在醫(yī)院中除了數(shù)據(jù)中心的服務(wù)器資源，還有醫(yī)護(hù)人員、行政人員使用的電腦都需要納入安全計(jì)算環(huán)境的管轄范圍。大家可以看看自己用的電腦是否設(shè)置了密碼，并且密碼的要求是否符合強(qiáng)口令（長(zhǎng)度大于 8 位，包含大小寫(xiě)字母、數(shù)字、符號(hào)，并且不包含鍵盤(pán)上連續(xù)字符或者英文單詞），并且 3 個(gè)月更換一次密碼。在 AAA 認(rèn)證體系（ AAA 是認(rèn)證（ Authentication ）、授權(quán)（ Authorization ）和計(jì)費(fèi)（ Accounting ） ）中，第一關(guān)就是認(rèn)證，在認(rèn)證的過(guò)程中可能會(huì)出現(xiàn)如無(wú)認(rèn)證、弱口令、認(rèn)證可以被繞過(guò)、明文密碼傳輸?shù)鹊葐?wèn)題，

不僅僅是在醫(yī)療行業(yè)，基本所有行業(yè)的內(nèi)網(wǎng)環(huán)境都包含了上述問(wèn)題，在護(hù)網(wǎng)行動(dòng)中，打入了內(nèi)網(wǎng)環(huán)境后，大量使用重復(fù)的弱口令，成為被攻陷的重要問(wèn)題之一，有很多護(hù)網(wǎng)的案例是拿下了堡壘機(jī)的弱口令，而堡壘機(jī)上直接記錄了各類(lèi)服務(wù)器的高權(quán)限賬號(hào)密碼，通過(guò)一點(diǎn)突破全網(wǎng)。我們大家可以看看自己的環(huán)境下， PC 和服務(wù)器端是否存在無(wú)認(rèn)證、弱口令的情況，除了 RDP 、 SSH 等常見(jiàn)管理服務(wù)，還有 Radmin 、 VNC 、 SMB 、 FTP 、 TELNET 、 Oracle 、 MySQL 、 SqlServer ， 根據(jù)我一直以來(lái)的工作經(jīng)驗(yàn)，很多開(kāi)源軟件的早期版本對(duì)于 API 接口就根本沒(méi)有認(rèn)證機(jī)制，所以還有很多的開(kāi)源服務(wù)如 Redis 、 Docker 、 Elastic Search 等，有認(rèn)證的情況下是否使用了開(kāi)源軟件的默認(rèn)賬戶口令，這個(gè)也需要我們及時(shí)修改，黑客可以通過(guò)一點(diǎn)突破，層層收集信息，最終突破核心防線。

AAA 體系中的第二步授權(quán)，其實(shí)是可以緩解第一步問(wèn)題的一個(gè)手段，理論上要求我們的 PC 端、服務(wù)器端不同的軟件需要通過(guò)不同的用戶安裝、使用，并且不同的用戶只能給予最小安裝、使用軟件的權(quán)限，而我們可以檢查下自己的環(huán)境，應(yīng)該是有很多直接使用 administrator 、 root 等用戶，并且這些賬號(hào)存在著復(fù)用的情況，在使用過(guò)程中很難分清楚現(xiàn)實(shí)生活中的哪個(gè)自然人使用了這個(gè)賬戶進(jìn)行了相關(guān)操作，如果出現(xiàn)了問(wèn)題給后續(xù)溯源提升了難度，我們這時(shí)就需要通過(guò) IP 、 上層的堡壘機(jī)日志等進(jìn)行關(guān)聯(lián)溯源。

限制登錄失敗次數(shù)是防止暴力破解的手段之一，暴力破解會(huì)通過(guò)一個(gè)密碼本對(duì)需要爆破的服務(wù)密碼進(jìn)行不斷的嘗試，直到試到正確的那個(gè)密碼或者密碼本試完為止，正常人登錄一般都會(huì)記得自己的密碼，當(dāng)然在定期更換復(fù)雜密碼的要求下，正常人也會(huì)記不住密碼，這個(gè)問(wèn)題我們后面再說(shuō)。在限制了登錄失敗次數(shù)，比如我們?cè)O(shè)置了 5 次，那通過(guò)某個(gè) IP 登錄失敗 5 次后這個(gè) IP 就會(huì)被鎖定，當(dāng)然可以設(shè)置別的 IP 還可以登錄這個(gè)服務(wù)。會(huì)話結(jié)束功能就類(lèi)似于 W indows 自動(dòng)鎖屏，作為一個(gè)信息工作者，在我們離開(kāi)電腦時(shí)就應(yīng)該考慮鎖屏的操作，并且重新登錄要輸入賬號(hào)密碼，一個(gè)不會(huì)超時(shí)的會(huì)話雖然方便了我們自己，同樣也給惡意者帶來(lái)了方便，想想經(jīng)過(guò)你辦公桌的每個(gè)人都可以在登錄著的 HIS 服務(wù)器或者核心交換機(jī)上敲一個(gè) reboot ，最后造成的結(jié)果可想而知，雖然這個(gè)事故不是你直接操作的，但也要負(fù)主要責(zé)任。

