在醫院中除了數據中心的服務(wù)器資源，還有醫護人員、行政人員使用的電腦都需要納入安全計算環(huán)境的管轄范圍。大家可以看看自己用的電腦是否設置了密碼，并且密碼的要求是否符合強口令（長(cháng)度大于 8 位，包含大小寫(xiě)字母、數字、符號，并且不包含鍵盤(pán)上連續字符或者英文單詞），并且 3 個(gè)月更換一次密碼。在 AAA 認證體系（ AAA 是認證（ Authentication ）、授權（ Authorization ）和計費（ Accounting ） ）中，第一關(guān)就是認證，在認證的過(guò)程中可能會(huì )出現如無(wú)認證、弱口令、認證可以被繞過(guò)、明文密碼傳輸等等問(wèn)題，

不僅僅是在醫療行業(yè)，基本所有行業(yè)的內網(wǎng)環(huán)境都包含了上述問(wèn)題，在護網(wǎng)行動(dòng)中，打入了內網(wǎng)環(huán)境后，大量使用重復的弱口令，成為被攻陷的重要問(wèn)題之一，有很多護網(wǎng)的案例是拿下了堡壘機的弱口令，而堡壘機上直接記錄了各類(lèi)服務(wù)器的高權限賬號密碼，通過(guò)一點(diǎn)突破全網(wǎng)。我們大家可以看看自己的環(huán)境下， PC 和服務(wù)器端是否存在無(wú)認證、弱口令的情況，除了 RDP 、 SSH 等常見(jiàn)管理服務(wù)，還有 Radmin 、 VNC 、 SMB 、 FTP 、 TELNET 、 Oracle 、 MySQL 、 SqlServer ， 根據我一直以來(lái)的工作經(jīng)驗，很多開(kāi)源軟件的早期版本對于 API 接口就根本沒(méi)有認證機制，所以還有很多的開(kāi)源服務(wù)如 Redis 、 Docker 、 Elastic Search 等，有認證的情況下是否使用了開(kāi)源軟件的默認賬戶(hù)口令，這個(gè)也需要我們及時(shí)修改，黑客可以通過(guò)一點(diǎn)突破，層層收集信息，最終突破核心防線(xiàn)。

AAA 體系中的第二步授權，其實(shí)是可以緩解第一步問(wèn)題的一個(gè)手段，理論上要求我們的 PC 端、服務(wù)器端不同的軟件需要通過(guò)不同的用戶(hù)安裝、使用，并且不同的用戶(hù)只能給予最小安裝、使用軟件的權限，而我們可以檢查下自己的環(huán)境，應該是有很多直接使用 administrator 、 root 等用戶(hù)，并且這些賬號存在著(zhù)復用的情況，在使用過(guò)程中很難分清楚現實(shí)生活中的哪個(gè)自然人使用了這個(gè)賬戶(hù)進(jìn)行了相關(guān)操作，如果出現了問(wèn)題給后續溯源提升了難度，我們這時(shí)就需要通過(guò) IP 、 上層的堡壘機日志等進(jìn)行關(guān)聯(lián)溯源。

限制登錄失敗次數是防止暴力破解的手段之一，暴力破解會(huì )通過(guò)一個(gè)密碼本對需要爆破的服務(wù)密碼進(jìn)行不斷的嘗試，直到試到正確的那個(gè)密碼或者密碼本試完為止，正常人登錄一般都會(huì )記得自己的密碼，當然在定期更換復雜密碼的要求下，正常人也會(huì )記不住密碼，這個(gè)問(wèn)題我們后面再說(shuō)。在限制了登錄失敗次數，比如我們設置了 5 次，那通過(guò)某個(gè) IP 登錄失敗 5 次后這個(gè) IP 就會(huì )被鎖定，當然可以設置別的 IP 還可以登錄這個(gè)服務(wù)。會(huì )話(huà)結束功能就類(lèi)似于 W indows 自動(dòng)鎖屏，作為一個(gè)信息工作者，在我們離開(kāi)電腦時(shí)就應該考慮鎖屏的操作，并且重新登錄要輸入賬號密碼，一個(gè)不會(huì )超時(shí)的會(huì )話(huà)雖然方便了我們自己，同樣也給惡意者帶來(lái)了方便，想想經(jīng)過(guò)你辦公桌的每個(gè)人都可以在登錄著(zhù)的 HIS 服務(wù)器或者核心交換機上敲一個(gè) reboot ，最后造成的結果可想而知，雖然這個(gè)事故不是你直接操作的，但也要負主要責任。

