來源：HIT專家網(wǎng)      記者：孫鵬

        5月13日,，我國網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)發(fā)布,，正式實(shí)施時(shí)間為2019年12月1日。據(jù)了解,，網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)在1.0的基礎(chǔ)上,，實(shí)現(xiàn)對新技術(shù)、新應(yīng)用安全保護(hù)對象和安全保護(hù)領(lǐng)域的全覆蓋,。

        那么,，對比等級保護(hù)1.0標(biāo)準(zhǔn)，等級保護(hù)2.0標(biāo)準(zhǔn)都發(fā)生了哪些新變化,？在新標(biāo)準(zhǔn)下,，在云計(jì)算、大數(shù)據(jù),、物聯(lián)網(wǎng),、移動(dòng)通信等新技術(shù)驅(qū)動(dòng)下的醫(yī)院網(wǎng)絡(luò)安全建設(shè)和網(wǎng)絡(luò)等保測評又該何去何從？這也是每個(gè)醫(yī)療信息化從業(yè)者所關(guān)心的問題,。

等保2.0的主要變化

        就在5月16日舉行的“網(wǎng)絡(luò)安全等級保護(hù)制度2.0國家標(biāo)準(zhǔn)宣貫會”上,，公安部信息安全等級保護(hù)評估中心副研究員馬力介紹了等級保護(hù)2.0標(biāo)準(zhǔn)體系的三大特點(diǎn)：

        一是對象范圍擴(kuò)大,。新標(biāo)準(zhǔn)將云計(jì)算,、移動(dòng)互聯(lián)、物聯(lián)網(wǎng),、工業(yè)控制系統(tǒng)等新技術(shù),、新應(yīng)用的場景列入標(biāo)準(zhǔn)范圍。

        二是分類結(jié)構(gòu)統(tǒng)一,。等級保護(hù)的基本要求,、測評要求、設(shè)計(jì)技術(shù)要求框架統(tǒng)一,，形成“安全通信網(wǎng)絡(luò)”,、“安全區(qū)域邊界”,、“安全計(jì)算環(huán)境”、“安全管理中心”支持下的完全統(tǒng)一的三重防護(hù)體系架構(gòu),。

        三是新標(biāo)準(zhǔn)把可信計(jì)算使用列入標(biāo)準(zhǔn)范圍,，從一級到四級全部提出了可信驗(yàn)證要求。

        資深網(wǎng)絡(luò)安全專家,、深信服醫(yī)療事業(yè)部副總經(jīng)理鐘一鳴在接受HIT專家網(wǎng)采訪時(shí)表示,，對比等級保護(hù)1.0標(biāo)準(zhǔn)，等級保護(hù)2.0標(biāo)準(zhǔn)有5點(diǎn)比較重要的變化,。

        1.名稱變化：從1.0時(shí)代的《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》變成2.0時(shí)代的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》,。名稱的變化代表了等級保護(hù)標(biāo)準(zhǔn)上升到了網(wǎng)絡(luò)空間安全的層面，網(wǎng)絡(luò)安全的重要程度無疑是增加了,。

        2.定級對象變化：從1.0時(shí)代的“信息系統(tǒng)”變?yōu)?.0時(shí)代的“信息系統(tǒng),、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算平臺,、大數(shù)據(jù)平臺,、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng),、移動(dòng)互聯(lián)網(wǎng)絡(luò)等”,，覆蓋更加全面，指導(dǎo)更加聚焦,。

        3.安全要求變化：從1.0時(shí)代的“安全要求”變?yōu)?.0時(shí)代的“安全通用要求 安全擴(kuò)展要求”,，為近些年新興的網(wǎng)絡(luò)技術(shù)制定了安全標(biāo)準(zhǔn)，更有針對性,。

