在醫院中除了數據中心的服務器資源，還有醫護人員、行(háng / xíng)政人員使用(yòng)的電腦都需要(yào / yāo)納入安全計算環境的管轄範圍。大家(jiā)可(kě)以看看自(zì)己用(yòng)的電腦是否設置了密碼，并且密碼的要(yào / yāo)求是否符合強口令（長度大于(yú) 8 位，包含大小寫字母、數字、符号，并且不包含鍵盤上連續字符或者英文單詞），并且 3 個月更換一次密碼。在 AAA 認證體系（ AAA 是認證（ Authentication ）、授權（ Authorization ）和計費（ Accounting ） ）中，第一關就(jiù)是認證，在認證的過(guò)程中可(kě)能(néng)會(huì)出現如(rú)無認證、弱口令、認證可(kě)以被繞過(guò)、明文密碼傳輸等等問題，

不僅僅是在醫療行(háng / xíng)業，基本所(suǒ)有行(háng / xíng)業的内網環境都包含了上述問題，在護網行(háng / xíng)動中，打入了内網環境後(hòu)，大量使用(yòng)重複的弱口令，成爲被攻陷的重要(yào / yāo)問題之一，有很多護網的案例是拿下(xià)了堡壘機的弱口令，而(ér)堡壘機上直接記錄了各類服務器的高權限賬号密碼，通過(guò)一點突破全網。我們大家(jiā)可(kě)以看看自(zì)己的環境下(xià)， PC 和服務器端是否存在無認證、弱口令的情況，除了 RDP 、 SSH 等常見管理服務，還有 Radmin 、 VNC 、 SMB 、 FTP 、 TELNET 、 Oracle 、 MySQL 、 SqlServer ， 根據我一直以來的工作經驗，很多開源軟件的早期版本對(duì)于(yú) API 接口就(jiù)根本沒有認證機制，所(suǒ)以還有很多的開源服務如(rú) Redis 、 Docker 、 Elastic Search 等，有認證的情況下(xià)是否使用(yòng)了開源軟件的默認賬戶口令，這個也需要(yào / yāo)我們及時修改，黑客可(kě)以通過(guò)一點突破，層層收集信息，最終突破核心防線。

AAA 體系中的第二步授權，其(qí)實是可(kě)以緩解第一步問題的一個手段，理論上要(yào / yāo)求我們的 PC 端、服務器端不同的軟件需要(yào / yāo)通過(guò)不同的用(yòng)戶安裝、使用(yòng)，并且不同的用(yòng)戶隻能(néng)給予最小安裝、使用(yòng)軟件的權限，而(ér)我們可(kě)以檢查下(xià)自(zì)己的環境，應該是有很多直接使用(yòng) administrator 、 root 等用(yòng)戶，并且這些賬号存在着(zhe／zhuó／zhāo／zháo)複用(yòng)的情況，在使用(yòng)過(guò)程中很難分清楚現實生(shēng)活中的哪個自(zì)然人使用(yòng)了這個賬戶進行(háng / xíng)了相關操作，如(rú)果出現了問題給後(hòu)續溯源提升了難度，我們這時就(jiù)需要(yào / yāo)通過(guò) IP 、 上層的堡壘機日志等進行(háng / xíng)關聯溯源。

