2019年5月13日,我國網(wǎng)絡安全等級保護制度2.0標準發(fā)布����,12月1日已開始正式實施����。據(jù)了解��,網(wǎng)絡安全等級保護制度2.0國家標準在1.0的基礎上��,實現(xiàn)對新技術(shù)�����、新應用安全保護對象和安全保護領(lǐng)域的全覆蓋��,這為醫(yī)院未來一段時間內(nèi)的網(wǎng)絡安全工作指明了方向��。
健康醫(yī)療行業(yè)網(wǎng)絡安全觀測
中國信息通信研究院發(fā)布的《2019健康醫(yī)療行業(yè)網(wǎng)絡安全觀測報告》顯示���,健康醫(yī)療行業(yè)面臨的網(wǎng)絡安全風險等級呈現(xiàn)地域差異���,主要威脅則集中表現(xiàn)在三大方面。
1�、風險級別分布:
結(jié)果顯示,“低風險”的省份有:山東省和四川?���。?/span>
“一般風險”的省份有:浙江省��、江蘇省���、河南省����、廣東省����、安徽省���、河北省等;
“較大風險”的省份有:北京市����、上海市、重慶市����、天津市、福建省�����、山西省�、甘肅省、貴州省�����、黑龍江省����、湖北省、湖南省�����、江西省�、吉林省、遼寧省��、陜西省���、云南省�����、廣西壯族自治區(qū)���、新疆維吾爾自治區(qū)等;
“重大風險”的省份有:青海省���、海南省��、內(nèi)蒙古自治區(qū)�、西藏自治區(qū)�、寧夏回族自治區(qū)�。
2�、風險集中表現(xiàn):
本次觀測發(fā)現(xiàn),健康醫(yī)療行業(yè)面臨的網(wǎng)絡安全風險主要集中表現(xiàn)在兩大方面:
以勒索病毒為代表的僵木蠕等惡意程序風險����。觀測發(fā)現(xiàn),存在僵木蠕等惡意程序的單位共計1029 家�,其中受勒索病毒影響的單位共計136 家?��?蓪е麓蠓秶木W(wǎng)絡欺詐���、信息泄露和醫(yī)療信息系統(tǒng)癱瘓等破壞性后果。
安全隱患帶來的大數(shù)據(jù)泄露風險��。觀測發(fā)現(xiàn)����,有6446 個單位的應用服務(如數(shù)據(jù)庫服務、FTP 服務�����、打印機服務等)端口暴露在公共互聯(lián)網(wǎng),其中375 家單位的應用服務使用了極簡易的密碼�。
醫(yī)院網(wǎng)絡安全現(xiàn)狀不容樂觀
中國醫(yī)院協(xié)會信息專業(yè)委員會(CHIMA)在去年發(fā)布了《2017-2018年度中國醫(yī)院信息化狀況調(diào)查報告》,其中對醫(yī)院實施等級保護情況做了專門章節(jié)介紹���。據(jù)了解,在484家樣本醫(yī)院中�,36.16%的醫(yī)院通過了等保測評。其中���,三級醫(yī)院實施等保工作情況明顯好于三級以下醫(yī)院��,經(jīng)濟發(fā)達地區(qū)實施等保工作的比例高于中等發(fā)達地區(qū)和經(jīng)濟欠發(fā)達地區(qū)���。
我國醫(yī)院現(xiàn)有的安全保障體系尚處于初步建設階段,尚不足以應對當前網(wǎng)絡安全威脅����,行業(yè)整體網(wǎng)絡安全保障水平亟需提升。
醫(yī)院網(wǎng)絡安全建設落后主要有兩方面原因:一方面��,醫(yī)院信息化建設本身投入就相對不足����,資金更多投入在應用和硬件上,安全方面投入很少;另一方面���,醫(yī)院信息部門缺乏安全建設經(jīng)驗����,安全專業(yè)能力不足��。
醫(yī)院網(wǎng)絡安全建設痛點要從兩個方面看:一是外部��。醫(yī)療行業(yè)越來越開放�����,醫(yī)療業(yè)務擁抱互聯(lián)網(wǎng)�����,雖然方便了老百姓就醫(yī)���,但也引入了大量的互聯(lián)網(wǎng)安全風險��。二是內(nèi)部��。醫(yī)院網(wǎng)絡規(guī)模雖不大����,但相對比較復雜。各個業(yè)務系統(tǒng)之間的關(guān)聯(lián)非常緊密�,數(shù)據(jù)共享很頻繁,非常容易造成安全風險在內(nèi)部蔓延��。
醫(yī)院如何迎戰(zhàn)等保2.0�����?
等保2.0將云計算��、移動互聯(lián)����、物聯(lián)網(wǎng)����、工業(yè)控制系統(tǒng)等新技術(shù)、新應用的場景列入標準范圍��。但是由于醫(yī)療行業(yè)的行業(yè)特征和特殊性��,因此�����,該如何開展等級保護測評工作,還需要醫(yī)院結(jié)合自身實際����,進行更為細致科學的調(diào)整。
1����、抓住核心問題
等保測評一方面要抓住重點、節(jié)約資金��。在進行等保測評時���,要根據(jù)醫(yī)院實際業(yè)務應用情況��,核心業(yè)務系統(tǒng)(HIS���、LIS、PACS�����、EMR)要按照等保要求嚴格執(zhí)行�����,非核心投入少一些。
2����、云平臺基礎架構(gòu)要符合要求
對于具備互聯(lián)網(wǎng)+醫(yī)院、互聯(lián)網(wǎng)平臺的醫(yī)院����,選擇云平臺的基礎架構(gòu)要符合等級保護2.0標準的要求。
3���、每個環(huán)節(jié)都要考慮
加強醫(yī)院網(wǎng)絡和信息安全建設方面��,建議要把能造成醫(yī)院業(yè)務系統(tǒng)停運的每個環(huán)節(jié)都要考慮到位。比如���,數(shù)據(jù)庫等核心應用更要加強安全建設�����。
醫(yī)院在開展網(wǎng)絡安全建設時可以遵循兩個原則:一是醫(yī)院的信息系統(tǒng)不會因為硬件故障而停運(可用性)��;二是一定要對核心數(shù)據(jù)進行安全有效的備份(數(shù)據(jù)備份)����。
2020年,建議醫(yī)院網(wǎng)絡等保工作這樣做
第一�����,院內(nèi)如HIS�、EMR等還未開展定級備案工作的傳統(tǒng)核心業(yè)務系統(tǒng),也需要加快等保建設步伐���。
第二�,在等保建設中嘗試采用新技術(shù)新手段加強醫(yī)院的安全技術(shù)防護和態(tài)勢感知建設�,以防范特種木馬或新型網(wǎng)絡攻擊。
第三����,加強日常安全運維,引入可視化�、統(tǒng)一運維等創(chuàng)新技術(shù),讓安全管理和運維更簡單并且更加有效���。
第四����,加強主動防御能力,并通過全方位����、多視角的風險分析,完善醫(yī)院網(wǎng)絡安全建設短板�。從而降低安全風險,提高信息系統(tǒng)健壯性���。
第五�,選擇專業(yè)安全服務運營商�,彌補醫(yī)院專業(yè)安全技術(shù)人員不足。最大程度減少因網(wǎng)絡安全事件所帶來的醫(yī)院運營中斷以及管理成本增加的風險�。
0531-67800866