在醫院中常見(jiàn)的遠程管理手段有 RDP 、 SSH 、 TELNET 、 FTP 、 Oracle 等，其中 TELNET 、 FTP 在流量劫持時(shí)可以直接獲得賬戶(hù)口令信息，可以通過(guò) SSH 、 SFTP 等方法替換，確保在賬號密碼認證和數據流傳輸過(guò)程中都是加密的。其實(shí) Oracle 的流量也非加密，在我咨詢(xún)了我 OCM 的朋友和百度后，發(fā)現其實(shí) Oracle 流量也可以配置加密，但是我們很少會(huì )這樣做，并且很少會(huì )有人關(guān)心這個(gè)問(wèn)題，還消耗客戶(hù)端和服務(wù)端額外的性能。這時(shí)候我們就要想到什么時(shí)候我們的流量會(huì )被截取走，常見(jiàn)的就是內網(wǎng) ARP 欺騙，一臺攻擊主機在客戶(hù)端請求網(wǎng)關(guān) MAC 地址的時(shí)候，將自己的 MAC 地址告訴客戶(hù)端，說(shuō)自己這個(gè) MAC 地址就是網(wǎng)關(guān)的 MAC ， 這樣二層的流量會(huì )先通過(guò)這臺攻擊主機轉發(fā)給真實(shí)的網(wǎng)關(guān)，所有明文的流量過(guò)了這臺攻擊主機后就可以被它輕松的獲取敏感信息，我的防護方法是通過(guò)桌管軟件，將每個(gè)網(wǎng)段主機的網(wǎng)關(guān) ARP 解析靜態(tài)的寫(xiě)到客戶(hù)端上，確保 ARP 解析時(shí)默認都先通過(guò)本地記錄解析，從而不會(huì )被外部動(dòng)態(tài)解析影響。另一種情況會(huì )被獲取的是網(wǎng)內的流量設備，很多安全設備、 APM 監控設備、深度流量分析設備都需要抓取核心網(wǎng)絡(luò )的流量，當這些流量被鏡像給設備后它們會(huì )將它記錄下來(lái)，而正式或者測試設備出現問(wèn)題返廠(chǎng)時(shí)，我們就要叮囑工程師要清空本地數據，以免數據泄露，在我的工作中就聽(tīng)到過(guò)通過(guò)安全設備泄露大量公民信息的案例。

前面我們說(shuō)到要定期修改復雜密碼，但是經(jīng)常修改會(huì )導致管理員記憶困難，這個(gè)時(shí)候我覺(jué)得雙因子認證也是幫助大家不用記復雜密碼的好方法。雙因素認證分為所知和所有兩種，雙因素的證據又分為秘密信息、個(gè)人物品、生理特征三種類(lèi)型，像口令、密碼就是信息，物理 key 就是個(gè)人物品，指紋、虹膜、面部就是生理特征，我們只要結合兩種類(lèi)型的證據，那就符合要求，可以通過(guò)物理 KEY+ 動(dòng)態(tài)密碼的方式實(shí)現認證，此時(shí)就不用記住原始的靜態(tài)密碼，大家可以想象一下現在在登錄微信、支付寶、 QQ 等互聯(lián)網(wǎng)軟件的時(shí)候基本很少使用密碼，而智能手機也將密碼和人臉識別關(guān)聯(lián)，方便大家認證操作，同時(shí)又符合安全要求。在醫院工作的過(guò)程中，我發(fā)現很多業(yè)務(wù)系統的賬號密碼不是同一套體系，系統在認證時(shí)也沒(méi)有做到雙因子的要求，我之前寫(xiě)過(guò)一篇論文，叫《基于 4A 系統的醫院零信任網(wǎng)絡(luò )安全模型》，也是我希望能通過(guò)安全技術(shù)提升醫護行政人員使用系統時(shí)的便利性、規范對醫院所有系統賬戶(hù)體系管理、加強醫院業(yè)務(wù)系統使用時(shí)的權限管理能力。

五級電子病歷評審中提到了系統備份、容災的標準，對醫院信息系統的穩定性、可靠性、可用性有了明確的要求，醫院信息系統的宕機、數據丟失會(huì )造成無(wú)法挽回的影響；2021 年《數據安全法》和《個(gè)人信息保護法》出臺，我國在信息化高速發(fā)展的當下，更加重視了網(wǎng)絡(luò )安全，證明了網(wǎng)絡(luò )安全與信息化是一體之兩翼、驅動(dòng)之雙輪。

2 、數據保密性

信息安全 CIA 三要素，保密性、完整性、可用性，這里提到了數據的保密性，其實(shí)不管在哪個(gè)行業(yè)，數據的保密性都很難做，我們可以看到大量的公民數據在互聯(lián)網(wǎng)安全事件中泄露，我國之前的《網(wǎng)絡(luò )安全法》對數據安全沒(méi)有具體的要求，而 2021 年的《數據安全法》和《個(gè)人信息保護法》才對數據安全有了明確的要求，并且這兩部法律給企業(yè)帶來(lái)了不小改造的壓力。

