郭扬帆：医院网络安全整体架构思考（下）

（1）网络安全与成本效率之间的平衡

医院规划出一套十分完美的网络安全防御体系，或许并不难，因为这是理想状态下的网络安全建设。事实上，除了国防和军事需要，医院很难投入大笔资金把信息系统打造成铜墙铁壁。而医院本身就是一个全年365天，7*24小时永不休息，永远敞开大门的单位，业务开放性带来了信息的开放。同时医院也是一个讲求效率和效果的单位，对网络应用不能太严苛，否则会引起医生们的反弹，失去了使用网络的初衷。

第一，在安全与效率上找到平衡

安全越高，成本越高，效率越低。每家医院管理的理念不同，互联网对临床开放的程度也不相同，对安全级别要求也不尽相同，对安全投入资金也各不相同。所以每家医院都有一个安全与效率的动态平衡点，只有找准这个平衡点，网络安全工作才能很好地执行下去。

互联网开放程度，跟医院沿袭也有很大关系，例如某医院10多年来，利用上网行为管理，以开放白名单的方式，让全院联网电脑都可以访问经专业公司检测过的医学类网站、科研课题申报网站、业务工作直报网页等。受到临床人员欢迎，也未发生过较大的网络安全事故。也有医院从一开始就全面禁用互联网出入口，禁用U盘光盘，禁止安装程序，禁止修改C盘内容，重启后自动复原等。

当前仍有很多医院不惜成本，建设二套网络，内外网分开。但在实际使用过程中，临床科室人员仍觉得极不方便。也有接入两张网卡，内外网互换，但硬盘共用仍不可避免病毒传播。也有安装两套操作系统，在逻辑上进行分离，但对驻留在内存的病毒仍存在隐患。

医院办公没有绝对的内外网隔离，总会在某些电脑上存在内外网数据传递，包括U盘拷贝文件。

所以，医院信息部门对这个问题一直很纠结。其实，与其堵不如疏，当今社会已经是互联网时代，做得再安全也难以避免出现问题，不如做好常规防护，然后重要的是提高在出现问题时迅速处理的能力，将危险威胁控制在局部小范围之内，在萌芽状态时解决掉。这样即体现了信息技术人员的价值，也方便临床科室使用，并减少成本投入。

第二，在投入与产出上找到平衡

网络安全永远在路上，世上没有绝对的安全，防御总被动于进攻。往往都是新的病毒或木马出现并大肆破坏后，才被发现并研发出针对性的安全产品。所以医院有限的资金，不能都全部砸在安全防护上面，必须在投入与产出上找到平衡。

必须明白，哪里是医院最核心的数据资产? 哪里是医院最薄弱的风控点? 哪些地方只需要少许投入就可以获得较大的安全保障? 哪些地方加大人力巡查就可以防范很好? 哪些又可以通过行政命令同样可以取得较好的安全效果? 等等。

医院在进行信息化建设时，需要把钱花在刀刃上，特别是预算不够充足时。

数据库安全应是重中之重，即便全院信息系统瘫痪，也可以启用手工，只要数据库数据没有丢失，就是万幸，也是医疗IT技术人员的底线。所以医院无论再没有经费，起码你也要为数据库做好备份，给操作系统和数据库打好补丁，进行加固处理。有钱可以做异地容灾，可以上数据库防火墙、数据审计、日志审计系统，可以使用堡垒机限制和监控访问等。

一般来说，医院的级别越高，数据的价值就越高，投入还要跟自身医院的信息量匹配。

（2）如何构建务实的医院网络安全整体架构?

第一，遵从等保测评要求

无可否认，目前网络安全等级保护测评，仍是最完善的安全建设要求。从建设绩效来讲，符合并取得等保测评认证证书，仍是医院网络安全建设的一个目的。

现在有很多成熟的测评工具，接入医院内网，即可侦测出医院网络诸多漏洞和防护不完善的地方。等保测评报告都是根据这些风控点的不足而形成的文字报告，人为检查的内容都是制度、流程和执行落实情况。

测评的目的在于发现问题，并针对这些问题，测评公司做出整改的建议。这些建议往往都只注重对风控点的补漏，很难从全局和成本的角度来考虑用户如何来整改。需要测评出不足的内容，但如何整改则必须从实际出发。

第二，将风控点分级分类处理

一家医院测评出来的安全问题可能很多，需要将问题进行分级分类，以便于后期整改，分级分类的好处在于，知道问题的难易程度、轻重缓急，哪些是当前可以解决的，哪些是预算投入就可以完成的，哪些是即便投入预算也不容易完成的，还有哪些是根本不可能完成的，目前也不需要如此做的。

例如，医院信息部门可以把问题分为：数据库方面的、服务器操作系统方面的、终端管理方面的、无线安全方面的、WEB网站方面的和HIS应用软件方面的等等。有些问题只需要做一些加固或端口封堵即可以解决，有些需要采购专项安全产品才可以解决，如日志要求保留6个月，购买日志审计系统即可以解决。而有些当前不着急解决，例如WEB网站，现在访问量很少，平时做好异地备份，一旦网站被黑，全盘恢复过去也花不了2个小时时间，关键时期，网站还可以临时关闭。有些属于HIS应用软件方面的不足，即便是花钱，HIS公司也不愿意修正以符合安全。有些当前没有太多经费投入，如终端接入安全，采用简单粗暴的方式，封堵禁用，也可以保证医院信息系统安全，未尝不是一种解决问题的方式。

第三，分级分类建设路径

在医院有限的信息安全预算投入下，该先建什么内容，后建什么内容，心中要十分清楚，并且要让医院领导也明白，目前安全防护了哪些方面，防护到什么级别，没有防护到的地方有哪些，他们有什么影响，可以通过什么手段避免或控制等。

这就回答了之前的问题：安全不投入没问题，投入了出了问题是谁的问题?

