陈明 林志刚 林传捷

随着国内外网络安全形势日益严峻，大型医疗机构的网络安全保障压力与日俱增，与此同时，医疗卫生领域迎来重要机遇期，信息化发挥着关键的支撑作用，而网络信息安全作为信息化的命脉，其重要性日益凸显[1-3]。为此，国家卫生健康委陆续发布相关文件，以加强医疗卫生机构的网络和数据安全管理，如规定各医疗机构应当建立覆盖患者诊疗信息管理全流程的制度和技术保障体系，对本单位运营范围内的管理信息系统落实等级保护定级、备案、测评、安全建设整改工作[4-5]，其中，医院重要信息安全等级保护不低于三级，定为三级及以上的信息系统每年进行等级保护测评[6-8]。因此，医疗机构开展网络安全等级保护工作不仅是履行国家法律法规义不容辞的责任，更是保证医疗服务稳定供给、持续改进医疗质量与安全、推进公立医院高质量发展的前提[9-10]。

本文以某省属三级甲等医院为例，设计一种可行的等级保护综合管理平台框架，该框架基于等级保护2.0 标准体系，提供高效稳定的等级保护管理、项目管理、知识库管理及系统管理等模块化机制，与医院实际场景下的定级备案、安全自评、建设整改以及等级测评的业务流程相符，为医疗机构实施网络安全等级保护提供了一种可复用的模板。

1 医院存在的主要问题

目前医疗机构遵循的等级保护安全规范为2019年12 月1 日正式实施的《信息安全技术—网络安全等级保护基本要求》（GB/T 22239-2019）[11]，简称等保2.0，与2008 年的《信息安全技术—信息系统安全等级保护基本要求》即等保1.0 相比，等保2.0的定级对象从信息系统扩展为网络空间，其合规标准体系、合规基本要求及合规覆盖对象有显著的变化，这对等级保护工作提出了新的要求[12-13]。然而，医疗卫生机构的系统部署与管理复杂，安全检查与评估任务繁重，在人工进行等级保护工作的方式下存在诸多问题，以某省属多院区三级甲等医院为例，分析如下。

1.1 无法实施标准化等级保护管理

等级保护工作的过程复杂，涉及的标准多、范围广，其中三级系统211 个指标项，二级系统135个指标项，结合医院实际形成的评估项达数千条。安全管理人员在缺乏相关专业知识和工作手段的情况下，难以对其进行合理有效的控制，无法将安全要求同步到信息系统规划与管理的各阶段，导致等级保护工作杂乱无章、不成体系。

1.2 无法掌握信息系统安全状态

该医院的信息资产庞大，种类多、分布广、业务多[14]，其等级保护工作产生的数据未统一汇总和存储[15]，安全管理人员无法清晰了解各信息系统安全建设整改情况，无法感受等级保护工作为各信息系统带来的成效，无法把握下一阶段等级保护的工作重点。

1.3 难以高效完成检查任务

随着公安机关、上级主管部门对网络安全监管力度的持续增强[16]，医院承担着密集的检查和评估任务，在整理等级保护工作相关文档的过程中，存在响应慢、效率低、无法高效输出安全检查需要的信息等问题，耗费大量人力物力的同时处于被动状态。

2 国内主要解决方案

因为等级保护是根据我国实际情况开展的，国外学者对此鲜有研究，而国内同行已开展了诸多工作，在实践方面主要围绕着等级保护工作的辅助系统进行[17-18]。目前国内同行主要研究的辅助系统是等级保护检查工具箱和信息安全等级保护管理系统。等级保护检查工具箱具备完善的等级保护检查知识库，从安全检查的视角出发，对各运营单位进行单次评估并出具评估报告，可有效辅助公安机关测评机构执法检查和实施测评[19-20]；信息安全等级保护管理系统适用于政府及企事业单位，可实现等级保护信息及数据的集中管理和分析处理，有效提升信息安全工作透明度。

