许杰演讲方向聚焦于医院信息安全运营服务体系的建设,作为一家大型三甲公立医院,浙大二院信息部门高度重视信息化建设,以及背后的安全保障工作。许杰吐槽早年医院广泛存在的信息化安全弊端,就是那种大量的安全产品堆积,但又形同虚设完全没有发挥价值。
他进一步表示称,医院从买产品、买设备,到现转向安全服务,安全服务的重点是应该有完整的体系来支持管理。“在现状有所改变这后,安全企业应该深入医院,在给医院的信息部门提供技术服务的时候,要更多的关注医院信息技术服务的核心,同时安全技术服务需要与医院内部的管理、流程更好的衔接,更好的融合。”
许杰认为医院信息部门起到的是连接作用,但是外部信息技术服务也一定不能解决全部问题,所以摆在医院信息部门面前的是仍有大量工作要去做。这方面的原则是医院信息化建设从弱到强,会不断克服瓶颈,并且每一个信息化核心能力,其中每一个环节还会进行不断的创新拓展,即安全也需要迭代升级。
医院信息安全管理痛点及应对之道
许杰在分享了浙大二院的信息安全管理策略四大方向:保障IT基础架构安全、管控资产和访问权限、及时感知并预警风险、规范技术人员运维。他用四个“全”来形容这一策略体系,即从全体系、全场景、全流程、全环节开展信息安全管理工作。
医疗行业成为网络攻击的主要对象,一方面是其直接为生命安全负责,另一方面其医疗科研数据更具价值。所以其业务系统的连续性和数据安全的重要性不容有失。所以四大策略重点支撑的就是医疗业务系统的可持续性,其中重点是对服务器、软件、数据库、数据资产的安全管控,同时包括相关的备份、容灾体系的建设。
许杰分享指出,信息安全管理是一个涉及资源和管理的复杂系统性问题,其中来自技术、资源、流程、人员为代表的普遍性缺失是医院在信息安全管理方面面临的主要痛点。
其中技术、资源将决定架构设计与业务系统的安全程度,比如技术不足,会使业务系统设计缺陷难以被发现,资源投入不足将难以弥补IT基础架构容灾能力的缺失等。在流程和人员方面,运维管理流程需要规范梳理,更要不断提升全院医护人员的安全意识水平。其中资源的投入处于关键位置,其对信息化及安全投入、高水平专业岗位人员缺失表现尤为突出。
为了应对未来更加复杂环境上的医院信息安全管理挑战,浙大二院推行了一种“角色分工”制度,“多院区发展下,岗位责任制已不再适应新的形势需要,‘角色分工’将跨岗位、跨院区,形成更好的联动机制。”
据了解,在该制度下,浙大二院从院区管理,到一线的系统运维,再到二线的项目需求、开发技术,分工明确,各司其职。与“角色分工”配套的还有一套工具体系,OA流程数量至今已有35+,从而建立了一整套流程化安全管理机制。在这一整套工具体系支撑的流程中我们可以看到小有每日的工作日报,大到项目立项、资源申请、安全监管等等细分需求。
据许杰介绍,现阶段浙大二院工具体系支持的信息技术服务“数字流程”已从初级阶段迈入高级阶段,囊括质量管理、项目管理、数据管理、需求管理、终端运维、安全运维,并已覆盖整个医院。“该体系引入并应用信息技术服务标准(ITSS),通过对标学习并不断完善和改进现有流程。”
对于医院而言,建设安全运维体系是重要一环,在这方面,许杰分享认为,需要通过拉通资源与团队,达成融合协同安全运维新模式。其中资源投入是一方面,在团队协同方面,则由医院技术团队和第三方安全企业技术团队共同搭建协同分工机制。医院一侧仍然沿袭前文的“角色分工”体系,通过工具技术流现实全安全体系的日常建设与运维,第三方安全企业技术团队则负责更加具体的网络安全监测、预警、运维、处置、响应等专业支撑。
“企业一侧对云端安全托管服务需求渐增,对于医院而言,仍然有着大量的驻场式服务需求。”同时他还对安恒信息在“安全托管运营服务论坛”推出的安全托管运营服务当中的增值服务——网络安全保险产生了一定的兴趣,并称浙大二院完全有资格拿到一份安全保单,这也源于他对浙大二院的信息化安全建设标准达标网络安全保险标准的高度自信。
许杰最后分享了浙大二院最近参与的“护网2022”相关工作,医院通过系统的风险预防、分配任务、风险响应、风险解除,通过两大技术团队协同合作,医院信息系统的安全性和团队之间的协同均得到了检验和提升。“医院技术团队与安全企业技术团队能力的结合,实现了联动的闭环处置能力。”
最后许杰分享认为,“通过自身能力的不断提高,以及第三方安全能力的协同引入,安全‘动态清零’并非遥不可及。”