安全資訊

   在等保2.0發(fā)布之前，醫療行業(yè)就已經(jīng)是等級保護測評的重點(diǎn)對象了。因為醫療數據量大，很早就是實(shí)現了系統化管理。因此，在等保1.0時(shí)代，如何做好信息系統安全防護就是醫院需要重點(diǎn)關(guān)注的。但是隨著(zhù)互聯(lián)網(wǎng)+的發(fā)展，醫療行業(yè)為了提供更便捷的就診服務(wù)，也開(kāi)始進(jìn)行互聯(lián)網(wǎng)的部分接入。而在開(kāi)放便捷的就業(yè)渠道的同時(shí)，也為黑客，以及一些不法分子提供了攻擊醫療網(wǎng)絡(luò )的渠道。因此，在等保2.0時(shí)代，醫療行業(yè)的測評對象也同樣需要進(jìn)行拓展，由原來(lái)的信息系統，拓展到新標準要求的測評范圍。等保2.0將云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統等新技術(shù)、新應用的場(chǎng)景列入標準范圍。但是由于醫療行業(yè)的行業(yè)特征和特殊性，因此，該如何開(kāi)展等級保護測評工作，還需要結合自身實(shí)際，進(jìn)行更為細致科學(xué)的調整。

首先，我們來(lái)了解醫療行業(yè)的等保測評工作要求的變化歷程：

2011年

國家衛健委《衛生行業(yè)信息安全等級保護工作的指導意見(jiàn)》規定了三級醫院重要業(yè)務(wù)系統(可由各省衛健委自己定義)必須通過(guò)等保三級測評，二級醫院重要業(yè)務(wù)系統必須通過(guò)等保二級測評;

2016年

國家衛健委《2016 三級綜合醫院評審標準考評辦法 ( 完整版 )》規定了重要業(yè)務(wù)系統必須達到等保三級標準才滿(mǎn)足三級醫院評審標準中對于網(wǎng)絡(luò )安全的要求;

2018年

國家衛健委《國家健康醫療大數據標準、安全和服務(wù)管理辦法(試行)》規定了承載健康醫療大數據的平臺必須通過(guò)等級保護(未規定級別)，一般引入大數據技術(shù)的醫院都是三級甲等醫院，基本以三級等保為主;

2019年

國家衛健委《互聯(lián)網(wǎng)醫院管理辦法(試行)》規定了承載互聯(lián)網(wǎng)醫院的平臺必須通過(guò)等保三級測評。

其次，目前醫療行業(yè)面臨那些網(wǎng)絡(luò )安全方面的威脅呢?

中國信息通信研究院等機構發(fā)布的《2019年健康醫療行業(yè)網(wǎng)絡(luò )安全觀(guān)測報告》，也同樣披露了目前網(wǎng)絡(luò )安全風(fēng)險集中的幾個(gè)表現:

第一是僵木蠕等問(wèn)題嚴峻,勒索病毒嚴重威脅醫療業(yè)務(wù)正常運行;

第二是數據泄露事件高發(fā)，應用服務(wù)軟件存在較多安全隱患;

第三是醫療行業(yè)的網(wǎng)站同政府網(wǎng)站、教育機構網(wǎng)站等都是境外機構的重點(diǎn)攻擊對象，且網(wǎng)站篡改手法多變。

再者，醫療行業(yè)有很多醫院還沒(méi)有通過(guò)等級保護測評

中國醫院協(xié)會(huì )信息專(zhuān)業(yè)委員會(huì )(CHIMA)在去年發(fā)布了《2017-2018年度中國醫院信息化狀況調查報告》，其中對醫院實(shí)施等級保護情況做了專(zhuān)門(mén)章節介紹。據了解，在484家樣本醫院中，36.16%的醫院通過(guò)了等保測評。

其中，三級醫院實(shí)施等保工作情況明顯好于三級以下醫院，經(jīng)濟發(fā)達地區實(shí)施等保工作的比例高于中等發(fā)達地區和經(jīng)濟欠發(fā)達地區。