即便如此，国内的研究仍然存在不足：等级保护检查工具箱缺乏对等级保护管理流程的把控，对系统运营单位的等级保护管理无法提供有力的支撑；信息安全等级保护管理系统的功能更偏向于各环节工作结果的填报，其设计缺乏交互体验和流程式的引导，不能充分满足等保2.0 工作中的资产梳理、指标自评、人员管理、建设管理等方面的需求。

3 方案设计目标及依据

3.1 设计目标

针对上述存在的问题，医院需要建立一个系统、规范、全面的等级保护工作管理平台，平台具有简洁明了的人机交互界面、灵活的权限设置，帮助医院规范有序地开展等级保护工作，完整识别资产构成情况，明晰地呈现安全状态，高效输出安全相关文档，形成系统化、标准化、规范化的安全管理体系。

3.2 设计依据

依据国家等保2.0 的基本要求以及安全设计技术要求，医院根据实际需求，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理以及安全运维管理等方面对平台的配置、检查与管理功能进行设计，平台涉及信息系统的定级、备案、自评、建设整改、测评和监督检查等管理环节[11,21]。

4 平台流程及架构设计

4.1 流程设计

根据医院多院区、多场景的特点，等级保护综合管理平台的用户分为3 类：医院信息中心、各分院区及第三方机构。第三方机构包含软件开发商、安全服务商、监管单位、主管单位及测评机构。医院信息中心对全院等级保护工作进行监督和统计，各分院区负责信息系统定级、备案、测评等业务，第三方机构辅助或者监管医院安全信息管理人员进行信息采集、业务分析、文档输出等工作。该平台的等级保护业务流程设计见图1。

图1 医院等级保护工作业务流程

4.2 架构设计

等级保护的综合管理平台对外可实现展示安全状态、统计输出上级主管部门安全检查所需的文档，对内可形成高效便捷的等级保护业务处理体系。该平台以等级保护业务处理平台为核心，包括等级保护业务管理平台、等级保护业务处理平台、等级保护信息采集平台3 个子系统。

等级保护业务管理平台的主要任务是维护单位日常等级保护项目的事务管理，包括对等级保护项目的添加、修改、删除、存档等业务管理，对等级保护业务处理平台的数据进行统计与展示，帮助用户全局掌控本单位的网络安全和等级保护工作运行情况，迎接公安部门或上级主管部门的检查。等级保护业务处理平台的主要任务是完成信息系统定级、备案、整改、测评的具体项目。项目涉及的表格、文档等各类数据材料可以由等级保护业务管理平台输出，也可以在等级保护业务处理平台独立添加。等级保护信息采集平台的主要任务是为等级保护业务处理平台提供各类文档和材料，将现场采集或者从外联系统导入的信息录入等级保护业务处理平台。信息采集平台的工作依托资产管理模块和漏洞管理模块进行自动化导入和生成，也可以根据实际情况手动添加需要提取的数据项。这3 个子系统相互独立又存在联系，各子系统有机组合形成等级保护综合管理平台的架构，见图2。

图2 等级保护综合管理平台架构

5 应用效果

该省属三级甲等医院依据以上设计方案，开发医院网络安全等级保护综合管理平台，见图3，于2022 年6 月开始上线，经过半年多的运行，使医院核心信息系统的等级保护工作高效有序地进行，取得明显的成效。

图3 医院网络安全等级保护综合管理平台安全状态展示界面

5.1 等级保护管理趋于规范化和标准化

医院将9 套重要信息系统纳入等级保护综合管理平台，进行基本信息维护、定级、备案、指标自评、等级测评的全流程管理，其中三级系统8 个，分别是医院信息管理系统、电子病历管理系统、影像归档和通信系统、实验室信息管理系统、医院信息集成平台、互联网+医疗健康系统、科研大数据平台、门户网站，二级系统1 个，为财务一体化系统。医院重要信息系统涉及资产包括网络设备29 台、安全设备45 台、服务器172 台、数据库36 台等。

针对资产管理、制度管理、漏洞管理、定级管理、备案管理、测评管理各环节所涉及的各类数据、信息和材料，平台为各系统配套综合填报与收集等功能，将形成的各类材料统一纳入管理，使医院的等级保护管理趋于规范化和标准化。