數據安全的保密性要求貫穿了數據的產(chǎn)生、傳輸、處理、存儲、銷(xiāo)毀等過(guò)程，首先我們要對數據進(jìn)行保密，就要知道哪些數據應該保密，此時(shí)要做的就是數據的分類(lèi)分級，在分級分類(lèi)過(guò)程中涉及到對敏感數據的發(fā)現，敏感數據除了結構化的還有非結構化的，除了關(guān)系型的還有非關(guān)系型的，基本很難做到全覆蓋，比如在護網(wǎng)期間就發(fā)現有很多日志、配置文件中帶著(zhù)敏感的賬號密碼等信息，而這些信息的配置可能是套裝化軟件不能修改的。在發(fā)現了敏感數據后我們就要對敏感數據進(jìn)行加密、脫敏、去標識化操作，在五級電子病歷的要求中也有一條數據加密的要求，數據加密其實(shí)有兩種做法，一種是在存儲層（通過(guò)存儲設備進(jìn)行加密），另一種在系統層（通過(guò)對操作系統的配置文件，或者對數據庫的數據進(jìn)行加密），第一種方法的難度較小，而第二種方法的難度較大，需要考慮數據被加密的方法和被使用過(guò)程中的解密，對于數據量小可以考慮非對稱(chēng)加密，而數據量大的只能使用對稱(chēng)加密，這也就是 SSL 的機制，通過(guò)非對稱(chēng)加密秘鑰，然后通過(guò)秘鑰對稱(chēng)加密數據流，在確保業(yè)務(wù)正常的情況下，實(shí)現安全的需求。針對脫敏、去標識化操作可以通過(guò)好幾處實(shí)現，可以通過(guò)后端實(shí)現，也可以通過(guò)前端實(shí)現，通過(guò)后端實(shí)現時(shí)當數據從應用層往前端傳輸時(shí)就是去脫敏、去標識化的數據，甚至是在數據庫中就是脫敏、去標識化的，而在前端實(shí)現，我們可以在客戶(hù)端本地開(kāi)啟代理，直接可以獲得明文的數據，從安全性來(lái)考慮肯定是后端實(shí)現更安全。

我們在做數據加密、脫敏、去標識化時(shí)要考慮的重要一點(diǎn)就是業(yè)務(wù)是否支持，有些數據雖然是敏感數據，但是以密文呈現時(shí)是無(wú)法進(jìn)行正常業(yè)務(wù)的辦理和交互的，如果要實(shí)現正常業(yè)務(wù)辦理和交互，可能需要改變流程、規范，并且付出巨大的代價(jià)，在醫院以業(yè)務(wù)為中心的情況下，個(gè)人覺(jué)得短期內很難很難實(shí)現，我個(gè)人在落地一個(gè)數據安全的產(chǎn)品時(shí)就提出了這樣一個(gè)問(wèn)題，該產(chǎn)品邏輯串聯(lián)在數據庫客戶(hù)端和數據庫服務(wù)器之間實(shí)現數據庫字段的加密、脫敏、去標識化操作，而我們的 HIS 業(yè)務(wù)每天都有大量的問(wèn)題要處理，在處理過(guò)程中需要通過(guò)這些敏感的數據進(jìn)行確認、判斷、修改，不可能專(zhuān)門(mén)安排一個(gè)人每天在對字段做解密、加密的操作，還需要配合專(zhuān)門(mén)的流程來(lái)規范這個(gè)操作，在一個(gè)業(yè)務(wù)系統沒(méi)有穩定、技術(shù)人員缺乏的情況下，這樣的功能很難落地，就算落地了也只是很小的范圍，如何滿(mǎn)足二者需要靠廣大讀者來(lái)幫忙想想辦法了。

3 、 數據備份恢復

我問(wèn)了很多醫院，大家可能都建立了容災環(huán)境，但是很少有醫院做容災測試，對于五級電子病歷的要求是每年至少一次的容災演練（還需要結合業(yè)務(wù)場(chǎng)景），每季度至少一次的數據全量恢復測試，一個(gè)沒(méi)有測試過(guò)的容災系統真的很難讓人相信在出問(wèn)題的時(shí)候可以撐得住真實(shí)業(yè)務(wù)，也許容災的切換過(guò)程沒(méi)有問(wèn)題，但是容災的硬件資源、硬件配置、軟件調整等是否能讓用戶(hù)在較短的時(shí)間內進(jìn)行邊便捷的切換操，五級電子病歷對于數據丟失的要求比較松， 2 小時(shí)以?xún)燃纯?，但是醫院對于數據丟失是難以容忍的，對于信息化較長(cháng)時(shí)間都無(wú)法正常使用也是無(wú)法容忍的，我們要盡可能做到 RPO 、 RTO 最小化。

