在醫院中除了數據中心的服務器(qì)資(zī匠海)源，還有醫護人員、行政人員使用的電腦都需要納入安全計理個算環境的管轄範圍。大(dà)家(jiā)可以看看自己用的電腦是否設置了密照麗碼，并且密碼的要求是否符合強口令（長(cháng)子山度大(dà)于 8 位，包含大(dà)小寫字母、數字、符号，并且不(bù)山術包含鍵盤上連續字符或者英文單詞），并且 3 個月更換一次密碼。在冷計 AAA 認證體系（ AAA 是認證（ Auth一不entication ）、授權（ Authorization ）和計費（ Ac請你counting ） ）中，******電遠關就是認證，在認證的過程中可能會(huì)出現如(rú上紅)無認證、弱口令、認證可以被繞過、明文密碼傳輸答資等等問題，

不(bù)僅僅是在醫療行業，基本所有行業的内網環境都包含了上述問題，在服聽護網行動中，打入了内網環境後，大(dà)量使用重複的弱口令，成為(wèi)術東被攻陷的重要問題之一，有很多護網的案例是拿(ná信暗)下了堡壘機的弱口令，而堡壘機上直接記錄了各類嗎女服務器(qì)的高權限賬号密碼，通(tō討慢ng)過一點突破全網。我們(men)大(dà)家(jiā)可以看看自遠外己的環境下， PC 和服務器(qì)端是否存在無認證、弱口秒不令的情況，除了 RDP 、 SSH 等常見管理務鐵服務，還有 Radmin 、 VNC 、 SMB 、話火 FTP 、 TELNET 、 Oracle 、 MyS間讀QL 、 SqlServer ， 根據我一直友師以來的工(gōng)作經驗，很多開(kāi)源軟件的早期版本對于 API 接口來媽就根本沒有認證機制，所以還有很多的開(kāi)源服務計是如(rú) Redis 、 Docker 、 Elas道個tic Search 等，有認證的情況下是否使用了開(kāi)源軟件的默認賬戶問窗口令，這個也需要我們(men)及時(shí)修改，黑客可以通(短歌tōng)過一點突破，層層收集信息，***終突破核心防線。

AAA 體系中的第二步授權，其實是可以緩解******步問題的一個舊到手段，理論上要求我們(men)的 PC 端、服務器(qì秒唱)端不(bù)同的軟件需要通(tōng)過不(bù)同的用戶安裝麗暗、使用，并且不(bù)同的用戶隻能給予***小安裝、使用軟件的舊學權限，而我們(men)可以檢查下自己的環境，應該是有很多直接使用 adm木厭inistrator 、 root 等用戶錢月，并且這些賬号存在着複用的情況，在使用過程黃暗中很難分清楚現實生活中的哪個自然人使用了這個賬戶進行了相如窗關操作，如(rú)果出現了問題給後續溯源提開信升了難度，我們(men)這時(shí)就需要通白時(tōng)過 IP 、 上層的堡壘機日志等進行關聯溯源。

限制登錄失敗次數是防止******破解的手段之一，******破解會(hu但了ì)通(tōng)過一個密碼本對需要爆破鄉習的服務密碼進行不(bù)斷的嘗試，直到試到正确的那個密碼或者密碼本懂子試完為(wèi)止，正常人登錄一般都會(huì)記得(de)自己的密碼，當然在北術定期更換複雜密碼的要求下，正常人也會(huì畫現)記不(bù)住密碼，這個問題我們(men通放)後面再說(shuō)。在限制了登錄失敗次數，比拿木如(rú)我們(men)設置了 5 次，那通(tōng)過某個 IP 遠都登錄失敗 5 次後這個 IP 就會(huì)被鎖物兵定，當然可以設置别的 IP 還可以登錄這個服務。會(h得購uì)話結束功能就類似于 W indows 自動鎖屏，作了就為(wèi)一個信息工(gōng)作者，在我們(men)離開(kāi)電公微腦時(shí)就應該考慮鎖屏的操作，并且重新登錄腦車要輸入賬号密碼，一個不(bù)會(huì)超時(shí)的會(huì)話關西雖然方便了我們(men)自己，同樣也給惡很子意者帶來了方便，想想經過你辦公桌的每個人都鐵下可以在登錄着的 HIS 服務器(qì)或者核心交換機上敲一個 reboot路到 ，***後造成的結果可想而知，雖然這個事故不(bù)工電是你直接操作的，但也要負主要責任。

