【信息安全等級保護資訊網】專注網絡安全等級保護,歡迎您的光臨!
等級保護咨詢電話:400-1021-996
信息安全等級保護資訊網
醫療行業
行業等保 您的位置:首頁>行業等保>醫療行業 >
等級保護2.0標準體系下醫院信息化安全建設
等級保護2.0標準體系下醫院信息化安全建設
醫療行業是勒索病毒威脅的重點目標,患者單體數據價值較高,病案和藥物則成為數據泄密的主要內容,由此建立安全的網絡架構尤為重要。2007年,公安部等四部門印發了《信息安全等級保護管理辦法》(以下簡稱“等保1.0”),為信息安全建設提供了框架標準的具體要求。在相關政策文件基礎上,原衛生部在2011年發布的《衛生行業信
簡介 ∨

【醫療行業】網絡安全等級保護行業標準資料下載

醫療行業是勒索病毒威脅的重點目標,患者單體數據價值較高,病案和藥物則成為數據泄密的主要內容,由此建立安全的網絡架構尤為重要。2007年,公安部等四部門印發了《信息安全等級保護管理辦法》(以下簡稱“等保1.0”),為信息安全建設提供了框架標準的具體要求。在相關政策文件基礎上,原衛生部在2011年發布的《衛生行業信息安全等級保護工作的指導意見》中明確指出,三級甲等醫院的核心業務系統必須通過等保的三級安全測評。近些年來,隨著云計算、移動互聯和物聯網等的發展,既往的安全架構面臨越來越多的挑戰,醫療機構中各類信息安全事故時有發生。面對嚴峻的網絡安全形勢,2019年5月,《信息安全技術網絡安全等級保護基本要求》(以下簡稱“等保2.0”)正式發布,給醫療行業帶來了全新的安全規范和要求。

等保2.0新規相比較等保1.0而言,增加了顯著的新變化和建設要求,主要體現在以下4個方面:(1)覆蓋對象的變化。新規范中的對象不僅包含傳統對象,更與時俱進地添加了新興事物主體,例如大數據平臺、物聯網、移動互聯等。(2)安全要求的改變。安全擴展的邊界更側重于考慮如大數據技術、互聯網技術等便捷性技術所同步產生的安全隱患。(3)分類結構的變化。等保2.0定義了技術部分和管理部分兩塊內容,技術部分側重于物理環境、通信網絡、網絡邊界、計算方面和整體框架;管理部分則包括管理制度、管理機構、管理人員、建設跟蹤和持續運維。(4)強調云端連接安全。不僅要求既往基礎設施與公有云的安全,更增加了虛擬化等私有云的安全內容,甚至涉及了云服務商資質和云計算環境等制度性強制審核要求。

上海市胸科醫院是一所以診治心肺疾病為主的三級甲等??漆t院,一直對信息安全非常重視。按照既往要求,醫院的核心業務系統和門戶網站系統于2018年6月通過了等保1.0的安全測評。醫院針對等保2.0要求的新變化,結合醫院現有基礎,進行了充分的頂層設計,制定了全新的整改方案,升級改造主要體現在3個重點方面。

2.1 擴大覆蓋范圍,延展新場景

醫院信息系統在原有基礎上進行了分類擴展,增加了特定的技術領域,重新劃分為傳統應用和新型應用兩個范圍。傳統應用指支撐醫院所需的基本業務系統,包括醫療業務系統(HIS)、實驗室系統(LIS)、放射檢查系統(RIS)、行政辦公系統以及后勤運維系統等。新型應用指圍繞特定新技術展開的應用,包括人機交互系統、數據分析平臺和云數據存儲平臺等應用。

2.2 分類結構細化,保證標準性

醫院依據等保2.0中的基本要求、設計要求和測評要求產生了相應的分類結構。相應的分類結構下綜合考慮安全、流程、制度和人員的相關要求,通過合規性檢查加強管理規范,配置安全設備阻斷內外攻擊,設定防御策略保護數據,定期災難演練提升應急處理能力,從而形成安全通信網絡、安全區域邊界、安全計算環境和安全管理中心的防護體系架構。

2.3 內嵌可信計算,全流程管理

醫院強化了可信計算技術使用的要求,在1~4級中都提出了可信建??臻g。將可信驗證完全列入等保測評的級別中,逐級提出各環節的主要信任鏈實體內容?;诳尚鸥O備的系統引導程序、系統程序、重要配置參數和通信應用程序等對數據流進行傳遞,涵蓋應用程序的所有采集和執行環節,并將最終驗證結果形成審計記錄發送至安全管理中心,方便醫院的信息管理人員動態感知環節中關聯細節。強化醫院自主可控的可信應用,從而實現網絡內的全閉環,實時安全動態監控。

