1、医院信息安全问题思考与实践2022年4月25日目录中国历史最悠久的大型综合公立医院之一1869年英国圣公会在杭州设立戒烟所,后为“广济医院”1881年梅藤更来华,推动广济医院品牌发展壮大,建成“东方最好的医院”*1989年全国首家“三甲”医院医院*出自英国旅行作家伊莎贝拉伯德毕晓普的作品1931年,蔡元培题词:济人寿世 1898:一个英国女人眼中的中国3The Needs of Patients and Customers Come First医院影响位列“第一方阵”n 全国三级公立医院绩效考核(公立医院国考)全国综合性医院第 7、A+、连续两年进入全国前十221619 1920n 中国医院排
2、行榜(复旦版)31384142 全国进步最快的医院之一52 综合排名全国第16(2019年度)2010 2011 2012 2013 2014 2015 2016 2017 2018 2019n 中国医院科技影响力排行榜(医科院版)(STEM)进入全国前10的学科最多(8个)、烧伤外科学全国第一n 浙江省第四周期医院等级复评 最高标准通过n 公认的医院精细化管理典范4The Needs of Patients and Customers Come First医疗效率全国领先、浙江省第一2020年:门急诊人次517万人次 手术总量15.3万台次 出院人次19.3万人次 平均住院日5.5天(全省综
3、合性医院最低)l 手术量全国第三,省内第一l 疾病难度系数(CMI)省内第一l 三四类疑难手术总量省内第一2020年12月2日浙江省卫健委公布学科可持续发展的良性生态国家自然科学基金连续11年引领浙江2020年名列全国医院第4名次单位名称数量182161139123四川大学华西医院华中科大协和医院华中科大同济医院136110100825中山大学第一医院12179777267l 95%项目主持者为临床医生6356l 重点/重大/杰青总数全省第一:7个2011 2012 2013 2014 2015 2016 2017 2018 2019 2020国家基金项目数历年情况6The Needs of
4、Patients and Customers Come First医疗机构自然指数全球百强(浙江省唯一)全球排名第69、全国第37The Needs of Patients and Customers Come First两翼主院区+专科群院区江干院区肿瘤解放路院区综合眼科院区眼科校医院院区全科院区心脑血管中心(在建)国家心血管区域医疗中心急诊创伤院区萧山院区(在建)新医学中心滨江院区(规划中)国际诊疗服务中心省重点项目国家创伤区域医疗中心8The Needs of Patients and Customers Come First目录背景:网络安全法、等保2.0 等合规监管趋严法律、法规不断
5、完善,要求越来越严合规p 网络安全法 正式实施p 等保2.0标准正式发布p 关键信息基础设施保护条例即将发布安全检查方式不断升级检查重保p 用户自查p 现场检查p 技术检测p 攻防演习没有网络安全就没有国家安全总书记明确指出:“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”。重保时期网络安全保障压力越来越大p 两会期间网络安全保障p 护网行动期间网络安全保障p 国庆期间网络安全保障p 其他重大活动期间网络安全保障外部监管要求越来越严格,组织应对挑战越来越困难10医院IT的工作范围信息安全风险无处不在,风险与痛点并
6、存软件项目临时任务政策任务评审任务科研教学软件需求权限管理数据接口数据统计缺陷改进系统培训新项目 软件运新任务 维服务“安全第一、质量第二、效率第三”IT资源 终端运运维 维服务数据中心/网络机房服务器、存储、网络设备网络安全设备/软件数据库、虚拟化平台通信设施台式机、PDA、移动推车、IPAD、自助机、显示屏部署操作系统、软件部署内/外网部署和管控补丁、防毒部署和管控、USB存储端口管控1111The Needs of Patients and Customers Come First医院信息安全风险信息安全的定义:l欧共体对信息安全的定义:网络与信息安全可被理解为在既定的密级条件下,网络与
