ICS 35.020 CCS L 70 33 浙江省 地 方 标 准 DB33/T 1371 2024 基于云计 算的医院 信息系统 安全规范 Security specification for hospital information system based on cloud computing 2024-03-23 发布 2024-04-23 实施 浙 江 省 市 场 监 督 管 理 局 发布 DB33/T 1371 2024 I 前 言 本标准 按照GB/T 1.1 2020 标 准化 工作 导则 第1 部分：标准 化文 件的 结构 和起草 规则 的 规定起草。请注意 本标 准中 的某 些内 容可能 涉及 专利。本 标准 的发布 机构 不承 担识 别专 利的责 任。本标准 由浙 江省 卫生 健康 委员会 提出、归 口并 组织 实施。本标准 起草 单位：浙 江省 卫生健 康信 息中 心、阿里 巴巴（中国）有 限公 司、浙江大 学医 学院 附 属 第一医院、来 未来 科技（浙江）有 限公 司、煕 牛医 疗 科技（浙江）有限 公司、国家计 算机 网络 应急 技术 处理协调 中心。本标准 主要 起草 人：白晓 媛、郭 一、朱红 儒、周敏、沈杰、墙 辉、朱顺 炎、叶林、金震、于 小博、王文磊。DB33/T 1371 2024 1 基 于云计 算 的医院 信息系 统安全规 范 1 范围 本标准 规定 了基 于云 计算 的医院 信息 系统 的 系 统接 入安全、系统 应用 安全、云 计算安 全、外 联接 口安全和 数据 安全 等。本标准 适用 于基 于云 计算 的医院 信息 系统 的安 全建 设，也 适用 于对 基于 云计 算 的医院 信息 系统 安 全架构进 行评 估。2 规范性 引用 文件 下列文 件中 的内 容通 过文 中的规 范性 引用 而构 成本 标准必 不可 少的 条款。其 中，注日 期的 引用 文件，仅该日 期对 应的 版本 适用 于本标 准；不注 日期 的引 用文件，其 最新 版本（包 括所有 的修 改单）适 用 于 本标准。GB/T 22239 2019 信息 安全技 术 网络 安全 等级 保护基 本要 求 GB/T 35273 2020 信息 安全技 术 个人 信息 安全 规范 GB/T 39725 2020 信息 安全技 术 健康 医疗 数据 安全指 南 3 术语和 定义 下列术 语和 定义 适用 于本 标准。3.1 医 院信 息系 统 hospital information system 医院医 疗管 理相 关活 动中 进行信 息管 理和 联机 操作 的计算 机应 用系 统。3.2 云计算 cloud computing 通过网 络访 问可 扩展 的、灵活的 物理 或虚 拟共 享资 源池，并按 需自 助获 取和 管理资 源的 模式。3.3 容器 container 提供资 源隔 离、资源 控制 和程序 可移 植运 行的 环境。3.4 微服务 micro service 将应用 程序 构建 为松 散耦 合服务 集合 的小 型可 组合 逻辑单 元。4 缩略语 下列缩 略语 适用 于本 标准。DB33/T 1371 2024 2 API：应用 程序 编程 接口（application programming interface）APP：应用 程序（application）CPU：中央 处理 器（central processing unit）HIS：医院 信息 系统（hospital information system）HTTPS：超文 本 传输 安全 协 议（hypertext transfer protocol over secure socket layer）IP：互 联网 协议（internet protocol）SQL：结构 化查 询语 言（structured query language）5 总体架 构 基于云 计算 的HIS 架 构参 见 附录A，主 要包 括系 统接 入、系统 应用、云 计算 平台、外联接 口和 系统 运营审计，其 中系 统运 营审 计功能 参见 附录B。6 系统接 入安 全 APP、网页、小 程序 等系 统 接入客 户端 应按 照如 下方 式确保 接入 安全：a)与服务 器端 进行 通信 时：1)采用HTTPS 等安 全通 信协 议；2)不应故意 留 有或 设置 后门。