能力、推动公立医院高质量发展，具有重要的研究价值和现实意义。
强化制度建设规范信息安全行为
制度是规范也是指导，是信息安全工作开展的重要保障。医院层面成立了网络安全领导小组与技术领导小组，科室成立了网络安全技术支持小组，明确岗位职责。以《网络安全法》《数据安全法》《个人信息保护法》等法律法规为基础，不断制定完善各项规章制度。制定标准操作流程，严格落实系统与安全“同步规划、同步建设、同步使用”三同步要求，实现“需求调研、规划设计、项目实施、系统上线、运行维护”全流程的安全监测体系。制定数据使用安全责任书，明确“最小、够用、知情”的数据采集原则，严格落实网络安全每日监测制度，制定《网络安全设备日常巡检表》，通过每日巡检监测，发现问题，解决问题。
加强面向不同人群的网络安全意识培训，规范安全行为，完善各类人员安全责任制度，构筑全员安全堡垒，防范网络钓鱼、近源攻击等事件发生。开展数据安全培训，探索科室安全员管理模式。
医院不断加强数据安全管理建设，逐步实现数据安全管理的“规范化、制度化、程序化” ，最终达到岗位有分工、执行有依据、日常有检查、全员有认知。
夯实安全基础强化网络边界防护
实施终端准入控制，实现终端可信接入管控。医院构建网络版杀毒软件及虚拟补丁相结合的防护体系，实现主机病毒及漏洞安全防护。利用去隐私、脱敏、水印等技术，并结合多因子验证、密码复杂度校验等身份鉴别、访问控制、安全配置手段，确保数据应用安全。打造实时双活的容灾虚拟化数据中心，保障数据存储安全。明确网络边界划分，在不同边界区域通过防火墙策略、IPS（入侵防御系统）、WAF（网站应用级入侵防御系统）、防毒墙网关、NAT（网络地址转换）、端口控制及VLAN（虚拟局域网）划分等，实现边界访问防护隔离，提升互联网访问的边界安全防护。