质量与信息化|公立医院“一院多区”网络安全管理实践与探索

公立医院“一院多区”网络安全管理实践与探索

　　“一院多区”在促进医疗卫生资源优化配置，全面增强医疗服务能力，抗击新冠肺炎疫情等方面发挥了重要作用。2021年12月，中央网络安全和信息化委员会印发的《“十四五”国家信息化规划》提出，统筹发展和安全，坚持安全和发展并重，以安全保发展、以发展促安全，推动网络安全与信息化发展协调一致、齐头并进。本研究以青岛市某公立医院为例，围绕“一院多区”网络安全管理模式进行探讨。

“一院多区”网络安全管理难点分析

　　与多数多院区公立医院一样，该院总院区虽已建立较完备的网络安全防护体系，但因规模扩大，各分院区的网络安全管理面临诸多问题：（1）管理职责不明确，容易推诿；（2）管理层次叠加，管理难度增加；（3）安全事件发现率低，溯源取证困难；（4）网络安全人才需求增加，人力资源难以实现同质化管理；（5）网络安全设备难以同质化；（6）工作流程不清晰，制度难以落实；（7）部分员工安全意识薄弱，对网络安全重视程度不够；（8）信息沟通不畅，整体协调不畅。自新冠感染暴发以来，因黑客入侵、病毒传播、信息泄露等事件多发生于各分院区，使得该院各分院区成为网络安全管理的薄弱环节。

“一院多区”网络安全管理实践

1、统一组织架构，明确职责分工

　　该院将网络安全组织架构划分为决策层、管理层、执行层、操作层四个层级。为提高管理效率，该院采用“垂直管理为主、横向管理为辅”的管理模式，在不同层级间采用自上而下的垂直管理模式，在层次内部采用从左到右的横向管理模式。“一院多区”网络安全组织架构如图所示。



2、统一防护架构，整合优化资源

　　该院采取内外网隔离策略，划分为内网核心区、外网核心区、互联网出口区、重要业务区、专线区、业务终端区、安全管理区等多个区域，对区域边界进行安全组件部署，通过部署防火墙等安全组件提高业务访问控制基本能力。各分院区之间通过多条不同运营商的线路相互连通，采用环状网络拓扑架构，既满足了网络带宽要求，又保障了网络物理线路安全。该院数字中心机房采用总院区本地双活数据中心、分院区异地灾备数据中心进行数据容灾，保证核心业务的连续性。“一院多区”网络安全防护架构如图所示。



3、统一制度与流程，规范过程管理

　　在“一院多区”网络安全组织架构的设计中，除划分决策权限外，需在横向协调的同时通过制度、流程明确组织之间的横向联系。该院坚持“以患者为中心”，走精细化管理之路，充分调动工作人员积极性，在决策机制、人员管理、岗位职责、工作流程等方面，修订完善相关制度和流程，实现网络安全管理的制度化、规范化、专业化和精细化。应用信息技术基础设施库，实现上下级文件共享，实现知识、变更、工单派发等闭环管理，实现安全事件处理结果的汇总上报，还可实现检查结果和处理建议的下发等。

4、统一人员管理，加强沟通协调

　　该院定期开展线上线下安全知识培训讲座，以提高全院人员网络安全意识。通过技能培训、论文编写、职称考试、技能大赛和岗位互备及轮岗等方式，优化人才培养，提升从业人员网络安全管理能力，组建网络安全人才队伍。在实践运行中，网络安全管理需要人与人之间的沟通，也就难免产生矛盾、冲突或争执。对此，该院通过定期视频或现场会议、学术沙龙、文体活动、员工轮岗等措施，丰富各院区间人员交流，统一了网络安全管理认知，促进员工彼此了解，促使各项管理流程和制度顺利实施

5、统一运维管理，降低安全风险

　　该院网络安全管理中心根据人员岗位职责和制度流程，对各岗位实行统一管理、统一监控、统一审计、综合分析和协同防护。在专职网络安全管理员的协调下，各院区安全管理员负责本院区安全相关工作，各科室兼职网络安全员负责本科室网络安全相关工作。同时，采用院企合作，通过引进专业的安全运维人员驻院服务，逐步构建动态、完整、高效的网络安全保障体系。通过等级保护测评、渗透测试、漏洞扫描、攻防演练、现场检查等方式，识别并确定潜在安全风险，对发现的安全漏洞和隐患及时进行整改与防护。

“一院多区”网络安全管理成效

　　实施“一院多区”网络安全管理后，该院每年病毒暴发次数和安全通报次数明显降低，见表1。人才培养方面，自2019年起，由各分院区人员组成的网络安全队伍，在历年国家及省市网络安全技能大赛中均表现优异；等级保护测评方面，2019年医院采用等保1.0标准对系统进行测评，得分为85.21分，2022年该院实施网络安全管理措施后采用等保2.0标准对系统进行测评，得分为92.55分。2022年全院系统网络运行总体平稳，各项监测指标正常，未发生大规模病毒暴发、大规模网络瘫痪等重大事件。

讨论

　　“一院多区”网络安全管理模式有效满足了网络安全等级保护新标准及相关政策法律法规要求，弥补了多院区医院网络安全管理薄弱点，保障了应用系统的保密性、完整性和可用性。同时，“一院多区”网络安全管理首先应做好顶层设计，并组建具备攻防对抗能力的专职安全团队，该院网络安全管理中心按照职权分配原则，依托网络安全技术支撑系统，有效使用各项安全工具，在标准化流程管理基础上，利用数据驱动理念实现了不同院区间网络安全的同质化管理。对“一院多区”网络安全管理采集和产生的各类数据进行集成、共享、挖掘，建立以数据为基础的网络安全管理体系，通过数据建立组织内部之间的联系，形成数据模型，驱动安全决策，最终实现了网络安全智慧化管理。

　　需要注意的是，网络安全不是绝对化的，医院网络安全工作也不是静态化的，而是一项动态的持续的工作。首先，“一院多区”网络安全管理需做好顶层设计，组建具备攻防对抗能力的专职安全团队。其次，医院网络安全管理不是安全产品的堆砌，而是管理与技术的融合，需要结合安全技术措施使安全管理制度有效落地。


作者：青岛大学附属医院 赵丽丽等
文章刊期：《中国卫生质量管理》2023年第6期
图文编辑：邵若彬
审核发布：姚涛