限制登錄失敗次數是防止暴力破解的手段之一，暴力破解會(huì)通過(guò)一個密碼本對(duì)需要(yào / yāo)爆破的服務密碼進行(háng / xíng)不斷的嘗試，直到試到正确的那(nà)個密碼或者密碼本試完爲止，正常人登錄一般都會(huì)記得(dé / de / děi)自(zì)己的密碼，當然在定期更換複雜密碼的要(yào / yāo)求下(xià)，正常人也會(huì)記不住密碼，這個問題我們後(hòu)面再說。在限制了登錄失敗次數，比如(rú)我們設置了 5 次，那(nà)通過(guò)某個 IP 登錄失敗 5 次後(hòu)這個 IP 就(jiù)會(huì)被鎖定，當然可(kě)以設置别的 IP 還可(kě)以登錄這個服務。會(huì)話結束功能(néng)就(jiù)類似于(yú) W indows 自(zì)動鎖屏，作爲一個信息工作者，在我們離開電腦時就(jiù)應該考慮鎖屏的操作，并且重新登錄要(yào / yāo)輸入賬号密碼，一個不會(huì)超時的會(huì)話雖然方便了我們自(zì)己，同樣也給惡意者帶來了方便，想想經過(guò)你(nǐ)辦公桌的每個人都可(kě)以在登錄着(zhe／zhuó／zhāo／zháo)的 HIS 服務器或者核心交換機上敲一個 reboot ，最後(hòu)造成的結果可(kě)想而(ér)知，雖然這個事(shì)故不是你(nǐ)直接操作的，但也要(yào / yāo)負主要(yào / yāo)責任。

在醫院中常見的遠程管理手段有 RDP 、 SSH 、 TELNET 、 FTP 、 Oracle 等，其(qí)中 TELNET 、 FTP 在流量劫持時可(kě)以直接獲得(dé / de / děi)賬戶口令信息，可(kě)以通過(guò) SSH 、 SFTP 等方法替換，确保在賬号密碼認證和數據流傳輸過(guò)程中都是加密的。其(qí)實 Oracle 的流量也非加密，在我咨詢了我 OCM 的朋友和百度後(hòu)，發(fā／fà)現其(qí)實 Oracle 流量也可(kě)以配置加密，但是我們很少會(huì)這樣做，并且很少會(huì)有人關心這個問題，還消耗客戶端和服務端額外的性能(néng)。這時候我們就(jiù)要(yào / yāo)想到什麽時候我們的流量會(huì)被截取走，常見的就(jiù)是内網 ARP 欺騙，一台攻擊主機在客戶端請求網關 MAC 地址的時候，将自(zì)己的 MAC 地址告訴客戶端，說自(zì)己這個 MAC 地址就(jiù)是網關的 MAC ， 這樣二層的流量會(huì)先通過(guò)這台攻擊主機轉發(fā／fà)給真實的網關，所(suǒ)有明文的流量過(guò)了這台攻擊主機後(hòu)就(jiù)可(kě)以被它輕松的獲取敏感信息，我的防護方法是通過(guò)桌管軟件，将每個網段主機的網關 ARP 解析靜态的寫到客戶端上，确保 ARP 解析時默認都先通過(guò)本地記錄解析，從而(ér)不會(huì)被外部動态解析影響。另一種情況會(huì)被獲取的是網内的流量設備，很多安全設備、 APM 監控設備、深度流量分析設備都需要(yào / yāo)抓取核心網絡的流量，當這些流量被鏡像給設備後(hòu)它們會(huì)将它記錄下(xià)來，而(ér)正式或者測試設備出現問題返廠時，我們就(jiù)要(yào / yāo)叮囑工程師要(yào / yāo)清空本地數據，以免數據洩露，在我的工作中就(jiù)聽到過(guò)通過(guò)安全設備洩露大量公民信息的案例。

