在(exist)醫院中除了(Got it)數據中心的(of)服務器資源，還有醫護人(people)員、行政人(people)員使用(use)的(of)電腦都需要(want)納入安全計算環境的(of)管轄範圍。大(big)家可以(by)看看自己用(use)的(of)電腦是(yes)否設置了(Got it)密碼，并且密碼的(of)要(want)求是(yes)否符合強口令（長度大(big)于(At) 8 位，包含大(big)小寫字母、數字、符号，并且不(No)包含鍵盤上連續字符或者英文單詞），并且 3 個(indivual)月更換一(one)次密碼。在(exist) AAA 認證體系（ AAA 是(yes)認證（ Authentication ）、授權（ Authorization ）和(and)計費（ Accounting ） ）中，第一(one)關就是(yes)認證，在(exist)認證的(of)過程中可能會出(out)現如無認證、弱口令、認證可以(by)被繞過、明文密碼傳輸等等問題，

不(No)僅僅是(yes)在(exist)醫療行業，基本所有行業的(of)内網環境都包含了(Got it)上述問題，在(exist)護網行動中，打入了(Got it)内網環境後，大(big)量使用(use)重複的(of)弱口令，成爲(for)被攻陷的(of)重要(want)問題之一(one)，有很多護網的(of)案例是(yes)拿下了(Got it)堡壘機的(of)弱口令，而堡壘機上直接記錄了(Got it)各類服務器的(of)高權限賬号密碼，通過一(one)點突破全網。我(I)們(them)大(big)家可以(by)看看自己的(of)環境下， PC 和(and)服務器端是(yes)否存在(exist)無認證、弱口令的(of)情況，除了(Got it) RDP 、 SSH 等常見管理服務，還有 Radmin 、 VNC 、 SMB 、 FTP 、 TELNET 、 Oracle 、 MySQL 、 SqlServer ， 根據我(I)一(one)直以(by)來(Come)的(of)工作(do)經驗，很多開源軟件的(of)早期版本對于(At) API 接口就根本沒有認證機制，所以(by)還有很多的(of)開源服務如 Redis 、 Docker 、 Elastic Search 等，有認證的(of)情況下是(yes)否使用(use)了(Got it)開源軟件的(of)默認賬戶口令，這(this)個(indivual)也需要(want)我(I)們(them)及時(hour)修改，黑客可以(by)通過一(one)點突破，層層收集信息，最終突破核心防線。

AAA 體系中的(of)第二步授權，其實是(yes)可以(by)緩解第一(one)步問題的(of)一(one)個(indivual)手段，理論上要(want)求我(I)們(them)的(of) PC 端、服務器端不(No)同的(of)軟件需要(want)通過不(No)同的(of)用(use)戶安裝、使用(use)，并且不(No)同的(of)用(use)戶隻能給予最小安裝、使用(use)軟件的(of)權限，而我(I)們(them)可以(by)檢查下自己的(of)環境，應該是(yes)有很多直接使用(use) administrator 、 root 等用(use)戶，并且這(this)些賬号存在(exist)着複用(use)的(of)情況，在(exist)使用(use)過程中很難分清楚現實生(born)活中的(of)哪個(indivual)自然人(people)使用(use)了(Got it)這(this)個(indivual)賬戶進行了(Got it)相關操作(do)，如果出(out)現了(Got it)問題給後續溯源提升了(Got it)難度，我(I)們(them)這(this)時(hour)就需要(want)通過 IP 、 上層的(of)堡壘機日志等進行關聯溯源。

