發布時間:2022年12月30日 作者:網站管理員 瀏覽量:1454
近年來針對醫院等醫療系統的網絡安全風險和網絡攻擊一直處于活躍狀態且呈現持續上升態勢,整個醫療行業信息安全形勢不容樂觀。其中,在我國多地醫院持續檢測出勒索病毒,有些醫院出現患者信息被盜等情況。相關檢測報告顯示,僅在全國三甲醫院中,今年就有數百家醫院檢出了勒索病毒,全國各地均有三甲醫院“中招”。
2017年6月1日,《中華人民共和國網絡安全法》正式頒布施行,該法第二十一條明確規定“國家實行網絡安全等級保護制度”。網絡運營者應當按照網絡安全等級保護制度的要求,履行安全保護義務。
2019年5月13日,等級保護2.0系列標準正式發布,標志著等級保護2.0的真正到來。
XXXX醫院信息化工作經過多年的發展,信息技術已得到了廣泛的應用,主要業務系統如HIS,PACS,LIS,RIS,EMR等都己實施并應用,為醫院發展和業務應用提供了較為良好的支撐。
同時,隨著數字化醫院評審標準的完善以及醫院等級保護測評政策要求的落實,醫療衛生系統圍繞HIS、EMR、LIS、PACS等核心業務系統深入開展信息安全等級保護工作,并在此基礎上指引后續信息化安全建設方向。
通過對醫院信息化現狀調研、分析,結合等級保護2.0版在安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維環境十個方面的要求,協助醫院逐步完善信息安全組織、落實安全責任制,開展管理制度建設、技術措施建設,落實等級保護制度的各項要求,使得醫院信息系統安全管理水平提高,安全保護能力增強,安全隱患和安全事故減少,有效保障信息化健康發展。
為了落地以上建設目標,保證信息系統的安全、穩定、可靠運行,我們對照《三級綜合醫院評審標準實施細則》、《電子病歷評審》、《河南省數字化醫院建設指南》、《河南省數字化醫院評審標準》等要求,對XXXX醫院整體信息系統進行了統一梳理和信息安全防范體系規劃,旨在保證醫院信息系統各組成部分能夠高效協同,對業務與應用提供強有力支撐;同時還需要確保在總體方案規劃下的分步實施。
沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。《網絡安全法》是我國第一部網絡安全領域的法律,是保障網絡安全的基本法。對網絡運營者,提出了更高的要求,同時增加了對違法個人的追責。
醫療機構作為信息化的受益者,同時,更肩負了捍衛信息系統安全的職責。
其中第21條明確規定:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄漏或者被竊取、篡改。
醫療機構如果未通過相對應的等級保護級別,一旦發生網絡安全事故,將被處以警告和限期整改的處罰。同時對直接責任人罰款還有限期整改的處罰。
醫療機構在利用信息技術提升整體運營效率的同時,也會留存大量的患者隱私數據,并且為了方便患者通過網絡查詢部分數據,還會連通內外網,這就會涉及到信息發布和隱私數據的泄露的問題。
第47條,這一條是涉及到網絡信息安全方面的一條內容,網絡運營者應該加強用戶發布信息管理的內容的監控,禁止發布或者傳輸信息。如果發現的話應該予以立即的停止傳輸,這實際上相當于網絡運營者有阻止違法信息組織這樣的一個義務。
與之對應的法則就是第68條,網絡運營者如果沒有停止傳輸采取消除的措施,輕則整改警告,重則罰款,最嚴重可以達到暫停相關業務、停業整頓、關閉網站,吊銷相關營業資質,對直接責任人會處以罰款等相應的處罰。對于信息的發布者也適用于本法則。
綜上,醫療機構作為信息系統的建設者、使用者、信息的發布者,必須對信息安全足夠重視,一旦違法相關法律條文,醫療機構和直接責任人都將被追責。
同時,網絡安全法也充分肯定了等級保護制度以評促建的思路,這就為等級保護2.0的順利實施奠定了法律的基礎。
?
?等保2.0
?
等保2.0分為技術、管理兩大部分。
1)技術部分可以通過新增安全設備,調試、整改現有網絡設備的方式實現。
2)管理部分則需要制定較為完備的安全管理體系、明確安全責任人等行政手段進行約束,以安全服務的形式進行交付。
?
?
通過提供安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運營管理五個部分入手,提供安全服務,幫助客戶完善等級保護提出的相關管理要求。
三、XXXX醫院信息現狀分析及安全建設目標
#業務系統使用現狀
業務軟件使用情況如下:
?