醫院信息系統按照等保2.0標準的合規要求,圍繞以“安全管理平臺”為中心,建立了“安全計算環境、安全區域邊界、安全網絡通信”的三重防御體系,設計內外網信息交互的安全可信互聯模型,確保整改后安全的應用交互和數據傳輸。

3.1 安全管理平臺

安全管理平臺負責針對整體系統提出安全管理方面的技術控制要求,并通過相應手段實現安全的集中化管理。醫院經過授權的安全管理平臺,以此作為整體安全管理系統的中樞神經。同時,利用云存儲保存患者的醫療影像數據,如將檢查圖像上傳到云端進行備份,也催生云端互聯的應用實踐。為了保證云平臺的安全可靠,安全管理平臺不僅囊括了傳統的信息機房及網絡基礎設施,還重點加強了對網絡結構、隔離設備和虛擬化終端的在線評估,做到日常運維管理與實時監控一體化。

3.2 安全計算環境

通過安全計算環境的控制節點,規定了醫院信息系統所需要達到安全要求的各個維度。在不同的視角維度,相應地設定了相關的目標要求。例如,在醫護人員身份鑒別中,部署了兩種組合的鑒別技術對用戶身份進行鑒別,以達到身份認證的維度要求;在安全審計維度,對物理機、宿主機、虛擬機、數據庫系統等進行計算安全控制。通過發揮網絡計算環境中的安全框架,首先滿足所有計算實體完整性的有效度量優勢,同時也保證了用戶終端在域間數據計算交互中的動態安全管控。

3.3 安全區域邊界

醫院現存多套網絡,包括內網、外網和視頻監控網等。為更好地打造安全區域邊界,使用了區塊隔離的方法來達到網絡邊界的有效控制和防御,邊界間增加了包括附加的防毒墻和入侵檢測等設備。不同區域劃清邊界,通過應用服務、中間件、鏡像文件和用戶隱私鑒別等手段來跨越邊界和數據互聯。區域內的業務盡量采用虛擬化控制策略來防止非授權情況下的接入,安裝虛擬機防火墻(virtualapplication firewall,VAF)防止病毒越界蔓延,以保證出現問題后風險最小化的控制原則。

3.4 安全網絡通信

加強在網絡層次的安全防護和通信建立,通過人員、制度和流程的有機結合,構建對重要業務活動的管理。安全網絡通信保證了各應用的安全鏈接,通過內外網隔離和服務器隔離(demilitarized zone,DMZ)等通信物理來保障數據通信的加密。尤其針對云計算和互聯網業務,像郵箱、官網預約和掌上醫院等應用,實施了網絡通信上的網頁應用安全防護。不同類型的網絡制定了不同的安全等級,尤其是對外鏈接的外網、政務網、醫聯網和干保網,在外聯端和院內端均同步強制設立安全通信設備。

經過整改建設工作,醫院實現了基于可信計算的防御體系,在數據完整性、數據保密性、數據備份恢復、剩余信息保護以及個人信息保護等方面,加強了對數據安全和患者隱私的安全網絡保護。在醫院的網絡架構中,充分體現了基于等保2.0的“一個中心、三重防御”的理念,整合了系統安全和集中管控的能力。

其中,內網和醫學影像信息系統網絡存放著核心的業務系統,相關的數據庫服務器等被放置在單獨的DMZ區;外網與內網通過網閘進行物理隔離,數據交互建立在應用服務器上,在互聯網出口實施了安全出口控制;對于部分在技術和管理上達不到最高標準的應用,納入過渡的安全隔離網;安全管理中心主要針對數據中心安全計算環境,監控了業務應用、行政后勤和運維管理等系統,審計所有的物理環境、通信網絡、區域邊界、計算環境和后臺預警管理。各項專有網絡,分別按照安全擴展要求的評測指標,達到技術、人員和流程上的有機結合,保證整個醫院網絡的安全可信。

通過分析等保2.0的評估標準,可幫助醫院確定關鍵的信息系統,識別醫院信息系統存在的風險。醫院通過夯實網絡安全保護的基礎,達到了政策法規和指南的要求,化被動防護為主動防御,更好地保護了醫院中各類應用產生的患者醫療數據的信息安全。面對移動互聯網等革新技術應用給醫院帶來的安全沖擊,通過各項安全整改措施,可以更好地為醫院信息化發展保駕護航。

圖文版權歸原作者所有,如有侵權,請聯系刪除!

Copyright ? 2020-2021 信息安全等級保護資訊網 All Rights Reserved. 備案號碼:皖ICP備19012162號-3
本站文章內容部分來源于網絡轉載,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表本站立場,轉載目的在于傳遞更多信息。如有侵權,請聯系刪除。
色婷婷亚洲婷婷五月小说专区