等保2.0在醫療行業信息化建設中的機遇與挑戰
2017年國務院發布的《關于深化醫藥衛生體制改革的意見》開啟了新醫療體制改革。新醫改提出了“四梁八柱”,其中信息化是醫改的重要任務,也是醫改成功逐步推進的重要保障。隨著醫療體制改革繼續深入推進,醫療信息化已經成為醫療體制改革的重點發展方向。
醫療衛生事業是構建社會主義和諧社會的重要基礎,也是保證人民日常生活的重要環節。醫療衛生行業的健康發展,直接關系到民生問題。隨著醫院信息化建設的逐步深入,網上業務由單一到多元化,各類應用系統數十個,信息系統承受的壓力日益增長,醫院信息系統已經成為醫院正常運行不可或缺的支撐環境和工作平臺。核心業務是醫院信息化建設的基礎,是醫院信息系統運行的平臺,對醫院運行效率和管理水平都有重要作用,因此創造良好信息系統安全運營環境是醫院信息安全的最終目標。
1、醫院信息安全建設面臨大轉型
醫院擁有大量患者數據,在黑灰產中越來越受到“青睞”,這也推動黑客越來越多地“盯上”醫院。一般來說,醫院信息化安全建設面臨諸多問題。
中國醫院協會信息專業委員會(CHIMA)在今年3月發布了《2019年醫院信息安全調查報告》,其中對醫院實施等級保護情況做了專門章節介紹。據了解,在389家樣本醫院中,50.13%的醫院通過了等保測評。其中,三級醫院實施等保工作情況明顯好于三級以下醫院,經濟發達地區實施等保工作的比例高于中等發達地區和經濟欠發達地區。
本次調查顯示,在近三年醫院信息化建設重點內容的調查排名前三位的是:重點建設患者服務系統(掛號APP、自助機等)的醫院為 226 家,占比 58.10%;重點建設醫院管理系統(HRP、BI、財務系統等)的醫院為 212 家,占比 54.50%;重點建設HIS以外的業務系統(EMR、LIS、PACS、超聲等)的醫院為 203 家,占比52.19%。
醫院網絡安全建設落后主要有兩方面原因:一方面,醫院信息化建設本身投入相對不足,資金更多投入在應用和硬件上,安全方面投入很少;另一方面,醫院信息部門缺乏安全建設經驗,安全專業能力不足。
絕大部分醫院都缺乏專業的網絡安全人才,在網絡安全運營方向做的都很少,還是以防御建設為主。醫院網絡安全建設痛點要從兩個方面看:一是外部。醫療行業越來越開放,醫療業務擁抱互聯網,雖然方便了老百姓就醫,但也引入了大量的互聯網安全風險。二是內部。醫院網絡規模雖不大,但相對比較復雜。各個業務系統之間的關聯非常緊密,數據共享很頻繁,非常容易造成安全風險在內部蔓延。
2、醫院信息化如何迎考等保2.0?
