智慧醫(yī)院對網絡安全提出更高要求

C114訊 12月9日消息（章葭）12月7日，以“禾云神話 智護未來”為主題的“中國移動可信賦能網絡研討暨網絡安全峰會”在昆明舉辦。峰會由中國移動研究院和中國移動云南公司共同主辦，邀請到產、學、研、用等各界嘉賓，共同探討數字經濟時代新基建背景下的網絡安全挑戰(zhàn)與機遇，推動“5G＋安全”體系建設，共建網絡安全生態(tài)。

會上，廣州中山大學附屬第一醫(yī)院信息數據中心主任張武軍就新形勢下醫(yī)院網絡安全的風險與應對進行了分享。他認為，智慧醫(yī)院、互聯(lián)網醫(yī)院的建設對網絡安全提出了更高的要求，但現(xiàn)今的醫(yī)院網絡安全建設目標定得太低，網絡安全運作模式、能力建設面臨嚴重挑戰(zhàn)。對此，張武軍提出了醫(yī)院網絡安全工作的指導思想和治理思路，即通過網絡安全保障體系架構設計，網絡安全組織體系建設，建立全員網絡安全責任制來循序漸進地推進網絡安全治理。

背景與現(xiàn)狀：智慧醫(yī)院對網絡安全提出更高要求

近年來醫(yī)療行業(yè)按照法規(guī)要求，加強了網絡安全保障能力的建設，但是，出于利益驅使或防護不當等問題，網絡攻擊事件仍接連發(fā)生，給醫(yī)療行業(yè)帶來巨大損失，醫(yī)院的網絡安全仍然面臨較高風險。如今，網絡安全升格為國家戰(zhàn)略，監(jiān)管手段和方法都在發(fā)生變化。網絡安全法徹底改變了醫(yī)院網絡安全工作的性質。隨著網絡安全法律、法規(guī)、標準持續(xù)出臺，國家網絡安全治理體系也在不斷完善，“個人信息保護法”、“數據安全法”等，將對醫(yī)院帶來嚴峻的數據安全合規(guī)壓力。

因此，智慧醫(yī)院、互聯(lián)網醫(yī)院的建設對網絡安全提出了更高的要求。智慧醫(yī)院的建設，將匯集“大數據、云計算、互聯(lián)網＋、人工智能、物聯(lián)網”等技術，實現(xiàn)醫(yī)院管理、科室建設、醫(yī)院信息化臨床科研、分級診療、遠程醫(yī)療、醫(yī)聯(lián)體構建、智慧后勤、智慧運維、智慧通信、健康管理、移動互聯(lián)的應用創(chuàng)新。構建醫(yī)療健康大數據和基于醫(yī)療健康大數據的運營，是新時期醫(yī)院的重大轉型機遇。

張武軍表示，智慧醫(yī)院網絡安全與信息化的關系就是“1”和“0”。沒有前面的“1”，“0”數量再多也還是“0”。臨床、科研、遠程醫(yī)療、分級診療、醫(yī)聯(lián)體、后勤管理、健康管理等都要基于信息安全的前提上。

新技術的應用以及來自內部的威脅，給醫(yī)院帶來了更多的網絡安全風險。近幾年，醫(yī)院也在大力發(fā)展“云、大、物、移、智、區(qū)塊鏈”等新技術、新應用的發(fā)展。5G＋物聯(lián)網醫(yī)療設備在醫(yī)院具有非常多的應用場景，目前甚至在有些場景下已經開始應用。這些新技術、新應用模式在設計之初并未完備考慮網絡安全風險。然而，傳統(tǒng)網絡安全防護能力又不能完全適應對這類場景的防護需求。

此外，據FBI和CIS等機構聯(lián)合做的一項安全調查報告可知，超過85％的網絡安全威脅來自內部，由于內部人員違規(guī)行為所導致的損失是黑客所造成損失的16倍、病毒所造成損失的12倍，要確保內部全員的行為合規(guī)任重道遠。

困難與挑戰(zhàn)：技術體系、運作模式、能力建設等問題重重

經過近些年的網絡安全建設，醫(yī)院的網絡安全保障能力普遍有較好的改觀，但是，現(xiàn)今的網絡安全建設目標仍定得太低，還是以合規(guī)為主，醫(yī)院內部的網絡安全運作模式沒有顯著變化。

網絡安全技術體系經過多年建設在物理、網絡、邊界、設備、應用、數據等安全方面部署了相應的技術手段，發(fā)揮了重要作用。但由于分批、分期建設，技術體系形成“孤島式”技術防護現(xiàn)狀，缺乏系統(tǒng)性、協(xié)同性，對安全風險反應不及時，難以應對當前內外部安全威脅。同時，安全建設需要統(tǒng)一規(guī)劃、統(tǒng)籌建設、集中運營，但各安全管理體系又存在各自的局限性，且相互之間標準不統(tǒng)一，缺乏協(xié)同機制，難以滿足醫(yī)院網絡安全管理模式轉變的需要。此外，技術體系和管理體系又依賴于員工承擔保護其管理的信息和信息資產的責任，但是很多普通員工和管理者卻并不了解相關的信息安全行為規(guī)范和權責。

