信息安全等级保护2.0即将来临 医院运维人员是如何看待呢

　　2019年后半年准备实施信息安全等级保护2.0，对等级保护2.0，对于信息机房提了不少需求，所以作为医院运维人员来说，我们也深深感受到信息安全重要性，我看了技术要求，也提出几点自己看法。

　　在跟进传统机房建设过程中，从等级保护1.0到现在2.0来看，国家对新生大数据，云计算提了不少要求，我们也发现现在信息发展迅速，安全成了最重要一环，我们在医疗行业，我们要保证医院业务系统稳定运作，同时也要保证数据完整，数据保密以及信息安全。从标准来看，三级等保要求提了很多我们面临风险。

　　一、物理安全

　　我们要考虑机房选址，不能在地下室或者顶层，因为顶层可能会漏水，地下室会回潮，如果要建设，就必须做好这类风险防御工作。要具备门禁系统，还要对进出人员识别，也就是说不单纯是门禁系统，你还得具备防盗报警系统。要安装防雷保安器;分区域管理，区域之间要有隔离防火;防静电措施之外，对于设备你要配置防静电手环等等;电力方面也增强了，需要冗余;有些关键设备还得电磁防护等。所以说机房物理安全性是加强。

　　二、网络安全

　　网络安全，对于架构来说，要满足医院高峰期业务处理能力和带宽，所以对医院这么庞大业务信息，网络架构需要升级。线路上也要做冗余，我们在运维发现，一旦汇聚主干线出现故障，就全面瘫痪，因此在这块也加强线路冗余。传输过程数据加密以及可信验证。在边界防护上，也会加强非授权设备限制，内部用户非法访问行为限制等等。对于数据访问也上升协议限制;网络入侵防范也作出相关要求。

　　三、主机安全、应用安全

　　这些安全性，也加强安全计算环境，通过身份鉴别、访问控制、入侵防范、恶意代码、可信验证、数据完整性等等，进行相关防范管理。

　　四、数据安全及备份恢复

　　信息安全，更重要是数据能否安全，我们数据对于医院来说是非常宝贵的，因此在这块备份恢复措施，目的就需要保证我们数据安全。因此我们要求数据要实时备份，重要数据还需要热冗余，可见，我们不单纯备份策略，还得升级备份措施。避免数据修改，关键参数需在线更新。

　　五、安全管理制度、机构、人员安全、系统建设以及运维管理

　　除了我们防御，我觉得2.0更偏重信息安全管理，网络和系统安全管理制度不单纯是安全策略、配置管理、日常操作、账户管理、日志管理、口令更新周期、升级补丁，还必须要有安全事件处置制度，我们可疑事件上报流程等等，另一方面，也强调了信息安全管理专职人员，不可兼任，突出专人管理，加强安全管理制度有效实施，在机构上配置人员，必须具备系统管理员、审计人员以及安全员等。对于人员离岗，都要形成制度，恰恰是我们忽视安全点，人员安全管理必须签订相关保密协议，关键岗位设置责任协议，离任办理严格离岗手续，保密义务等等，对于隐蔽检查点都要提供维修工具，巡检报告、维护记录等等，可见安全管理制度更加严格。

　　从等级2.0标准来看，我们也认识到安全重要性，以往我们测评关心防御体系建设，现在不单是做好防御体系，更需要安全管理持续性。