C114訊 12月9日消息（章葭）12月7日，以“禾云神話 智護未來”為主題的“中國移動可信賦能網(wǎng)絡(luò)研討暨網(wǎng)絡(luò)安全峰會”在昆明舉辦。峰會由中國移動研究院和中國移動云南公司共同主辦，邀請到產(chǎn)、學(xué)、研、用等各界嘉賓，共同探討數(shù)字經(jīng)濟時代新基建背景下的網(wǎng)絡(luò)安全挑戰(zhàn)與機遇，推動“5G＋安全”體系建設(shè)，共建網(wǎng)絡(luò)安全生態(tài)。

會上，廣州中山大學(xué)附屬第一醫(yī)院信息數(shù)據(jù)中心主任張武軍就新形勢下醫(yī)院網(wǎng)絡(luò)安全的風(fēng)險與應(yīng)對進行了分享。他認為，智慧醫(yī)院、互聯(lián)網(wǎng)醫(yī)院的建設(shè)對網(wǎng)絡(luò)安全提出了更高的要求，但現(xiàn)今的醫(yī)院網(wǎng)絡(luò)安全建設(shè)目標定得太低，網(wǎng)絡(luò)安全運作模式、能力建設(shè)面臨嚴重挑戰(zhàn)。對此，張武軍提出了醫(yī)院網(wǎng)絡(luò)安全工作的指導(dǎo)思想和治理思路，即通過網(wǎng)絡(luò)安全保障體系架構(gòu)設(shè)計，網(wǎng)絡(luò)安全組織體系建設(shè)，建立全員網(wǎng)絡(luò)安全責(zé)任制來循序漸進地推進網(wǎng)絡(luò)安全治理。

背景與現(xiàn)狀：智慧醫(yī)院對網(wǎng)絡(luò)安全提出更高要求

近年來醫(yī)療行業(yè)按照法規(guī)要求，加強了網(wǎng)絡(luò)安全保障能力的建設(shè)，但是，出于利益驅(qū)使或防護不當(dāng)?shù)葐栴}，網(wǎng)絡(luò)攻擊事件仍接連發(fā)生，給醫(yī)療行業(yè)帶來巨大損失，醫(yī)院的網(wǎng)絡(luò)安全仍然面臨較高風(fēng)險。如今，網(wǎng)絡(luò)安全升格為國家戰(zhàn)略，監(jiān)管手段和方法都在發(fā)生變化。網(wǎng)絡(luò)安全法徹底改變了醫(yī)院網(wǎng)絡(luò)安全工作的性質(zhì)。隨著網(wǎng)絡(luò)安全法律、法規(guī)、標準持續(xù)出臺，國家網(wǎng)絡(luò)安全治理體系也在不斷完善，“個人信息保護法”、“數(shù)據(jù)安全法”等，將對醫(yī)院帶來嚴峻的數(shù)據(jù)安全合規(guī)壓力。

因此，智慧醫(yī)院、互聯(lián)網(wǎng)醫(yī)院的建設(shè)對網(wǎng)絡(luò)安全提出了更高的要求。智慧醫(yī)院的建設(shè)，將匯集“大數(shù)據(jù)、云計算、互聯(lián)網(wǎng)＋、人工智能、物聯(lián)網(wǎng)”等技術(shù)，實現(xiàn)醫(yī)院管理、科室建設(shè)、醫(yī)院信息化臨床科研、分級診療、遠程醫(yī)療、醫(yī)聯(lián)體構(gòu)建、智慧后勤、智慧運維、智慧通信、健康管理、移動互聯(lián)的應(yīng)用創(chuàng)新。構(gòu)建醫(yī)療健康大數(shù)據(jù)和基于醫(yī)療健康大數(shù)據(jù)的運營，是新時期醫(yī)院的重大轉(zhuǎn)型機遇。

張武軍表示，智慧醫(yī)院網(wǎng)絡(luò)安全與信息化的關(guān)系就是“1”和“0”。沒有前面的“1”，“0”數(shù)量再多也還是“0”。臨床、科研、遠程醫(yī)療、分級診療、醫(yī)聯(lián)體、后勤管理、健康管理等都要基于信息安全的前提上。

