Time: 2019-12-18  自腾讯新闻客户端自媒体

等级保护有多重要?因没做好这件事,重庆某医院被罚款一万

  今年5月,重庆永川某私立医院服务器突然陷入瘫痪,医院业务全面“停摆”,重庆永川公安接警后立即按照“净网2019”工作要求,启动网络安全应急响应预案,详细了解相关情况,在市公安局网安总队指导下,组织网安刑侦民警、勘验民警、管理民警、技术支持专家赶赴现场对该案件进行调查核实。

  经过民警和技术专家调查核实,该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。

  黑客通过互联网攻破医院系统后植入勒索病毒,导致医院业务全面“停摆”。

  针对此案,公安部门按照公安部“一案双查”工作要求,对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处,并按照《中华人民共和国网络安全法》第五十九条之规定,对医院处以罚款一万元,对直接负责的主管人员处以罚款五千元的行政处罚。

  等级保护究竟怎么建?

  当前,医疗信息化的加速发展,在给人们就医保健带来极大便捷的同时,海量医疗保健数据的安全性问题也随之涌现。近两年,医疗数据泄露事件不断发生,大量的患者信息泄露,带来的后果非常严重。

  5月13日,网络安全等级保护制度2.0标准正式发布。在等保2.0发布之前,医疗行业就已经是等级保护测评的重点对象了。等保2.0将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。但是由于医疗行业的行业特征和特殊性,因此,该如何开展等级保护测评工作,还需要结合自身实际,进行更为细致科学的调整。

  1

  合规是医疗行业信息安全的基础

  从2017年的中华人民共和国网络安全法实施,到等级保护制度2.0标准出台,国家和主管单位均对医院信息网络安全建设提出了要求。根据医院等级保护建设的调查统计显示:大部分的医院已通过等级保护测评或者有计划进行相应的建设,医院信息化建设重点主要集中在挂号服务、HIS系统、LIS系统、PACS系统等。

等级保护资讯网

  2

  数据安全成为医院安全规划和建设的出发点

  可以看到传统安全建设思路以边界、安全域为主,采取被动、防御型的技术手段。在互联网、大数据、社交平台的发展下,网络环境和安全威胁发生了巨大的变化,促使着防护重点转向数据安全,同时强调主动防御的合规管理和安全监控的综合分析。

等级保护资讯网

  3

  等级保护制度2.0标准下应用数据安全建设分析和实践

  以医院三级系统为例,对于设备和计算安全、应用和数据安全两个类别,舒适分别从安全控制点、技术要求、测评要求给出分析。等级保护制度2.0标准对系统终端、应用和数据安全,提出了入侵防范、身份鉴别、访问控制、数据完整性、数据保密性、数据备份恢复、安全审计等方面的明确要求。根据医疗行业各类业务系统安全需求及特点,结合美创科技自身对于数据安全体系的理解,分享了医院核心业务系统人员权限管理、医院数据脱敏、医院数据库防勒索、云上安全建设案例;HIS、PACS、LIS系统容灾备份建设案例。

  案例:某医院核心业务系统访问权限管理

  背景:

  某医院业务系统数据库涉及到:HIS、EMR、LIS等核心数据库系统;

  每个数据库的数据量巨大;

  数据库的访问人员,没有严格区分内部人员和外部人员,数据库内部权责界限不够明晰。

  方案:

  关于等保如何建设,听听专家怎么说

  对于等级保护建设,新疆人民医院彭建明主任认为:“安全就是‘三分技术、七分管理’,不是投入一堆硬件就安全了。很多高分通过等保三级的医院后来还是出现了安全问题,所以管理一定要跟得上。”

  他指出:医院在开展网络安全建设时可以遵循两个原则:

  一是医院的信息系统不会因为硬件障而停运;

  二是一定要对核心数据进行安全有效的备份。

  深圳南山医院网络技术科主任朱岁松则表示,在国家出台网络安全等级保护2.0标准的背景下,医院上云更加需要一种审慎的态度。尤其在选择云端安全产品时,一定要提前考虑等保2.0标准的要求,这也是上云必须要解决的问题。

  此外, 结合行业现状和新标准要求,专家钟一鸣对医疗机构开展网络安全等级保护工作提出了五点建议。

  第一,合理开展新业务系统及平台的定级备案工作,如医疗大数据平台、互联网医疗平台等。院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统,也需要加快等保建设步伐。

  第二,在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击。

  第三,加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单并且更加有效。

  第四,加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板。从而降低安全风险,提高信息系统健壮性。

  第五,适当选择安全厂商提供的安全服务,弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。

  总而言之,开展医疗行业的等保测评以及加固网络安全等工作,需要参照等保2.0的标准开展。需要加强技术和管理的结合,从内部网络安全防护做起,提高医护人员和医疗信息系统操作人员的网络安全意识和网络安全技术。

  同时通过提升网络安全技术和网络安全设备检测能力,增强防御外界攻击的能力。其外,引进网络安全人才或者寻找安全服务商合作,是加强医院自身的网络安全防护能力的非常关键。做好安全防护基础工作,是顺利通过等级保护测评的基础,专业的测评机构/安全服务商的专业指导能够加快等级保护测评的进程。


18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。