前面我們說到要(yào / yāo)定期修改複雜密碼，但是經常修改會(huì)導緻管理員記憶困難，這個時候我覺得(dé / de / děi)雙因子認證也是幫助大家(jiā)不用(yòng)記複雜密碼的好方法。雙因素認證分爲所(suǒ)知和所(suǒ)有兩種，雙因素的證據又分爲秘密信息、個人物品、生(shēng)理特征三種類型，像口令、密碼就(jiù)是信息，物理 key 就(jiù)是個人物品，指紋、虹膜、面部就(jiù)是生(shēng)理特征，我們隻要(yào / yāo)結合兩種類型的證據，那(nà)就(jiù)符合要(yào / yāo)求，可(kě)以通過(guò)物理 KEY+ 動态密碼的方式實現認證，此時就(jiù)不用(yòng)記住原始的靜态密碼，大家(jiā)可(kě)以想象一下(xià)現在在登錄微信、支付寶、 QQ 等互聯網軟件的時候基本很少使用(yòng)密碼，而(ér)智能(néng)手機也将密碼和人臉識别關聯，方便大家(jiā)認證操作，同時又符合安全要(yào / yāo)求。在醫院工作的過(guò)程中，我發(fā／fà)現很多業務系統的賬号密碼不是同一套體系，系統在認證時也沒有做到雙因子的要(yào / yāo)求，我之前寫過(guò)一篇論文，叫《基于(yú) 4A 系統的醫院零信任網絡安全模型》，也是我希望能(néng)通過(guò)安全技術提升醫護行(háng / xíng)政人員使用(yòng)系統時的便利性、規範對(duì)醫院所(suǒ)有系統賬戶體系管理、加強醫院業務系統使用(yòng)時的權限管理能(néng)力。

五級電子病曆評審中提到了系統備份、容災的标準，對(duì)醫院信息系統的穩定性、可(kě)靠性、可(kě)用(yòng)性有了明确的要(yào / yāo)求，醫院信息系統的宕機、數據丢失會(huì)造成無法挽回的影響；2021 年(nián)《數據安全法》和《個人信息保護法》出台，我國在信息化高速發(fā／fà)展的當下(xià)，更加重視了網絡安全，證明了網絡安全與信息化是一體之兩翼、驅動之雙輪。

2 、數據保密性

信息安全 CIA 三要(yào / yāo)素，保密性、完整性、可(kě)用(yòng)性，這裏(lǐ)提到了數據的保密性，其(qí)實不管在哪個行(háng / xíng)業，數據的保密性都很難做，我們可(kě)以看到大量的公民數據在互聯網安全事(shì)件中洩露，我國之前的《網絡安全法》對(duì)數據安全沒有具體的要(yào / yāo)求，而(ér) 2021 年(nián)的《數據安全法》和《個人信息保護法》才對(duì)數據安全有了明确的要(yào / yāo)求，并且這兩部法律給企業帶來了不小改造的壓力。

數據安全的保密性要(yào / yāo)求貫穿了數據的産生(shēng)、傳輸、處理、存儲、銷毀等過(guò)程，首先我們要(yào / yāo)對(duì)數據進行(háng / xíng)保密，就(jiù)要(yào / yāo)知道哪些數據應該保密，此時要(yào / yāo)做的就(jiù)是數據的分類分級，在分級分類過(guò)程中涉及到對(duì)敏感數據的發(fā／fà)現，敏感數據除了結構化的還有非結構化的，除了關系型的還有非關系型的，基本很難做到全覆蓋，比如(rú)在護網期間就(jiù)發(fā／fà)現有很多日志、配置文件中帶着(zhe／zhuó／zhāo／zháo)敏感的賬号密碼等信息，而(ér)這些信息的配置可(kě)能(néng)是套裝化軟件不能(néng)修改的。在發(fā／fà)現了敏感數據後(hòu)我們就(jiù)要(yào / yāo)對(duì)敏感數據進行(háng / xíng)加密、脫敏、去(qù)标識化操作，在五級電子病曆的要(yào / yāo)求中也有一條數據加密的要(yào / yāo)求，數據加密其(qí)實有兩種做法，一種是在存儲層（通過(guò)存儲設備進行(háng / xíng)加密），另一種在系統層（通過(guò)對(duì)操作系統的配置文件，或者對(duì)數據庫的數據進行(háng / xíng)加密），第一種方法的難度較小，而(ér)第二種方法的難度較大，需要(yào / yāo)考慮數據被加密的方法和被使用(yòng)過(guò)程中的解密，對(duì)于(yú)數據量小可(kě)以考慮非對(duì)稱加密，而(ér)數據量大的隻能(néng)使用(yòng)對(duì)稱加密，這也就(jiù)是 SSL 的機制，通過(guò)非對(duì)稱加密秘鑰，然後(hòu)通過(guò)秘鑰對(duì)稱加密數據流，在确保業務正常的情況下(xià)，實現安全的需求。針對(duì)脫敏、去(qù)标識化操作可(kě)以通過(guò)好幾處實現，可(kě)以通過(guò)後(hòu)端實現，也可(kě)以通過(guò)前端實現，通過(guò)後(hòu)端實現時當數據從應用(yòng)層往前端傳輸時就(jiù)是去(qù)脫敏、去(qù)标識化的數據，甚至是在數據庫中就(jiù)是脫敏、去(qù)标識化的，而(ér)在前端實現，我們可(kě)以在客戶端本地開啓代理，直接可(kě)以獲得(dé / de / děi)明文的數據，從安全性來考慮肯定是後(hòu)端實現更安全。

