智慧医院对网络安全提出更高要求

C114讯 12月9日消息（章葭）12月7日，以“禾云神话 智护未来”为主题的“中国移动可信赋能网络研讨暨网络安全峰会”在昆明举办。峰会由中国移动研究院和中国移动云南公司共同主办，邀请到产、学、研、用等各界嘉宾，共同探讨数字经济时代新基建背景下的网络安全挑战与机遇，推动“5G＋安全”体系建设，共建网络安全生态。

会上，广州中山大学附属第一医院信息数据中心主任张武军就新形势下医院网络安全的风险与应对进行了分享。他认为，智慧医院、互联网医院的建设对网络安全提出了更高的要求，但现今的医院网络安全建设目标定得太低，网络安全运作模式、能力建设面临严重挑战。对此，张武军提出了医院网络安全工作的指导思想和治理思路，即通过网络安全保障体系架构设计，网络安全组织体系建设，建立全员网络安全责任制来循序渐进地推进网络安全治理。

背景与现状：智慧医院对网络安全提出更高要求

近年来医疗行业按照法规要求，加强了网络安全保障能力的建设，但是，出于利益驱使或防护不当等问题，网络攻击事件仍接连发生，给医疗行业带来巨大损失，医院的网络安全仍然面临较高风险。如今，网络安全升格为国家战略，监管手段和方法都在发生变化。网络安全法彻底改变了医院网络安全工作的性质。随着网络安全法律、法规、标准持续出台，国家网络安全治理体系也在不断完善，“个人信息保护法”、“数据安全法”等，将对医院带来严峻的数据安全合规压力。

因此，智慧医院、互联网医院的建设对网络安全提出了更高的要求。智慧医院的建设，将汇集“大数据、云计算、互联网＋、人工智能、物联网”等技术，实现医院管理、科室建设、医院信息化临床科研、分级诊疗、远程医疗、医联体构建、智慧后勤、智慧运维、智慧通信、健康管理、移动互联的应用创新。构建医疗健康大数据和基于医疗健康大数据的运营，是新时期医院的重大转型机遇。

张武军表示，智慧医院网络安全与信息化的关系就是“1”和“0”。没有前面的“1”，“0”数量再多也还是“0”。临床、科研、远程医疗、分级诊疗、医联体、后勤管理、健康管理等都要基于信息安全的前提上。

新技术的应用以及来自内部的威胁，给医院带来了更多的网络安全风险。近几年，医院也在大力发展“云、大、物、移、智、区块链”等新技术、新应用的发展。5G＋物联网医疗设备在医院具有非常多的应用场景，目前甚至在有些场景下已经开始应用。这些新技术、新应用模式在设计之初并未完备考虑网络安全风险。然而，传统网络安全防护能力又不能完全适应对这类场景的防护需求。

此外，据FBI和CIS等机构联合做的一项安全调查报告可知，超过85％的网络安全威胁来自内部，由于内部人员违规行为所导致的损失是黑客所造成损失的16倍、病毒所造成损失的12倍，要确保内部全员的行为合规任重道远。

困难与挑战：技术体系、运作模式、能力建设等问题重重

经过近些年的网络安全建设，医院的网络安全保障能力普遍有较好的改观，但是，现今的网络安全建设目标仍定得太低，还是以合规为主，医院内部的网络安全运作模式没有显著变化。

网络安全技术体系经过多年建设在物理、网络、边界、设备、应用、数据等安全方面部署了相应的技术手段，发挥了重要作用。但由于分批、分期建设，技术体系形成“孤岛式”技术防护现状，缺乏系统性、协同性，对安全风险反应不及时，难以应对当前内外部安全威胁。同时，安全建设需要统一规划、统筹建设、集中运营，但各安全管理体系又存在各自的局限性，且相互之间标准不统一，缺乏协同机制，难以满足医院网络安全管理模式转变的需要。此外，技术体系和管理体系又依赖于员工承担保护其管理的信息和信息资产的责任，但是很多普通员工和管理者却并不了解相关的信息安全行为规范和权责。