醫療行業等保2.0建設工作應“以病人中心,以診療活動為主線,以人性化服務”為主導,以智能化和信息化技術為支撐的診療自動化、建筑設備管理智能化、管理信息集成化,最終打造最為先進的“診療手段完備、管理科學、信息一體化、高效節能的智慧醫療”為藍圖的智慧醫療框架體系。
網絡信息安全是個系統工程,三分技術、七分管理,醫療機構需從技術和管理多角度構建網絡安全體系。由于很多安全威脅來自于醫院內部的管理漏洞,建設全方位的網絡信息安全管理體系并落實到位,是醫療機構信息部門在2019年的重要工作。其信息化建設應參考等保2.0標準,并結合醫院實際情況,選擇性地采取更多安全措施。
另一方面,對于之前已經通過等保3級的醫療機構,再去認證等級保護2.0下的相關測評要求參考時,可以參考已通過等保1.0標準下等保3級的系統沿用之前的定級,在2.0時代不需要再重新定級和備案。但仍需按照新標準進行安全加固、補齊不足,在每年復評審查時需要滿足新標準的評分要求。
此外,等保2.0中技術控制項與等保1.0中有不少區別。比如在“安全擴展要求”中,針對云計算平臺、物聯網平臺、移動互聯網均有額外的控制項要求。在國家出臺網絡安全等級保護2.0標準的背景下,醫院上云更加需要一種審慎的態度。等保2.0提出了更高要求,比如等級保護對象從原來關注傳統系統擴展到云平臺和大數據平臺的安全。因此,云平臺的基礎架構要符合等級保護2.0標準的要求。尤其在選擇云端安全產品時,一定要提前考慮等保2.0標準的要求,這也是上云必須要解決的問題。
在加強醫院網絡和信息安全建設方面,建議把可能造成醫院業務系統停運的每個環節都要考慮到位。比如,數據庫等核心應用更要加強安全建設。醫院在開展網絡安全建設時可以遵循兩個原則:一是醫院的信息系統不會因為硬件故障而停運;二是一定要對核心數據進行有效的防泄密、數據脫敏等技術手段。
靈狐科技結合行業現狀和新標準要求,對醫療機構開展網絡安全等級保護工作提出以下五點建議。
1、合理開展新業務系統及平臺的定級備案工作,如醫療大數據平臺、互聯網醫療平臺等。院內如HIS、EMR等還未開展定級備案工作的傳統核心業務系統,也需要加快等保建設步伐。
2、在等保建設中嘗試采用新技術新手段加強醫院的安全技術防護和態勢感知建設,以防范特種木馬或新型網絡攻擊。
3、加強日常安全運維,引入可視化、統一運維等創新技術,讓安全管理和運維更簡單并且更加有效。
4、加強主動防御能力,并通過全方位、多視角的風險分析,完善醫院網絡安全建設短板。從而降低安全風險,提高信息系統健壯性。
5、適當選擇安全廠商提供的安全服務,彌補醫院專業安全技術人員不足。最大程度減少因網絡安全事件所帶來的醫院運營中斷以及管理成本增加的風險。
醫療衛生事業是構建社會主義和諧社會的重要基礎,也是保證人民日常生活的重要環節。醫療衛生行業的健康發展,直接關系到民生問題。隨著醫院信息化建設的逐步深入,網上業務由單一到多元化,各類應用系統數十個,信息系統承受的壓力日益增長,醫院信息系統已經成為醫院正常運行不可或缺的支撐環境和工作平臺。核心業務是醫院信息化建設的基礎,是醫院信息系統運行的平臺,對醫院運行效率和管理水平都有重要作用,因此創造良好信息系統安全運營環境是醫院信息安全的最終目標。
1、醫院信息安全建設面臨大轉型
醫院擁有大量患者數據,在黑灰產中越來越受到“青睞”,這也推動黑客越來越多地“盯上”醫院。一般來說,醫院信息化安全建設面臨諸多問題。
中國醫院協會信息專業委員會(CHIMA)在今年3月發布了《2019年醫院信息安全調查報告》,其中對醫院實施等級保護情況做了專門章節介紹。據了解,在389家樣本醫院中,50.13%的醫院通過了等保測評。其中,三級醫院實施等保工作情況明顯好于三級以下醫院,經濟發達地區實施等保工作的比例高于中等發達地區和經濟欠發達地區。
本次調查顯示,在近三年醫院信息化建設重點內容的調查排名前三位的是:重點建設患者服務系統(掛號APP、自助機等)的醫院為 226 家,占比 58.10%;重點建設醫院管理系統(HRP、BI、財務系統等)的醫院為 212 家,占比 54.50%;重點建設HIS以外的業務系統(EMR、LIS、PACS、超聲等)的醫院為 203 家,占比52.19%。
醫院網絡安全建設落后主要有兩方面原因:一方面,醫院信息化建設本身投入相對不足,資金更多投入在應用和硬件上,安全方面投入很少;另一方面,醫院信息部門缺乏安全建設經驗,安全專業能力不足。
絕大部分醫院都缺乏專業的網絡安全人才,在網絡安全運營方向做的都很少,還是以防御建設為主。醫院網絡安全建設痛點要從兩個方面看:一是外部。醫療行業越來越開放,醫療業務擁抱互聯網,雖然方便了老百姓就醫,但也引入了大量的互聯網安全風險。二是內部。醫院網絡規模雖不大,但相對比較復雜。各個業務系統之間的關聯非常緊密,數據共享很頻繁,非常容易造成安全風險在內部蔓延。
2、醫院信息化如何迎考等保2.0?