我們在做數據加密、脫敏、去(qù)标識化時要(yào / yāo)考慮的重要(yào / yāo)一點就(jiù)是業務是否支持，有些數據雖然是敏感數據，但是以密文呈現時是無法進行(háng / xíng)正常業務的辦理和交互的，如(rú)果要(yào / yāo)實現正常業務辦理和交互，可(kě)能(néng)需要(yào / yāo)改變流程、規範，并且付出巨大的代價，在醫院以業務爲中心的情況下(xià)，個人覺得(dé / de / děi)短期内很難很難實現，我個人在落地一個數據安全的産品時就(jiù)提出了這樣一個問題，該産品邏輯串聯在數據庫客戶端和數據庫服務器之間實現數據庫字段的加密、脫敏、去(qù)标識化操作，而(ér)我們的 HIS 業務每天(tiān)都有大量的問題要(yào / yāo)處理，在處理過(guò)程中需要(yào / yāo)通過(guò)這些敏感的數據進行(háng / xíng)确認、判斷、修改，不可(kě)能(néng)專門安排一個人每天(tiān)在對(duì)字段做解密、加密的操作，還需要(yào / yāo)配合專門的流程來規範這個操作，在一個業務系統沒有穩定、技術人員缺乏的情況下(xià)，這樣的功能(néng)很難落地，就(jiù)算落地了也隻是很小的範圍，如(rú)何滿足二者需要(yào / yāo)靠廣大讀者來幫忙想想辦法了。

3 、 數據備份恢複

我問了很多醫院，大家(jiā)可(kě)能(néng)都建立了容災環境，但是很少有醫院做容災測試，對(duì)于(yú)五級電子病曆的要(yào / yāo)求是每年(nián)至少一次的容災演練（還需要(yào / yāo)結合業務場景），每季度至少一次的數據全量恢複測試，一個沒有測試過(guò)的容災系統真的很難讓人相信在出問題的時候可(kě)以撐得(dé / de / děi)住真實業務，也許容災的切換過(guò)程沒有問題，但是容災的硬件資源、硬件配置、軟件調整等是否能(néng)讓用(yòng)戶在較短的時間内進行(háng / xíng)邊便捷的切換操，五級電子病曆對(duì)于(yú)數據丢失的要(yào / yāo)求比較松， 2 小時以内即可(kě)，但是醫院對(duì)于(yú)數據丢失是難以容忍的，對(duì)于(yú)信息化較長時間都無法正常使用(yòng)也是無法容忍的，我們要(yào / yāo)盡可(kě)能(néng)做到 RPO 、 RTO 最小化。