限制登錄失敗次數是(yes)防止暴力破解的(of)手段之一(one)，暴力破解會通過一(one)個(indivual)密碼本對需要(want)爆破的(of)服務密碼進行不(No)斷的(of)嘗試，直到(arrive)試到(arrive)正确的(of)那個(indivual)密碼或者密碼本試完爲(for)止，正常人(people)登錄一(one)般都會記得自己的(of)密碼，當然在(exist)定期更換複雜密碼的(of)要(want)求下，正常人(people)也會記不(No)住密碼，這(this)個(indivual)問題我(I)們(them)後面再說。在(exist)限制了(Got it)登錄失敗次數，比如我(I)們(them)設置了(Got it) 5 次，那通過某個(indivual) IP 登錄失敗 5 次後這(this)個(indivual) IP 就會被鎖定，當然可以(by)設置别的(of) IP 還可以(by)登錄這(this)個(indivual)服務。會話結束功能就類似于(At) W indows 自動鎖屏，作(do)爲(for)一(one)個(indivual)信息工作(do)者，在(exist)我(I)們(them)離開電腦時(hour)就應該考慮鎖屏的(of)操作(do)，并且重新登錄要(want)輸入賬号密碼，一(one)個(indivual)不(No)會超時(hour)的(of)會話雖然方便了(Got it)我(I)們(them)自己，同樣也給惡意者帶來(Come)了(Got it)方便，想想經過你辦公桌的(of)每個(indivual)人(people)都可以(by)在(exist)登錄着的(of) HIS 服務器或者核心交換機上敲一(one)個(indivual) reboot ，最後造成的(of)結果可想而知，雖然這(this)個(indivual)事故不(No)是(yes)你直接操作(do)的(of)，但也要(want)負主要(want)責任。

在(exist)醫院中常見的(of)遠程管理手段有 RDP 、 SSH 、 TELNET 、 FTP 、 Oracle 等，其中 TELNET 、 FTP 在(exist)流量劫持時(hour)可以(by)直接獲得賬戶口令信息，可以(by)通過 SSH 、 SFTP 等方法替換，确保在(exist)賬号密碼認證和(and)數據流傳輸過程中都是(yes)加密的(of)。其實 Oracle 的(of)流量也非加密，在(exist)我(I)咨詢了(Got it)我(I) OCM 的(of)朋友和(and)百度後，發現其實 Oracle 流量也可以(by)配置加密，但是(yes)我(I)們(them)很少會這(this)樣做，并且很少會有人(people)關心這(this)個(indivual)問題，還消耗客戶端和(and)服務端額外的(of)性能。這(this)時(hour)候我(I)們(them)就要(want)想到(arrive)什麽時(hour)候我(I)們(them)的(of)流量會被截取走，常見的(of)就是(yes)内網 ARP 欺騙，一(one)台攻擊主機在(exist)客戶端請求網關 MAC 地(land)址的(of)時(hour)候，将自己的(of) MAC 地(land)址告訴客戶端，說自己這(this)個(indivual) MAC 地(land)址就是(yes)網關的(of) MAC ， 這(this)樣二層的(of)流量會先通過這(this)台攻擊主機轉發給真實的(of)網關，所有明文的(of)流量過了(Got it)這(this)台攻擊主機後就可以(by)被它輕松的(of)獲取敏感信息，我(I)的(of)防護方法是(yes)通過桌管軟件，将每個(indivual)網段主機的(of)網關 ARP 解析靜态的(of)寫到(arrive)客戶端上，确保 ARP 解析時(hour)默認都先通過本地(land)記錄解析，從而不(No)會被外部動态解析影響。另一(one)種情況會被獲取的(of)是(yes)網内的(of)流量設備，很多安全設備、 APM 監控設備、深度流量分析設備都需要(want)抓取核心網絡的(of)流量，當這(this)些流量被鏡像給設備後它們(them)會将它記錄下來(Come)，而正式或者測試設備出(out)現問題返廠時(hour)，我(I)們(them)就要(want)叮囑工程師要(want)清空本地(land)數據，以(by)免數據洩露，在(exist)我(I)的(of)工作(do)中就聽到(arrive)過通過安全設備洩露大(big)量公民信息的(of)案例。