#現狀拓撲圖,現狀描述
?XXXX醫院網絡包括外聯區、內網核心區、內網安全區、服務器存儲區、樓層接入區,其中:
外聯區:部署一臺銳捷路由器,互聯網及各個專網線路經由該設備接入核心網絡;
內網核心區:部署兩臺核心交換機,兩臺核心交換機采用堆疊方式部署,能夠保證系統的高可用性;
內網安全區:部署通軟桌面終端管理平臺和橫渡防統方系統,通軟桌面終端管理平臺配合企業版殺毒軟件,實現對終端的安全管控;
服務器存儲區:各類服務器通過兩臺設備上聯內網核心設備,通過SAN網絡連接存儲及服務器,備機房有專用備份服務器和備份存儲,定時備份生產數據,存儲通過SVC集群進行統一資源管理;
樓層接入區:醫院各個樓層終端通過樓層接入交換機,并經樓層匯聚交換機匯聚后上聯核心交換區。
?關鍵業務系統定級
遵循《信息安全技術信息系統安全等級保護定級指南》(GB/T 22240-2008)的規范要求,對運營單位的業務進行安全定級。定級標準請參照S(業務系統安全)、A(系統服務安全)完成定級。
?
我院業務系統定級標準
#測評項分析
XXXX醫院三級系統建設目標是落實《信息安全技術信息安全等級保護基本要求》中三級系統各項指標和要求,實現信息系統三級系統獨立分域,完善三級系統邊界防護、配置合理的網絡環境、增強主機系統安全防護及三級系統各應用的安全。
在定級的基礎上,基于現有的網絡安全和架構建設整理和輸出與對應等級的技術要求和管理要求的差距,逐項比對安全差距進行整改項分析。
以等級保護測評項為基準,形成差距分析說明表格。
?
整體測評發現如下問題:
1)?醫院信息系統(HIS)
等級測評結論為不符合。測評項符合率為46.40%,部分符合率為20.30%,不符合率為33.30%,不適用數為7。問題數總計90個,其中高風險問題0個,中風險問題數68個,低風險問題22個。
2)?檢驗信息系統(LIS)
等級測評結論為不符合。測評項符合率為45.80%,部分符合率為19.10%,不符合率為35.10%,不適用數為7。問題數總計91個,其中高風險問題0個,中風險問題數69個,低風險問題22個。
3)?電子病歷系統(EMR)
等級測評結論為不符合。測評項符合率為47.00%,部分符合率為19.70%,不符合率為33.30%,不適用數為7。問題數總計89個,其中高風險問題0個,中風險問題數67個,低風險問題22個。
4)?醫學影像管理系統(PACS)
等級測評結論為不符合。測評項符合率為45.20%,部分符合率為19.10%,不符合率為35.70%,不適用數為7。問題數總計92個,其中高風險問題0個,中風險問題數70個,低風險問題22個。
?
依據XXXX醫院網絡應用現狀及建設目標,規劃將網絡劃分為如下九個獨立的安全區域:
1)?互聯網接入區;
2)?對外發布區;
3)?互聯網辦公區;
4)?綜合接入區;
5)?內網核心區;
6)?內網辦公區;
7)?內網安全區;
8)?服務器存儲區;
9)?數據備份區。
根據等級保護基本要求對管理制度建設的要求,對安全策略體系進行規劃。體系包括確定生產系統信息安全愿景和使命的信息安全總體目標,約束和指導人員信息安全工作的規章制度、管理辦法和工作流程,規范生產系統、網絡和安全管理員進行安全操作的技術標準和規范,文檔結構如下圖所示:
信息安全方針是綱領性的安全策略主文檔,闡述了安全策略的目的、適用范圍、信息安全目標、信息安全的管理意圖等,是信息安全各個方面所應遵守的原則方法和指導性策略。是安全方面工作的最高指導文件。
在系統運維中,采用第三方安全服務方式,利用外部專業技術人員和技術手段加強XX單位在漏洞、加固、預警、風險評估和安全培訓等方面的能力,通過內部管理人員維護和采用專業安全廠商的安全服務相結合的方式來實現。
在一定程度上說,安全服務是一種專業經驗服務。安全服務提供商長期的服務經驗積累、對行業的深刻理解、處理安全問題(事件)的最佳做法、科學的安全思維方式、正確的安全思維方法都是為用戶提供完善安全解決方案的動力來源。
考慮到目前的實際,主要考慮安全掃描、滲透測試、安全加固、應急響應、安全通告、風險評估服務和安全培訓等服務。
河南九思通服務熱線
0371-58585908
0371-58585909
