廣州中山大學附屬第一醫(yī)院張武軍：循序漸進推動智慧醫(yī)院網(wǎng)絡安全建設

12月9日消息（章葭）12月7日，以“禾云神話 智護未來”為主題的“中國移動可信賦能網(wǎng)絡研討暨網(wǎng)絡安全峰會”在昆明舉辦。峰會由中國移動研究院和中國移動云南公司共同主辦，邀請到產(chǎn)、學、研、用等各界嘉賓，共同探討數(shù)字經(jīng)濟時代新基建背景下的網(wǎng)絡安全挑戰(zhàn)與機遇，推動“5G+安全”體系建設，共建網(wǎng)絡安全生態(tài)。

會上，廣州中山大學附屬第一醫(yī)院信息數(shù)據(jù)中心主任張武軍就新形勢下醫(yī)院網(wǎng)絡安全的風險與應對進行了分享。他認為，智慧醫(yī)院、互聯(lián)網(wǎng)醫(yī)院的建設對網(wǎng)絡安全提出了更高的要求，但現(xiàn)今的醫(yī)院網(wǎng)絡安全建設目標定得太低，網(wǎng)絡安全運作模式、能力建設面臨嚴重挑戰(zhàn)。對此，張武軍提出了醫(yī)院網(wǎng)絡安全工作的指導思想和治理思路，即通過網(wǎng)絡安全保障體系架構設計，網(wǎng)絡安全組織體系建設，建立全員網(wǎng)絡安全責任制來循序漸進地推進網(wǎng)絡安全治理。

背景與現(xiàn)狀：智慧醫(yī)院對網(wǎng)絡安全提出更高要求

近年來醫(yī)療行業(yè)按照法規(guī)要求，加強了網(wǎng)絡安全保障能力的建設，但是，出于利益驅使或防護不當?shù)葐栴}，網(wǎng)絡攻擊事件仍接連發(fā)生，給醫(yī)療行業(yè)帶來巨大損失，醫(yī)院的網(wǎng)絡安全仍然面臨較高風險。如今，網(wǎng)絡安全升格為國家戰(zhàn)略，監(jiān)管手段和方法都在發(fā)生變化。網(wǎng)絡安全法徹底改變了醫(yī)院網(wǎng)絡安全工作的性質(zhì)。隨著網(wǎng)絡安全法律、法規(guī)、標準持續(xù)出臺，國家網(wǎng)絡安全治理體系也在不斷完善，“個人信息保護法”、“數(shù)據(jù)安全法”等，將對醫(yī)院帶來嚴峻的數(shù)據(jù)安全合規(guī)壓力。

因此，智慧醫(yī)院、互聯(lián)網(wǎng)醫(yī)院的建設對網(wǎng)絡安全提出了更高的要求。智慧醫(yī)院的建設，將匯集“大數(shù)據(jù)、云計算、互聯(lián)網(wǎng)+、人工智能、物聯(lián)網(wǎng)”等技術，實現(xiàn)醫(yī)院管理、科室建設、醫(yī)院信息化臨床科研、分級診療、遠程醫(yī)療、醫(yī)聯(lián)體構建、智慧后勤、智慧運維、智慧通信、健康管理、移動互聯(lián)的應用創(chuàng)新。構建醫(yī)療健康大數(shù)據(jù)和基于醫(yī)療健康大數(shù)據(jù)的運營，是新時期醫(yī)院的重大轉型機遇。

張武軍表示，智慧醫(yī)院網(wǎng)絡安全與信息化的關系就是“1”和“0”。沒有前面的“1”，“0”數(shù)量再多也還是“0”。臨床、科研、遠程醫(yī)療、分級診療、醫(yī)聯(lián)體、后勤管理、健康管理等都要基于信息安全的前提上。

新技術的應用以及來自內(nèi)部的威脅，給醫(yī)院帶來了更多的網(wǎng)絡安全風險。近幾年，醫(yī)院也在大力發(fā)展“云、大、物、移、智、區(qū)塊鏈”等新技術、新應用的發(fā)展。5G+物聯(lián)網(wǎng)醫(yī)療設備在醫(yī)院具有非常多的應用場景，目前甚至在有些場景下已經(jīng)開始應用。這些新技術、新應用模式在設計之初并未完備考慮網(wǎng)絡安全風險。然而，傳統(tǒng)網(wǎng)絡安全防護能力又不能完全適應對這類場景的防護需求。

此外，據(jù)FBI和CIS等機構聯(lián)合做的一項安全調(diào)查報告可知，超過85%的網(wǎng)絡安全威脅來自內(nèi)部，由于內(nèi)部人員違規(guī)行為所導致的損失是黑客所造成損失的16倍、病毒所造成損失的12倍，要確保內(nèi)部全員的行為合規(guī)任重道遠。

困難與挑戰(zhàn)：技術體系、運作模式、能力建設等問題重重

經(jīng)過近些年的網(wǎng)絡安全建設，醫(yī)院的網(wǎng)絡安全保障能力普遍有較好的改觀，但是，現(xiàn)今的網(wǎng)絡安全建設目標仍定得太低，還是以合規(guī)為主，醫(yī)院內(nèi)部的網(wǎng)絡安全運作模式?jīng)]有顯著變化。