当前，网络安全运作模式也面临严重挑战。张武军称，当前运作模式的主要特征为“玩不转、玩不动、玩不好、玩不溜”。“玩不转”是因为IT设施维护、安全运营保障、终端维护、远程诊疗保障等工作事多人少；“玩不动”是由于安全绩效权力、问题处置权力、入网许可权力等权力小责任重；“玩不好”是问题多预算少：存在服务商能力不强、服务内容不齐、安全工具不齐全、安全工具不强的问题；“玩不溜”则是跨部门、跨岗位带来的管理系统三同步、系统漏洞、数据防泄露、终端管理的问题。

网络安全能力建设陷入瓶颈后，工作缺乏参照。当前医院安全能力建设缺乏领导的绝对支持、其它部门配合程度差、且安全责任矩阵不清晰、安全工作机制不科学、安全工作流程不规范、安全工作也缺乏标准。网络安全绩效、业务系统三同步、数据安全治理、终端安全治理、安全能力协同、安全能力联动等安全能力都有欠缺。

在能力建设的顶层设计方面，安全工作缺乏统筹。目标不明确、架构不清晰、工作不成体系、能力彼此割裂；在安全责任方面，矩阵不明，安全团队唱独角戏。全员安全意识弱、安全责任无法分解、安全绩效无法落地、安全内控难以推行；在机制流程方面，流程不畅导致安全工作推动困难。跨岗位工作推动难、跨部门工作推动难、问题处置周期长、跨岗位工作推动难；在日常工作方面，不注重基础工作，落地不佳。IT资产梳理不清，安全运维工作黑盒化、安全设备长期不调优、漏洞和基线问题突出。

思考与实践：治理过程要体系有效、行为合规、动态可控、监管有力

在明确网络安全工作定位的基础上，张武军提出了医院网络安全工作的指导思想和治理思路。

其中，指导思想是需要满足法规要求，应对监管压力，同时从经营风险管控目标出发，管控全局网络安全风险。治理思路上，首先要对相互独立的安全管理体系进行梳理、融合、完善，让安全管理体系成为员工的行为准则和约束；建设网络安全工作最高门户，从侧重IT设备本身安全管控转变为对数据和人员行为的安全管控；从医院的经营风险管控目标出发，推导出安全的控制点，将安全管理与日常运营相结合，清晰全员的安全责任；在党委领导下，以绩效为抓手，通过技术手段解决面向全员的安全监管难题，形成网络安全高压态势。

治理过程中，要“体系有效”，从管理＋技术＋责任＋抓手统筹着手，确保治理工作落地；“行为合规”：据不同角色的行为和场景进行分类，识别出安全治理的要求和动态控制点；“动态可控”：管理制度策略化，安全告警按责任告知、闭环处置；“监管有力”：以绩效为抓手，以数据为支撑，撬动组织范围内的网络安全工作。

在设计网络安全保障体系架构上，以“体系有效、行为合规、动态可控、监管有力”的指导，适应数字化转型与智慧医院建设网络安全新需求，构建“体系化、实战化、常态化”的“新一代网络安全保障体系”。

在网络安全组织体系建设上，可参照其它行业，优化医院“形式化”的网络安全组织体系，重新定义各部门、全员的安全责任，打通业务部门和IT部门的壁垒，让网络安全组织体系能真正有效运转。

此外，要建立全员网络安全责任制。“网络安全人人有责”。再先进的防御体系也“招架”不住“私搭WIFI”、“违规适用U盘”、“乱点邮件”、“弱口令”等高危行为。对IT人员、普通用户、供应链人员等建立责任制，是让全员实现“行为合规”的前提。

张武军表示，网络安全治理不是眉毛胡子一把抓，而是将有限的资源用在刀刃上，有侧重点的有序推进。网络安全治理也不是与所有人为敌，而是“服务与管理并重”，先把服务做好，再谈管理他人。在安全治理推进过程中，策略的选择也应该“循序渐进”，“温水煮青蛙”，否则很可能陷入“出身未捷身先死”的尴尬。

责任编辑：xj