前面我(I)們(them)說到(arrive)要(want)定期修改複雜密碼，但是(yes)經常修改會導緻管理員記憶困難，這(this)個(indivual)時(hour)候我(I)覺得雙因子認證也是(yes)幫助大(big)家不(No)用(use)記複雜密碼的(of)好方法。雙因素認證分爲(for)所知和(and)所有兩種，雙因素的(of)證據又分爲(for)秘密信息、個(indivual)人(people)物品、生(born)理特征三種類型，像口令、密碼就是(yes)信息，物理 key 就是(yes)個(indivual)人(people)物品，指紋、虹膜、面部就是(yes)生(born)理特征，我(I)們(them)隻要(want)結合兩種類型的(of)證據，那就符合要(want)求，可以(by)通過物理 KEY+ 動态密碼的(of)方式實現認證，此時(hour)就不(No)用(use)記住原始的(of)靜态密碼，大(big)家可以(by)想象一(one)下現在(exist)在(exist)登錄微信、支付寶、 QQ 等互聯網軟件的(of)時(hour)候基本很少使用(use)密碼，而智能手機也将密碼和(and)人(people)臉識别關聯，方便大(big)家認證操作(do)，同時(hour)又符合安全要(want)求。在(exist)醫院工作(do)的(of)過程中，我(I)發現很多業務系統的(of)賬号密碼不(No)是(yes)同一(one)套體系，系統在(exist)認證時(hour)也沒有做到(arrive)雙因子的(of)要(want)求，我(I)之前寫過一(one)篇論文，叫《基于(At) 4A 系統的(of)醫院零信任網絡安全模型》，也是(yes)我(I)希望能通過安全技術提升醫護行政人(people)員使用(use)系統時(hour)的(of)便利性、規範對醫院所有系統賬戶體系管理、加強醫院業務系統使用(use)時(hour)的(of)權限管理能力。

五級電子病曆評審中提到(arrive)了(Got it)系統備份、容災的(of)标準，對醫院信息系統的(of)穩定性、可靠性、可用(use)性有了(Got it)明确的(of)要(want)求，醫院信息系統的(of)宕機、數據丢失會造成無法挽回的(of)影響；2021 年《數據安全法》和(and)《個(indivual)人(people)信息保護法》出(out)台，我(I)國在(exist)信息化高速發展的(of)當下，更加重視了(Got it)網絡安全，證明了(Got it)網絡安全與信息化是(yes)一(one)體之兩翼、驅動之雙輪。

2 、數據保密性

信息安全 CIA 三要(want)素，保密性、完整性、可用(use)性，這(this)裏提到(arrive)了(Got it)數據的(of)保密性，其實不(No)管在(exist)哪個(indivual)行業，數據的(of)保密性都很難做，我(I)們(them)可以(by)看到(arrive)大(big)量的(of)公民數據在(exist)互聯網安全事件中洩露，我(I)國之前的(of)《網絡安全法》對數據安全沒有具體的(of)要(want)求，而 2021 年的(of)《數據安全法》和(and)《個(indivual)人(people)信息保護法》才對數據安全有了(Got it)明确的(of)要(want)求，并且這(this)兩部法律給企業帶來(Come)了(Got it)不(No)小改造的(of)壓力。

數據安全的(of)保密性要(want)求貫穿了(Got it)數據的(of)産生(born)、傳輸、處理、存儲、銷毀等過程，首先我(I)們(them)要(want)對數據進行保密，就要(want)知道哪些數據應該保密，此時(hour)要(want)做的(of)就是(yes)數據的(of)分類分級，在(exist)分級分類過程中涉及到(arrive)對敏感數據的(of)發現，敏感數據除了(Got it)結構化的(of)還有非結構化的(of)，除了(Got it)關系型的(of)還有非關系型的(of)，基本很難做到(arrive)全覆蓋，比如在(exist)護網期間就發現有很多日志、配置文件中帶着敏感的(of)賬号密碼等信息，而這(this)些信息的(of)配置可能是(yes)套裝化軟件不(No)能修改的(of)。在(exist)發現了(Got it)敏感數據後我(I)們(them)就要(want)對敏感數據進行加密、脫敏、去标識化操作(do)，在(exist)五級電子病曆的(of)要(want)求中也有一(one)條數據加密的(of)要(want)求，數據加密其實有兩種做法，一(one)種是(yes)在(exist)存儲層（通過存儲設備進行加密），另一(one)種在(exist)系統層（通過對操作(do)系統的(of)配置文件，或者對數據庫的(of)數據進行加密），第一(one)種方法的(of)難度較小，而第二種方法的(of)難度較大(big)，需要(want)考慮數據被加密的(of)方法和(and)被使用(use)過程中的(of)解密，對于(At)數據量小可以(by)考慮非對稱加密，而數據量大(big)的(of)隻能使用(use)對稱加密，這(this)也就是(yes) SSL 的(of)機制，通過非對稱加密秘鑰，然後通過秘鑰對稱加密數據流，在(exist)确保業務正常的(of)情況下，實現安全的(of)需求。針對脫敏、去标識化操作(do)可以(by)通過好幾處實現，可以(by)通過後端實現，也可以(by)通過前端實現，通過後端實現時(hour)當數據從應用(use)層往前端傳輸時(hour)就是(yes)去脫敏、去标識化的(of)數據，甚至是(yes)在(exist)數據庫中就是(yes)脫敏、去标識化的(of)，而在(exist)前端實現，我(I)們(them)可以(by)在(exist)客戶端本地(land)開啓代理，直接可以(by)獲得明文的(of)數據，從安全性來(Come)考慮肯定是(yes)後端實現更安全。