b)采用技 术措 施，防范 攻击 者对客 户端 进行 调试、分 析和篡 改。c)认证模 块：1)应采用 防暴 力破 解机 制，如在多 次连 续尝 试登 录失 败后锁 定账 号、IP 地址 等；2)应进行 签名，识 别客 户端 的来源；3)使用密 码登 录时，不 应使 用空口 令或 弱口 令，口令 输入框 不支 持拷 贝粘 贴功 能 等。d)上传服 务器 时：1)应对上 传的 文件 大小 和类 型进行 限定；2)不应包 含危 害国 家安 全、个人隐 私等 内容 的各 类违 法信息。7 系统应 用安 全 7.1 基本要 求 系统应 用安 全应 符合GB/T 22239 2019 中8.1的 安全 要求。7.2 身份鉴 别 7.2.1 应对 本地 与远程 会 诊等各 种医疗 场景 下的医 务工作 者进行 身份 鉴别，包括但 不限于 数字 证书、生物特 征识 别等 方式。7.2.2 应对 患者 进行身 份 鉴别，包括但 不限 于身份 证、社 保卡、医保 电子凭 证等为 介质的 身份 鉴别 技术。7.2.3 应 为首 次注 册的 用 户账号 关联 实名 制手 机号，后通 过实 名制 手机 号登 录，发 送手 机验 证码。7.2.4 应 在便 民服 务场 景 下，提 供安 全可 靠的 子女 代 替年老 父母、监 护人 代替 未 成年人 查询 信息 功能，包括但 不限 于账 号绑 定子 女/监 护人 手机 号、限制 子 女/监 护人 手机 号可 绑定 账 号数量、上 传身 份证 或户DB33/T 1371 2024 3 口本扫 描件/系 统后 台认 证 完成身 份鉴 别等。7.2.5 应 提供 账号 的解 绑 与重认 证功 能。7.3 访问控 制 应设置 以下 功能：a)系统无 操作 一定 时间 后，自动锁 定；b)设置多 点登 录安 全管 理规 则：如果 判定 存在 多点 登 录且发 生冲 突的 前一 登录 未失效，应向 前 一登录设 备推 送异 地登 录通 知，并 强制 下线；c)设置同 时登 录不 同医 院子 系统的 能力，如 同时 登录 中心药 房和 静配 药房；d)具备权限 授予 和 收回 功能，如医院 教学 时涉 及医 疗 数据访 问权 限，在 进行 流 程审批 后向 受教 学员开放，并 在教 学完 成后 回收；e)应对系 统资 源进 行分 级管 理，防止 未授 权用 户接 入 医院计 算机 网络 及访 问网 络中的 资源，如 医保字典、医 疗综 合收 费标 准字典 等，除规 定人 员外，其他 用户 仅有 查询 功能。7.4 安全审 计 7.4.1 应 对用 户行 为进 行 日志记 录，日志 记录 内容 宜 包括操 作时 间、操作 账号、客户 端 IP、服务 器 IP、操作类 型、操作 名称、操 作内容 等信 息。7.4.2 应 对重 要医 疗场 景 进行日 志记 录，如双 向转 诊的患 者记 录、远程 会诊 的过程 以及 诊断 结果 等。7.4.3 宜 对后 勤、人力、教学、科研 等功 能使 用情 况进行 日志 记录。示例：对教学中所使用医疗数 据的权限开放以及回收情况等 的日志记录。8 云计算 安全 8.1 基本要 求 云计算 平台 应具 备 访 问控 制、入侵 防范、数据 加密、数据备 份恢 复 等 功能，应 符合GB/T 22239 2019中8.1、8.2 中规 定的 安全 要求。8.2 云数据 库安 全要 求 8.2.1 应 支持 对数 据库 的 读写操 作进 行独 立授 权。8.2.2 访 问控 制应 达到 数 据库表、视 图、字段 级别。8.2.3 网 络隔 离和 网络 安 全访问 控制 应支 持 IP 白名单。8.2.4 应 具备 透明 数据 加 密 功能。8.2.5 应 提供 密钥 管理 功 能，包 括密 钥的 生命 周期 管理。8.2.6 应 提供 数据 库日 志 审计功 能。8.3 云存储 安全 要求 8.3.1 应 支持 数据 完整 性 校验。8.3.2 应 支持 存储 数据 的 加密检 索功 能。8.3.3 应 支持 对象 级别 的 数据加 密，并且 在访 问这 些数据 时自 动解 密。8.3.4 应 支持 对读 写操 作 进行独 立授 权。