在醫(yī)院中常見(jiàn)的遠(yuǎn)程管理手段有 RDP 、 SSH 、 TELNET 、 FTP 、 Oracle 等，其中 TELNET 、 FTP 在流量劫持時(shí)可以直接獲得賬戶口令信息，可以通過(guò) SSH 、 SFTP 等方法替換，確保在賬號(hào)密碼認(rèn)證和數(shù)據(jù)流傳輸過(guò)程中都是加密的。其實(shí) Oracle 的流量也非加密，在我咨詢了我 OCM 的朋友和百度后，發(fā)現(xiàn)其實(shí) Oracle 流量也可以配置加密，但是我們很少會(huì)這樣做，并且很少會(huì)有人關(guān)心這個(gè)問(wèn)題，還消耗客戶端和服務(wù)端額外的性能。這時(shí)候我們就要想到什么時(shí)候我們的流量會(huì)被截取走，常見(jiàn)的就是內(nèi)網(wǎng) ARP 欺騙，一臺(tái)攻擊主機(jī)在客戶端請(qǐng)求網(wǎng)關(guān) MAC 地址的時(shí)候，將自己的 MAC 地址告訴客戶端，說(shuō)自己這個(gè) MAC 地址就是網(wǎng)關(guān)的 MAC ， 這樣二層的流量會(huì)先通過(guò)這臺(tái)攻擊主機(jī)轉(zhuǎn)發(fā)給真實(shí)的網(wǎng)關(guān)，所有明文的流量過(guò)了這臺(tái)攻擊主機(jī)后就可以被它輕松的獲取敏感信息，我的防護(hù)方法是通過(guò)桌管軟件，將每個(gè)網(wǎng)段主機(jī)的網(wǎng)關(guān) ARP 解析靜態(tài)的寫(xiě)到客戶端上，確保 ARP 解析時(shí)默認(rèn)都先通過(guò)本地記錄解析，從而不會(huì)被外部動(dòng)態(tài)解析影響。另一種情況會(huì)被獲取的是網(wǎng)內(nèi)的流量設(shè)備，很多安全設(shè)備、 APM 監(jiān)控設(shè)備、深度流量分析設(shè)備都需要抓取核心網(wǎng)絡(luò)的流量，當(dāng)這些流量被鏡像給設(shè)備后它們會(huì)將它記錄下來(lái)，而正式或者測(cè)試設(shè)備出現(xiàn)問(wèn)題返廠時(shí)，我們就要叮囑工程師要清空本地?cái)?shù)據(jù)，以免數(shù)據(jù)泄露，在我的工作中就聽(tīng)到過(guò)通過(guò)安全設(shè)備泄露大量公民信息的案例。

前面我們說(shuō)到要定期修改復(fù)雜密碼，但是經(jīng)常修改會(huì)導(dǎo)致管理員記憶困難，這個(gè)時(shí)候我覺(jué)得雙因子認(rèn)證也是幫助大家不用記復(fù)雜密碼的好方法。雙因素認(rèn)證分為所知和所有兩種，雙因素的證據(jù)又分為秘密信息、個(gè)人物品、生理特征三種類(lèi)型，像口令、密碼就是信息，物理 key 就是個(gè)人物品，指紋、虹膜、面部就是生理特征，我們只要結(jié)合兩種類(lèi)型的證據(jù)，那就符合要求，可以通過(guò)物理 KEY+ 動(dòng)態(tài)密碼的方式實(shí)現(xiàn)認(rèn)證，此時(shí)就不用記住原始的靜態(tài)密碼，大家可以想象一下現(xiàn)在在登錄微信、支付寶、 QQ 等互聯(lián)網(wǎng)軟件的時(shí)候基本很少使用密碼，而智能手機(jī)也將密碼和人臉識(shí)別關(guān)聯(lián)，方便大家認(rèn)證操作，同時(shí)又符合安全要求。在醫(yī)院工作的過(guò)程中，我發(fā)現(xiàn)很多業(yè)務(wù)系統(tǒng)的賬號(hào)密碼不是同一套體系，系統(tǒng)在認(rèn)證時(shí)也沒(méi)有做到雙因子的要求，我之前寫(xiě)過(guò)一篇論文，叫《基于 4A 系統(tǒng)的醫(yī)院零信任網(wǎng)絡(luò)安全模型》，也是我希望能通過(guò)安全技術(shù)提升醫(yī)護(hù)行政人員使用系統(tǒng)時(shí)的便利性、規(guī)范對(duì)醫(yī)院所有系統(tǒng)賬戶體系管理、加強(qiáng)醫(yī)院業(yè)務(wù)系統(tǒng)使用時(shí)的權(quán)限管理能力。