我(I)們(them)在(exist)做數據加密、脫敏、去标識化時(hour)要(want)考慮的(of)重要(want)一(one)點就是(yes)業務是(yes)否支持，有些數據雖然是(yes)敏感數據，但是(yes)以(by)密文呈現時(hour)是(yes)無法進行正常業務的(of)辦理和(and)交互的(of)，如果要(want)實現正常業務辦理和(and)交互，可能需要(want)改變流程、規範，并且付出(out)巨大(big)的(of)代價，在(exist)醫院以(by)業務爲(for)中心的(of)情況下，個(indivual)人(people)覺得短期内很難很難實現，我(I)個(indivual)人(people)在(exist)落地(land)一(one)個(indivual)數據安全的(of)産品時(hour)就提出(out)了(Got it)這(this)樣一(one)個(indivual)問題，該産品邏輯串聯在(exist)數據庫客戶端和(and)數據庫服務器之間實現數據庫字段的(of)加密、脫敏、去标識化操作(do)，而我(I)們(them)的(of) HIS 業務每天都有大(big)量的(of)問題要(want)處理，在(exist)處理過程中需要(want)通過這(this)些敏感的(of)數據進行确認、判斷、修改，不(No)可能專門安排一(one)個(indivual)人(people)每天在(exist)對字段做解密、加密的(of)操作(do)，還需要(want)配合專門的(of)流程來(Come)規範這(this)個(indivual)操作(do)，在(exist)一(one)個(indivual)業務系統沒有穩定、技術人(people)員缺乏的(of)情況下，這(this)樣的(of)功能很難落地(land)，就算落地(land)了(Got it)也隻是(yes)很小的(of)範圍，如何滿足二者需要(want)靠廣大(big)讀者來(Come)幫忙想想辦法了(Got it)。

3 、 數據備份恢複

我(I)問了(Got it)很多醫院，大(big)家可能都建立了(Got it)容災環境，但是(yes)很少有醫院做容災測試，對于(At)五級電子病曆的(of)要(want)求是(yes)每年至少一(one)次的(of)容災演練（還需要(want)結合業務場景），每季度至少一(one)次的(of)數據全量恢複測試，一(one)個(indivual)沒有測試過的(of)容災系統真的(of)很難讓人(people)相信在(exist)出(out)問題的(of)時(hour)候可以(by)撐得住真實業務，也許容災的(of)切換過程沒有問題，但是(yes)容災的(of)硬件資源、硬件配置、軟件調整等是(yes)否能讓用(use)戶在(exist)較短的(of)時(hour)間内進行邊便捷的(of)切換操，五級電子病曆對于(At)數據丢失的(of)要(want)求比較松， 2 小時(hour)以(by)内即可，但是(yes)醫院對于(At)數據丢失是(yes)難以(by)容忍的(of)，對于(At)信息化較長時(hour)間都無法正常使用(use)也是(yes)無法容忍的(of)，我(I)們(them)要(want)盡可能做到(arrive) RPO 、 RTO 最小化。

