张铁山：新冠疫情防控给医院网络信息安全的启示

新冠肺炎疫情防控的每个环节，都时刻促进着笔者这个医院信息化建设工作管理者对医院网络和信息安全的反思。

在疫情防控期间出现的各种信息发布方式、各类信息采集工具、互联网化的医疗服务方式、信息化的在线交互模式、无处不在的社交网络信息传播方式，虽然在应急状态下提供了很多便利，但也同时带来了很多负面问题，留下了信息安全和个人隐私方面的隐患。“谣言”这种社会病毒通过社交媒体和社交网络更加快速传播；感染者个人信息被过度披露并被广泛传播，而且永远记录在了互联网上；快速部署的各类医疗互联网应用,安全性审查难以全面审慎实行，匆忙上马，给未来的应用留下了隐忧；国际黑客组织借助疫情热度进行病毒传播和网络攻击……

这一切都让我们看到和感受到，生物病毒的传播模式，同样类似地存在于今天无处不在的互联网中，而且存在更多的未知，我们的防控能力严重不足。信息化除了支持疫情防控，更要借鉴生物安全尤其是传染病防控的经验和教训，审视、反思我们的医院网络信息安全管理。

近日，习近平总书记在中央全面深化改革委员会第十二次会议上强调：“要从保护人民健康、保障国家安全、维护国家长治久安的高度，把生物安全纳入国家安全体系，系统规划国家生物安全风险防控和治理体系建设，全面提高国家生物安全治理能力”。这个全新理论丰富了国家安全体系的内容要素，完善了国家安全体系的顶层设计。2014年4月15日，习近平总书记在中央国家安全委员会第一次会议上提出总体国家安全观。习近平总书记在总体国家安全观中首次提出“国家安全体系”的构想，即“构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系”。2015年新《中华人民共和国国家安全法》提及金融安全、粮食安全、海外利益安全、外层空间安全，国际海底区域安全和极地安全等安全种类。此次提出“把生物安全纳入国家安全体系”，意味着国家安全体系的顶层设计进一步丰富和发展。

随着信息技术和互联网与社会生产生活的紧密融合，2014年2月27日，中央网络安全和信息化领导小组第一次会议召开时，习近平总书记就强调，网络安全和信息化对一个国家很多领域都是牵一发而动全身的。网络安全和信息化是一体之两翼。古往今来，很多技术都是“双刃剑”，一方面可以造福社会，造福人民，另一方面也可以被一些人用来危害社会，危害人民。顶层规划和国家层面的战略重视已经十分明确，2017年6月1日《中华人民共和国网络安全法》正式施行。2019年在原有《信息安全等级保护管理办法》和《信息安全等级保护基本要求》等法规的基础上，发布了《信息安全技术网络安全等级保护基本要求（GB/T 22239-2019）》《信息安全技术网络安全等级保护测评要求（GB/T 28448-2019）》，信息安全等级保护进入2.0时代。

三大短板

顶层设计和法律制度都已经就位，但反思和审视医院信息化和网络安全，尤其是借鉴新冠疫情防控管理中显现出的短板和不足，医院网络信息安全的落地与执行，在安全意识、安全能力和安全管理体系方面尚处在起步阶段，挑战巨大、差距仍很大。

医院网络信息安全意识不足。信息网络安全仍然停留在信息技术部门，甚至信息技术部门自身对网络安全的系统认识仍然不足。医院的信息系统用户觉得信息安全离自己很远，信息安全是信息技术部门的事情。实际上，每个人、每个用户都牵动着网络安全，一个不经意间点开的互联网链接，一个简单的用户密码，一个随意的网络设备接入都可能像病毒一样威胁到网络安全。所以规范地使用网络系统，良好的网络访问行为，个人隐私的保护等基于网络时代的安全意识，就像安全过马路一样，需要不断地养成习惯。

对于信息技术部门，也存在以下想法：简单地认为网络安全仅是一项技术问题，是防和堵的安全设备堆垒，平衡应用和安全时只能防守，医院决策部门有时也很难重视一些“可能看不到效果”的保险和安全类信息化建设项目。而网络安全就像传染病防控一样是一个系统的管理工程，既需要适宜的技术，也需要风险管理体系建设，还需要安全的教育和培训，安全制度的落实，安全体系的建设与评估。就像生物安全一样需要防控和治理能力的建设。

医院网络安全管理能力严重不足。医院信息化建设模式导致网络安全缺少整体规划。医院信息化建设在很长一段时间是以供给方推动发展，以新技术和方法推动应用落地，项目和产品实施方更加侧重于应用效果，而忽视和弱化了信息安全和信息标准的落地和执行，医院信息建设过程缺少科学的，前置的产品测评和安全评估，加上信息化建设项目缺少完整的工程管理规范流程，医院信息化产品暂时未形成第三方行业准入和监管机制，信息化项目建设的随意性较大，建设过程中变动较大，长此下来，信息化建设留下了非常多的安全漏洞、交互风险、运维风险、数据非法访问风险等隐患。

