由中国数字医疗网联手中国医科大学附属第一医院共同主办的“乐享互联 医路同行”2015医院信息化沙龙全国巡展活动第七站，于2015年11月6日在国家历史文化名城--沈阳正式拉开序幕。北方实验室技术经理刘文志分享了“医院信息安全等级保护实施探讨”主题相关内容。本文直接根据演讲内容整理，相关内容略有编辑删节。

目前，医院信息化越来越受到关注，尤其是12年以后，医院信息化呈逐步加速趋势，。在实现医院信息化过程中，安全问题是我们现在越来越重视的问题，无论是从国家政策上，还是从医院自身来说，安全问题都上升到了一个新高度。而一谈到安全问题，就不得不谈及公安部主推的信息安全等级保护。对此，刘经理围绕“为什么要实施”、“如何高效实施”、“实施中的误区”三个方向进行阐述。

为什么要实施信息安全等级保护？

刘经理表示，从国家政策方面来谈，从1994年开始到目前有太多的条令对此做了解读和规范。1994年，国务院147号令，规定计算机信息系统实行安全等级保护，由公安部会同有关部门共同制定相关标准和办法；2003年，国家信息化领导小组27号文，明确要求加强信息安全标准化工作，形成安全标准体系；2004年，公安部66号文，加快信息安全管理与技术标准的制定和完善；2007年，公安部43号文，信息安全等级保护管理办法出台；2007-2010年，针对定级、备案、安全建设整改、等级测评、检查五个规定动作，均提出了实施要求，并发布了管理和技术标准规范；2011年，卫生部1126号文，全面开展卫生行业信息安全等级保护工作；2011年，卫生部85号文，卫生行业信息安全等级保护工作的指导意见；2012年，辽宁省卫生厅382号文，开展卫生行业信息安全等级保护专项监督检查工作。

以上罗列的都是国家政策层面，刘经理表示，从2012年到2015年又有了新的变化和发展。15年出台了《国家信息网络安全法》，表明如果因为网络的管理者或者服务者对数据保护不当，造成数据泄露或进行数据篡改等，产生严重影响是要负相应的刑事责任。而随着医院的信息化发展，每一家医院没有数据？尤其是信息化之后，电子病历、患者的信息、医患的信息，这些都是个人隐私数据，每个医院都掌握着大量的数据，如果这些数据泄露的话，就上升到刑法的范畴了。而这也应该是每一位信息中心主任值得思考的问题。

刘经理表示，除了上述追随国家政策方面需要实施信息安全等级保护，从医院自身信息化发展发面实施安全等级保护的必要性。第一，“互联网＋医院”成为解决群众看病难的重要手段。第二，无线局域网在医疗行业中的应用已经成为了一种趋势。第三，区域卫生信息平台，实现健康档案、电子病历的共享交互，建立了更为重要的数据资源库。第四，对外的接口功能丰富，包括与金融、社保、农合等的接口。第五，软件外包模式，从管理上和技术上都有更多的安全风险。第六，安全人才队伍建设，信息化背景下的运维安全。第七，内部防范（误操作、恶意攻击等）。第八，管理体系（制度体系是否健全、是否得到了有效落实、是否形成了严格的工作记录并可追责）。

在医院中很多场景都存在潜在安全威胁，比如：网上预约挂号，可以得到所有病人的预约挂号信息；可以瞬间将全医院的预约号占满；可以对预约挂号系统的数据库进行完全控制，获取预约人全部信息；可以免费预约挂号。无线局域网，可以非法接入无线局域网，对整个内部网络实施Arp攻击，获取全部网络运行数据。电子病历，可以对医院提供给外部的接口，和外部提供给医院的接口进行破坏，轻者获取数据，重者删除、篡改病人的电子病历等。银行金融接口，支付接口如果存在漏洞，可以免费看病，可以造成资金损失和账面出错。运维方面，如果没有好的运维团队和体系，出现问题无法立即解决，造成数据丢失或服务中断。刘经理表示，从以上场景可以看出医院各个方面都存在潜在威胁，为了保证重要的数据，医院很有必要对每一个层面进行加护。

如何高效实施安全等保

医院如果不实施信息安全等级保护会带来什么后果？要么数据泄露，要么服务中断。大的医院对服务依赖会非常高，尤其是三甲医院，对新系统的依赖程度已经到了离不开的地步。这种情况下，如果不施行信息保护，如果不对服务进行评测，整个系统就会死掉。数据这一块，每家医院都有数据，都是患者的电子病历数据，如果说在某些方面做得安全不够，数据的泄露也是很不可避免地。

面对实施安全等保的必要性，如何高效实施也是信息中心主任考量的问题。刘经理介绍称，若想要高效实施安全等保需实现两点。第一，定级。三级甲等医院的核心业务信息系统（HIS、LIS、RIS）原则上，定级应不低于三级。其他医院参照三级甲等的定级原则，根据自身业务和数据的安全需求，自行定级。

第二，测评和建设整改。测评从整体上评估，不会片面考虑。建设整改应与咨询相结合，建设整改前进行必要的安全规划和设计，会避免投资浪费，提升安全水平和资金利用率。应更注重设备策略的配置和启用情况，而盲目购置新设备，同时应更多的提升安全管理方面的水平，加强具体的落实。

等级保护实施的几个误区

刘经理还阐述了等级保护在实施过程中的几大误区：

首先，信息系统级别还要细分S、A、G要求，同样是三级，S、A不一样，实际要求差别很大。

其次，测评绝不是简单的安全设备有无的检查，更多的会侧重于安全策略的有效性评估，以及整体安全水平的评估，同时还要从实战环节进行验证（模拟真实攻击者）。

再次，安全整改绝不是设备的叠加，事实证明，更多的安全整改都集中于策略和管理上的调整（无额外费用投入），一般仅会发生少数极其必要的产品采购。

最后，定级信息系统应具有以下三个特性：1、安全责任单位唯一2、信息系统3、承担单一或业务独立的应用。对于业务功能或运行数据独立的信息系统不应合并定级。