        4.控制措施分類結(jié)構(gòu)變化：從1.0時(shí)代“技術(shù)（物理,、網(wǎng)絡(luò)、主機(jī),、應(yīng)用,、數(shù)據(jù)） 管理”變?yōu)?.0時(shí)代“技術(shù)（物理環(huán)境、一個(gè)中心三重防護(hù)） 管理”,，控制措施的變化體現(xiàn)了標(biāo)準(zhǔn)制定者對網(wǎng)絡(luò)安全提出的新要求,。從1.0時(shí)代更重視防護(hù)轉(zhuǎn)變?yōu)?.0時(shí)代更重視安全的運(yùn)營。

        5.內(nèi)容變化：從1.0時(shí)代的“5個(gè)規(guī)定動(dòng)作（定級,、備案,、整改建設(shè)、等級評測,、監(jiān)督檢查）”變?yōu)?.0時(shí)代“5個(gè)規(guī)定動(dòng)作（定級,、備案、整改建設(shè)、等級評測,、監(jiān)督檢查） 風(fēng)險(xiǎn)評估,、安全檢測、通報(bào)預(yù)警,、態(tài)勢感知等”,。內(nèi)容的變化同樣體現(xiàn)了等保2.0時(shí)代更加注重安全的動(dòng)態(tài)過程，通過持續(xù)的運(yùn)營去解決日益復(fù)雜的新安全隱患,。

        “對于醫(yī)院來說,，需要去理解標(biāo)準(zhǔn)制定者希望通過新標(biāo)準(zhǔn)傳遞了什么樣的信息?！辩娨圾Q建議,，從1.0標(biāo)準(zhǔn)的重視防護(hù)（偏靜態(tài)）到2.0標(biāo)準(zhǔn)中重視安全運(yùn)營（偏動(dòng)態(tài)），醫(yī)院需要結(jié)合新標(biāo)準(zhǔn)的具體技術(shù)手段升級現(xiàn)有的網(wǎng)絡(luò)安全體系,，避免因網(wǎng)絡(luò)安全影響醫(yī)院正常業(yè)務(wù),。

醫(yī)院網(wǎng)絡(luò)安全現(xiàn)狀不容樂觀

        中國醫(yī)院協(xié)會信息專業(yè)委員會（CHIMA）在去年發(fā)布了《2017-2018年度中國醫(yī)院信息化狀況調(diào)查報(bào)告》，其中對醫(yī)院實(shí)施等級保護(hù)情況做了專門章節(jié)介紹,。據(jù)了解,，在484家樣本醫(yī)院中，36.16％的醫(yī)院通過了等保測評,。其中,，三級醫(yī)院實(shí)施等保工作情況明顯好于三級以下醫(yī)院，經(jīng)濟(jì)發(fā)達(dá)地區(qū)實(shí)施等保工作的比例高于中等發(fā)達(dá)地區(qū)和經(jīng)濟(jì)欠發(fā)達(dá)地區(qū),。

        根據(jù)CHIMA發(fā)布的信息,，日前在CHIMA組織的醫(yī)院網(wǎng)絡(luò)安全技術(shù)培訓(xùn)班上，北京市衛(wèi)生計(jì)生委信息中心副主任鄭攀介紹了北京市醫(yī)療行業(yè)等級保護(hù)情況,。鄭攀副主任認(rèn)為,，我國醫(yī)院現(xiàn)有的安全保障體系尚處于初步建設(shè)階段，尚不足以應(yīng)對當(dāng)前網(wǎng)絡(luò)安全威脅,，行業(yè)整體網(wǎng)絡(luò)安全保障水平亟需提升,。