7、信息系统抵御意外事件或恶意行为的能力。这些事件和行为将危及所存储或传输的数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和保密性。l我国安全保护条例的安全定义:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。信息安全的特征:保密、完整、可用、可控;信息安全的目标:无法做到100%的完美,但要将风险尽可能降到最低面临的核心挑战 病毒传播 非法访问 系统故障 数据丢失 运维不当 病毒渗透 黑客攻击 非法访问 数据窃取 信息泄露内部风险外部风险稳定运行数据安全
8、12医院信息安全痛点信息安全是一个涉及资源和管理的复杂系统性问题“三分技术 七分管理”技术与管理交互推动革新 架构设计是否安全、运维监控是否主动、操作行为是否可溯 数据开放是否合理、权限管控是否严密、隐私保护是否全面运维人力短缺经费投入不足安全意识薄弱专业技术岗位人员缺失(能力不够)IT基础架构的容灾能力存在缺陷运维管理流程不规范(人为过失)(被动抢修)安全运维工作顾此失彼(危机四伏)网络安全相关设备/软件/服务采购不足数据采集/共享不规范(安全失控)(信息泄露)13目录如何应对医院信息安全问题?克服困难 适者生存拥有以“不变”应万变之能力0102管理架构工作机制困难:多院区管理不同质化困难:
9、运维人力短缺运维流程不规范稳定运行数据安全核心能力安全体系困难:专业技术人员欠缺困难:经费投入不足安全管理不到位040315管理架构:“1+X”多院区一体化管理01管理治理过程中“顺便”解决信息安全问题隐患目标运维实现多院区信息互联互通和数据整合利用,信息化助力医院整体高质量发展实现IT运维管理的一体化和同质化资源规划实现信息化资源的合理投入和分配(包括人员、预算、装备等)实现各院区信息化顶层设计的统一性和一致性,兼顾特殊性16工作机制:业务数字化02初级阶段:将IT服务和管理工作流程化和数据化目的:解决沟通和审批问题,基于数据评价IT管理(工作量、效率、满意度)维修管理需求管理流程权限管理流
10、程运维管理流程质量管理流程钉钉工作台/人工服务台数据调整数据采集软件需求项目立项项目验收网络准入软件使用门禁使用运维发布运维变更数据库科室审批任务分配通知发文不良事件故障上报台式机移动推车PDAIPAD自助机显示屏USB存储接口集成平台虚拟化服务器负载均衡VPN服务器托管网络布线机房巡检网格化巡检信息安全与信息应用检查工作日报操作系统、软件部署内/外网部署和管控补丁、防毒部署和管控USB存储端口管控IT公司管理软件系统管理数据字典管理1717工作机制:数字化转型02高级阶段:引入并应用信息技术服务标准(ITSS)目的:以理论体系支撑IT学科建设健全运维质量管理,完善指标体系质量管理通过技术支持
11、,使运维、监控提高及时性和规范性;强化管理流程,以客户为中心,提升客户服务感知工具更加地合理、完善和智能技术研发过程优化资源保障能力规划加强人才培养;改进培训模式;优化考核体系人力资源加强过程工具的使用;加强服务台管理,提高服务台使用效率;完善备品备件库管理信息技术服务体系建设过程成效:实践与理论相辅相成,为进一步能力提升发展打好基础ITSS体系组织架构拓扑图2020.32020.42020.62021.1引入体系改进计划体系发布及培训内审及管理评审成立ITSS小组学习ITSS标准运维平台建设体系文件发布制度培训制定能力实施计划不符合项改进12345678差距分析建立体系体系正式运行现场评估体
