发布时间:2022年12月30日 作者:网站管理员 浏览量:1038
近年来针对医院等医疗系统的网络安全风险和网络攻击一直处于活跃状态且呈现持续上升态势,整个医疗行业信息安全形势不容乐观。其中,在我国多地医院持续检测出勒索病毒,有些医院出现患者信息被盗等情况。相关检测报告显示,仅在全国三甲医院中,今年就有数百家医院检出了勒索病毒,全国各地均有三甲医院“中招”。
2017年6月1日,《中华人民共和国网络安全法》正式颁布施行,该法第二十一条明确规定“国家实行网络安全等级保护制度”。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。
2019年5月13日,等级保护2.0系列标准正式发布,标志着等级保护2.0的真正到来。
XXXX医院信息化工作经过多年的发展,信息技术已得到了广泛的应用,主要业务系统如HIS,PACS,LIS,RIS,EMR等都己实施并应用,为医院发展和业务应用提供了较为良好的支撑。
同时,随着数字化医院评审标准的完善以及医院等级保护测评政策要求的落实,医疗卫生系统围绕HIS、EMR、LIS、PACS等核心业务系统深入开展信息安全等级保护工作,并在此基础上指引后续信息化安全建设方向。
通过对医院信息化现状调研、分析,结合等级保护2.0版在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维环境十个方面的要求,协助医院逐步完善信息安全组织、落实安全责任制,开展管理制度建设、技术措施建设,落实等级保护制度的各项要求,使得医院信息系统安全管理水平提高,安全保护能力增强,安全隐患和安全事故减少,有效保障信息化健康发展。
为了落地以上建设目标,保证信息系统的安全、稳定、可靠运行,我们对照《三级综合医院评审标准实施细则》、《电子病历评审》、《河南省数字化医院建设指南》、《河南省数字化医院评审标准》等要求,对XXXX医院整体信息系统进行了统一梳理和信息安全防范体系规划,旨在保证医院信息系统各组成部分能够高效协同,对业务与应用提供强有力支撑;同时还需要确保在总体方案规划下的分步实施。
没有网络安全就没有国家安全,没有信息化就没有现代化。《网络安全法》是我国第一部网络安全领域的法律,是保障网络安全的基本法。对网络运营者,提出了更高的要求,同时增加了对违法个人的追责。
医疗机构作为信息化的受益者,同时,更肩负了捍卫信息系统安全的职责。
其中第21条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取、篡改。
医疗机构如果未通过相对应的等级保护级别,一旦发生网络安全事故,将被处以警告和限期整改的处罚。同时对直接责任人罚款还有限期整改的处罚。
医疗机构在利用信息技术提升整体运营效率的同时,也会留存大量的患者隐私数据,并且为了方便患者通过网络查询部分数据,还会连通内外网,这就会涉及到信息发布和隐私数据的泄露的问题。
第47条,这一条是涉及到网络信息安全方面的一条内容,网络运营者应该加强用户发布信息管理的内容的监控,禁止发布或者传输信息。如果发现的话应该予以立即的停止传输,这实际上相当于网络运营者有阻止违法信息组织这样的一个义务。
与之对应的法则就是第68条,网络运营者如果没有停止传输采取消除的措施,轻则整改警告,重则罚款,最严重可以达到暂停相关业务、停业整顿、关闭网站,吊销相关营业资质,对直接责任人会处以罚款等相应的处罚。对于信息的发布者也适用于本法则。
综上,医疗机构作为信息系统的建设者、使用者、信息的发布者,必须对信息安全足够重视,一旦违法相关法律条文,医疗机构和直接责任人都将被追责。
同时,网络安全法也充分肯定了等级保护制度以评促建的思路,这就为等级保护2.0的顺利实施奠定了法律的基础。
等保2.0
等保2.0分为技术、管理两大部分。
1)技术部分可以通过新增安全设备,调试、整改现有网络设备的方式实现。
2)管理部分则需要制定较为完备的安全管理体系、明确安全责任人等行政手段进行约束,以安全服务的形式进行交付。
通过提供安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运营管理五个部分入手,提供安全服务,帮助客户完善等级保护提出的相关管理要求。
