许杰：医院信息技术服务体系之主导安全

　　“网络与信息安全当前已成为医院信息部门面临的最大挑战之一，信息部门需要建立一套完整的信息技术服务体系，坚持主导安全，方能掌控安全。”浙江大学医学院附属第二医院(以下简称“浙大二院”)IT中心主任许杰在CHIMA 2023大会上演讲时表示。医院需规划好信息化整体蓝图，全方位梳理潜在风险点，培养锤炼安全掌控能力，建立高效可靠的安全保障工作机制。“信息安全的特征是保密、完整、可用、可控，虽然信息安全无法做到100%的完美，但要将风险尽可能降到最低，以保障医院信息系统的稳定运行和数据安全。”

制定网络安全体系

　　许杰认为，医院网络与信息安全管理是一个涉及资源和管理的复杂系统性问题，“目前医院网络与信息安全在实际信息化建设工作中主要面临以下四方面风险，分别是系统自身缺陷、运维能力短缺、经费投入不足和安全意识薄弱，需要通过坚持不懈地宣传、引导等方式去努力改善。在确保网络安全方面，管理一定是凌驾于技术之上的，正所谓‘三分技术，七分管理’，我们必须要建立一套全方位覆盖人员、技术、过程和资源的管理体系来应对网络安全风险痛点。”他强调，医院在进行网络与信息安全规划时，需要重点考虑以下因素：架构设计是否安全、运维监控是否主动、操作行为是否可溯、数据开放是否合理、权限管控是否严密、隐私保护是否全面。

　　他介绍，浙大二院把信息部门的核心能力概括为信息技术服务能力，“我们在患者与服务对象至上的核心价值观下，以服务为核心，也就是服务没有边界，不仅聚焦在技术上，更多聚焦在提升管理和业务能力上，努力释放自身的最大价值。”他指出，在这种意识和文化的长期影响下，信息部门建立了一套非常完整的服务机制，引导整个部门人员按照相同思路和方法完成自身角色所要求的岗位工作，以达到同质化工作推进的目标。这种信息技术服务体系对于浙大二院跨院区跨分工协同开展网络安全保障工作，提供了不可或缺的底座支撑。

掌控安全主导能力

　　浙大二院信息技术服务的价值输出主要包含以下工作范围：项目和任务支撑服务，包括软件项目、临时任务、政策任务、评审任务、科研教学等;需求和数据支撑服务，包括软件需求分析、数据统计和开发、缺陷改进、系统培训等;设施和资源运维服务，包括数据中心、服务器、网络安全设备、数据库、虚拟化平台、通信设备等;终端和系统运维服务，包括权限管理、各种IT硬件运维、内/外网终端运维和管控等。对此，许杰介绍：“信息技术服务能力以服务为中心，长期不变的发展指标是提供安全、优质、高效的医疗服务，其中安全排在最高优先级。为了有效保障网络与信息安全，我们建立了一种网络化的责任、防御和监管体系，相对而言总是把安全放在第一位，而质量放在第二位，效率放在第三位。信息技术服务体系的工作机制高度依赖于数字流程，目前我们信息部门把所有工作基本都数字化和流程化了，从而实现工作的可管可控。”

　　他进一步指出，信息技术服务能力包括以下四方面“核心能力要素”：(1)人员，强化锻炼人员素质和岗位能力;(2)资源，借力各种专业外包服务和工具;(3)技术，自主掌控技术架构和应用的核心能力;(4)过程，推行业务流程化和流程数字化，高度重视并执行过程质控。浙大二院在网络与信息安全管理方面，始终坚守安全底线并主导安全，落实“谁主管谁负责、谁运营谁负责、谁使用谁负责”责任机制，具体采取了以下措施：

　　1.架构保障，指保障IT基础架构安全。医院设计了多院区数据中心网络安全架构，除了建立服务器、数据库容错/备份/容灾架构之外，还建立了包括终端安全管控、运维监控、态势感知、运维安全管控、互联网安全管控等全方位的安全保障措施。为保证终端设备联网安全，医院采取了流程申请、安全防护、准入管理和安全审计等措施。为保证服务器、软件、数据库联网安全，医院采取了流程申请、责任巡检、主动防护和漏扫渗透等措施。此外，在信息系统故障事件应急响应和改进方面主要采取服务台发现故障及时上报、电话会议、原因分析、制定改进措施、科会讨论等举措。

　　2.权限管控，指管控资产和访问权限。医院制定了全方位全流程覆盖数据建设、数据使用、数据安全的医院信息系统数据管理制度。在资产管控方面，医院建立了资产申请、责任到人、登记备案、资产变更等严格的服务器、软件、数据库、数据资产管控机制。在权限管控方面，医院采取“网格化”责任到人、“最小必要”授权原则，对服务器、软件、数据库和数据的使用权限进行管控。同时，医院通过梳理规范数据传输网络链路、搭建数据共享安全管控平台、建立院方厂商协同工作机制等多措并举的方式推进院外数据共享安全治理。

　　3.运维规范，指规范技术人员运维操作。医院要求科室运维人员和厂商运维人员需签订保密安全承诺书、提供安全背景审查后才能申请VPN和堡垒机。严格规定原则上在业务高峰期、接近下班前、休息时间等期间不得更新，以确保对医院业务正常运行影响最小。同时，医院建立了“零信任”医院数据库运维体系，对医院核心生产数据库建立了从身份->终端->应用->账户->数据的全链路数据认证、授权和保护机制，对数据库数据运维工作既进行严格准入控制，也进行防御管控和审计。

　　4.监测预警，指实时感知风险并及时处置。医院建立了自动化运维监控和应急处置闭环工作机制，包括以下内容：(1)网格管理，责任到人;(2)生成任务，定时巡检;(3)预警提醒，实时推送;(4)督办处理，及时响应;(5)告警解除，形成闭环。医院通过动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控等措施对网络与信息安全风险进行态势感知和应急处置，同时加强信息安全审计和监控，从而实现实战化、体系化和常态化。

　　许杰指出，当前医院网络与信息安全形势越来越复杂，工作范围也越来越广，医院应建立通过资源融合和团队协同来主导安全运维的新模式。在开展网络信息安全工作的过程中，医院的主导地位不可动摇，医院信息安全技术团队可设置院区主管和系统管理员、网络安全管理员和安全审计员、开发组以及需求组等岗位，公司技术团队可提供终端运维服务、网络和数据库运维服务、运维监测服务和威胁监测服务等服务能力。双方专业团队共同协作，有助于更好的保障网络与信息系统安全。“网络与信息安全工作只有起点没有终点，必须持续增强医院自身与厂商的专业能力，努力让‘信息安全隐患’动态清零成为可能!”他总结道。