淺談三甲醫(yī)院信息安全等級(jí)保護(hù)工作

1、淺談三甲醫(yī)院信息安全等級(jí)保護(hù)工作1、建設(shè)背景隨著醫(yī)院信息化建設(shè)的不斷的發(fā)展，醫(yī)院各項(xiàng)工作的開展都不同程度的采用了網(wǎng)絡(luò)信息系統(tǒng)，信息系統(tǒng)在三甲醫(yī)院中的角色也越來越重要，現(xiàn)代醫(yī)院的發(fā)展建設(shè)已經(jīng)和信息化建設(shè)結(jié)合為一體；當(dāng)醫(yī)院信息系統(tǒng)安全受到攻擊或破壞從而導(dǎo)致醫(yī)院不能正常開展各項(xiàng)醫(yī)療工作時(shí)，就很容易引發(fā)社會(huì)性的群體事故，如泄露患者個(gè)人隱私信息（重大疾病）、掛號(hào)系統(tǒng)中斷引發(fā)患者情緒不滿在醫(yī)院鬧事，因此如何保證醫(yī)院信息系統(tǒng)安全也成為醫(yī)院信息化建設(shè)需重視的問題。為了進(jìn)一步做好醫(yī)院信息安全保護(hù)工作，衛(wèi)生部針對(duì)我國現(xiàn)階段各醫(yī)療行業(yè)的現(xiàn)狀， 下發(fā)了 衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見的通知 201185號(hào)，

2、在該通知中明確了信息安全等級(jí)保護(hù)與醫(yī)療行業(yè)信息安全保護(hù)的聯(lián)系，根據(jù)該文件的指導(dǎo)精神，三甲醫(yī)院的核心業(yè)務(wù)系統(tǒng)應(yīng)按照信息安全等級(jí)保護(hù)第三級(jí)進(jìn)行建設(shè)和保護(hù)。2、建設(shè)過程醫(yī)院信息安全等級(jí)保護(hù)工作建設(shè)主要分為以下幾個(gè)過程：2.1 醫(yī)院信息系統(tǒng)定級(jí)評(píng)審根據(jù)信息安全等級(jí)保護(hù)的相關(guān)規(guī)定，當(dāng)信息系統(tǒng)遭到攻擊或破壞時(shí)引發(fā)的后果可分為對(duì)國家安全、社會(huì)秩序及公共利益、公民及個(gè)人的合法利益的受損害程序來進(jìn)行等級(jí)劃分。對(duì)比此規(guī)定，按照衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的相關(guān)要求，三甲醫(yī)院應(yīng)按照信息安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)來對(duì)醫(yī)院核心業(yè)務(wù)進(jìn)行定級(jí)，并組織各方相關(guān)信息安全專家完成醫(yī)院信息系統(tǒng)的定級(jí)工作。2.2 醫(yī)院信息系統(tǒng)備案在對(duì)醫(yī)院

3、信息系統(tǒng)進(jìn)行定級(jí)評(píng)審后，醫(yī)院需將 信息系統(tǒng)安全等級(jí)保護(hù)備案表 、 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告及相關(guān)文檔上交給當(dāng)?shù)匦l(wèi)生主管部門，有衛(wèi)生部門報(bào)市級(jí)以上公安機(jī)關(guān)進(jìn)行備案登記，等拿到備案回單后完成信息系統(tǒng)的定級(jí)工作。2.3 醫(yī)院信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)在完成信息系統(tǒng)定級(jí)及備案工作后，需選擇當(dāng)?shù)毓膊块T授權(quán)的具有信息安全等級(jí)保護(hù)測(cè)評(píng)資質(zhì)的專業(yè)測(cè)評(píng)機(jī)構(gòu)對(duì)醫(yī)院信息系統(tǒng)進(jìn)行整體測(cè)評(píng)。其測(cè)評(píng)目的在于對(duì)醫(yī)院信息系統(tǒng)的安全防護(hù)能力做出客觀評(píng)價(jià)，通過對(duì)物理安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、主機(jī)安全、安全管理幾個(gè)方面的安全檢查，以國家信息安全等級(jí)保護(hù)基本要求作為安全基線，進(jìn)行客觀的符合性判定，進(jìn)一步衡量當(dāng)前系統(tǒng)的安全防

4、護(hù)能力，以及系統(tǒng)所面臨的威脅和風(fēng)險(xiǎn)所在。為安全整改和將來的安全建設(shè)提供有力依據(jù)。2.3.1 測(cè)評(píng)指標(biāo)與方法醫(yī)院核心業(yè)務(wù)系統(tǒng)屬于等級(jí)保護(hù)三級(jí)系統(tǒng)，安全測(cè)評(píng)指標(biāo)應(yīng)包括信息系統(tǒng)安全等級(jí)保護(hù)基本要求7.1 節(jié)“技術(shù)要求”中的三級(jí)通用指標(biāo)類（G3） ，三級(jí)業(yè)務(wù)信息安全性指標(biāo)類（S3）和三級(jí)業(yè)務(wù)服務(wù)保證類（A3）。測(cè)評(píng)現(xiàn)場(chǎng)工作將采用訪談、檢查和測(cè)試等三類方法。訪談是測(cè)評(píng)人員通過與信息系統(tǒng)有關(guān)人員進(jìn)行交流、討論等活動(dòng)以獲取證據(jù)的一種方法。檢查是測(cè)評(píng)人員通過對(duì)測(cè)評(píng)對(duì)象進(jìn)行觀察、查驗(yàn)、 分析等活動(dòng)以獲取證據(jù)的一種方法。測(cè)試是指測(cè)評(píng)人員對(duì)測(cè)評(píng)對(duì)象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動(dòng)，然后通過查看、分析響應(yīng)