12、系文档程序制度编写审核现场体系成熟度评估改进完善IT中心现状差距分析运维体系全面开始实施2020.32020.52020.6-122021.419探索实践精益IT管理多院区一体化管理假日现场值班(每院区每周2人日)夜班二唤值班(统一每周7人夜)优势沟通调研、需求分析设计、质量管理数据管理、数据开发、报表开发、软件开发3专业服务模式 工作高效高质提升用户满意度6年以上医院IT专家背景(计划10人+)年以上开发技术背景(计划10人+)现状需求分析 质量管理 数据管理 数据开发 报表开发 软件开发合计1.一线二线分级提供专业服务41212212一线运维人员的素质改善提高运维效率二线专家支持(计划20
13、人+)需求管理技术开发二线专家提供较强的沟通、咨询和设计能力一线服务台(现状)统一调度系统运维2.建立多能实用型人才培养体系分类(计划标配)解放路2000床滨江1200床江干600床眼科200床校医院200床全面融入医院业务,快速提升专业能力院区主管(1人/每院区)网络安全(1人/每院区)系统运维(5人/每1000床)外包维修(5人/每1000床)外包驻场11114521141011130012001010920安全体系:层层筑牢数据安全防线深度参与规划与应用,结合自身实际持续完善风险数据安全管理体系数据安全运维体系统一安全管理中心安全态势感知风险预警平台感知终端准入终端防勒索终端防泄漏补丁防
14、护终端安全组织建设应急响应桌面管理系统杀毒软件/EDR业务动态脱敏业务风险告警API接口监测业务风险回溯业务异常监测代码安全检测应用安全制度建设应急演练分级分类数据隔离多因素认证数据加密追踪溯源访问控制数据脱敏数据审计访问安全数据防泄漏审批流程建设重大保障防火墙WAF日志审计入侵防御入侵检测网络审计VPN网闸堡垒机网络安全网页防篡改数据安全咨询日常运维数据库高可用云容灾存储双活数据备份数据库容灾离线归档基础安全21风险感知:常态化运维监控和应急处置网格管理,责任到人,定期巡检,预警提醒,及时响应风险感知:态势感知洞悉安全风险成立风险应对处置工作小组(网络安全管理员+相关厂商专业技术人员)访问安
15、全:建立数据管理安全体系全链路数据认证、授权和保护:身份-终端-应用-账户-数据准入识别与控制数据库防火墙01 02临床数据库基础数据库运营数据库医疗资源库运维人员第三方人员系统管理员安全客户端发起请求数据返回合规准入数据资产治理数据隐私保护实时监控系统进程合规接入访问控制拒绝访问终端“零信任”安全架构高危操作防范动态脱敏静态脱敏实时加密数据安全监管数据共享授权加数据文件文件安全处置结果返回安全工作流审计追溯开发测试数据密数外发后开发人员 无法解密04 03据对外共享数据24核心能力:掌控自身安全与发展主动权守住核心命脉,认清自身优势,借力外部资源,创新发展路径掌控发展战略掌控优势能力顶层设计
16、需求管理掌控IT基础架构、数据和业务需求项目管理数据开发信息安全与应急响 数据管理与共享利 业务逻辑与流程设理论体系应用计目录总结保障信息安全重在持续增强医院自身和厂商的专业服务能力01加强顶层设计,网络安全、数据安全是智慧医院建设过程中实现患者安全目标的基02结合行业发展趋势,定期开展系统性的安全整改和建设,持续提升安全技术和服务能力水平础0304提高自身网络安全的支撑和保障能力健全安全管理规范,约束内部人员和厂商服务人员的操作行为,降低安全风险0506促进安全技术和服务能力逐步与医疗场景深度融合,增强医疗服务的稳定性提升安全服务厂商的安全服务能力和服务质量展望:探索应用风险智能预警与推荐处置智能识别风险智能威胁分析智能威胁检测智能推荐处置展望:建设新型数字化智慧医院国际顶级智慧医院质量、安全、效率、口碑患者与服务对象至上智慧医疗智慧服务智慧管理智慧科研微服务架构AI场景驱动国际、国内标准融合内联外通数据中台赋能临床、科研、管理数据驱动医疗创新智慧安全智慧权限物联网大数据云计算5G数据感知数据管理数据交互多层级、多院区、集团化医院数据湖过程数据皆为资产谢谢聆听欢迎批评指正!