五級(jí)電子病歷評(píng)審中提到了系統(tǒng)備份、容災(zāi)的標(biāo)準(zhǔn)，對(duì)醫(yī)院信息系統(tǒng)的穩(wěn)定性、可靠性、可用性有了明確的要求，醫(yī)院信息系統(tǒng)的宕機(jī)、數(shù)據(jù)丟失會(huì)造成無(wú)法挽回的影響；2021 年《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》出臺(tái)，我國(guó)在信息化高速發(fā)展的當(dāng)下，更加重視了網(wǎng)絡(luò)安全，證明了網(wǎng)絡(luò)安全與信息化是一體之兩翼、驅(qū)動(dòng)之雙輪。

2 、數(shù)據(jù)保密性

信息安全 CIA 三要素，保密性、完整性、可用性，這里提到了數(shù)據(jù)的保密性，其實(shí)不管在哪個(gè)行業(yè)，數(shù)據(jù)的保密性都很難做，我們可以看到大量的公民數(shù)據(jù)在互聯(lián)網(wǎng)安全事件中泄露，我國(guó)之前的《網(wǎng)絡(luò)安全法》對(duì)數(shù)據(jù)安全沒(méi)有具體的要求，而 2021 年的《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》才對(duì)數(shù)據(jù)安全有了明確的要求，并且這兩部法律給企業(yè)帶來(lái)了不小改造的壓力。

數(shù)據(jù)安全的保密性要求貫穿了數(shù)據(jù)的產(chǎn)生、傳輸、處理、存儲(chǔ)、銷(xiāo)毀等過(guò)程，首先我們要對(duì)數(shù)據(jù)進(jìn)行保密，就要知道哪些數(shù)據(jù)應(yīng)該保密，此時(shí)要做的就是數(shù)據(jù)的分類(lèi)分級(jí)，在分級(jí)分類(lèi)過(guò)程中涉及到對(duì)敏感數(shù)據(jù)的發(fā)現(xiàn)，敏感數(shù)據(jù)除了結(jié)構(gòu)化的還有非結(jié)構(gòu)化的，除了關(guān)系型的還有非關(guān)系型的，基本很難做到全覆蓋，比如在護(hù)網(wǎng)期間就發(fā)現(xiàn)有很多日志、配置文件中帶著敏感的賬號(hào)密碼等信息，而這些信息的配置可能是套裝化軟件不能修改的。在發(fā)現(xiàn)了敏感數(shù)據(jù)后我們就要對(duì)敏感數(shù)據(jù)進(jìn)行加密、脫敏、去標(biāo)識(shí)化操作，在五級(jí)電子病歷的要求中也有一條數(shù)據(jù)加密的要求，數(shù)據(jù)加密其實(shí)有兩種做法，一種是在存儲(chǔ)層（通過(guò)存儲(chǔ)設(shè)備進(jìn)行加密），另一種在系統(tǒng)層（通過(guò)對(duì)操作系統(tǒng)的配置文件，或者對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行加密），第一種方法的難度較小，而第二種方法的難度較大，需要考慮數(shù)據(jù)被加密的方法和被使用過(guò)程中的解密，對(duì)于數(shù)據(jù)量小可以考慮非對(duì)稱(chēng)加密，而數(shù)據(jù)量大的只能使用對(duì)稱(chēng)加密，這也就是 SSL 的機(jī)制，通過(guò)非對(duì)稱(chēng)加密秘鑰，然后通過(guò)秘鑰對(duì)稱(chēng)加密數(shù)據(jù)流，在確保業(yè)務(wù)正常的情況下，實(shí)現(xiàn)安全的需求。針對(duì)脫敏、去標(biāo)識(shí)化操作可以通過(guò)好幾處實(shí)現(xiàn)，可以通過(guò)后端實(shí)現(xiàn)，也可以通過(guò)前端實(shí)現(xiàn)，通過(guò)后端實(shí)現(xiàn)時(shí)當(dāng)數(shù)據(jù)從應(yīng)用層往前端傳輸時(shí)就是去脫敏、去標(biāo)識(shí)化的數(shù)據(jù)，甚至是在數(shù)據(jù)庫(kù)中就是脫敏、去標(biāo)識(shí)化的，而在前端實(shí)現(xiàn)，我們可以在客戶端本地開(kāi)啟代理，直接可以獲得明文的數(shù)據(jù)，從安全性來(lái)考慮肯定是后端實(shí)現(xiàn)更安全。

