政策背景
醫(yī)療行業(yè)網(wǎng)絡(luò)安全是我國網(wǎng)絡(luò)安全的重要組成部分��,受到國家高度重視�����。隨著醫(yī)療行業(yè)信息網(wǎng)絡(luò)技術(shù)額深入應(yīng)用和“互聯(lián)網(wǎng)+醫(yī)療健康“的不斷推進(jìn)�,黨中央����、國務(wù)院及醫(yī)療監(jiān)管部門陸續(xù)出臺了一系統(tǒng)信息化安全建設(shè)與管理的政策法規(guī),逐步完善醫(yī)療行業(yè)網(wǎng)絡(luò)安全體系�����。
2018 年 4 月����,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)全國醫(yī)院信 息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)的通知》,對二級及以上醫(yī)院的數(shù)
據(jù)中心安全�、終端安全、網(wǎng)絡(luò)安全及容災(zāi)備份提出要求���。
2018年7月國家衛(wèi)健委發(fā)布《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)�����、安全和服務(wù)管理辦法(試行)》�,規(guī)定承載醫(yī)療大數(shù)據(jù)的平臺必須落實等級保護制度����,健康醫(yī)療大數(shù)據(jù)中心�、相關(guān)信息系統(tǒng)要開展定級��、備案��、測評等工作����。
2018年9月國家衛(wèi)健委發(fā)布《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法(試行)等3個文件的通知》,要求開展互聯(lián)網(wǎng)診療服務(wù)的醫(yī)療機構(gòu)必須實施第三級信息安全等級保護��。
2019 年 4 月����,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)全國基層醫(yī)療衛(wèi)生機構(gòu) 信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)的通知》,明確了基層醫(yī)療衛(wèi)生 機構(gòu)未來 5-10
年信息化建設(shè)的基本內(nèi)容和要求�����。其中信息安全 部分包括身份認(rèn)證��、桌面終端安全��、移動終端安全��、計算安全�、 通信安全、數(shù)據(jù)防泄露����、可信組網(wǎng)、數(shù)據(jù)備份與恢復(fù)��、應(yīng)用容災(zāi)��、
安全運維等 10 個方面�。
2019年11月國家衛(wèi)生健康委辦公廳發(fā)布《國家呼吸醫(yī)學(xué)中心及國家呼吸區(qū)域醫(yī)療中心設(shè)置標(biāo)準(zhǔn)的通知》,在信息化建設(shè)方面����,醫(yī)院核心業(yè)務(wù)系統(tǒng)達(dá)到“國家信息安全等級保護制度三級要求”。
2019 年 12 月����,經(jīng)第十三屆全國人民代表大會常務(wù)委員會第 十五次會議通過,我國頒布衛(wèi)生健康領(lǐng)域第一部基礎(chǔ)性��、綜合性
法律《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》����,明確國家 采取措施推進(jìn)醫(yī)療衛(wèi)生機構(gòu)建立健全信息安全制度,保護公民個
人健康信息安全,對醫(yī)療信息安全制度��、保障措施不健全�����,導(dǎo)致 醫(yī)療信息泄露和非法損害公民個人健康信息的行為進(jìn)行處罰���。
醫(yī)療行業(yè)網(wǎng)絡(luò)安全形式嚴(yán)峻
醫(yī)療行業(yè)網(wǎng)絡(luò)安全隱患普遍存在
根據(jù)《2019 健康醫(yī)療行業(yè)觀測報告》數(shù)據(jù)�����,醫(yī)療行業(yè)總體 處于“較大風(fēng)險”級別�,存在多種網(wǎng)絡(luò)安全風(fēng)險及大量可被利用
的安全隱患�,安全防護能力較弱。報告顯示����,通過對 15339 家醫(yī) 療行業(yè)相關(guān)單位的觀測,存在僵尸���、木馬或蠕蟲等惡意程序的單 位共計 1029
家,應(yīng)用服務(wù)端口暴露在公共互聯(lián)網(wǎng)中的單位有 6446 家����,4546 家單位網(wǎng)站存在被篡改安全隱患����,其中 261 家單 位已發(fā)生網(wǎng)站被篡改情況�����。
遭受勒索病毒攻擊嚴(yán)重根據(jù)
2018 年騰訊智慧安全發(fā)布的《醫(yī)療行業(yè)勒索病毒專題報告》顯示��,在全國三甲 醫(yī)院中�����,有 247
家醫(yī)院檢出了勒索病毒�����,以廣東�����、湖北����、江蘇等 地區(qū)檢出勒索病毒最多。2019 年初,某省幾十家互聯(lián)互通醫(yī)院 同時感染 GlobeImposter3.0
變種勒索病毒而被加密����, GlobeImposter 勒索病毒十分偏愛醫(yī)療行業(yè),在眾多感染 GlobeImposter 勒索病毒的行業(yè)中�,醫(yī)療行業(yè)占比約