根據CHIMA發(fā)布的信息，日前在CHIMA組織的醫院網(wǎng)絡(luò )安全技術(shù)培訓班上，北京市衛生計生委信息中心副主任鄭攀介紹了北京市醫療行業(yè)等級保護情況。

我國醫院現有的安全保障體系尚處于初步建設階段，尚不足以應對當前網(wǎng)絡(luò )安全威脅，行業(yè)整體網(wǎng)絡(luò )安全保障水平亟需提升。

最后，該如何開(kāi)展等保測評工作呢?看看醫療行業(yè)的管理者怎么說(shuō)。

安全就是‘三分技術(shù)、七分管理’，不是投入一堆硬件就安全了。很多高分通過(guò)等保三級的醫院后來(lái)還是出現了安全問(wèn)題，所以管理一定要跟得上。”該院后續還將參考等保2.0標準，結合醫院實(shí)際情況，有選擇性地采取更多安全措施。( 據介紹，新疆人民醫院于2017年開(kāi)始啟動(dòng)等保3級，經(jīng)過(guò)一年多的建設，在2018年順利通過(guò)測評。)

指出：醫院在開(kāi)展網(wǎng)絡(luò )安全建設時(shí)可以遵循兩個(gè)原則：

一是醫院的信息系統不會(huì )因為硬件障而停運;

二是一定要對核心數據進(jìn)行安全有效的備份。

深圳南山醫院網(wǎng)絡(luò )技術(shù)科主任表示，在國家出臺網(wǎng)絡(luò )安全等級保護2.0標準的背景下，醫院上云更加需要一種審慎的態(tài)度。尤其在選擇云端安全產(chǎn)品時(shí)，一定要提前考慮等保2.0標準的要求，這也是上云必須要解決的問(wèn)題。

其外， 結合行業(yè)現狀和新標準要求，對醫療機構開(kāi)展網(wǎng)絡(luò )安全等級保護工作提出了五點(diǎn)建議。

第一，合理開(kāi)展新業(yè)務(wù)系統及平臺的定級備案工作，如醫療大數據平臺、互聯(lián)網(wǎng)醫療平臺等。院內如HIS、EMR等還未開(kāi)展定級備案工作的傳統核心業(yè)務(wù)系統，也需要加快等保建設步伐。

第二，在等保建設中嘗試采用新技術(shù)新手段加強醫院的安全技術(shù)防護和態(tài)勢感知建設，以防范特種木馬或新型網(wǎng)絡(luò )攻擊。

第三，加強日常安全運維，引入可視化、統一運維等創(chuàng )新技術(shù)，讓安全管理和運維更簡(jiǎn)單并且更加有效。

第四，加強主動(dòng)防御能力，并通過(guò)全方位、多視角的風(fēng)險分析，完善醫院網(wǎng)絡(luò )安全建設短板。從而降低安全風(fēng)險，提高信息系統健壯性。

第五，適當選擇安全廠(chǎng)商提供的安全服務(wù)，彌補醫院專(zhuān)業(yè)安全技術(shù)人員不足。最大程度減少因網(wǎng)絡(luò )安全事件所帶來(lái)的醫院運營(yíng)中斷以及管理成本增加的風(fēng)險。

總而言之，開(kāi)展醫療行業(yè)的等保測評以及加固網(wǎng)絡(luò )安全等工作，需要參照等保2.0的標準開(kāi)展。需要加強技術(shù)和管理的結合，從內部網(wǎng)絡(luò )安全防護做起，提高醫護人員和醫療信息系統操作人員的網(wǎng)絡(luò )安全意識和網(wǎng)絡(luò )安全技術(shù)。同時(shí)通過(guò)提升網(wǎng)絡(luò )安全技術(shù)和網(wǎng)絡(luò )安全設備檢測能力，增強防御外界攻擊的能力。其外，引進(jìn)網(wǎng)絡(luò )安全人才或者尋找安全服務(wù)商合作，是加強醫院自身的網(wǎng)絡(luò )安全防護能力的非常關(guān)鍵。做好安全防護基礎工作，是順利通過(guò)等級保護測評的基礎，專(zhuān)業(yè)的測評機構/安全服務(wù)商的專(zhuān)業(yè)指導能夠加快等級保護測評的進(jìn)程。