我們?cè)谧鰯?shù)據(jù)加密、脫敏、去標(biāo)識(shí)化時(shí)要考慮的重要一點(diǎn)就是業(yè)務(wù)是否支持，有些數(shù)據(jù)雖然是敏感數(shù)據(jù)，但是以密文呈現(xiàn)時(shí)是無(wú)法進(jìn)行正常業(yè)務(wù)的辦理和交互的，如果要實(shí)現(xiàn)正常業(yè)務(wù)辦理和交互，可能需要改變流程、規(guī)范，并且付出巨大的代價(jià)，在醫(yī)院以業(yè)務(wù)為中心的情況下，個(gè)人覺(jué)得短期內(nèi)很難很難實(shí)現(xiàn)，我個(gè)人在落地一個(gè)數(shù)據(jù)安全的產(chǎn)品時(shí)就提出了這樣一個(gè)問(wèn)題，該產(chǎn)品邏輯串聯(lián)在數(shù)據(jù)庫(kù)客戶端和數(shù)據(jù)庫(kù)服務(wù)器之間實(shí)現(xiàn)數(shù)據(jù)庫(kù)字段的加密、脫敏、去標(biāo)識(shí)化操作，而我們的 HIS 業(yè)務(wù)每天都有大量的問(wèn)題要處理，在處理過(guò)程中需要通過(guò)這些敏感的數(shù)據(jù)進(jìn)行確認(rèn)、判斷、修改，不可能專(zhuān)門(mén)安排一個(gè)人每天在對(duì)字段做解密、加密的操作，還需要配合專(zhuān)門(mén)的流程來(lái)規(guī)范這個(gè)操作，在一個(gè)業(yè)務(wù)系統(tǒng)沒(méi)有穩(wěn)定、技術(shù)人員缺乏的情況下，這樣的功能很難落地，就算落地了也只是很小的范圍，如何滿足二者需要靠廣大讀者來(lái)幫忙想想辦法了。

3 、 數(shù)據(jù)備份恢復(fù)

我問(wèn)了很多醫(yī)院，大家可能都建立了容災(zāi)環(huán)境，但是很少有醫(yī)院做容災(zāi)測(cè)試，對(duì)于五級(jí)電子病歷的要求是每年至少一次的容災(zāi)演練（還需要結(jié)合業(yè)務(wù)場(chǎng)景），每季度至少一次的數(shù)據(jù)全量恢復(fù)測(cè)試，一個(gè)沒(méi)有測(cè)試過(guò)的容災(zāi)系統(tǒng)真的很難讓人相信在出問(wèn)題的時(shí)候可以撐得住真實(shí)業(yè)務(wù)，也許容災(zāi)的切換過(guò)程沒(méi)有問(wèn)題，但是容災(zāi)的硬件資源、硬件配置、軟件調(diào)整等是否能讓用戶在較短的時(shí)間內(nèi)進(jìn)行邊便捷的切換操，五級(jí)電子病歷對(duì)于數(shù)據(jù)丟失的要求比較松， 2 小時(shí)以內(nèi)即可，但是醫(yī)院對(duì)于數(shù)據(jù)丟失是難以容忍的，對(duì)于信息化較長(zhǎng)時(shí)間都無(wú)法正常使用也是無(wú)法容忍的，我們要盡可能做到 RPO 、 RTO 最小化。