        “現(xiàn)在醫(yī)院的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)非常大，尤其在“互聯(lián)網(wǎng) ”時(shí)代,，醫(yī)院原來的內(nèi)網(wǎng)已經(jīng)開放給互聯(lián)網(wǎng),。而與金融等傳統(tǒng)行業(yè)相比，醫(yī)療行業(yè)在安全設(shè)備和安全管理上其實(shí)還都沒做好準(zhǔn)備,?！毙陆S吾爾自治區(qū)人民醫(yī)院（簡稱：新疆人民醫(yī)院）信息中心主任彭建明在接受HIT專家網(wǎng)采訪時(shí)表示,，醫(yī)院網(wǎng)絡(luò)安全建設(shè)落后主要有兩方面原因：一方面,，醫(yī)院信息化建設(shè)本身投入就相對不足，資金更多投入在應(yīng)用和硬件上，安全方面投入很少,；另一方面,，醫(yī)院信息部門缺乏安全建設(shè)經(jīng)驗(yàn)，安全專業(yè)能力不足,。

        鐘一鳴也認(rèn)為,，絕大部分醫(yī)院都缺乏專業(yè)的網(wǎng)絡(luò)安全人才，因此在網(wǎng)絡(luò)安全運(yùn)營方向做的都很少,，還是以防御建設(shè)為主,。醫(yī)院網(wǎng)絡(luò)安全建設(shè)痛點(diǎn)要從兩個(gè)方面看：一是外部。醫(yī)療行業(yè)越來越開放,，醫(yī)療業(yè)務(wù)擁抱互聯(lián)網(wǎng),，雖然方便了老百姓就醫(yī)，但也引入了大量的互聯(lián)網(wǎng)安全風(fēng)險(xiǎn),。二是內(nèi)部,。醫(yī)院網(wǎng)絡(luò)規(guī)模雖不大，但相對比較復(fù)雜,。各個(gè)業(yè)務(wù)系統(tǒng)之間的關(guān)聯(lián)非常緊密,，數(shù)據(jù)共享很頻繁，非常容易造成安全風(fēng)險(xiǎn)在內(nèi)部蔓延,。

醫(yī)院如何備戰(zhàn)等保2.0,？

        據(jù)彭建明主任介紹，新疆人民醫(yī)院于2017年開始啟動(dòng)等保3級,，經(jīng)過一年多的建設(shè),，在2018年順利通過測評。在他看來,，等保測評一方面要抓住重點(diǎn),、節(jié)約資金。在進(jìn)行等保測評時(shí),，要根據(jù)醫(yī)院實(shí)際業(yè)務(wù)應(yīng)用情況,，有些地方要按照等保要求嚴(yán)格執(zhí)行，有些地方則相對可以投入少一些,。

        另一方面要加強(qiáng)安全管理,。“安全就是‘三分技術(shù)、七分管理’,，不是投入一堆硬件就安全了,。很多高分通過等保三級的醫(yī)院后來還是出現(xiàn)了安全問題，所以管理一定要跟得上,?！迸斫髦魅握f,，該院后續(xù)還將參考等保2.0標(biāo)準(zhǔn)，結(jié)合醫(yī)院實(shí)際情況,，有選擇性地采取更多安全措施,。

        那么，對于之前已經(jīng)通過等保3級的醫(yī)療機(jī)構(gòu),，如何再去認(rèn)證等級保護(hù)2.0下的相關(guān)測評要求,？對此，鐘一鳴解釋說,，已通過等保1.0標(biāo)準(zhǔn)下等保3級的系統(tǒng)沿用之前的定級,，在2.0時(shí)代不需要再重新定級和備案。但仍需按照新標(biāo)準(zhǔn)進(jìn)行安全加固,、補(bǔ)齊不足,，在每年復(fù)評審查時(shí)需要滿足新標(biāo)準(zhǔn)的評分要求。

        不過,，醫(yī)院在開展等保測評項(xiàng)目時(shí),，除了改造網(wǎng)絡(luò)所產(chǎn)生的設(shè)備應(yīng)用投入外，等保測評費(fèi)也是價(jià)格不菲,，這可能也是醫(yī)院參加等保測評積極性低的重要原因之一,。據(jù)彭建明主任透露，該院之前開展等保3級測評是按照核心系統(tǒng)計(jì)算,，HIS,、LIS、PACS,、EMR等4大核心系統(tǒng)都需要逐個(gè)測評,，單是等保測評費(fèi)就要花費(fèi)數(shù)十萬元。而隨著等級保護(hù)標(biāo)準(zhǔn)的提高,，測評投入費(fèi)用也將更高,。