5.2 提升医院网络安全管理效率和质量

医院通过建设等级保护综合管理平台，建立等级保护工作管理机制，提升等级保护工作效率，表现如下：等级保护工作产生的各类数据收集并汇总在平台上统一管理，缩减后期重复录入和评估的人力支出，提高管理人员的工作效率；通过平台开展指标自评，增强网络安全自查能力，针对突出问题跟踪整改，提高等级保护信息系统测评通过率；通过平台的合规状态和安全风险的综合展示，避免人员变更导致的信息断层，使安全建设与安全运维质量更加可控。

等级保护综合管理平台内容覆盖等级保护合规基本要求的全部指标，以2022 年度医院信息系统为例，其安全指标自评每月进行1 次，在管理人员持续改进下，其分数呈上升趋势，见图4。医院重要信息系统以较高的等级保护测评分数通过年度安全测评，见图5。此外，医院通过平台的资产管理及漏洞管理等功能，重点对医院互联网的资产、脆弱性、威胁、事件进行持续安全运维，譬如将漏洞导入平台进行管理与展示，有效提高漏洞管理的闭环率等，截至2022 年12 月，其总体的安全状态良好，见图6。

图4 医院信息管理系统等级保护合规指标自评分数变化趋势

图5 医院重要信息系统等级保护测评分数

图6 医院外网资产总体安全状态

6 讨论

该省属多院区三级甲等医院建成的网络安全等级保护综合管理平台，帮助医院建立起有效的网络安全等级保护工作机制，实现对其核心信息系统安全等级保护工作的标准化管理，简化工作要素，提升安全管理效率和质量，为贯彻国家网络安全等级保护制度、推动公立医院高质量发展提供支撑作用。但是，现阶段该平台仍然存在一些不足。一是目前安全管理人员主要是以手工录入的方式将等级保护对象的相关信息或文档录入平台，其工作量大、效率低，录入结果容易出错。改进的建议是将平台与关键安全设备、网络设备、业务系统进行对接，建立自动与半自动相结合的评估机制，实现对等级保护信息系统的相关资产进行常态化的合规监测和评估。二是目前安全运维厂商的人员离职变动较为频繁，由于原有人员的经验未及时落实到平台，造成等保运维知识流失，内部管理和服务效率低下。改进的建议是开展等级保护知识管理系统的规划与全程建设，将日常运维过程中获取的知识进行记录、归纳、总结，形成专用知识库，并定期更新评审，使各角色可基于知识库开展运维，提高医院整体安全运维效率。

此外，从等级保护管理工作的痛点、难点来看，医院当前信息系统涉及厂家多，各个厂家的规范化水平与配合程度不一，这给等级保护工作带来困难。建议医院规范安全管理组织，明确各人员职责，将等级保护相关要求贯彻落实到医院信息化各参与角色，使院方、系统厂家及安全厂家充分参与、各尽其责。针对部分厂家等级保护整改工作存在拖延的现象和未解决的问题，院方需要通过培训以提高其安全意识，必要时建立惩罚机制，从而确保等级保护的有效实行。另外，在开展等级保护工作的过程中，安全厂商拥有医院重要信息系统的测试账户，这可能导致院方敏感信息泄露或者重要数据被误删除，针对这一问题，医院应和安全厂商签署精细到个人的信息安全保密协议，遵循按需知道的原则赋予其访问重要数据的最低权限，并对其权限进行有效管控，在逐步完善信息安全应急处置机制的同时，加强数据安全监测和运维行为审计。

最后，信息网络安全工作应该让系统开发人员、业务负责人员、安全管理人员及安全技术人员多方参与进来，通过安全意识培训、网络攻防演练及绩效考核让其在思想上重视安全工作。该省属医院高度重视网络安全工作，建立信息系统运行维护管理、信息系统变更管理、密码管理、资产安全管理、漏洞和风险管理及运维人员安全管理等制度，从主机系统安全检测、应用安全检测、安全设备分析、安全渗透测试、应急安全演练、响应与处置及安全培训等方面进行安全自查，并将其过程通过平台进行记录，有效提升医院信息系统运行的可靠性与安全性。