- 2019-12-02 10:28
- 作者:山石网科技术总监 丁斐
- 来源:HC3i中国数字医疗网
等线简介:等保2.0将于12月1日开始实施,等保要求发生了哪些变化?对于医院安全等保工作有哪些建议?我们可以优先从哪些方面加强网络安全建设?
山石网科视点:医院要以等级保护标准为基础建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
随着智慧医院建设步伐的大力推进,云计算、大数据、物联网、移动互联网、人工智能等新兴信息技术在医院蓬勃发展,新技术已经成为医院从信息化向智慧化过渡的坚实基础,保证其安全性不言而喻。
等保1.0保护对象为信息系统,已经不能涵盖全部对象,原定义内涵局限性日益显现。等保2.0对定级指南、基本要求、测评要求、实施指南、测评过程指南、设计技术要求等标准进行修订和完善,以满足新形势下等级保护工作的需要,其中基本要求、测评要求、设计技术要求统一以“一个中心,三重防护”构建体系框架,并将在2019年12月1日正式实施,等级保护进入了2.0时代。
等级保护对象从“信息系统”到“两个全覆盖”
1)覆盖各地区、各单位、各部门、各企业、各机构,即是覆盖全社会;
2)覆盖所有保护对象,包括网络、信息系统,以及云平台、物联网、工控系统、大数据、移动互联等各类新技术应用。
等保2.0将原有的1.0等级保护要求提升为安全通用要求和安全扩展要求,安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求,将云计算、移动互联、物联网、工业控制系统、大数据等列入标准规范;
除新增了安全扩展要求外,等保2.0还对通用要求进一步优化,新增新型网络攻击检测、邮件安全防护、安全审计时间要求、无线网络控制、个人信息保护、可信验证等新要求;
l等保测评结论由等保 1.0 的符合、基本符合、不符合改为等保 2.0 的优、良、中、差四个等级。其中测评结论“差”的判别依据是被测对象中存在安全问题,而且会导致被测对象面临高等级安全风险,或被测对象综合得分低于 70 分。
根据 2017 年 6 月 1 日实行的《中华人民共和国网络安全法》,第二十一条明确要求:国家实行网络安全等级保护制度。而针对医疗卫生行业,卫生部于 2011 年 11 月分别发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔 2011〕 1126 号),卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知(卫办发〔2011〕85 号),明确要求全国所有三甲医院核心业务信息系统的安全保护等级原则上不低于第三级,等级保护成为医院安全建设的重要标准。
不论从合规性角度上还是从自身信息系统安全角度考虑,医疗卫生行业都需要加强自己的安全管理体系和技术体系的建设,切实提升整体信息系统及数据的安全性。满足国家政策合规性需求同时,也能够符合自身的安全防护需求,为医院内的核心业务系统如HIS、LIS、PACS等系统建设一个稳定、安全的运行环境。
医院要以等级保护标准为基础建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系,开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作。
i.建立“主要负责人负总责,分管负责人牵头抓”的领导责任制,按照“谁主管谁负责、谁运维谁负责、谁使用谁负责”的原则,落实网络信息与数据安全责任制,明确各方责任;
ii.以风险治理为核心,根据业务目标,开展差距分析评估当前安全状态,确定识别风险及处理优先级,确定建设路径和实施计划,规划为降低网络安全风险而投入的资源等;
iii.空间维度,从物理环境、通信网络、区域边界、计算环境等方面构建纵深防御体系,因为等保2.0测评要求的变化,需要重点关注通用要求优化的测评项以及安全扩展要求的测评项;
iv.时间维度,从预测、识别、检测、响应、恢复等方面构建事前预防、事中控制、事后响应的动态安全体系;
v.按照差异性的业务类型和功能区域,确定各安全域的物理边界和逻辑边界,明确不同安全域之间的信任关系,并在安全域边界配置不同的安全策略,体现不同的防护强度和粒度,实现安全域之间的隔离与防护,减少攻击面和恶意行为的传播通道;
vi.虚拟化作为医院普遍使用的新技术,业务系统也正逐步向虚拟化平台迁移,根据云计算安全扩展要求,需要重点关注建立虚拟化网络边界的访问控制机制,检测到虚拟机与宿主机、虚拟机与虚拟机之间的异常流量,虚拟机迁移时访问控制策略随其迁移、检测到恶意代码感染及在虚拟机间蔓延,需要构建可适配虚拟化的安全新技术,将风险控制在虚拟化最小范围之内;
vii.严格执行信息安全和健康医疗数据保密规定,规划数据安全治理体系,明确数据分级分类,通过数据库防护、数据泄露防护、数据脱敏、数据加密等技术手段,加强运营管理,保障个人信息等重要数据在存储、传输、使用过程中的保密性、完整性,妥善保管患者信息、用户资料、基因数据等;
viii.通过多种类型的数据探针采集数据,基于海量网络流量、威胁事件和终端操作等行为进行智能数据挖掘及分析,展现全局网络安全风险和态势,提升应急、响应、处置、通报能力。发生安全事件时第一时间联动部署的各种安全装置,将损失降低到最低;
ix.制定网络安全运营规范、业务连续性计划、灾难恢复计划、应急预案、安全事件处置和通告制度,定期开展应急演练,提升安全运维管理能力;
x.定期举办网络安全意识培训,切实落实网络安全责任制,严格执行网络安全管理各项措施,提升全员安全防范能力。
总而言之,医院需要统一思想充分认识到做好信息网络和数据安全保障工作的重要性和紧迫性,加快推进网络安全等级保护测评工作,在等保标准的基础上构建覆盖技术和管理的综合防御体系,提升网络安全风险治理意识,做好安全防护基础工作,加强网络安全防御和检测能力,健全预案开展演练提高应急处置能力,变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护,为持续推进智慧医院保驾护航。