新技術(shù)的應(yīng)用以及來自內(nèi)部的威脅，給醫(yī)院帶來了更多的網(wǎng)絡(luò)安全風(fēng)險。近幾年，醫(yī)院也在大力發(fā)展“云、大、物、移、智、區(qū)塊鏈”等新技術(shù)、新應(yīng)用的發(fā)展。5G＋物聯(lián)網(wǎng)醫(yī)療設(shè)備在醫(yī)院具有非常多的應(yīng)用場景，目前甚至在有些場景下已經(jīng)開始應(yīng)用。這些新技術(shù)、新應(yīng)用模式在設(shè)計之初并未完備考慮網(wǎng)絡(luò)安全風(fēng)險。然而，傳統(tǒng)網(wǎng)絡(luò)安全防護能力又不能完全適應(yīng)對這類場景的防護需求。

此外，據(jù)FBI和CIS等機構(gòu)聯(lián)合做的一項安全調(diào)查報告可知，超過85％的網(wǎng)絡(luò)安全威脅來自內(nèi)部，由于內(nèi)部人員違規(guī)行為所導(dǎo)致的損失是黑客所造成損失的16倍、病毒所造成損失的12倍，要確保內(nèi)部全員的行為合規(guī)任重道遠。

困難與挑戰(zhàn)：技術(shù)體系、運作模式、能力建設(shè)等問題重重

經(jīng)過近些年的網(wǎng)絡(luò)安全建設(shè)，醫(yī)院的網(wǎng)絡(luò)安全保障能力普遍有較好的改觀，但是，現(xiàn)今的網(wǎng)絡(luò)安全建設(shè)目標仍定得太低，還是以合規(guī)為主，醫(yī)院內(nèi)部的網(wǎng)絡(luò)安全運作模式?jīng)]有顯著變化。

網(wǎng)絡(luò)安全技術(shù)體系經(jīng)過多年建設(shè)在物理、網(wǎng)絡(luò)、邊界、設(shè)備、應(yīng)用、數(shù)據(jù)等安全方面部署了相應(yīng)的技術(shù)手段，發(fā)揮了重要作用。但由于分批、分期建設(shè)，技術(shù)體系形成“孤島式”技術(shù)防護現(xiàn)狀，缺乏系統(tǒng)性、協(xié)同性，對安全風(fēng)險反應(yīng)不及時，難以應(yīng)對當(dāng)前內(nèi)外部安全威脅。同時，安全建設(shè)需要統(tǒng)一規(guī)劃、統(tǒng)籌建設(shè)、集中運營，但各安全管理體系又存在各自的局限性，且相互之間標準不統(tǒng)一，缺乏協(xié)同機制，難以滿足醫(yī)院網(wǎng)絡(luò)安全管理模式轉(zhuǎn)變的需要。此外，技術(shù)體系和管理體系又依賴于員工承擔(dān)保護其管理的信息和信息資產(chǎn)的責(zé)任，但是很多普通員工和管理者卻并不了解相關(guān)的信息安全行為規(guī)范和權(quán)責(zé)。

當(dāng)前，網(wǎng)絡(luò)安全運作模式也面臨嚴重挑戰(zhàn)。張武軍稱，當(dāng)前運作模式的主要特征為“玩不轉(zhuǎn)、玩不動、玩不好、玩不溜”。“玩不轉(zhuǎn)”是因為IT設(shè)施維護、安全運營保障、終端維護、遠程診療保障等工作事多人少；“玩不動”是由于安全績效權(quán)力、問題處置權(quán)力、入網(wǎng)許可權(quán)力等權(quán)力小責(zé)任重；“玩不好”是問題多預(yù)算少：存在服務(wù)商能力不強、服務(wù)內(nèi)容不齊、安全工具不齊全、安全工具不強的問題；“玩不溜”則是跨部門、跨崗位帶來的管理系統(tǒng)三同步、系統(tǒng)漏洞、數(shù)據(jù)防泄露、終端管理的問題。

網(wǎng)絡(luò)安全能力建設(shè)陷入瓶頸后，工作缺乏參照。當(dāng)前醫(yī)院安全能力建設(shè)缺乏領(lǐng)導(dǎo)的絕對支持、其它部門配合程度差、且安全責(zé)任矩陣不清晰、安全工作機制不科學(xué)、安全工作流程不規(guī)范、安全工作也缺乏標準。網(wǎng)絡(luò)安全績效、業(yè)務(wù)系統(tǒng)三同步、數(shù)據(jù)安全治理、終端安全治理、安全能力協(xié)同、安全能力聯(lián)動等安全能力都有欠缺。