對(duì)于(yú)備份，我盡量做到 321 原則， 3 份數據、 2 種不同介質、 1 份存于(yú)異地，結合第一點和第二點，我将數據存放于(yú)起碼 2 種不同物理設備上，存儲 3 份，再結合第三點将一份數據存儲于(yú)異地，兩份數據存于(yú)本地。我們醫院有兩個院區，兩院區直線公裏(lǐ)數其(qí)實小于(yú) 40 ㎞ ， 而(ér)等保的異地要(yào / yāo)求是直線大于(yú) 100 ㎞ ， 對(duì)于(yú)沒有分院的小夥伴們，其(qí)實我建議可(kě)以将另一份數據存到異地雲上，最起碼在本地真的數據沒辦法恢複時還有一根救命稻草，雖然恢複的時間可(kě)能(néng)會(huì)長一點。我會(huì)将兩院區的數據做相互的異地備份，盡可(kě)能(néng)提高數據備份的頻率，減少數據的丢失，核心業務系統采用(yòng)實時備份或者容災的方式，在使用(yòng)較高頻率備份的情況下(xià)，我們對(duì)于(yú)備份、容災的硬件就(jiù)有一定的要(yào / yāo)求，較差的 HDD 盤是無法支撐起大數據量、高并發(fā／fà)的備份任務，可(kě)能(néng)出現任務排隊，那(nà)就(jiù)會(huì)得(dé / de / děi)不償失；在備份上我們就(jiù)出現過(guò)一個問題，之前工程師在配置 RMAN 備份保留的腳本操作是先删除原來的備份，在進行(háng / xíng)下(xià)一次備份，如(rú)果前一次備份删除了，後(hòu)一次備份沒有成功，那(nà)就(jiù)沒有了全量數據，這樣的備份是沒有意義的，大家(jiā)可(kě)以檢查下(xià)自(zì)己的環境是否存在這樣的問題。

在備份的類型上，分爲物理備份和邏輯備份， 21 年(nián)我就(jiù)聽到了别的醫院出現了 Oracle 的邏輯壞塊，出現壞塊後(hòu)數據庫無法正常啓動，而(ér)容災系統通過(guò) Oracle Data Guard 實現， DG 屬于(yú)物理塊同步，面對(duì)邏輯錯誤不會(huì)校驗，而(ér)直接将這個邏輯錯誤同步給了容災庫，導緻容災庫也無法正常拉起，并且當時也沒有配置長時間的閃回空間，導緻最後(hòu)花了很大的代價才恢複了一部分丢失的數據，并且業務中斷了很久，可(kě)以通過(guò) OGG 解決這個問題，并且 OGG 可(kě)以支持跨數據庫、操作系統類型之間的數據複制，但是配置難度比 DG 大了很多；另外的辦法是通過(guò) CDP 實現 IO 級别的備份，當出現邏輯錯誤數據庫無法正常使用(yòng)的時候，通過(guò) CDP 的 IO 回退到正常的時間點，當然中間丢失的數據需要(yào / yāo)人工去(qù)彌補，這樣通過(guò)數據庫外部的方式解決數據備份的問題。

4、個人信息保護

這兩點在《個人信息保護法》中也有明确提到，該法律中多次提到了收集個人信息要(yào / yāo)有“詢問 - 确認”的過(guò)程，并且在用(yòng)戶不同意提供個人信息的情況下(xià)，不能(néng)拒絕對(duì)用(yòng)戶提供服務，隻收集必需的個人信息，要(yào / yāo)告知用(yòng)戶收集每種類型個人信息的目的，告知用(yòng)戶如(rú)何處理、傳遞、使用(yòng)個人信息。在疫情當下(xià)，全國的醫院都緊鑼密鼓的推廣互聯網醫院，意味着(zhe／zhuó／zhāo／zháo)有一個面向患者的醫院互聯網系統，患者可(kě)以直接面向這個互聯網系統，那(nà)對(duì)系統的提交信息、問詢交互有了更直接的了解，我們在做互聯網系統的時候要(yào / yāo)結合《網絡安全法》、《數據安全法》和《個人信息保護法》三駕馬車來嚴格要(yào / yāo)求開發(fā／fà)時的安全需求，自(zì)從三部法律上台後(hòu)有多少互聯網 APP 因不符合要(yào / yāo)求被責令整改、罰款、下(xià)架等，我們也該引以爲戒。