發布時(hour)間:2022年12月30日 作(do)者:網站管理員 浏覽量:1010
近年來(Come)針對醫院等醫療系統的(of)網絡安全風險和(and)網絡攻擊一(one)直處于(At)活躍狀态且呈現持續上(superior)升态勢,整個(indivual)醫療行業信息安全形勢不(No)容樂觀。其中,在(exist)我(I)國(country)多地(land)醫院持續檢測出(out)勒索病毒,有些醫院出(out)現患者信息被盜等情況。相關檢測報告顯示,僅在(exist)全國(country)三甲醫院中,今年就有數百家醫院檢出(out)了(Got it)勒索病毒,全國(country)各地(land)均有三甲醫院“中招”。
2017年6月1日,《中華人(people)民共和(and)國(country)網絡安全法》正式頒布施行,該法第二十一(one)條明确規定“國(country)家實行網絡安全等級保護制度”。網絡運營者應當按照網絡安全等級保護制度的(of)要(want)求,履行安全保護義務。
2019年5月13日,等級保護2.0系列标準正式發布,标志着等級保護2.0的(of)真正到(arrive)來(Come)。
XXXX醫院信息化工作(do)經過多年的(of)發展,信息技術已得到(arrive)了(Got it)廣泛的(of)應用(use),主要(want)業務系統如HIS,PACS,LIS,RIS,EMR等都己實施并應用(use),爲(for)醫院發展和(and)業務應用(use)提供了(Got it)較爲(for)良好的(of)支撐。
同時(hour),随着數字化醫院評審标準的(of)完善以(by)及醫院等級保護測評政策要(want)求的(of)落實,醫療衛生(born)系統圍繞HIS、EMR、LIS、PACS等核心業務系統深入開展信息安全等級保護工作(do),并在(exist)此基礎上(superior)指引後續信息化安全建設方向。
通過對醫院信息化現狀調研、分析,結合等級保護2.0版在(exist)安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人(people)員、安全建設管理、安全運維環境十個(indivual)方面的(of)要(want)求,協助醫院逐步完善信息安全組織、落實安全責任制,開展管理制度建設、技術措施建設,落實等級保護制度的(of)各項要(want)求,使得醫院信息系統安全管理水平提高,安全保護能力增強,安全隐患和(and)安全事故減少,有效保障信息化健康發展。
爲(for)了(Got it)落地(land)以(by)上(superior)建設目标,保證信息系統的(of)安全、穩定、可靠運行,我(I)們(them)對照《三級綜合醫院評審标準實施細則》、《電子病曆評審》、《河南省數字化醫院建設指南》、《河南省數字化醫院評審标準》等要(want)求,對XXXX醫院整體信息系統進行了(Got it)統一(one)梳理和(and)信息安全防範體系規劃,旨在(exist)保證醫院信息系統各組成部分能夠高效協同,對業務與應用(use)提供強有力支撐;同時(hour)還需要(want)确保在(exist)總體方案規劃下的(of)分步實施。
沒有網絡安全就沒有國(country)家安全,沒有信息化就沒有現代化。《網絡安全法》是(yes)我(I)國(country)第一(one)部網絡安全領域的(of)法律,是(yes)保障網絡安全的(of)基本法。對網絡運營者,提出(out)了(Got it)更高的(of)要(want)求,同時(hour)增加了(Got it)對違法個(indivual)人(people)的(of)追責。
醫療機構作(do)爲(for)信息化的(of)受益者,同時(hour),更肩負了(Got it)捍衛信息系統安全的(of)職責。
其中第21條明确規定:國(country)家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的(of)要(want)求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的(of)訪問,防止網絡數據洩漏或者被竊取、篡改。
醫療機構如果未通過相對應的(of)等級保護級别,一(one)旦發生(born)網絡安全事故,将被處以(by)警告和(and)限期整改的(of)處罰。同時(hour)對直接責任人(people)罰款還有限期整改的(of)處罰。