在能力建設(shè)的頂層設(shè)計方面，安全工作缺乏統(tǒng)籌。目標不明確、架構(gòu)不清晰、工作不成體系、能力彼此割裂；在安全責(zé)任方面，矩陣不明，安全團隊唱獨角戲。全員安全意識弱、安全責(zé)任無法分解、安全績效無法落地、安全內(nèi)控難以推行；在機制流程方面，流程不暢導(dǎo)致安全工作推動困難。跨崗位工作推動難、跨部門工作推動難、問題處置周期長、跨崗位工作推動難；在日常工作方面，不注重基礎(chǔ)工作，落地不佳。IT資產(chǎn)梳理不清，安全運維工作黑盒化、安全設(shè)備長期不調(diào)優(yōu)、漏洞和基線問題突出。

思考與實踐：治理過程要體系有效、行為合規(guī)、動態(tài)可控、監(jiān)管有力

在明確網(wǎng)絡(luò)安全工作定位的基礎(chǔ)上，張武軍提出了醫(yī)院網(wǎng)絡(luò)安全工作的指導(dǎo)思想和治理思路。

其中，指導(dǎo)思想是需要滿足法規(guī)要求，應(yīng)對監(jiān)管壓力，同時從經(jīng)營風(fēng)險管控目標出發(fā)，管控全局網(wǎng)絡(luò)安全風(fēng)險。治理思路上，首先要對相互獨立的安全管理體系進行梳理、融合、完善，讓安全管理體系成為員工的行為準則和約束；建設(shè)網(wǎng)絡(luò)安全工作最高門戶，從側(cè)重IT設(shè)備本身安全管控轉(zhuǎn)變?yōu)閷?shù)據(jù)和人員行為的安全管控；從醫(yī)院的經(jīng)營風(fēng)險管控目標出發(fā)，推導(dǎo)出安全的控制點，將安全管理與日常運營相結(jié)合，清晰全員的安全責(zé)任；在黨委領(lǐng)導(dǎo)下，以績效為抓手，通過技術(shù)手段解決面向全員的安全監(jiān)管難題，形成網(wǎng)絡(luò)安全高壓態(tài)勢。

治理過程中，要“體系有效”，從管理＋技術(shù)＋責(zé)任＋抓手統(tǒng)籌著手，確保治理工作落地；“行為合規(guī)”：據(jù)不同角色的行為和場景進行分類，識別出安全治理的要求和動態(tài)控制點；“動態(tài)可控”：管理制度策略化，安全告警按責(zé)任告知、閉環(huán)處置；“監(jiān)管有力”：以績效為抓手，以數(shù)據(jù)為支撐，撬動組織范圍內(nèi)的網(wǎng)絡(luò)安全工作。

在設(shè)計網(wǎng)絡(luò)安全保障體系架構(gòu)上，以“體系有效、行為合規(guī)、動態(tài)可控、監(jiān)管有力”的指導(dǎo)，適應(yīng)數(shù)字化轉(zhuǎn)型與智慧醫(yī)院建設(shè)網(wǎng)絡(luò)安全新需求，構(gòu)建“體系化、實戰(zhàn)化、常態(tài)化”的“新一代網(wǎng)絡(luò)安全保障體系”。

在網(wǎng)絡(luò)安全組織體系建設(shè)上，可參照其它行業(yè)，優(yōu)化醫(yī)院“形式化”的網(wǎng)絡(luò)安全組織體系，重新定義各部門、全員的安全責(zé)任，打通業(yè)務(wù)部門和IT部門的壁壘，讓網(wǎng)絡(luò)安全組織體系能真正有效運轉(zhuǎn)。

此外，要建立全員網(wǎng)絡(luò)安全責(zé)任制。“網(wǎng)絡(luò)安全人人有責(zé)”。再先進的防御體系也“招架”不住“私搭WIFI”、“違規(guī)適用U盤”、“亂點郵件”、“弱口令”等高危行為。對IT人員、普通用戶、供應(yīng)鏈人員等建立責(zé)任制，是讓全員實現(xiàn)“行為合規(guī)”的前提。

張武軍表示，網(wǎng)絡(luò)安全治理不是眉毛胡子一把抓，而是將有限的資源用在刀刃上，有側(cè)重點的有序推進。網(wǎng)絡(luò)安全治理也不是與所有人為敵，而是“服務(wù)與管理并重”，先把服務(wù)做好，再談管理他人。在安全治理推進過程中，策略的選擇也應(yīng)該“循序漸進”，“溫水煮青蛙”，否則很可能陷入“出身未捷身先死”的尷尬。

責(zé)任編輯：xj