医疗行业在等保2.0时代,该如何开展等级保护测评工作

2019-08-27 13:52:01 万方科技 38

  在等保2.0发布之前,医疗行业就已经是等级保护测评的重点对象了。因为医疗数据量大,很早就是实现了系统化管理。因此,在等保1.0时代,如何做好信息系统安全防护就是医院需要重点关注的。但是随着互联网+的发展,医疗行业为了提供更便捷的就诊服务,也开始进行互联网的部分接入。而在开放便捷的就业渠道的同时,也为黑客,以及一些不法分子提供了攻击医疗网络的渠道。因此,在等保2.0时代,医疗行业的测评对象也同样需要进行拓展,由原来的信息系统,拓展到新标准要求的测评范围。等保2.0将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。但是由于医疗行业的行业特征和特殊性,因此,该如何开展等级保护测评工作,还需要结合自身实际,进行更为细致科学的调整。

  首先,我们来了解医疗行业的等保测评工作要求的变化历程:

  2011年

  国家卫健委《卫生行业信息安全等级保护工作的指导意见》规定了三级医院重要业务系统(可由各省卫健委自己定义)必须通过等保三级测评,二级医院重要业务系统必须通过等保二级测评;

  2016年

  国家卫健委《2016 三级综合医院评审标准考评办法 ( 完整版 )》规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求;

  2018年

  国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定了承载健康医疗大数据的平台必须通过等级保护(未规定级别),一般引入大数据技术的医院都是三级甲等医院,基本以三级等保为主;

  2018年

  国家卫健委《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须通过等保三级测评

  其次,目前医疗行业面临那些网络安全方面的威胁呢?

  中国信息通信研究院等机构发布的《2019年健康医疗行业网络安全观测报告》,也同样披露了目前网络安全风险集中的几个表现:

  第一是僵木蠕等问题严峻,勒索病毒严重威胁医疗业务正常运行;

  第二是数据泄露事件高发,应用服务软件存在较多安全隐患;

  第三是医疗行业的网站同政府网站、教育机构网站等都是境外机构的重点攻击对象,且网站篡改手法多变。

  再者,医疗行业有很多医院还没有通过等级保护测评

  中国医院协会信息专业委员会(CHIMA)在去年发布了《2017-2018年度中国医院信息化状况调查报告》,其中对医院实施等级保护情况做了专门章节介绍。据了解,在484家样本医院中,36.16%的医院通过了等保测评。

  其中,三级医院实施等保工作情况明显好于三级以下医院,经济发达地区实施等保工作的比例高于中等发达地区和经济欠发达地区。

  根据CHIMA发布的信息,日前在CHIMA组织的医院网络安全技术培训班上,北京市卫生计生委信息中心副主任郑攀介绍了北京市医疗行业等级保护情况。

  郑攀副主任认为,我国医院现有的安全保障体系尚处于初步建设阶段,尚不足以应对当前网络安全威胁,行业整体网络安全保障水平亟需提升。

  最后,该如何开展等保测评工作呢?看看医疗行业的管理者怎么说。

  安全就是‘三分技术、七分管理’,不是投入一堆硬件就安全了。很多高分通过等保三级的医院后来还是出现了安全问题,所以管理一定要跟得上。”彭建明主任说,该院后续还将参考等保2.0标准,结合医院实际情况,有选择性地采取更多安全措施。( 据彭建明主任介绍,新疆人民医院于2017年开始启动等保3级,经过一年多的建设,在2018年顺利通过测评。)

  彭建明主任还指出:医院在开展网络安全建设时可以遵循两个原则:一是医院的信息系统不会因为硬件障而停运;二是一定要对核心数据进行安全有效的备份。

  深圳南山医院网络技术科主任朱岁松表示,在国家出台网络安全等级保护2.0标准的背景下,医院上云更加需要一种审慎的态度。尤其在选择云端安全产品时,一定要提前考虑等保2.0标准的要求,这也是上云必须要解决的问题。

  其外, 结合行业现状和新标准要求,钟一鸣对医疗机构开展网络安全等级保护工作提出了五点建议。

  第一,合理开展新业务系统及平台的定级备案工作,如医疗大数据平台、互联网医疗平台等。院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统,也需要加快等保建设步伐。

  第二,在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击。

  第三,加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单并且更加有效。

  第四,加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板。从而降低安全风险,提高信息系统健壮性。

  第五,适当选择安全厂商提供的安全服务,弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。

  总而言之,开展医疗行业的等保测评以及加固网络安全等工作,需要参照等保2.0的标准开展。需要加强技术和管理的结合,从内部网络安全防护做起,提高医护人员和医疗信息系统操作人员的网络安全意识和网络安全技术。同时通过提升网络安全技术和网络安全设备检测能力,增强防御外界攻击的能力。其外,引进网络安全人才或者寻找安全服务商合作,是加强医院自身的网络安全防护能力的非常关键。做好安全防护基础工作,是顺利通过等级保护测评的基础,专业的测评机构/安全服务商的专业指导能够加快等级保护测评的进程。