醫療機構在(exist)利用(use)信息技術提升整體運營效率的(of)同時(hour),也會留存大(big)量的(of)患者隐私數據,并且爲(for)了(Got it)方便患者通過網絡查詢部分數據,還會連通内外網,這(this)就會涉及到(arrive)信息發布和(and)隐私數據的(of)洩露的(of)問題。
第47條,這(this)一(one)條是(yes)涉及到(arrive)網絡信息安全方面的(of)一(one)條内容,網絡運營者應該加強用(use)戶發布信息管理的(of)内容的(of)監控,禁止發布或者傳輸信息。如果發現的(of)話應該予以(by)立即的(of)停止傳輸,這(this)實際上(superior)相當于(At)網絡運營者有阻止違法信息組織這(this)樣的(of)一(one)個(indivual)義務。
與之對應的(of)法則就是(yes)第68條,網絡運營者如果沒有停止傳輸采取消除的(of)措施,輕則整改警告,重則罰款,最嚴重可以(by)達到(arrive)暫停相關業務、停業整頓、關閉網站,吊銷相關營業資質,對直接責任人(people)會處以(by)罰款等相應的(of)處罰。對于(At)信息的(of)發布者也适用(use)于(At)本法則。
綜上(superior),醫療機構作(do)爲(for)信息系統的(of)建設者、使用(use)者、信息的(of)發布者,必須對信息安全足夠重視,一(one)旦違法相關法律條文,醫療機構和(and)直接責任人(people)都将被追責。
同時(hour),網絡安全法也充分肯定了(Got it)等級保護制度以(by)評促建的(of)思路,這(this)就爲(for)等級保護2.0的(of)順利實施奠定了(Got it)法律的(of)基礎。
等保2.0
等保2.0分爲(for)技術、管理兩大(big)部分。
1)技術部分可以(by)通過新增安全設備,調試、整改現有網絡設備的(of)方式實現。
2)管理部分則需要(want)制定較爲(for)完備的(of)安全管理體系、明确安全責任人(people)等行政手段進行約束,以(by)安全服務的(of)形式進行交付。
通過提供安全管理制度、安全管理機構、安全管理人(people)員、安全建設管理、安全運營管理五個(indivual)部分入手,提供安全服務,幫助客戶完善等級保護提出(out)的(of)相關管理要(want)求。
三、XXXX醫院信息現狀分析及安全建設目标
#業務系統使用(use)現狀
業務軟件使用(use)情況如下:
#現狀拓撲圖,現狀描述
XXXX醫院網絡包括外聯區、内網核心區、内網安全區、服務器存儲區、樓層接入區,其中:
外聯區:部署一(one)台銳捷路由器,互聯網及各個(indivual)專網線路經由該設備接入核心網絡;
内網核心區:部署兩台核心交換機,兩台核心交換機采用(use)堆疊方式部署,能夠保證系統的(of)高可用(use)性;
内網安全區:部署通軟桌面終端管理平台和(and)橫渡防統方系統,通軟桌面終端管理平台配合企業版殺毒軟件,實現對終端的(of)安全管控;
服務器存儲區:各類服務器通過兩台設備上(superior)聯内網核心設備,通過SAN網絡連接存儲及服務器,備機房有專用(use)備份服務器和(and)備份存儲,定時(hour)備份生(born)産數據,存儲通過SVC集群進行統一(one)資源管理;
樓層接入區:醫院各個(indivual)樓層終端通過樓層接入交換機,并經樓層彙聚交換機彙聚後上(superior)聯核心交換區。
關鍵業務系統定級
遵循《信息安全技術信息系統安全等級保護定級指南》(GB/T 22240-2008)的(of)規範要(want)求,對運營單位的(of)業務進行安全定級。定級标準請參照S(業務系統安全)、A(系統服務安全)完成定級。
我(I)院業務系統定級标準
#測評項分析
XXXX醫院三級系統建設目标是(yes)落實《信息安全技術信息安全等級保護基本要(want)求》中三級系統各項指标和(and)要(want)求,實現信息系統三級系統獨立分域,完善三級系統邊界防護、配置合理的(of)網絡環境、增強主機系統安全防護及三級系統各應用(use)的(of)安全。
在(exist)定級的(of)基礎上(superior),基于(At)現有的(of)網絡安全和(and)架構建設整理和(and)輸出(out)與對應等級的(of)技術要(want)求和(and)管理要(want)求的(of)差距,逐項比對安全差距進行整改項分析。