網(wǎng)絡安全技術體系經(jīng)過多年建設在物理、網(wǎng)絡、邊界、設備、應用、數(shù)據(jù)等安全方面部署了相應的技術手段，發(fā)揮了重要作用。但由于分批、分期建設，技術體系形成“孤島式”技術防護現(xiàn)狀，缺乏系統(tǒng)性、協(xié)同性，對安全風險反應不及時，難以應對當前內(nèi)外部安全威脅。同時，安全建設需要統(tǒng)一規(guī)劃、統(tǒng)籌建設、集中運營，但各安全管理體系又存在各自的局限性，且相互之間標準不統(tǒng)一，缺乏協(xié)同機制，難以滿足醫(yī)院網(wǎng)絡安全管理模式轉變的需要。此外，技術體系和管理體系又依賴于員工承擔保護其管理的信息和信息資產(chǎn)的責任，但是很多普通員工和管理者卻并不了解相關的信息安全行為規(guī)范和權責。

當前，網(wǎng)絡安全運作模式也面臨嚴重挑戰(zhàn)。張武軍稱，當前運作模式的主要特征為“玩不轉、玩不動、玩不好、玩不溜”。“玩不轉”是因為IT設施維護、安全運營保障、終端維護、遠程診療保障等工作事多人少；“玩不動”是由于安全績效權力、問題處置權力、入網(wǎng)許可權力等權力小責任重；“玩不好”是問題多預算少：存在服務商能力不強、服務內(nèi)容不齊、安全工具不齊全、安全工具不強的問題；“玩不溜”則是跨部門、跨崗位帶來的管理系統(tǒng)三同步、系統(tǒng)漏洞、數(shù)據(jù)防泄露、終端管理的問題。

網(wǎng)絡安全能力建設陷入瓶頸后，工作缺乏參照。當前醫(yī)院安全能力建設缺乏領導的絕對支持、其它部門配合程度差、且安全責任矩陣不清晰、安全工作機制不科學、安全工作流程不規(guī)范、安全工作也缺乏標準。網(wǎng)絡安全績效、業(yè)務系統(tǒng)三同步、數(shù)據(jù)安全治理、終端安全治理、安全能力協(xié)同、安全能力聯(lián)動等安全能力都有欠缺。

在能力建設的頂層設計方面，安全工作缺乏統(tǒng)籌。目標不明確、架構不清晰、工作不成體系、能力彼此割裂；在安全責任方面，矩陣不明，安全團隊唱獨角戲。全員安全意識弱、安全責任無法分解、安全績效無法落地、安全內(nèi)控難以推行；在機制流程方面，流程不暢導致安全工作推動困難?？鐛徫还ぷ魍苿与y、跨部門工作推動難、問題處置周期長、跨崗位工作推動難；在日常工作方面，不注重基礎工作，落地不佳。IT資產(chǎn)梳理不清，安全運維工作黑盒化、安全設備長期不調(diào)優(yōu)、漏洞和基線問題突出。

思考與實踐：治理過程要體系有效、行為合規(guī)、動態(tài)可控、監(jiān)管有力

在明確網(wǎng)絡安全工作定位的基礎上，張武軍提出了醫(yī)院網(wǎng)絡安全工作的指導思想和治理思路。

其中，指導思想是需要滿足法規(guī)要求，應對監(jiān)管壓力，同時從經(jīng)營風險管控目標出發(fā)，管控全局網(wǎng)絡安全風險。治理思路上，首先要對相互獨立的安全管理體系進行梳理、融合、完善，讓安全管理體系成為員工的行為準則和約束；建設網(wǎng)絡安全工作最高門戶，從側重IT設備本身安全管控轉變?yōu)閷?shù)據(jù)和人員行為的安全管控；從醫(yī)院的經(jīng)營風險管控目標出發(fā)，推導出安全的控制點，將安全管理與日常運營相結合，清晰全員的安全責任；在黨委領導下，以績效為抓手，通過技術手段解決面向全員的安全監(jiān)管難題，形成網(wǎng)絡安全高壓態(tài)勢。

治理過程中，要“體系有效”，從管理+技術+責任+抓手統(tǒng)籌著手，確保治理工作落地；“行為合規(guī)”：據(jù)不同角色的行為和場景進行分類，識別出安全治理的要求和動態(tài)控制點；“動態(tài)可控”：管理制度策略化，安全告警按責任告知、閉環(huán)處置；“監(jiān)管有力”：以績效為抓手，以數(shù)據(jù)為支撐，撬動組織范圍內(nèi)的網(wǎng)絡安全工作。

在設計網(wǎng)絡安全保障體系架構上，以“體系有效、行為合規(guī)、動態(tài)可控、監(jiān)管有力”的指導，適應數(shù)字化轉型與智慧醫(yī)院建設網(wǎng)絡安全新需求，構建“體系化、實戰(zhàn)化、常態(tài)化”的“新一代網(wǎng)絡安全保障體系”。

在網(wǎng)絡安全組織體系建設上，可參照其它行業(yè)，優(yōu)化醫(yī)院“形式化”的網(wǎng)絡安全組織體系，重新定義各部門、全員的安全責任，打通業(yè)務部門和IT部門的壁壘，讓網(wǎng)絡安全組織體系能真正有效運轉。

此外，要建立全員網(wǎng)絡安全責任制。“網(wǎng)絡安全人人有責”。再先進的防御體系也“招架”不住“私搭WIFI”、“違規(guī)適用U盤”、“亂點郵件”、“弱口令”等高危行為。對IT人員、普通用戶、供應鏈人員等建立責任制，是讓全員實現(xiàn)“行為合規(guī)”的前提。

張武軍表示，網(wǎng)絡安全治理不是眉毛胡子一把抓，而是將有限的資源用在刀刃上，有側重點的有序推進。網(wǎng)絡安全治理也不是與所有人為敵，而是“服務與管理并重”，先把服務做好，再談管理他人。在安全治理推進過程中，策略的選擇也應該“循序漸進”，“溫水煮青蛙”，否則很可能陷入“出身未捷身先死”的尷尬。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。