世上没有绝对的安全，医院信息化负责人必须让医院领导明白，投入安全是必须的，但并不能保证投入后信息系统一定是安全的。要把每一笔安全投资，都能明明白白告诉领导，做了哪些方面的防护，可以防护的内容是什么，可以抵挡什么类型的网络威胁，还有什么不足可能导致功亏一篑，出现这种问题如何解决，如何能将损失控制在最低范围。

医院不用怕出现网络安全事故，最重要的是如何能快速地将事故控制在最小范围之内，不使之蔓延扩散，这才是网络安全建设最核心的内容。

每家医院不同，关注点或痛点不同，正在使用的安全设备不同，所投入的资金和人力不同，所以网络安全解决方案一定是为医院量身打造的，符合实际情况的，能落地可执行的方案。然后分年度分批进行建设，这才是真正务实的医院网络安全建设路径指引。

第四，交叉验证，不留隐患

当前网络安全单体产品的功能越来越多，除了原来主要功能以外，又增加了很多附带功能，而这些附带功能可能又是另外一个产品的主要功能。例如：很多防火墙都带有防病毒功能，但这是杀毒软件公司的强项。实际上，医院可以开启这些辅助功能，达成交叉查杀的效果。

没有一家网络安全公司，能穷尽所有已知的病毒库，新型病毒产生时每家公司更新的时间有快慢，因此不建议所有安全产品采用一家公司的，可能在部署上减少一些麻烦，甚至可以部署得更完美，但却存在一个完美的缺陷，即如果这家公司在安全上存在某个致命的漏洞，则所有的部署都将一无所用。

采用不同公司的产品，可以将重叠的功能、重叠的边界、重叠的应用，进行第二次或第三次检验，以防漏网之鱼钻了空子。

目前，能做到这一点的医院不多，或许因为诸多原因，技术能力不足，怕麻烦不愿意尝试，或许公司产品之间的竞争关系等，导致安全产品的利用率不高，配合度不高，这是值得所有人深思的问题。

第五，整体规划，统一布局

“不谋全局者，不足以谋一域”。做好医院网络安全建设一定要有全局观，从大处着眼，从小处着手。如同排兵布阵，有负责进攻，有负责防守，有负责侦察，有负责诱捕，有负责补漏，有负责加固等。高明的医院信息主任如同主帅，胸中有丘壑才能稳坐中军账，决胜于千里之外。

信息主任必须明白当前有多少人员可用，有多少工具可用，有多少资金可用，并与医院信息化整体发展相适应。例如：医院计划使用移动医护系统，那么就必须建设无线网络，同时就要配套无线安全管理。安全产品日新月异，提前买了用不上，后面又会花大笔升级费用，而该买的又没有钱来购买，徒增人力运维成本。

以往医院信息安全建设都以局部安全为主，例如做数据库安全防护就只做数据库，不管终端访问的安全，不与终端访问安全产品进行联动。每一个安全产品或者说每家公司的产品，与其他公司很少做统一配置，都是各防各的，这不是一个整体，很容易出现漏洞或防护空白地带。

统一布局最大的益处，就是提前预设某个产品适合放在某个位置，起到什么作用，也就是提前做好功能配置。医院网络安全就如同一张大网，某个环节产品配备到位了，就如同站好了点位，就能发挥应有的作用。先逐步将重要点位都安装到位，然后在辅助部位再补充完善，这样就构成医院网络安全整体防护大网。

第六，安全运维永远在路上

医院安全的核心是数据安全，而基础资产是这些核心数据的载体，所以在构建安全运维服务体系的基础工作，首先应该做好基础资产的发现和管理，如果连基础的资产发现与管理都存在问题，安全运维就漏洞百出了。

持续的风险监测、检测与处置是安全运维的核心，风险检测主要包括系统基础服务相关的通用漏洞和服务配置不当的风险检测；应用风险检测主要包括一些第三方应用的软件漏洞和自主研发（包含委外研发）的应用风险。针对监测与检测出来的风险要制定持续的改进计划与措施，并且要持续跟进，形成常态化的风险持续管理与处置制度。

安全事件的处理要建立一个及时有效的处理流程，首先从发现问题开始，接下来是将风险通告到相关业务部门，同时与业务部门共同进行风险整改与处置，最后修复处理完毕后还要进行及时的回归测试。

总结来说，安全运维要基于资产与资产的风险生命周期进行持续管理与改进，制定确实可执行的风险管理流程体系，明确责任人与KPI考核指标，安全运维永远在路上，没有终点。

医院网络安全建设已从单机版走向网络版，从局域网走向广域网，从初浅的认知走向更加变幻莫测的未知。网络安全，如悬在头顶上的达摩克利斯之剑；如生怕被触动的潘多拉魔盒，使医院信息部门战战兢兢如履薄冰，在所不惜却又无能为力，总想利用有限的资金，使出洪荒之力，只为一句领导认同，医生点赞。

但必须重新思考，网络安全应该如何来建?

技术永远解决不完层出不穷的问题，所以规划和方法更重要。医院信息化负责人需要开始养成全院网络安全一盘棋的整体思维，如何布局、何处落子，坚壁清野，铁壁围城，宁错勿滥，丢车保帅，既是技巧方法，也是管理艺术。

网络安全专业公司，必须保持一颗良心和敬畏之心，才能做好安全事业。凭自己精湛的技术、优质的服务，敢于承担责任，开放兼容同行，扎根行业，勇于吃亏。这样的企业才值得尊重和信赖，才值得医院将网络安全为之托付。