對于(At)備份，我(I)盡量做到(arrive) 321 原則， 3 份數據、 2 種不(No)同介質、 1 份存于(At)異地(land)，結合第一(one)點和(and)第二點，我(I)将數據存放于(At)起碼 2 種不(No)同物理設備上，存儲 3 份，再結合第三點将一(one)份數據存儲于(At)異地(land)，兩份數據存于(At)本地(land)。我(I)們(them)醫院有兩個(indivual)院區，兩院區直線公裏數其實小于(At) 40 ㎞ ， 而等保的(of)異地(land)要(want)求是(yes)直線大(big)于(At) 100 ㎞ ， 對于(At)沒有分院的(of)小夥伴們(them)，其實我(I)建議可以(by)将另一(one)份數據存到(arrive)異地(land)雲上，最起碼在(exist)本地(land)真的(of)數據沒辦法恢複時(hour)還有一(one)根救命稻草，雖然恢複的(of)時(hour)間可能會長一(one)點。我(I)會将兩院區的(of)數據做相互的(of)異地(land)備份，盡可能提高數據備份的(of)頻率，減少數據的(of)丢失，核心業務系統采用(use)實時(hour)備份或者容災的(of)方式，在(exist)使用(use)較高頻率備份的(of)情況下，我(I)們(them)對于(At)備份、容災的(of)硬件就有一(one)定的(of)要(want)求，較差的(of) HDD 盤是(yes)無法支撐起大(big)數據量、高并發的(of)備份任務，可能出(out)現任務排隊，那就會得不(No)償失；在(exist)備份上我(I)們(them)就出(out)現過一(one)個(indivual)問題，之前工程師在(exist)配置 RMAN 備份保留的(of)腳本操作(do)是(yes)先删除原來(Come)的(of)備份，在(exist)進行下一(one)次備份，如果前一(one)次備份删除了(Got it)，後一(one)次備份沒有成功，那就沒有了(Got it)全量數據，這(this)樣的(of)備份是(yes)沒有意義的(of)，大(big)家可以(by)檢查下自己的(of)環境是(yes)否存在(exist)這(this)樣的(of)問題。

在(exist)備份的(of)類型上，分爲(for)物理備份和(and)邏輯備份， 21 年我(I)就聽到(arrive)了(Got it)别的(of)醫院出(out)現了(Got it) Oracle 的(of)邏輯壞塊，出(out)現壞塊後數據庫無法正常啓動，而容災系統通過 Oracle Data Guard 實現， DG 屬于(At)物理塊同步，面對邏輯錯誤不(No)會校驗，而直接将這(this)個(indivual)邏輯錯誤同步給了(Got it)容災庫，導緻容災庫也無法正常拉起，并且當時(hour)也沒有配置長時(hour)間的(of)閃回空間，導緻最後花了(Got it)很大(big)的(of)代價才恢複了(Got it)一(one)部分丢失的(of)數據，并且業務中斷了(Got it)很久，可以(by)通過 OGG 解決這(this)個(indivual)問題，并且 OGG 可以(by)支持跨數據庫、操作(do)系統類型之間的(of)數據複制，但是(yes)配置難度比 DG 大(big)了(Got it)很多；另外的(of)辦法是(yes)通過 CDP 實現 IO 級别的(of)備份，當出(out)現邏輯錯誤數據庫無法正常使用(use)的(of)時(hour)候，通過 CDP 的(of) IO 回退到(arrive)正常的(of)時(hour)間點，當然中間丢失的(of)數據需要(want)人(people)工去彌補，這(this)樣通過數據庫外部的(of)方式解決數據備份的(of)問題。

4、個(indivual)人(people)信息保護

這(this)兩點在(exist)《個(indivual)人(people)信息保護法》中也有明确提到(arrive)，該法律中多次提到(arrive)了(Got it)收集個(indivual)人(people)信息要(want)有“詢問 - 确認”的(of)過程，并且在(exist)用(use)戶不(No)同意提供個(indivual)人(people)信息的(of)情況下，不(No)能拒絕對用(use)戶提供服務，隻收集必需的(of)個(indivual)人(people)信息，要(want)告知用(use)戶收集每種類型個(indivual)人(people)信息的(of)目的(of)，告知用(use)戶如何處理、傳遞、使用(use)個(indivual)人(people)信息。在(exist)疫情當下，全國的(of)醫院都緊鑼密鼓的(of)推廣互聯網醫院，意味着有一(one)個(indivual)面向患者的(of)醫院互聯網系統，患者可以(by)直接面向這(this)個(indivual)互聯網系統，那對系統的(of)提交信息、問詢交互有了(Got it)更直接的(of)了(Got it)解，我(I)們(them)在(exist)做互聯網系統的(of)時(hour)候要(want)結合《網絡安全法》、《數據安全法》和(and)《個(indivual)人(people)信息保護法》三駕馬車來(Come)嚴格要(want)求開發時(hour)的(of)安全需求，自從三部法律上台後有多少互聯網 APP 因不(No)符合要(want)求被責令整改、罰款、下架等，我(I)們(them)也該引以(by)爲(for)戒。