在醫院中常見的遠程管理手段有 RDP 、 飛和SSH 、 TELNET 、 FTP 、 Oracle 等，其中 TE北為LNET 、 FTP 在流量劫持時(shí)可以直兵我接獲得(de)賬戶口令信息，可以通(tōng)過 SSH 、商畫 SFTP 等方法替換，确保在賬号密碼認證和數據流吃場傳輸過程中都是加密的。其實 Oracle 的流量也非加密，在我咨詢了我 服低OCM 的朋友和百度後，發現其實 Oracle 流量也很外可以配置加密，但是我們(men)很少會(huì)這樣做，并且很少會(市兒huì)有人關心這個問題，還消耗客戶端和服務端唱好額外的性能。這時(shí)候我們(men)就要想到什麼時(術低shí)候我們(men)的流量會(huì)風光被截取走，常見的就是内網 ARP 欺騙，一台攻擊主機在客戶端請求火朋網關 MAC 地址的時(shí)候，将自己的 MAC 地址畫筆告訴客戶端，說(shuō)自己這個 MAC 地址就是網關的 M你微AC ， 這樣二層的流量會(huì)先通(tōng)過這台攻擊主機轉發笑劇給真實的網關，所有明文的流量過了這台攻擊主機後就可以被作鐵它輕松的獲取敏感信息，我的防護方法是通(tōng)過桌管軟件，将每個網段主機畫員的網關 ARP 解析靜态的寫到客戶端上，确保 ARP 解析如一時(shí)默認都先通(tōng)過本地記錄解析，從而不(bù)會(huì)被視女外部動态解析影響。另一種情況會(huì)被獲取的是網内的流量設備，很多安全設了鐘備、 APM 監控設備、深度流量分析設備都需要抓取核心網絡的風劇流量，當這些流量被鏡像給設備後它們(men)會(huì內了)将它記錄下來，而正式或者測試設備出現問題返廠時(shí)，我們(men)就間舞要叮囑工(gōng)程師要清空本地數據，以免數據洩露，在我的視員工(gōng)作中就聽到過通(tōng)過安全設備洩露大(dà)量公民信息的分為案例。

前面我們(men)說(shuō)到要定期修改複雜密碼，但是經常修改會(huì雪小)導緻管理員記憶困難，這個時(shí)候我覺得(de)雙因子(zǐ)認證吃年也是幫助大(dà)家(jiā)不(bù)用記複雜密碼的好(hǎ就工o)方法。雙因素認證分為(wèi)所知和所有兩種，雙因素的證據如開又分為(wèi)秘密信息、個人物品、生理特征三種類型，像口令、密書爸碼就是信息，物理 key 就是個人物品，指紋、虹膜、面部就是生銀車理特征，我們(men)隻要結合兩種類型的證件舊據，那就符合要求，可以通(tōng)過物理 KEY+ 動湖紙态密碼的方式實現認證，此時(shí)就不(bù)用記住原術紙始的靜态密碼，大(dà)家(jiā)可以想象一下現在在登事愛錄微信、支付寶、 QQ 等互聯網軟件的時(shí)候基本很少使老低用密碼，而智能******也将密碼和人臉識别關聯，方便大(dà)家(jiā)認人跳證操作，同時(shí)又符合安全要求。在醫院工(gōng)作的過程中好員，我發現很多業務系統的賬号密碼不(bù)習暗是同一套體系，系統在認證時(shí)也沒有做到雙因子(zǐ)的大新要求，我之前寫過一篇論文，叫《基于 4A 系統的醫院鐘刀零信任網絡安全模型》，也是我希望能通(tōng)過安全技術提購北升醫護行政人員使用系統時(shí)的便利性、規範對醫院所有系統賬戶體系管理、加海藍強醫院業務系統使用時(shí)的權限管理能力。

五級電子(zǐ)病曆評審中提到了系統備份、容災的标準，對醫院朋厭信息系統的穩定性、可靠性、可用性有了明确的要求，醫院信息藍去系統的宕機、數據丢失會(huì)造成無法挽回的土個影響；2021 年《數據安全法》和《個人信息保護法》出台，我國在信息化高速發展分好的當下，更加重視了網絡安全，證明了網絡安全與信息化是一體之兩翼、驅船黃動之雙輪。

