2023年醫院新興技術創新應用典型案例征集活動經行業專家背靠背盲審以及終審，共選出24篇典型案例，將陸續刊登出來，以饗讀者。

1 項目申報單位簡介

　　天津市疾病預防控制中心是天津市政府舉辦的實施全市疾病預防控制與公共衛生技術管理和服務的公益事業單位，是天津市衛生安全體系的重要組成部分。在市政府和衛生行政等相關部門領導下，天津市疾病預防控制中心承擔著政府公共服務任務，是國家疾病預防控制體系樞紐，負責對區級疾病預防控制機構的業務管理、技術指導、科研培訓、質量控制和績效考核，以及對醫療機構公共衛生工作的業務管理、技術指導和績效考核。

2 項目具體內容

　　(1)解決問題

　　天津市傳染病信息系統是在國家全民健康信息規劃的總體指導下，提供全市疫情數據的監測、管理、分析預警的重要支撐系統。系統按照應用服務器、交換服務器、數據庫服務器三層架構部署在天津市政務云平臺(紫光云)。同時，系統與國家疾控中心實現實時數據同步，以滿足統計、簡報及預警系統中對業務數據的要求，逐步與各區衛生健康委、醫療機構和其他相關機構的信息平臺實現互聯互通、業務協同。該系統承載著全市2004年至今的傳染病報告的數據，涉及近180萬條個人信息，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害公共利益和社會秩序，經專家和主管部門認定為等級保護三級。

　　(2)解決方案

　　依據國家法律法規、標準制度對天津市傳染病信息系統進行全視角的安全設計和應用實踐。采用集約化思想，依托政務資源，通過制訂相關安全策略，首次嘗試利用國產操作系統適配國產網絡安全設備，通過相關網絡設備和系統的部署，實現傳染病信息系統的安全管理，有效地保障信息系統安全。

　　順應國家網絡安全戰略和新基建的建設趨勢，強化系統保障，滿足天津市各級醫療衛生機構網絡直報用戶安全使用國家疾控信息系統和天津市傳染病信息系統，達到網絡安全等級保護三級的相關要求，為醫療衛生機構提供更完善、更安全、更及時的服務保障。

　　(3)建設內容

　　對本系統進行了全視角的安全設計與實踐。按照網絡安全等級保護三級基本要求、云擴展要求進行綜合設計，制定相關安全策略，部署云數據庫審計、云堡壘、云漏洞掃描、云防火墻、云安全管理平臺、虛擬化數據防泄漏、數據備份等系統，實現對天津市傳染病信息系統云上的安全管理;利用全市已搭建的疾病預防控制安全專網和數字認證技術對系統用戶身份進行識別與鎖定管理，基于數字證書認證登錄方式，通過“一人一證”實現系統雙因子認證，保證傳輸鏈路和用戶認證安全;每年定期組織網絡安全培訓，針對全員開展網絡安全教育，內部運維人員全部持證上崗，按照國家相關標準，定期開展安全風險評估和網絡安全攻防與應急演練;建立全周期的數據安全技術防護措施，對傳染病信息系統數據進行分類分級，通過管理與技術相結合的方式，保障數據采集、傳輸、存儲、交換、運維的各個環節;傳染病信息系統所涉及的相關密碼算法符合國家相關標準，并按國家要求定期更新，保證密鑰使用的安全性，符合商用密碼安全性測評的要求。

　　(4)建設期限及投資情況

　　該項目歷時三年，總投資約830萬用于網絡安全相關建設。

　　(5)硬件保障情況

　　在中心本部部署了防火墻、上網行為、終端安全管理、數據庫審計、堡壘機、態勢感知、CA認證、Web應用防火墻、網關運維平臺、VPN等系統，在天津市政務云平臺的云環境部署了云數據庫審計、云堡壘、云漏洞掃描、云防火墻、云安全管理平臺、虛擬化數據防泄漏、數據備份等系統。