以(by)等級保護測評項爲(for)基準,形成差距分析說明表格。
整體測評發現如下問題:
1) 醫院信息系統(HIS)
等級測評結論爲(for)不(No)符合。測評項符合率爲(for)46.40%,部分符合率爲(for)20.30%,不(No)符合率爲(for)33.30%,不(No)适用(use)數爲(for)7。問題數總計90個(indivual),其中高風險問題0個(indivual),中風險問題數68個(indivual),低風險問題22個(indivual)。
2) 檢驗信息系統(LIS)
等級測評結論爲(for)不(No)符合。測評項符合率爲(for)45.80%,部分符合率爲(for)19.10%,不(No)符合率爲(for)35.10%,不(No)适用(use)數爲(for)7。問題數總計91個(indivual),其中高風險問題0個(indivual),中風險問題數69個(indivual),低風險問題22個(indivual)。
3) 電子病曆系統(EMR)
等級測評結論爲(for)不(No)符合。測評項符合率爲(for)47.00%,部分符合率爲(for)19.70%,不(No)符合率爲(for)33.30%,不(No)适用(use)數爲(for)7。問題數總計89個(indivual),其中高風險問題0個(indivual),中風險問題數67個(indivual),低風險問題22個(indivual)。
4) 醫學影像管理系統(PACS)
等級測評結論爲(for)不(No)符合。測評項符合率爲(for)45.20%,部分符合率爲(for)19.10%,不(No)符合率爲(for)35.70%,不(No)适用(use)數爲(for)7。問題數總計92個(indivual),其中高風險問題0個(indivual),中風險問題數70個(indivual),低風險問題22個(indivual)。
依據XXXX醫院網絡應用(use)現狀及建設目标,規劃将網絡劃分爲(for)如下九個(indivual)獨立的(of)安全區域:
1) 互聯網接入區;
2) 對外發布區;
3) 互聯網辦公區;
4) 綜合接入區;
5) 内網核心區;
6) 内網辦公區;
7) 内網安全區;
8) 服務器存儲區;
9) 數據備份區。
根據等級保護基本要(want)求對管理制度建設的(of)要(want)求,對安全策略體系進行規劃。體系包括确定生(born)産系統信息安全願景和(and)使命的(of)信息安全總體目标,約束和(and)指導人(people)員信息安全工作(do)的(of)規章制度、管理辦法和(and)工作(do)流程,規範生(born)産系統、網絡和(and)安全管理員進行安全操作(do)的(of)技術标準和(and)規範,文檔結構如下圖所示:
信息安全方針是(yes)綱領性的(of)安全策略主文檔,闡述了(Got it)安全策略的(of)目的(of)、适用(use)範圍、信息安全目标、信息安全的(of)管理意圖等,是(yes)信息安全各個(indivual)方面所應遵守的(of)原則方法和(and)指導性策略。是(yes)安全方面工作(do)的(of)最高指導文件。
在(exist)系統運維中,采用(use)第三方安全服務方式,利用(use)外部專業技術人(people)員和(and)技術手段加強XX單位在(exist)漏洞、加固、預警、風險評估和(and)安全培訓等方面的(of)能力,通過内部管理人(people)員維護和(and)采用(use)專業安全廠商的(of)安全服務相結合的(of)方式來(Come)實現。
在(exist)一(one)定程度上(superior)說,安全服務是(yes)一(one)種專業經驗服務。安全服務提供商長期的(of)服務經驗積累、對行業的(of)深刻理解、處理安全問題(事件)的(of)最佳做法、科學的(of)安全思維方式、正确的(of)安全思維方法都是(yes)爲(for)用(use)戶提供完善安全解決方案的(of)動力來(Come)源。
考慮到(arrive)目前的(of)實際,主要(want)考慮安全掃描、滲透測試、安全加固、應急響應、安全通告、風險評估服務和(and)安全培訓等服務。
河南豫房指数服務熱線
0371-58585908
0371-58585909