三、XXXX医院信息现状分析及安全建设目标
#业务系统使用现状
业务软件使用情况如下:
#现状拓扑图,现状描述
XXXX医院网络包括外联区、内网核心区、内网安全区、服务器存储区、楼层接入区,其中:
外联区:部署一台锐捷路由器,互联网及各个专网线路经由该设备接入核心网络;
内网核心区:部署两台核心交换机,两台核心交换机采用堆叠方式部署,能够保证系统的高可用性;
内网安全区:部署通软桌面终端管理平台和横渡防统方系统,通软桌面终端管理平台配合企业版杀毒软件,实现对终端的安全管控;
服务器存储区:各类服务器通过两台设备上联内网核心设备,通过SAN网络连接存储及服务器,备机房有专用备份服务器和备份存储,定时备份生产数据,存储通过SVC集群进行统一资源管理;
楼层接入区:医院各个楼层终端通过楼层接入交换机,并经楼层汇聚交换机汇聚后上联核心交换区。
关键业务系统定级
遵循《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)的规范要求,对运营单位的业务进行安全定级。定级标准请参照S(业务系统安全)、A(系统服务安全)完成定级。
我院业务系统定级标准
#测评项分析
XXXX医院三级系统建设目标是落实《信息安全技术信息安全等级保护基本要求》中三级系统各项指标和要求,实现信息系统三级系统独立分域,完善三级系统边界防护、配置合理的网络环境、增强主机系统安全防护及三级系统各应用的安全。
在定级的基础上,基于现有的网络安全和架构建设整理和输出与对应等级的技术要求和管理要求的差距,逐项比对安全差距进行整改项分析。
以等级保护测评项为基准,形成差距分析说明表格。
整体测评发现如下问题:
1) 医院信息系统(HIS)
等级测评结论为不符合。测评项符合率为46.40%,部分符合率为20.30%,不符合率为33.30%,不适用数为7。问题数总计90个,其中高风险问题0个,中风险问题数68个,低风险问题22个。
2) 检验信息系统(LIS)
等级测评结论为不符合。测评项符合率为45.80%,部分符合率为19.10%,不符合率为35.10%,不适用数为7。问题数总计91个,其中高风险问题0个,中风险问题数69个,低风险问题22个。
3) 电子病历系统(EMR)
等级测评结论为不符合。测评项符合率为47.00%,部分符合率为19.70%,不符合率为33.30%,不适用数为7。问题数总计89个,其中高风险问题0个,中风险问题数67个,低风险问题22个。
4) 医学影像管理系统(PACS)
等级测评结论为不符合。测评项符合率为45.20%,部分符合率为19.10%,不符合率为35.70%,不适用数为7。问题数总计92个,其中高风险问题0个,中风险问题数70个,低风险问题22个。
依据XXXX医院网络应用现状及建设目标,规划将网络划分为如下九个独立的安全区域:
1) 互联网接入区;
2) 对外发布区;
3) 互联网办公区;
4) 综合接入区;
5) 内网核心区;
6) 内网办公区;
7) 内网安全区;
8) 服务器存储区;
9) 数据备份区。
根据等级保护基本要求对管理制度建设的要求,对安全策略体系进行规划。体系包括确定生产系统信息安全愿景和使命的信息安全总体目标,约束和指导人员信息安全工作的规章制度、管理办法和工作流程,规范生产系统、网络和安全管理员进行安全操作的技术标准和规范,文档结构如下图所示:
信息安全方针是纲领性的安全策略主文档,阐述了安全策略的目的、适用范围、信息安全目标、信息安全的管理意图等,是信息安全各个方面所应遵守的原则方法和指导性策略。是安全方面工作的最高指导文件。
在系统运维中,采用第三方安全服务方式,利用外部专业技术人员和技术手段加强XX单位在漏洞、加固、预警、风险评估和安全培训等方面的能力,通过内部管理人员维护和采用专业安全厂商的安全服务相结合的方式来实现。
在一定程度上说,安全服务是一种专业经验服务。安全服务提供商长期的服务经验积累、对行业的深刻理解、处理安全问题(事件)的最佳做法、科学的安全思维方式、正确的安全思维方法都是为用户提供完善安全解决方案的动力来源。
考虑到目前的实际,主要考虑安全扫描、渗透测试、安全加固、应急响应、安全通告、风险评估服务和安全培训等服务。
河南九思通服务热线
0371-58585908
0371-58585909