        此外，等保2.0中技術(shù)控制項(xiàng)與等保1.0中有不少區(qū)別,。比如在“安全擴(kuò)展要求”中,，針對云計(jì)算平臺、物聯(lián)網(wǎng)平臺,、移動(dòng)互聯(lián)網(wǎng)均有額外的控制項(xiàng)要求,。深圳南山醫(yī)院網(wǎng)絡(luò)技術(shù)科主任朱歲松表示，在國家出臺網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)的背景下,，醫(yī)院上云更加需要一種審慎的態(tài)度,。等保2.0提出了更高要求，比如等級保護(hù)對象從原來關(guān)注傳統(tǒng)系統(tǒng)擴(kuò)展到云平臺和大數(shù)據(jù)平臺的安全,。因此,，云平臺的基礎(chǔ)架構(gòu)要符合等級保護(hù)2.0標(biāo)準(zhǔn)的要求,。尤其在選擇云端安全產(chǎn)品時(shí)，一定要提前考慮等保2.0標(biāo)準(zhǔn)的要求,，這也是上云必須要解決的問題。

        在加強(qiáng)醫(yī)院網(wǎng)絡(luò)和信息安全建設(shè)方面,，彭建明主任建議,，要把能造成醫(yī)院業(yè)務(wù)系統(tǒng)停運(yùn)的每個(gè)環(huán)節(jié)都要考慮到位。比如,，數(shù)據(jù)庫等核心應(yīng)用更要加強(qiáng)安全建設(shè),。醫(yī)院在開展網(wǎng)絡(luò)安全建設(shè)時(shí)可以遵循兩個(gè)原則：一是醫(yī)院的信息系統(tǒng)不會因?yàn)橛布隙＿\(yùn)；二是一定要對核心數(shù)據(jù)進(jìn)行安全有效的備份,。

        結(jié)合行業(yè)現(xiàn)狀和新標(biāo)準(zhǔn)要求,，鐘一鳴對醫(yī)療機(jī)構(gòu)開展網(wǎng)絡(luò)安全等級保護(hù)工作提出了五點(diǎn)建議。

        第一,，合理開展新業(yè)務(wù)系統(tǒng)及平臺的定級備案工作,，如醫(yī)療大數(shù)據(jù)平臺、互聯(lián)網(wǎng)醫(yī)療平臺等,。院內(nèi)如HIS,、EMR等還未開展定級備案工作的傳統(tǒng)核心業(yè)務(wù)系統(tǒng)，也需要加快等保建設(shè)步伐,。

        第二,，在等保建設(shè)中嘗試采用新技術(shù)新手段加強(qiáng)醫(yī)院的安全技術(shù)防護(hù)和態(tài)勢感知建設(shè)，以防范特種木馬或新型網(wǎng)絡(luò)攻擊,。

        第三,，加強(qiáng)日常安全運(yùn)維，引入可視化,、統(tǒng)一運(yùn)維等創(chuàng)新技術(shù),，讓安全管理和運(yùn)維更簡單并且更加有效。

        第四,，加強(qiáng)主動(dòng)防御能力,，并通過全方位、多視角的風(fēng)險(xiǎn)分析,，完善醫(yī)院網(wǎng)絡(luò)安全建設(shè)短板,。從而降低安全風(fēng)險(xiǎn)，提高信息系統(tǒng)健壯性,。

        第五,，適當(dāng)選擇安全廠商提供的安全服務(wù)，彌補(bǔ)醫(yī)院專業(yè)安全技術(shù)人員不足,。最大程度減少因網(wǎng)絡(luò)安全事件所帶來的醫(yī)院運(yùn)營中斷以及管理成本增加的風(fēng)險(xiǎn),。

【責(zé)任編輯：孫鵬】