2 、數據保密性

信息安全 CIA 三要素，保密性、完整性、可用性，這裡提到了數據的保密性，冷資其實不(bù)管在哪個行業，數據的保密性都很難做，我們(men)讀通可以看到大(dà)量的公民數據在互聯網安全事件中洩露，我國之前但讀的《網絡安全法》對數據安全沒有具體的要求，而 2021 年的《說拿數據安全法》和《個人信息保護法》才對數據安全有了明确的要求，并且這湖這兩部法律給企業帶來了不(bù)小改造的壓力。

數據安全的保密性要求貫穿了數據的産生、傳輸、處理、存儲、銷毀等過程，首先我們什理(men)要對數據進行保密，就要知道哪些數據應該保密筆費，此時(shí)要做的就是數據的分類分級，在分級分類過程中涉及到對敏感數據的來影發現，敏感數據除了結構化的還有非結構化的，除了關系型的還有非關系型的煙黑，基本很難做到全覆蓋，比如(rú)在護網期間就發現有很多日志、配置劇跳文件中帶着敏感的賬号密碼等信息，而這些信息的配置可能鐵土是套裝化軟件不(bù)能修改的。在發現了敏感數據後會還我們(men)就要對敏感數據進行加密、******、去不能标識化操作，在五級電子(zǐ)病曆的要求中也鐘懂有一條數據加密的要求，數據加密其實有兩種做法，一種是著視在存儲層（通(tōng)過存儲設備進行加密），另一種在少從系統層（通(tōng)過對操作系統的配置得南文件，或者對數據庫的數據進行加密），******種方法的難度筆行較小，而第二種方法的難度較大(dà)，需要家請考慮數據被加密的方法和被使用過程中的解密，對于數據量小可以考有音慮非對稱加密，而數據量大(dà)的隻能使用對稱加密，這也就是 SSL 的西現機制，通(tōng)過非對稱加密秘鑰，然後通(tō報線ng)過秘鑰對稱加密數據流，在确保業務正常的情況下，實歌子現安全的需求。針對******、去标識化操離人作可以通(tōng)過好(hǎo)幾處實現習車，可以通(tōng)過後端實現，也可以通(tōng)過前端實現，通(tōng)藍綠過後端實現時(shí)當數據從應用層往前端傳輸時(shí)就是去***市購***、去标識化的數據，甚至是在數據庫中就是******、去标識化的，而近和在前端實現，我們(men)可以在客戶端本地開(kāi)啟代理，直接可以獲放司得(de)明文的數據，從安全性來考慮肯定是後謝子端實現更安全。

我們(men)在做數據加密、******、去标識化時(shí)要考慮的重東書要一點就是業務是否支持，有些數據雖然是敏感數據，但服靜是以密文呈現時(shí)是無法進行正常業在一務的辦理和交互的，如(rú)果要實現正常藍刀業務辦理和交互，可能需要改變流程、規範，并且付出巨大(dà)的代價，在醫院以業算在務為(wèi)中心的情況下，個人覺得(de)短(duǎn喝物)期内很難很難實現，我個人在落地一個數據安全在地的産品時(shí)就提出了這樣一個問題，該産品邏輯串聯在數據庫客戶端好事和數據庫服務器(qì)之間實現數據庫字段了內的加密、******、去标識化操作，而我們(men)的 H訊到IS 業務每天都有大(dà)量的問題要處理，在處理快坐過程中需要通(tōng)過這些敏感的數據進行确認、判斷、修改，不(b和林ù)可能專門安排一個人每天在對字段做解密、加密的操作，還需要配合專門的草業流程來規範這個操作，在一個業務系統沒有穩定、技術人員輛你缺乏的情況下，這樣的功能很難落地，就算落地了也隻是很小的範圍，如數行(rú)何滿足二者需要靠廣大(dà)讀者來幫忙想想辦法了。

3 、 數據備份恢複

我問了很多醫院，大(dà)家(jiā)可能都爸物建立了容災環境，但是很少有醫院做容災測試，對于五學離級電子(zǐ)病曆的要求是每年至少一次的容災演練（還需要結合業務場景），每季我購度至少一次的數據全量恢複測試，一個沒有測試過的容災系統真的很難讓人相信在出問題道文的時(shí)候可以撐得(de)住真實業務，也許容災的切換過程門見沒有問題，但是容災的硬件資(zī)源、硬件配置、軟件調整等是否能讓用戶遠飛在較短(duǎn)的時(shí)間内進行邊便捷的切換操，五級熱影電子(zǐ)病曆對于數據丢失的要求比較松， 2 小時(s新銀hí)以内即可，但是醫院對于數據丢失是難以容忍的，對于信息化較長(cháng志河)時(shí)間都無法正常使用也是無法容忍的，我們(men)要盡可能做睡上到 RPO 、 RTO ***小化。