同时，没有实践经验也难以历练人才，医院网络安全管理人才严重缺乏。过度依赖于产品和建设方的口头承诺和文字层面的安全策略表述，缺少系统的安全管理实践，没有实践的历练，再加上意识不足，医院信息建设管理部门的网络安全规划管理能力、安全建设能力、安全防控能力、应急处置能力严重缺失，适合安全岗位人才很难配置。缺少规划，缺少人才，必然也带来了网络安全体系的缺陷，存在组织架构和管理流程方法、安全管理制度规范、安全技术布局、安全监测预警和应急储备等很多能力的缺失和缺位，有很多工作要做有。

网络安全应急处置体系不健全。再完善的日常安全管理系统也不能避免突发的网络安全事件。和传染病防控一样，信息和网络安全事件应急处置也是一个系统工程。信息部门的技术储备、物资储备和安全备份机制仍在起步阶段，信息化建设投入主要满足于医疗机构的系统应用，面向系统应用的建设投资尚且不足，应急储备更是捉襟见肘。另一方面，应急处置和传染病防控一样，既需要医疗人员救治病人，也需要疾病控制人员查找病源，更需要社区和个人适用和调整应急状态下的生产生活方式。网络信息安全应急处置体系在信息工程技术层面尚不完善，延伸到系统用户层面的意识和手段更加不完善，很多用户遇到网络应急事件无所适从，信息工程部门应急处置技术和能力储备难以满足快速响应。疫情防控出现了各种短板，相对成熟的应急管理体系尚存在巨大挑战，还在成长中的网络信息安全应急处置体系建设任重而道远。

三招应对

借鉴公共卫生突发事件的应急管理机制和日常医疗安全管理的经验，以及反思我们疫情防控的不足之处，医院网络信息安全需要强化以下几方面工作。

第一，从国家总体安全观的战略高度加强医院网络信息安全的认识。医院是重要社会民生领域，信息和网络安全既关系到这个行业的稳定运转，同时医院中还生产记录着大量的生物信息，包括血液、病理、基因、疾病的社会经济多方面信息，这些信息甚至可能关乎到一个人种的安全。安全是底线思维，纵使短期能力做不到，也要在管理上时刻关照到，不可轻视，不能放松，更不能放任不管。想到做不到，需要能力不断提升，这需要一个过程，哪怕做到一点点，都是进步，是为这个行业和事业负责任。

第二、从程序上把安全意识、安全能力、安全管理方法不断固化下来。要从完善信息化建设项目的流程上入手，把网络信息安全从设计阶段就启动，纳入全流程和全过程管理，从产品的审查、安全方案设计评审、建设过程中安全方案的落地，验收阶段的安全测评，应用阶段的安全管理，就像站岗和疫情防控测体温一样，把安全岗哨通过流程化的方式建立起来，纵然能力不足，但布局已定，一定会促进医院网络安全管理。

第三，在实践中锻炼能力和积累方法。“意识”和“程序”只是把事情导向正确的方向，能力和方法才能把事情导向良好的结果和预期。要从安全教育培训入手、从安全建设规划实施，从网络安全的日常监测、评估、管理和持续改进一步步做起，对照网络安全法和等级保护制度，依法依规逐步推进，建设网络安全监测系统，建立网络安全定期评估制度，研判和分析日常网络安全事件，及时堵塞安全漏洞，平衡应用需求与网络安全，开展应急演练，完善应急处置流程，这些能力和方法的体现形式既有网络安全的信息化产品，也有网络安全测评管理咨询，还要形成安全评估的系列方法，同时完善和丰富安全制度，完善应急处置操作流程等等。

多难兴邦，危难之际方显英雄本色。疫情防控中的感人瞬间和中华民族的凝聚力，中国体制制度和治理能力的优势充分显现。但只有我们认真反思，通过苦难来学习，才不辜负为苦难付出的英雄，为苦难付出的代价。比起生物安全防控，尤其是公共卫生事件应急处置，我们毕竟经历了17年前“非典”的考验，而网络安全和信息化，我们仍徜徉在信息化带给我们无尽便利、自由畅快和无数的新鲜感中，无处不在的风险如暗流涌动，比新型冠状肺炎充满了更多的未知，我们的体系和能力存在更多缺陷，医院网络信息安全建设要如履薄冰，且行且完善，安全的弦永远不能放松，能力建设永远在路上。