當前，網絡安全運作模式也面臨嚴重挑戰(zhàn)。張武軍稱，當前運作模式的主要特征為“玩不轉、玩不動、玩不好、玩不溜”?！巴娌晦D”是因為IT設施維護、安全運營保障、終端維護、遠程診療保障等工作事多人少；“玩不動”是由于安全績效權力、問題處置權力、入網許可權力等權力小責任重；“玩不好”是問題多預算少：存在服務商能力不強、服務內容不齊、安全工具不齊全、安全工具不強的問題；“玩不溜”則是跨部門、跨崗位帶來的管理系統(tǒng)三同步、系統(tǒng)漏洞、數據防泄露、終端管理的問題。

網絡安全能力建設陷入瓶頸后，工作缺乏參照。當前醫(yī)院安全能力建設缺乏領導的絕對支持、其它部門配合程度差、且安全責任矩陣不清晰、安全工作機制不科學、安全工作流程不規(guī)范、安全工作也缺乏標準。網絡安全績效、業(yè)務系統(tǒng)三同步、數據安全治理、終端安全治理、安全能力協(xié)同、安全能力聯(lián)動等安全能力都有欠缺。

在能力建設的頂層設計方面，安全工作缺乏統(tǒng)籌。目標不明確、架構不清晰、工作不成體系、能力彼此割裂；在安全責任方面，矩陣不明，安全團隊唱獨角戲。全員安全意識弱、安全責任無法分解、安全績效無法落地、安全內控難以推行；在機制流程方面，流程不暢導致安全工作推動困難。跨崗位工作推動難、跨部門工作推動難、問題處置周期長、跨崗位工作推動難；在日常工作方面，不注重基礎工作，落地不佳。IT資產梳理不清，安全運維工作黑盒化、安全設備長期不調優(yōu)、漏洞和基線問題突出。

思考與實踐：治理過程要體系有效、行為合規(guī)、動態(tài)可控、監(jiān)管有力

在明確網絡安全工作定位的基礎上，張武軍提出了醫(yī)院網絡安全工作的指導思想和治理思路。

其中，指導思想是需要滿足法規(guī)要求，應對監(jiān)管壓力，同時從經營風險管控目標出發(fā)，管控全局網絡安全風險。治理思路上，首先要對相互獨立的安全管理體系進行梳理、融合、完善，讓安全管理體系成為員工的行為準則和約束；建設網絡安全工作最高門戶，從側重IT設備本身安全管控轉變?yōu)閷祿腿藛T行為的安全管控；從醫(yī)院的經營風險管控目標出發(fā)，推導出安全的控制點，將安全管理與日常運營相結合，清晰全員的安全責任；在黨委領導下，以績效為抓手，通過技術手段解決面向全員的安全監(jiān)管難題，形成網絡安全高壓態(tài)勢。

治理過程中，要“體系有效”，從管理＋技術＋責任＋抓手統(tǒng)籌著手，確保治理工作落地；“行為合規(guī)”：據不同角色的行為和場景進行分類，識別出安全治理的要求和動態(tài)控制點；“動態(tài)可控”：管理制度策略化，安全告警按責任告知、閉環(huán)處置；“監(jiān)管有力”：以績效為抓手，以數據為支撐，撬動組織范圍內的網絡安全工作。

在設計網絡安全保障體系架構上，以“體系有效、行為合規(guī)、動態(tài)可控、監(jiān)管有力”的指導，適應數字化轉型與智慧醫(yī)院建設網絡安全新需求，構建“體系化、實戰(zhàn)化、常態(tài)化”的“新一代網絡安全保障體系”。

在網絡安全組織體系建設上，可參照其它行業(yè)，優(yōu)化醫(yī)院“形式化”的網絡安全組織體系，重新定義各部門、全員的安全責任，打通業(yè)務部門和IT部門的壁壘，讓網絡安全組織體系能真正有效運轉。

此外，要建立全員網絡安全責任制?！熬W絡安全人人有責”。再先進的防御體系也“招架”不住“私搭WIFI”、“違規(guī)適用U盤”、“亂點郵件”、“弱口令”等高危行為。對IT人員、普通用戶、供應鏈人員等建立責任制，是讓全員實現(xiàn)“行為合規(guī)”的前提。

張武軍表示，網絡安全治理不是眉毛胡子一把抓，而是將有限的資源用在刀刃上，有側重點的有序推進。網絡安全治理也不是與所有人為敵，而是“服務與管理并重”，先把服務做好，再談管理他人。在安全治理推進過程中，策略的選擇也應該“循序漸進”，“溫水煮青蛙”，否則很可能陷入“出身未捷身先死”的尷尬。

責任編輯：xj