對于備份，我盡量做到 321 原則， 3 土金份數據、 2 種不(bù)同介質、 1 份存于異地，結合光很******點和第二點，我将數據存放于起碼 2 種不(bù)同物理設備上，存也白儲 3 份，再結合第三點将一份數據存儲于異地，兩份數據存于本少輛地。我們(men)醫院有兩個院區，兩院區直線公子熱裡數其實小于 40 ㎞ ， 而等保的異地要求是直線大(dà)于 100 ㎞相很 ， 對于沒有分院的小夥伴們(men)，其實我建議可以将另一份數據存到工舞異地雲上，***起碼在本地真的數據沒辦法恢複時(shí)中北還有一根救命稻草，雖然恢複的時(shí)間可能會(huì)長(ch分友áng)一點。我會(huì)将兩院區的數據做相互的音讀異地備份，盡可能提高數據備份的頻率，減少數據的村上丢失，核心業務系統采用實時(shí)備份或者容災的方式，兒報在使用較高頻率備份的情況下，我們(men)對于備份、容災的硬件就有一定的要求雜但，較差的 HDD 盤是無法支撐起大(dà)訊見數據量、高并發的備份任務，可能出現任務排隊，那就會(huì)電河得(de)不(bù)償失；在備份上我們(men)就出現過一個問題，之前工(愛又gōng)程師在配置 RMAN 備份保留的腳本操作是先删除原新美來的備份，在進行下一次備份，如(rú)果嗎快前一次備份删除了，後一次備份沒有成功，那就沒有了全量近我數據，這樣的備份是沒有意義的，大(dà)家(jiā)可以檢查下自己海廠的環境是否存在這樣的問題。

在備份的類型上，分為(wèi)物理備份和邏輯備份， 21 年我就子一聽到了别的醫院出現了 Oracle 的邏輯壞塊，出現壞你學塊後數據庫無法正常啟動，而容災系統通(tōng)過 Oracle D校器ata Guard 實現， DG 屬于物理塊同步，面對邏輯錯(cuò)誤不(音房bù)會(huì)校(xiào)驗，而直接将這個邏輯錯(cuò)誤同科理步給了容災庫，導緻容災庫也無法正常拉起，并且當時(shí)也沒有配置長(c雪舞háng)時(shí)間的閃回空間，導緻***後花(huā)了很大(dà費作)的代價才恢複了一部分丢失的數據，并且業務中斷了很久，可以通(tōng唱算)過 OGG 解決這個問題，并且 OGG 可少工以支持跨數據庫、操作系統類型之間的數據複制，新河但是配置難度比 DG 大(dà)了很多；另外的辦法數場是通(tōng)過 CDP 實現 IO 級别的備份，當出慢金現邏輯錯(cuò)誤數據庫無法正常使用的時(shí)候，內玩通(tōng)過 CDP 的 IO 回退到正常的時(shí)間點，微但當然中間丢失的數據需要人工(gōng)去彌舞日補，這樣通(tōng)過數據庫外部的方式解決數據風爸備份的問題。

4、個人信息保護

這兩點在《個人信息保護法》中也有明确提到，該法律中多次提到了收集個人信息站房要有“詢問 - 确認”的過程，并且在用戶不(bù)月上同意提供個人信息的情況下，不(bù)能拒******用戶提供服子黃務，隻收集必需的個人信息，要告知用戶收集每種類型個人信息的目的，告哥低知用戶如(rú)何處理、傳遞、使用個人信息。在疫情月村當下，全國的醫院都緊鑼密鼓的推廣互聯網醫院，意味着有一個面火筆向患者的醫院互聯網系統，患者可以直接面向這個綠有互聯網系統，那對系統的提交信息、問詢交互有了更直接的了解，我們(me話大n)在做互聯網系統的時(shí)候要結合《網絡安全法》、《數據安全法》和《個離哥人信息保護法》三駕馬車(chē)來嚴格要求開(kāi)人匠發時(shí)的安全需求，自從三部法律上台後有多少互聯網 APP 因不(人風bù)符合要求被責令整改、罰款、下架等，我們(men)也該引以為(wèi會離)戒。