DB33/T 1371 2024 4 8.4 容器安 全要 求 8.4.1 容 器软 件仓 库应 公 开可信。8.4.2 容 器镜 像中 的软 件 模块应 没有 已知 和公 开的 漏洞。8.4.3 应 设置 单一 容器 对 共享硬 件资 源的 使用 量。8.5 微服务 安全 要求 8.5.1 应对 重要 微服务 的 接口调 用进行 权限 控制，包括但 不限于 门诊 预约、挂号收 费、检 查检 验、住院管理、入 出单 据、病案 管理等。8.5.2 应 提供 基于 用户 身 份的授 权。8.5.3 应 对微 服务 通信 进 行加密。8.5.4 当 设置 边界 网关 时：a)应在边 界网 关内 为需 要进 行声 明 的微 服务 获取 对应 的 API；b)边界网 关应 对用 户身 份进 行验证。9 外联接 口安 全 9.1 HIS 网 络与 专有 网络 之间 9.1.1 HIS 网络 与专 有网 络之间 应通 过专 线连 接，包括 HIS 系 统与 医保 系统、各类 卫生 健康 业务 系 统之间的 连接。9.1.2 当HIS 网络 与专 有 网络连 接时 设置 有 服 务器 或前置 机，服务 器或 前置 机不应 与 互 联网 互通。9.2 HIS 网 络与 公有 网络 之间 9.2.1 HIS 网络 与公 有网 络之间 的连 接包 括HIS 系 统 与在线 支付 系统、“互联 网+医疗 健 康”应用、商 保系统等，之 间的 连接 应部 署网络 防火 墙。9.2.2 对 互联 网开 放的 应 用接口，应 做身 份验 证和 访问权 限控 制。9.2.3 应 对访问HIS 的外 部请求 的IP 和端 口 进 行限 制。10 数据安 全 10.1 基本要 求 10.1.1 基 于 云 计 算的HIS 的 个 人 信 息 处 理活 动 应 符合GB/T 35273 2020 中第5章至第11 章 中 规定 的 内容。10.1.2 应 对医 疗健 康数 据进行 分类 分级，对 不同 级别和 类型 的数 据设 置权 限控制。数 据分 类 分 级 及 安全措施 应按照 GB/T 39725 2020 中第 6 章和 第 8 章 的要求。10.2 数据传 输 应对涉 及医 院就 诊、健康 传感、移动 应用、患 者信 息査询、跨 安全 域数 据传 输同步 等内 部应 用，远程医疗、商 保对 接、临床 研究等 外部 应用 的数 据传 输通道 进行 安全 加密：a)应使用 安全 的加 密算 法，如 3.0 以上 版本 的 SSL 协 议等；b)不应使 用已 被公 开破 解的 算法。DB33/T 1371 2024 5 10.3 数据使 用 10.3.1 在 对患 者健 康医 疗数据 进行 展示 时，应 在 不影响 相关 业务 开展 的情 况下，采 取脱 敏、去 标识 化处理等 措施。在 数据 发布 和共享 场景 下，应对 数据 进行脱 敏以 及去 标识 化处 理。示例 1：患者的姓名在叫号屏 进行去标识化显示，将姓名中的一个字用*替代。示例 2：患者的诊断信息，医 生医嘱界面可以看到，在病床床边信息屏上不可显示。10.3.2 应 保证 电子 病历 的真实 性和 完整 性。DB33/T 1371 2024 6 附 录 A（资料 性）基于云 计算 的 HIS 架构 A.1 概述 本标准 所述 基于 云计 算的HIS 架构 见图A.1，主 要包 括 系统接 入、系统 应用、云 计算平 台、外联 接口和系统 运营 审计。A.2 主要 功能 基于云 计算 的HIS 架 构主 要 功能包 括但 不限 于下 列部 分。a)系统接 入提 供医 生、患者 或系统 管理 员使 用HIS 的 渠 道，包 括APP、网页、小 程 序等方 式。b)系统应 用提供HIS的 核心 功 能，包 括医疗 服务、医疗 管理、医疗协 同、运营管 理、后 勤管理、人力资 源、科研 管理、教 学管理、便 民服 务等 应用 功能，具体 参见 全 国医 院信息 化建 设 标 准与规范（试 行）。c)云计算 平台 提供HIS 应用 的 基础设 施支 撑，包括 云主 机、云 数据 库、云 存储、容 器、微 服务 等。