天津市疾病预防控制中心:天津市传染病信息系统全视角的安全设计与实践项目
2023年医院新兴技术创新应用典型案例征集活动经行业专家背靠背盲审以及终审,共选出24篇典型案例,将陆续刊登出来,以飨读者。
1 项目申报单位简介
天津市疾病预防控制中心是天津市政府举办的实施全市疾病预防控制与公共卫生技术管理和服务的公益事业单位,是天津市卫生安全体系的重要组成部分。在市政府和卫生行政等相关部门领导下,天津市疾病预防控制中心承担着政府公共服务任务,是国家疾病预防控制体系枢纽,负责对区级疾病预防控制机构的业务管理、技术指导、科研培训、质量控制和绩效考核,以及对医疗机构公共卫生工作的业务管理、技术指导和绩效考核。
2 项目具体内容
(1)解决问题
天津市传染病信息系统是在国家全民健康信息规划的总体指导下,提供全市疫情数据的监测、管理、分析预警的重要支撑系统。系统按照应用服务器、交换服务器、数据库服务器三层架构部署在天津市政务云平台(紫光云)。同时,系统与国家疾控中心实现实时数据同步,以满足统计、简报及预警系统中对业务数据的要求,逐步与各区卫生健康委、医疗机构和其他相关机构的信息平台实现互联互通、业务协同。该系统承载着全市2004年至今的传染病报告的数据,涉及近180万条个人信息,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害公共利益和社会秩序,经专家和主管部门认定为等级保护三级。
(2)解决方案
依据国家法律法规、标准制度对天津市传染病信息系统进行全视角的安全设计和应用实践。采用集约化思想,依托政务资源,通过制订相关安全策略,首次尝试利用国产操作系统适配国产网络安全设备,通过相关网络设备和系统的部署,实现传染病信息系统的安全管理,有效地保障信息系统安全。
顺应国家网络安全战略和新基建的建设趋势,强化系统保障,满足天津市各级医疗卫生机构网络直报用户安全使用国家疾控信息系统和天津市传染病信息系统,达到网络安全等级保护三级的相关要求,为医疗卫生机构提供更完善、更安全、更及时的服务保障。
(3)建设内容
对本系统进行了全视角的安全设计与实践。按照网络安全等级保护三级基本要求、云扩展要求进行综合设计,制定相关安全策略,部署云数据库审计、云堡垒、云漏洞扫描、云防火墙、云安全管理平台、虚拟化数据防泄漏、数据备份等系统,实现对天津市传染病信息系统云上的安全管理;利用全市已搭建的疾病预防控制安全专网和数字认证技术对系统用户身份进行识别与锁定管理,基于数字证书认证登录方式,通过“一人一证”实现系统双因子认证,保证传输链路和用户认证安全;每年定期组织网络安全培训,针对全员开展网络安全教育,内部运维人员全部持证上岗,按照国家相关标准,定期开展安全风险评估和网络安全攻防与应急演练;建立全周期的数据安全技术防护措施,对传染病信息系统数据进行分类分级,通过管理与技术相结合的方式,保障数据采集、传输、存储、交换、运维的各个环节;传染病信息系统所涉及的相关密码算法符合国家相关标准,并按国家要求定期更新,保证密钥使用的安全性,符合商用密码安全性测评的要求。
(4)建设期限及投资情况
该项目历时三年,总投资约830万用于网络安全相关建设。
(5)硬件保障情况
在中心本部部署了防火墙、上网行为、终端安全管理、数据库审计、堡垒机、态势感知、CA认证、Web应用防火墙、网关运维平台、VPN等系统,在天津市政务云平台的云环境部署了云数据库审计、云堡垒、云漏洞扫描、云防火墙、云安全管理平台、虚拟化数据防泄漏、数据备份等系统。
(6)项目效果
通过项目实施,进一步加强网络安全、数据安全的常态化管理意识和运维理念;建立健全一套行之有效的网络安全、数据安全的保障体系和制度体系;打造一支满足疾控信息化建设的网络安全保障队伍,有效避免由于系统遭到破坏、丧失功能或者数据泄露,造成的严重危害公共利益和社会秩序事件的发生。
3 技术特点及成果产出
(1)技术特点
按照“同步规划、同步建设、同步使用”的三同步原则,协调安全与信息化发展的深度融合,指导安全保障措施的规划及应用实践。在网络安全保障体系方面,基于业内最佳实践“预警、防护、监测、响应”的安全闭环方法论、“一个中心、三重防护”的技术理念,结合传染病信息系统的业务特点,在完成网络安全等级保护三级基本要求建设的基础上,从安全人员配置、资产安全管理、安全管理制度、网络安全监测、风险评估、应急演练等多个维度实行重点防护,以履行重要系统运营者的网络安全义务。
采用集约化思想,依托政务资源,通过制订相关安全策略,首次尝试利用国产操作系统适配国产网络安全设备,通过部署云数据库审计、云堡垒、云漏洞扫描、云防火墙、云安全管理平台、虚拟化数据防泄漏、数据备份等国产化安全设备和安全系统(如图1所示),实现对传染病信息系统云上的安全管理;利用全市疾控安全专网和数字认证技术对系统用户身份进行识别,通过“一人一证”实现系统双因子认证,保证传输链路和用户认证安全;定期组织网络安全培训,开展安全风险评估和网络安全攻防与应急演练;建立全周期的数据安全技术防护措施,保障数据采集、传输、存储、交换、运维的各个环节;符合商用密码安全性测评的要求。
图1 政务云安全设备部署情况
(2)成果产出
目前共有天津市科技成果1项和天津市地方标准1项,发表核心期刊论文5篇,信息技术与标准化论文1篇。
4 项目应用推广情况
通过项目的实施,构建全面覆盖网络安全、数据安全、个人信息安全的安全能力,保障全市500余家网络直报单位的1700余用户安全使用,实现了传染病信息报告的全流程的实时追踪和责任追踪,全面符合国家、行业安全标准规范要求。通过开展网络安全、数据安全保障体系建设,可有效抵御高级网络攻击,减少因网络安全事件带来的经济损失。顺应国家网络安全、数据安全国家战略和新基建的建设趋势,强化系统保障的同时,为公共卫生、医疗机构提供更完善、更安全、更及时的服务保障。
在公安部、天津市委网信办、天津市公安局、天津市卫生健康委网络安全检查中获得好评。在天津市2021年网络安全攻防实战演习中获得“优秀防守单位”称号。在国家疾控局2022年网络安全和信息化年会上做经验介绍,将经验与其他单位进行交流分享,更加有效防范卫生健康系统网络安全事件发生和可能对社会秩序造成的不良影响以及对公众利益的损害,共同促进行业网络安全健康快速发展。
5 项目未来前景
通过天津市传染病信息系统全视角的安全设计与实践,建立健全了一套行之有效的网络安全、数据安全保障体系和制度体系,为同行业医疗卫生机构网络安全和数据安全建设提供宝贵经验。目前正在积极争取财政支持,加强密码改造项目建设,进一步完善数据分级分类标准,加强数据安全防护,确保系统密码应用满足商用密码应用安全评估要求,实现重要数据的合规合法应用,保障系统业务开展的安全性、合法合规性。依托政务资源构建系统数据安全的全生命周期的网络安全与数据安全保障体系。
申报单位:
天津市疾病预防控制中心
技术方向:
智慧医疗服务
业务领域:
网络安全