對于備份，我盡量做到 321 原則， 3 份數據、 2 種不同介質(zhì)、 1 份存于異地，結合第一點(diǎn)和第二點(diǎn)，我將數據存放于起碼 2 種不同物理設備上，存儲 3 份，再結合第三點(diǎn)將一份數據存儲于異地，兩份數據存于本地。我們醫院有兩個(gè)院區，兩院區直線(xiàn)公里數其實(shí)小于 40 ㎞ ， 而等保的異地要求是直線(xiàn)大于 100 ㎞ ， 對于沒(méi)有分院的小伙伴們，其實(shí)我建議可以將另一份數據存到異地云上，最起碼在本地真的數據沒(méi)辦法恢復時(shí)還有一根救命稻草，雖然恢復的時(shí)間可能會(huì )長(cháng)一點(diǎn)。我會(huì )將兩院區的數據做相互的異地備份，盡可能提高數據備份的頻率，減少數據的丟失，核心業(yè)務(wù)系統采用實(shí)時(shí)備份或者容災的方式，在使用較高頻率備份的情況下，我們對于備份、容災的硬件就有一定的要求，較差的 HDD 盤(pán)是無(wú)法支撐起大數據量、高并發(fā)的備份任務(wù)，可能出現任務(wù)排隊，那就會(huì )得不償失；在備份上我們就出現過(guò)一個(gè)問(wèn)題，之前工程師在配置 RMAN 備份保留的腳本操作是先刪除原來(lái)的備份，在進(jìn)行下一次備份，如果前一次備份刪除了，后一次備份沒(méi)有成功，那就沒(méi)有了全量數據，這樣的備份是沒(méi)有意義的，大家可以檢查下自己的環(huán)境是否存在這樣的問(wèn)題。

在備份的類(lèi)型上，分為物理備份和邏輯備份， 21 年我就聽(tīng)到了別的醫院出現了 Oracle 的邏輯壞塊，出現壞塊后數據庫無(wú)法正常啟動(dòng)，而容災系統通過(guò) Oracle Data Guard 實(shí)現， DG 屬于物理塊同步，面對邏輯錯誤不會(huì )校驗，而直接將這個(gè)邏輯錯誤同步給了容災庫，導致容災庫也無(wú)法正常拉起，并且當時(shí)也沒(méi)有配置長(cháng)時(shí)間的閃回空間，導致最后花了很大的代價(jià)才恢復了一部分丟失的數據，并且業(yè)務(wù)中斷了很久，可以通過(guò) OGG 解決這個(gè)問(wèn)題，并且 OGG 可以支持跨數據庫、操作系統類(lèi)型之間的數據復制，但是配置難度比 DG 大了很多；另外的辦法是通過(guò) CDP 實(shí)現 IO 級別的備份，當出現邏輯錯誤數據庫無(wú)法正常使用的時(shí)候，通過(guò) CDP 的 IO 回退到正常的時(shí)間點(diǎn)，當然中間丟失的數據需要人工去彌補，這樣通過(guò)數據庫外部的方式解決數據備份的問(wèn)題。

4、個(gè)人信息保護

這兩點(diǎn)在《個(gè)人信息保護法》中也有明確提到，該法律中多次提到了收集個(gè)人信息要有“詢(xún)問(wèn) - 確認”的過(guò)程，并且在用戶(hù)不同意提供個(gè)人信息的情況下，不能拒絕對用戶(hù)提供服務(wù)，只收集必需的個(gè)人信息，要告知用戶(hù)收集每種類(lèi)型個(gè)人信息的目的，告知用戶(hù)如何處理、傳遞、使用個(gè)人信息。在疫情當下，全國的醫院都緊鑼密鼓的推廣互聯(lián)網(wǎng)醫院，意味著(zhù)有一個(gè)面向患者的醫院互聯(lián)網(wǎng)系統，患者可以直接面向這個(gè)互聯(lián)網(wǎng)系統，那對系統的提交信息、問(wèn)詢(xún)交互有了更直接的了解，我們在做互聯(lián)網(wǎng)系統的時(shí)候要結合《網(wǎng)絡(luò )安全法》、《數據安全法》和《個(gè)人信息保護法》三駕馬車(chē)來(lái)嚴格要求開(kāi)發(fā)時(shí)的安全需求，自從三部法律上臺后有多少互聯(lián)網(wǎng) APP 因不符合要求被責令整改、罰款、下架等，我們也該引以為戒。