醫療行業等保2.0建設工作應“以病人中心,以診療活動為主線,以人性化服務”為主導,以智能化和信息化技術為支撐的診療自動化、建筑設備管理智能化、管理信息集成化,最終打造最為先進的“診療手段完備、管理科學、信息一體化、高效節能的智慧醫療”為藍圖的智慧醫療框架體系。
網絡信息安全是個系統工程,三分技術、七分管理,醫療機構需從技術和管理多角度構建網絡安全體系。由于很多安全威脅來自于醫院內部的管理漏洞,建設全方位的網絡信息安全管理體系并落實到位,是醫療機構信息部門在2019年的重要工作。其信息化建設應參考等保2.0標準,并結合醫院實際情況,選擇性地采取更多安全措施。
另一方面,對于之前已經通過等保3級的醫療機構,再去認證等級保護2.0下的相關測評要求參考時,可以參考已通過等保1.0標準下等保3級的系統沿用之前的定級,在2.0時代不需要再重新定級和備案。但仍需按照新標準進行安全加固、補齊不足,在每年復評審查時需要滿足新標準的評分要求。
此外,等保2.0中技術控制項與等保1.0中有不少區別。比如在“安全擴展要求”中,針對云計算平臺、物聯網平臺、移動互聯網均有額外的控制項要求。在國家出臺網絡安全等級保護2.0標準的背景下,醫院上云更加需要一種審慎的態度。等保2.0提出了更高要求,比如等級保護對象從原來關注傳統系統擴展到云平臺和大數據平臺的安全。因此,云平臺的基礎架構要符合等級保護2.0標準的要求。尤其在選擇云端安全產品時,一定要提前考慮等保2.0標準的要求,這也是上云必須要解決的問題。
在加強醫院網絡和信息安全建設方面,建議把可能造成醫院業務系統停運的每個環節都要考慮到位。比如,數據庫等核心應用更要加強安全建設。醫院在開展網絡安全建設時可以遵循兩個原則:一是醫院的信息系統不會因為硬件故障而停運;二是一定要對核心數據進行有效的防泄密、數據脫敏等技術手段。
靈狐科技結合行業現狀和新標準要求,對醫療機構開展網絡安全等級保護工作提出以下五點建議。
1、合理開展新業務系統及平臺的定級備案工作,如醫療大數據平臺、互聯網醫療平臺等。院內如HIS、EMR等還未開展定級備案工作的傳統核心業務系統,也需要加快等保建設步伐。
2、在等保建設中嘗試采用新技術新手段加強醫院的安全技術防護和態勢感知建設,以防范特種木馬或新型網絡攻擊。
3、加強日常安全運維,引入可視化、統一運維等創新技術,讓安全管理和運維更簡單并且更加有效。
4、加強主動防御能力,并通過全方位、多視角的風險分析,完善醫院網絡安全建設短板。從而降低安全風險,提高信息系統健壯性。
5、適當選擇安全廠商提供的安全服務,彌補醫院專業安全技術人員不足。最大程度減少因網絡安全事件所帶來的醫院運營中斷以及管理成本增加的風險。
相關鏈接:
