發布時(shí)間(jiān):2022年12月30日 作(zuò)者:網站(zhàn)管理(lǐ)員 浏覽量:924
近年來(lái)針對醫(yī)院等醫(yī)療系統的網絡安全風險和(hé)網絡攻擊一直處于活躍狀态且呈現持續上(shàng)升态勢,整個(gè)醫(yī)療行(xíng)業信息安全形勢不容樂觀。其中,在我國多(duō)地醫(yī)院持續檢測出勒索病毒,有(yǒu)些(xiē)醫(yī)院出現患者信息被盜等情況。相關檢測報告顯示,僅在全國三甲醫(yī)院中,今年就有(yǒu)數(shù)百家(jiā)醫(yī)院檢出了勒索病毒,全國各地均有(yǒu)三甲醫(yī)院“中招”。
2017年6月1日,《中華人(rén)民共和(hé)國網絡安全法》正式頒布施行(xíng),該法第二十一條明(míng)确規定“國家(jiā)實行(xíng)網絡安全等級保護制(zhì)度”。網絡運營者應當按照網絡安全等級保護制(zhì)度的要求,履行(xíng)安全保護義務。
2019年5月13日,等級保護2.0系列标準正式發布,标志(zhì)着等級保護2.0的真正到來(lái)。
XXXX醫(yī)院信息化工作(zuò)經過多(duō)年的發展,信息技(jì)術(shù)已得(de)到了廣泛的應用,主要業務系統如HIS,PACS,LIS,RIS,EMR等都己實施并應用,為(wèi)醫(yī)院發展和(hé)業務應用提供了較為(wèi)良好的支撐。
同時(shí),随着數(shù)字化醫(yī)院評審标準的完善以及醫(yī)院等級保護測評政策要求的落實,醫(yī)療衛生(shēng)系統圍繞HIS、EMR、LIS、PACS等核心業務系統深入開(kāi)展信息安全等級保護工作(zuò),并在此基礎上(shàng)指引後續信息化安全建設方向。
通(tōng)過對醫(yī)院信息化現狀調研、分析,結合等級保護2.0版在安全物理(lǐ)環境、安全通(tōng)信網絡、安全區(qū)域邊界、安全計(jì)算(suàn)環境、安全管理(lǐ)中心、安全管理(lǐ)制(zhì)度、安全管理(lǐ)機構、安全管理(lǐ)人(rén)員、安全建設管理(lǐ)、安全運維環境十個(gè)方面的要求,協助醫(yī)院逐步完善信息安全組織、落實安全責任制(zhì),開(kāi)展管理(lǐ)制(zhì)度建設、技(jì)術(shù)措施建設,落實等級保護制(zhì)度的各項要求,使得(de)醫(yī)院信息系統安全管理(lǐ)水(shuǐ)平提高(gāo),安全保護能力增強,安全隐患和(hé)安全事故減少(shǎo),有(yǒu)效保障信息化健康發展。
為(wèi)了落地以上(shàng)建設目标,保證信息系統的安全、穩定、可(kě)靠運行(xíng),我們對照《三級綜合醫(yī)院評審标準實施細則》、《電(diàn)子病曆評審》、《河(hé)南省數(shù)字化醫(yī)院建設指南》、《河(hé)南省數(shù)字化醫(yī)院評審标準》等要求,對XXXX醫(yī)院整體(tǐ)信息系統進行(xíng)了統一梳理(lǐ)和(hé)信息安全防範體(tǐ)系規劃,旨在保證醫(yī)院信息系統各組成部分能夠高(gāo)效協同,對業務與應用提供強有(yǒu)力支撐;同時(shí)還(hái)需要确保在總體(tǐ)方案規劃下的分步實施。
沒有(yǒu)網絡安全就沒有(yǒu)國家(jiā)安全,沒有(yǒu)信息化就沒有(yǒu)現代化。《網絡安全法》是我國第一部網絡安全領域的法律,是保障網絡安全的基本法。對網絡運營者,提出了更高(gāo)的要求,同時(shí)增加了對違法個(gè)人(rén)的追責。
醫(yī)療機構作(zuò)為(wèi)信息化的受益者,同時(shí),更肩負了捍衛信息系統安全的職責。
其中第21條明(míng)确規定:國家(jiā)實行(xíng)網絡安全等級保護制(zhì)度。網絡運營者應當按照網絡安全等級保護制(zhì)度的要求,履行(xíng)下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數(shù)據洩漏或者被竊取、篡改。
醫(yī)療機構如果未通(tōng)過相對應的等級保護級别,一旦發生(shēng)網絡安全事故,将被處以警告和(hé)限期整改的處罰。同時(shí)對直接責任人(rén)罰款還(hái)有(yǒu)限期整改的處罰。
醫(yī)療機構在利用信息技(jì)術(shù)提升整體(tǐ)運營效率的同時(shí),也會(huì)留存大(dà)量的患者隐私數(shù)據,并且為(wèi)了方便患者通(tōng)過網絡查詢部分數(shù)據,還(hái)會(huì)連通(tōng)內(nèi)外網,這就會(huì)涉及到信息發布和(hé)隐私數(shù)據的洩露的問題。
第47條,這一條是涉及到網絡信息安全方面的一條內(nèi)容,網絡運營者應該加強用戶發布信息管理(lǐ)的內(nèi)容的監控,禁止發布或者傳輸信息。如果發現的話(huà)應該予以立即的停止傳輸,這實際上(shàng)相當于網絡運營者有(yǒu)阻止違法信息組織這樣的一個(gè)義務。
與之對應的法則就是第68條,網絡運營者如果沒有(yǒu)停止傳輸采取消除的措施,輕則整改警告,重則罰款,最嚴重可(kě)以達到暫停相關業務、停業整頓、關閉網站(zhàn),吊銷相關營業資質,對直接責任人(rén)會(huì)處以罰款等相應的處罰。對于信息的發布者也适用于本法則。
綜上(shàng),醫(yī)療機構作(zuò)為(wèi)信息系統的建設者、使用者、信息的發布者,必須對信息安全足夠重視(shì),一旦違法相關法律條文,醫(yī)療機構和(hé)直接責任人(rén)都将被追責。
同時(shí),網絡安全法也充分肯定了等級保護制(zhì)度以評促建的思路,這就為(wèi)等級保護2.0的順利實施奠定了法律的基礎。
等保2.0
等保2.0分為(wèi)技(jì)術(shù)、管理(lǐ)兩大(dà)部分。
1)技(jì)術(shù)部分可(kě)以通(tōng)過新增安全設備,調試、整改現有(yǒu)網絡設備的方式實現。
2)管理(lǐ)部分則需要制(zhì)定較為(wèi)完備的安全管理(lǐ)體(tǐ)系、明(míng)确安全責任人(rén)等行(xíng)政手段進行(xíng)約束,以安全服務的形式進行(xíng)交付。
通(tōng)過提供安全管理(lǐ)制(zhì)度、安全管理(lǐ)機構、安全管理(lǐ)人(rén)員、安全建設管理(lǐ)、安全運營管理(lǐ)五個(gè)部分入手,提供安全服務,幫助客戶完善等級保護提出的相關管理(lǐ)要求。
三、XXXX醫(yī)院信息現狀分析及安全建設目标
#業務系統使用現狀
業務軟件使用情況如下:
#現狀拓撲圖,現狀描述
XXXX醫(yī)院網絡包括外聯區(qū)、內(nèi)網核心區(qū)、內(nèi)網安全區(qū)、服務器(qì)存儲區(qū)、樓層接入區(qū),其中:
外聯區(qū):部署一台銳捷路由器(qì),互聯網及各個(gè)專網線路經由該設備接入核心網絡;
內(nèi)網核心區(qū):部署兩台核心交換機,兩台核心交換機采用堆疊方式部署,能夠保證系統的高(gāo)可(kě)用性;
內(nèi)網安全區(qū):部署通(tōng)軟桌面終端管理(lǐ)平台和(hé)橫渡防統方系統,通(tōng)軟桌面終端管理(lǐ)平台配合企業版殺毒軟件,實現對終端的安全管控;
服務器(qì)存儲區(qū):各類服務器(qì)通(tōng)過兩台設備上(shàng)聯內(nèi)網核心設備,通(tōng)過SAN網絡連接存儲及服務器(qì),備機房(fáng)有(yǒu)專用備份服務器(qì)和(hé)備份存儲,定時(shí)備份生(shēng)産數(shù)據,存儲通(tōng)過SVC集群進行(xíng)統一資源管理(lǐ);
樓層接入區(qū):醫(yī)院各個(gè)樓層終端通(tōng)過樓層接入交換機,并經樓層彙聚交換機彙聚後上(shàng)聯核心交換區(qū)。
關鍵業務系統定級
遵循《信息安全技(jì)術(shù)信息系統安全等級保護定級指南》(GB/T 22240-2008)的規範要求,對運營單位的業務進行(xíng)安全定級。定級标準請(qǐng)參照S(業務系統安全)、A(系統服務安全)完成定級。
我院業務系統定級标準
#測評項分析
XXXX醫(yī)院三級系統建設目标是落實《信息安全技(jì)術(shù)信息安全等級保護基本要求》中三級系統各項指标和(hé)要求,實現信息系統三級系統獨立分域,完善三級系統邊界防護、配置合理(lǐ)的網絡環境、增強主機系統安全防護及三級系統各應用的安全。
在定級的基礎上(shàng),基于現有(yǒu)的網絡安全和(hé)架構建設整理(lǐ)和(hé)輸出與對應等級的技(jì)術(shù)要求和(hé)管理(lǐ)要求的差距,逐項比對安全差距進行(xíng)整改項分析。
以等級保護測評項為(wèi)基準,形成差距分析說明(míng)表格。
整體(tǐ)測評發現如下問題:
1) 醫(yī)院信息系統(HIS)
等級測評結論為(wèi)不符合。測評項符合率為(wèi)46.40%,部分符合率為(wèi)20.30%,不符合率為(wèi)33.30%,不适用數(shù)為(wèi)7。問題數(shù)總計(jì)90個(gè),其中高(gāo)風險問題0個(gè),中風險問題數(shù)68個(gè),低(dī)風險問題22個(gè)。
2) 檢驗信息系統(LIS)
等級測評結論為(wèi)不符合。測評項符合率為(wèi)45.80%,部分符合率為(wèi)19.10%,不符合率為(wèi)35.10%,不适用數(shù)為(wèi)7。問題數(shù)總計(jì)91個(gè),其中高(gāo)風險問題0個(gè),中風險問題數(shù)69個(gè),低(dī)風險問題22個(gè)。
3) 電(diàn)子病曆系統(EMR)
等級測評結論為(wèi)不符合。測評項符合率為(wèi)47.00%,部分符合率為(wèi)19.70%,不符合率為(wèi)33.30%,不适用數(shù)為(wèi)7。問題數(shù)總計(jì)89個(gè),其中高(gāo)風險問題0個(gè),中風險問題數(shù)67個(gè),低(dī)風險問題22個(gè)。
4) 醫(yī)學影(yǐng)像管理(lǐ)系統(PACS)
等級測評結論為(wèi)不符合。測評項符合率為(wèi)45.20%,部分符合率為(wèi)19.10%,不符合率為(wèi)35.70%,不适用數(shù)為(wèi)7。問題數(shù)總計(jì)92個(gè),其中高(gāo)風險問題0個(gè),中風險問題數(shù)70個(gè),低(dī)風險問題22個(gè)。
依據XXXX醫(yī)院網絡應用現狀及建設目标,規劃将網絡劃分為(wèi)如下九個(gè)獨立的安全區(qū)域:
1) 互聯網接入區(qū);
2) 對外發布區(qū);
3) 互聯網辦公區(qū);
4) 綜合接入區(qū);
5) 內(nèi)網核心區(qū);
6) 內(nèi)網辦公區(qū);
7) 內(nèi)網安全區(qū);
8) 服務器(qì)存儲區(qū);
9) 數(shù)據備份區(qū)。
根據等級保護基本要求對管理(lǐ)制(zhì)度建設的要求,對安全策略體(tǐ)系進行(xíng)規劃。體(tǐ)系包括确定生(shēng)産系統信息安全願景和(hé)使命的信息安全總體(tǐ)目标,約束和(hé)指導人(rén)員信息安全工作(zuò)的規章制(zhì)度、管理(lǐ)辦法和(hé)工作(zuò)流程,規範生(shēng)産系統、網絡和(hé)安全管理(lǐ)員進行(xíng)安全操作(zuò)的技(jì)術(shù)标準和(hé)規範,文檔結構如下圖所示:
信息安全方針是綱領性的安全策略主文檔,闡述了安全策略的目的、适用範圍、信息安全目标、信息安全的管理(lǐ)意圖等,是信息安全各個(gè)方面所應遵守的原則方法和(hé)指導性策略。是安全方面工作(zuò)的最高(gāo)指導文件。
在系統運維中,采用第三方安全服務方式,利用外部專業技(jì)術(shù)人(rén)員和(hé)技(jì)術(shù)手段加強XX單位在漏洞、加固、預警、風險評估和(hé)安全培訓等方面的能力,通(tōng)過內(nèi)部管理(lǐ)人(rén)員維護和(hé)采用專業安全廠商的安全服務相結合的方式來(lái)實現。
在一定程度上(shàng)說,安全服務是一種專業經驗服務。安全服務提供商長期的服務經驗積累、對行(xíng)業的深刻理(lǐ)解、處理(lǐ)安全問題(事件)的最佳做(zuò)法、科學的安全思維方式、正确的安全思維方法都是為(wèi)用戶提供完善安全解決方案的動力來(lái)源。
考慮到目前的實際,主要考慮安全掃描、滲透測試、安全加固、應急響應、安全通(tōng)告、風險評估服務和(hé)安全培訓等服務。
河(hé)南九思通(tōng)服務熱線
0371-58585908
0371-58585909