主要功 能包 括但 不限 于：1)云主机：整合 计算、存 储 与网络 资源 的 信 息技 术 基 础设施 能力 租用 服 务，提 供基于 云计 算模式的 按需 使用 和按 需付 费能力 的服 务器 租用 服务；2)云数据 库：部署 和虚 拟化 在云计 算环 境中 的数 据库，具有 高可 扩展 性、高可 用性等 特点；3)云存储：将 网络 中大 量不 同类型 的存 储设 备通 过应 用软件 集合 起来 协同 工作，共同 提 供 数据存储 和业 务访 问功 能；4)容器：一 个软 件的 轻量 级 独立可 执行 软件 包，包 含 完整的 运行 时环 境，可 以 消除系 统运 行环境的 差异，并 且高 效利 用 CPU 和内 存等 资源；5)微服务：每个 微服 务完 成 一个 特 定的 业务 功能，各 个微服 务独 立部 署，可 提 高云计 算平 台资源利 用率。d)外联接 口主 要包 括与 外部 在线支 付系 统、医保 系统、各类 卫健 采集 系统 等的 互联互 通。e)系统运 营审计 为可 选系统 模块，主要用 于监 控HIS 系 统运行 状况、网络 流量、用户行 为等，并对异常 事件 进行 处置，具 体功能 见附 录B。图A.1 基 于云 计算 的HIS 架构 DB33/T 1371 2024 7 附 录 B（资料 性）系统运 营审 计 B.1 概述 系统运 营审计 主要 实现对HIS 系统 各类运 行活 动、安 全事件 的有效 的证 据收集、监控 分析和 检查 验证。主 要功 能包 括：业务 系统运 营审 计、云计 算平 台运营 审计 和安 全事 件运 营审计。B.2 通用 功能 系统运 营审 计通 用功 能如 下：a)支持对 系统 应用 日志 记录、云计 算平 台日 志记 录的 导入和 识别；b)追踪异 常行 为，包括 异常 的源头 和访 问轨 迹；c)异常行 为达 到一 定级 别以 后能够 启动 权限 锁定 功能，并能 够触 发告 警；d)告警方 式包 括手 机短 信和 邮件等,告 警内 容包 括异 常 行为的 用户 账号、时 间、IP 地址 等。B.3 业务 系统 运营 审计 针对业 务系 统的 运营 审计 功能 如 下：a)对特权 账户、待离 职账 户 等特定 账户 的系 统日 常操 作 记录、对个 人信 息 等 敏 感数据 访问 和操 作进行监 控，实 现对 敏感 数 据异常 访问 和操 作进 行告 警，通过 自动 平台 和人 工 审计相 结合 的方 法或手段 对敏 感数 据的 高风 险操作 进行 监控，高 风险 操作包 含 流 量异 常 的 数据 访问、批量 查询、拷贝、导入 导出、外 发、删除等；注：系统日常操作记录包括登 陆账号、IP 地址、时间等。b)审计记 录包 括事 件的 日期 和时间、用 户、事件 类型 及其他 与审 计相 关的 信息；c)对审计 记录 进行 安全 存储，相关 操作 日志 保存 周期 至少为6个月 d)对审计 记录 进行 访问 控制，支 持只 允许 授权 人员 查 看相关 记录，防止 非授 权 访问、篡 改或 删除审计记 录；e)建立涵 盖云 计算 平台 及HIS 系统服 务端、客 户端 的敏 感数据 全链 路安 全监 控审 计平台，对 组 织内涉及 敏感 数据 的网 络、系统、应 用等 进行 监控 和 审计，通 过定 义监 控规 则 实现风 险识 别与 预警，实 现数 据全 生命 周期 各阶段 的安 全风 险防 控。B.4 云计 算平 台运 营审 计 针对云 计算 平台 的运 营审 计功能 如下：a)对云计 算平 台的 用户 登录 和操作 行为 进行 日志 记录，并生 成审 计报 表；b)数据库 审计 基 于数 据库操 作语句 进行，如 分 析项包 括SQL语 句、捕获时 间、数 据库用 户、客 户端IP、执行结 果、影响行 数等信 息。在 语句 详情页 面查看 该SQL 语句的 相关 信 息，包 括访问 来源、应 用身 份、SQL 语句、受影响 对象 等；c)数据库 审计 实施 配置 审计 策略，如对 时间、发 起者、对象、命 令、结果 等参 数设置 审计 规则。DB33/T 1371 2024 8 B.5 安全 事件 运营 审计 针对安 全事 件的 运营 审计 功能如 下：a)对医院 信息 系统 发生 的安 全事件 进行 记录；b)对安全 事件 的修 复、修复 方案等 进行 记录。