50%。醫(yī)療行業(yè)受勒索病毒感染情況嚴(yán)重��。
缺乏必要的網(wǎng)絡(luò)安全防護設(shè)備根據(jù) CHIMA《2018-2019 年度中國醫(yī)院信息化狀況調(diào)查報告》
顯示�,現(xiàn)階段絕大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡(luò)安全,對網(wǎng)絡(luò) 進(jìn)行 VPN/VLAN 劃分和上網(wǎng)行為管理的醫(yī)院僅過半數(shù)��。醫(yī)院對網(wǎng)
閘���、防入侵�����、防毒墻等設(shè)備的采用率均小于 50%�?��?梢姶蟛糠轴t(yī) 院都缺乏必要的網(wǎng)絡(luò)防護設(shè)備����。
開展等保工作的建議
一��、合理開展系統(tǒng)定級備案工作
醫(yī)療行業(yè)目前急需落實網(wǎng)絡(luò)安全等級保護的系統(tǒng)有兩類�����,一是傳統(tǒng)核心業(yè)務(wù)系統(tǒng)�,二是新建融合了各種新技術(shù)的信息系統(tǒng)。開展網(wǎng)絡(luò)安全等級保護工作的第一步就是合理對這些系統(tǒng)進(jìn)行等級保護定級�����。
2011年原衛(wèi)生部頒發(fā)的《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》就明確重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于三級����。隨著新興技術(shù)的發(fā)展,等級保護2.0將云計算��、大數(shù)據(jù)�、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)���、移動互聯(lián)等新技術(shù)產(chǎn)業(yè)也納入了監(jiān)管行列�����。2019年1月����,上海市衛(wèi)生健康委員會發(fā)布了《關(guān)于進(jìn)一步調(diào)整本市衛(wèi)生健康行業(yè)重要信息系統(tǒng)定級范圍的通知》,進(jìn)一步明確了區(qū)屬二��、三級醫(yī)療機構(gòu)和社區(qū)衛(wèi)生服務(wù)中心的相關(guān)信息系統(tǒng)安全保護等級原則上不低于第三級���。
二��、常規(guī)化風(fēng)險評估��、等級測評工作
醫(yī)療機構(gòu)在完成定級備案工作后��,由信息安全管理部門牽頭進(jìn)行安全建設(shè)整改工作��,可以自行開展安全評估����,或者委托第三方單位開展安全評估工作��,依據(jù)等級保護標(biāo)準(zhǔn)對評估結(jié)果進(jìn)行差距分析����,查看是否符合等級保護基本要求�����。醫(yī)療機構(gòu)根據(jù)各系統(tǒng)的定級情況,安排當(dāng)年的等級測評工作���,按照要求定級為三級及以上的系統(tǒng)每年開展一次測評��,選擇公安部推薦目錄中的等級保護測評機構(gòu)開展安全測評��。
醫(yī)療機構(gòu)應(yīng)按照要求常規(guī)化風(fēng)險評估�、等級測評工作���,做到定期排查系統(tǒng)安全隱患����,對于不符合要求項��,信息系統(tǒng)運營��、使用單位及時開展安全整改��。一般現(xiàn)場測評工作需要1周左右時間���,測評完成后對未達(dá)到安全保護等級要求的問題進(jìn)行整改����,整改時間及程度依據(jù)系統(tǒng)安全現(xiàn)狀及經(jīng)費決定,不涉及購買設(shè)備����、網(wǎng)絡(luò)架構(gòu)大變動小規(guī)模系統(tǒng)需要2周左右時間,總體測評及出具最終符合公安機關(guān)要求的測評報告需至少一月時間���。
三����、強化縱深防御能力
對系統(tǒng)進(jìn)行了全方位的風(fēng)險分析�����,完成了等級保護測評后�����,就需要對測評中發(fā)現(xiàn)的問題進(jìn)行整改����。最快速簡單的整改辦法就是從網(wǎng)絡(luò)整體架構(gòu)出發(fā)����,完善醫(yī)療機構(gòu)網(wǎng)絡(luò)安全建設(shè)��,配備并配置必要的網(wǎng)絡(luò)安全設(shè)備���,形成縱深防御能力,確保系統(tǒng)中無高風(fēng)險問題��,其次再逐漸修正一些中低風(fēng)險問題�����。鑒于醫(yī)療行業(yè)數(shù)據(jù)的重要性����,做好數(shù)據(jù)備份、數(shù)據(jù)加密存儲和傳輸工作����,保障醫(yī)療數(shù)據(jù)的安全。
本文節(jié)選自中國軟件評測中心的《等保實戰(zhàn):醫(yī)療行業(yè)》
聲明:本文來自中國軟件評測中心����,版權(quán)歸作者所有���。文章內(nèi)容僅代表作者獨立觀點,不代表本站(網(wǎng)絡(luò)安全等級保護資訊網(wǎng))立場����,轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)����,請聯(lián)系刪除。
等保測評咨詢