對(duì)于備份，我盡量做到 321 原則， 3 份數(shù)據(jù)、 2 種不同介質(zhì)、 1 份存于異地，結(jié)合第一點(diǎn)和第二點(diǎn)，我將數(shù)據(jù)存放于起碼 2 種不同物理設(shè)備上，存儲(chǔ) 3 份，再結(jié)合第三點(diǎn)將一份數(shù)據(jù)存儲(chǔ)于異地，兩份數(shù)據(jù)存于本地。我們醫(yī)院有兩個(gè)院區(qū)，兩院區(qū)直線公里數(shù)其實(shí)小于 40 ㎞ ， 而等保的異地要求是直線大于 100 ㎞ ， 對(duì)于沒(méi)有分院的小伙伴們，其實(shí)我建議可以將另一份數(shù)據(jù)存到異地云上，最起碼在本地真的數(shù)據(jù)沒(méi)辦法恢復(fù)時(shí)還有一根救命稻草，雖然恢復(fù)的時(shí)間可能會(huì)長(zhǎng)一點(diǎn)。我會(huì)將兩院區(qū)的數(shù)據(jù)做相互的異地備份，盡可能提高數(shù)據(jù)備份的頻率，減少數(shù)據(jù)的丟失，核心業(yè)務(wù)系統(tǒng)采用實(shí)時(shí)備份或者容災(zāi)的方式，在使用較高頻率備份的情況下，我們對(duì)于備份、容災(zāi)的硬件就有一定的要求，較差的 HDD 盤(pán)是無(wú)法支撐起大數(shù)據(jù)量、高并發(fā)的備份任務(wù)，可能出現(xiàn)任務(wù)排隊(duì)，那就會(huì)得不償失；在備份上我們就出現(xiàn)過(guò)一個(gè)問(wèn)題，之前工程師在配置 RMAN 備份保留的腳本操作是先刪除原來(lái)的備份，在進(jìn)行下一次備份，如果前一次備份刪除了，后一次備份沒(méi)有成功，那就沒(méi)有了全量數(shù)據(jù)，這樣的備份是沒(méi)有意義的，大家可以檢查下自己的環(huán)境是否存在這樣的問(wèn)題。

在備份的類(lèi)型上，分為物理備份和邏輯備份， 21 年我就聽(tīng)到了別的醫(yī)院出現(xiàn)了 Oracle 的邏輯壞塊，出現(xiàn)壞塊后數(shù)據(jù)庫(kù)無(wú)法正常啟動(dòng)，而容災(zāi)系統(tǒng)通過(guò) Oracle Data Guard 實(shí)現(xiàn)， DG 屬于物理塊同步，面對(duì)邏輯錯(cuò)誤不會(huì)校驗(yàn)，而直接將這個(gè)邏輯錯(cuò)誤同步給了容災(zāi)庫(kù)，導(dǎo)致容災(zāi)庫(kù)也無(wú)法正常拉起，并且當(dāng)時(shí)也沒(méi)有配置長(zhǎng)時(shí)間的閃回空間，導(dǎo)致最后花了很大的代價(jià)才恢復(fù)了一部分丟失的數(shù)據(jù)，并且業(yè)務(wù)中斷了很久，可以通過(guò) OGG 解決這個(gè)問(wèn)題，并且 OGG 可以支持跨數(shù)據(jù)庫(kù)、操作系統(tǒng)類(lèi)型之間的數(shù)據(jù)復(fù)制，但是配置難度比 DG 大了很多；另外的辦法是通過(guò) CDP 實(shí)現(xiàn) IO 級(jí)別的備份，當(dāng)出現(xiàn)邏輯錯(cuò)誤數(shù)據(jù)庫(kù)無(wú)法正常使用的時(shí)候，通過(guò) CDP 的 IO 回退到正常的時(shí)間點(diǎn)，當(dāng)然中間丟失的數(shù)據(jù)需要人工去彌補(bǔ)，這樣通過(guò)數(shù)據(jù)庫(kù)外部的方式解決數(shù)據(jù)備份的問(wèn)題。

4、個(gè)人信息保護(hù)

這兩點(diǎn)在《個(gè)人信息保護(hù)法》中也有明確提到，該法律中多次提到了收集個(gè)人信息要有“詢問(wèn) - 確認(rèn)”的過(guò)程，并且在用戶不同意提供個(gè)人信息的情況下，不能拒絕對(duì)用戶提供服務(wù)，只收集必需的個(gè)人信息，要告知用戶收集每種類(lèi)型個(gè)人信息的目的，告知用戶如何處理、傳遞、使用個(gè)人信息。在疫情當(dāng)下，全國(guó)的醫(yī)院都緊鑼密鼓的推廣互聯(lián)網(wǎng)醫(yī)院，意味著有一個(gè)面向患者的醫(yī)院互聯(lián)網(wǎng)系統(tǒng)，患者可以直接面向這個(gè)互聯(lián)網(wǎng)系統(tǒng)，那對(duì)系統(tǒng)的提交信息、問(wèn)詢交互有了更直接的了解，我們?cè)谧龌ヂ?lián)網(wǎng)系統(tǒng)的時(shí)候要結(jié)合《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》三駕馬車(chē)來(lái)嚴(yán)格要求開(kāi)發(fā)時(shí)的安全需求，自從三部法律上臺(tái)后有多少互聯(lián)網(wǎng) APP 因不符合要求被責(zé)令整改、罰款、下架等，我們也該引以為戒。