　　(6)項目效果

　　通過項目實施，進一步加強網絡安全、數據安全的常態化管理意識和運維理念;建立健全一套行之有效的網絡安全、數據安全的保障體系和制度體系;打造一支滿足疾控信息化建設的網絡安全保障隊伍，有效避免由于系統遭到破壞、喪失功能或者數據泄露，造成的嚴重危害公共利益和社會秩序事件的發生。

3 技術特點及成果產出

　　(1)技術特點

　　按照“同步規劃、同步建設、同步使用”的三同步原則，協調安全與信息化發展的深度融合，指導安全保障措施的規劃及應用實踐。在網絡安全保障體系方面，基于業內最佳實踐“預警、防護、監測、響應”的安全閉環方法論、“一個中心、三重防護”的技術理念，結合傳染病信息系統的業務特點，在完成網絡安全等級保護三級基本要求建設的基礎上，從安全人員配置、資產安全管理、安全管理制度、網絡安全監測、風險評估、應急演練等多個維度實行重點防護，以履行重要系統運營者的網絡安全義務。

　　采用集約化思想，依托政務資源，通過制訂相關安全策略，首次嘗試利用國產操作系統適配國產網絡安全設備，通過部署云數據庫審計、云堡壘、云漏洞掃描、云防火墻、云安全管理平臺、虛擬化數據防泄漏、數據備份等國產化安全設備和安全系統(如圖1所示)，實現對傳染病信息系統云上的安全管理;利用全市疾控安全專網和數字認證技術對系統用戶身份進行識別，通過“一人一證”實現系統雙因子認證，保證傳輸鏈路和用戶認證安全;定期組織網絡安全培訓，開展安全風險評估和網絡安全攻防與應急演練;建立全周期的數據安全技術防護措施，保障數據采集、傳輸、存儲、交換、運維的各個環節;符合商用密碼安全性測評的要求。

圖1 政務云安全設備部署情況

　　(2)成果產出

　　目前共有天津市科技成果1項和天津市地方標準1項，發表核心期刊論文5篇，信息技術與標準化論文1篇。

4 項目應用推廣情況

　　通過項目的實施，構建全面覆蓋網絡安全、數據安全、個人信息安全的安全能力，保障全市500余家網絡直報單位的1700余用戶安全使用，實現了傳染病信息報告的全流程的實時追蹤和責任追蹤，全面符合國家、行業安全標準規范要求。通過開展網絡安全、數據安全保障體系建設，可有效抵御高級網絡攻擊，減少因網絡安全事件帶來的經濟損失。順應國家網絡安全、數據安全國家戰略和新基建的建設趨勢，強化系統保障的同時，為公共衛生、醫療機構提供更完善、更安全、更及時的服務保障。

　　在公安部、天津市委網信辦、天津市公安局、天津市衛生健康委網絡安全檢查中獲得好評。在天津市2021年網絡安全攻防實戰演習中獲得“優秀防守單位”稱號。在國家疾控局2022年網絡安全和信息化年會上做經驗介紹，將經驗與其他單位進行交流分享，更加有效防范衛生健康系統網絡安全事件發生和可能對社會秩序造成的不良影響以及對公眾利益的損害，共同促進行業網絡安全健康快速發展。

5 項目未來前景

　　通過天津市傳染病信息系統全視角的安全設計與實踐，建立健全了一套行之有效的網絡安全、數據安全保障體系和制度體系，為同行業醫療衛生機構網絡安全和數據安全建設提供寶貴經驗。目前正在積極爭取財政支持，加強密碼改造項目建設，進一步完善數據分級分類標準，加強數據安全防護，確保系統密碼應用滿足商用密碼應用安全評估要求，實現重要數據的合規合法應用，保障系統業務開展的安全性、合法合規性。依托政務資源構建系統數據安全的全生命周期的網絡安全與數據安全保障體系。

　　申報單位：

　　天津市疾病預防控制中心

　　技術方向：

　　智慧醫療服務

　　業務領域：

　　網絡安全