5、輸出結(jié)果來獲取證據(jù)的一種方法。訪談使用到的工具主要是訪談列表。測(cè)評(píng)人員針對(duì)訪談列表上的問題，逐項(xiàng)與信息系統(tǒng)有關(guān)人員進(jìn)行交流、討論， 根據(jù)被訪談人員的回答了解和確認(rèn)信息系統(tǒng)的安全保護(hù)情況。檢查使用到的工具主要是核查列表。測(cè)評(píng)人員針對(duì)核查列表上的問題，通過觀察、查驗(yàn)、 分析等活動(dòng)，逐項(xiàng)核實(shí)。根據(jù)檢查對(duì)象的不同，檢查可以進(jìn)一步分為文檔審查、現(xiàn)場(chǎng)觀測(cè)和配置核查等方式。依據(jù)工具和實(shí)施過程的不同，測(cè)試可以進(jìn)一步細(xì)分為信息獲取、漏洞掃描、滲透測(cè)試、密碼分析等方式。信息獲取是指獲取存活主機(jī)/ 設(shè)備的名稱、IP 地址、操作系統(tǒng)、開放的服務(wù)端口以及特定的數(shù)據(jù)包等信息內(nèi)容；漏洞掃描是指利用漏洞掃描設(shè)備對(duì)目標(biāo)設(shè)備進(jìn)行

6、自動(dòng)探測(cè)，發(fā)現(xiàn)這些主機(jī)/ 設(shè)備上各個(gè)對(duì)網(wǎng)絡(luò)開放端口上存在的錯(cuò)誤配置和已知安全漏洞；滲透測(cè)試是模擬黑客可能使用的攻擊技術(shù)，試圖侵入信息系統(tǒng)或取得信息系統(tǒng)上的更多資源，以直觀地測(cè)評(píng)信息系統(tǒng)的安全狀況。從不同接入點(diǎn)對(duì)信息系統(tǒng)進(jìn)行漏洞掃描和滲透測(cè)試，可以反映出信息系統(tǒng)在不同角度、不同視野下的安全狀況。2.3.2 單元測(cè)評(píng)把測(cè)評(píng)指標(biāo)和測(cè)評(píng)方式結(jié)合到信息系統(tǒng)的具體測(cè)評(píng)對(duì)象上，就構(gòu)成了可以具體測(cè)評(píng)的工作單元。測(cè)評(píng)機(jī)構(gòu)將分別對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)、安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面進(jìn)行單元測(cè)評(píng)。2.3.3 整體測(cè)評(píng)信息系統(tǒng)的安全

7、控制集成到信息系統(tǒng)后，會(huì)在層面內(nèi)、層面間和區(qū)域間產(chǎn)生連接、交互、依賴、協(xié)同等相互關(guān)聯(lián)關(guān)系，使信息系統(tǒng)的整體安全功能與信息系統(tǒng)的結(jié)構(gòu)密切相關(guān)，在整體上呈現(xiàn)出一種集成特性。這些集成特性在安全控制的工作單元中是沒有完全體現(xiàn)。因此， 在安全控制測(cè)評(píng)的基礎(chǔ)上，有必要對(duì)集成系統(tǒng)和運(yùn)行環(huán)境進(jìn)行整體測(cè)評(píng)。安全控制間的安全測(cè)評(píng)主要考慮同一層面上的不同安全控制間存在的功能增強(qiáng)、補(bǔ)充或削弱等關(guān)聯(lián)作用。例如， 主機(jī)層面的身份鑒別與訪問控制之間關(guān)系密切，應(yīng)關(guān)注他們之間的關(guān)聯(lián)互補(bǔ)作用。層面間的安全測(cè)評(píng)主要考慮同一區(qū)域內(nèi)的不同層面之間存在的功能增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用。例如，網(wǎng)絡(luò)層面、主機(jī)系統(tǒng)層面與安全管理的系統(tǒng)運(yùn)維管理

8、之間關(guān)系密切，應(yīng)關(guān)注他們之間的關(guān)聯(lián)互補(bǔ)作用。區(qū)域間的安全測(cè)評(píng)主要考慮互連互通（包括物理上和邏輯上的互連互通等）的不同區(qū)域之間存在的安全功能增強(qiáng)、補(bǔ)充和削弱等關(guān)聯(lián)作用，特別是有數(shù)據(jù)交換的兩個(gè)不同區(qū)域。系統(tǒng)結(jié)構(gòu)安全測(cè)評(píng)主要考慮信息系統(tǒng)整體結(jié)構(gòu)的安全性和整體安全防范的合理性。整體結(jié)構(gòu)的安全性測(cè)評(píng)應(yīng)從信息系統(tǒng)的物理布局、網(wǎng)絡(luò)拓?fù)?、業(yè)務(wù)邏輯（業(yè)務(wù)數(shù)據(jù)流）、系統(tǒng)實(shí)現(xiàn)和集成方式等入手，結(jié)合不同位置上可能面臨的威脅、可能暴露的脆弱性等，綜合判定信息系統(tǒng)的整體布局是否合理、整體是否安全有效等。在檢查信息系統(tǒng)安全保護(hù)措施的具體實(shí)現(xiàn)方式和部署情況后，結(jié)合其業(yè)務(wù)數(shù)據(jù)流分析不同區(qū)域和不同邊界與安全保護(hù)措施的關(guān)系、重要業(yè)

9、務(wù)和關(guān)鍵信息與安全保護(hù)措施的關(guān)系等，參照縱深防御的要求，識(shí)別信息系統(tǒng)的安全防范是否突出重點(diǎn)、層層深入，綜合判定信息系統(tǒng)的整體安全防范是否恰當(dāng)合理。2.4 測(cè)評(píng)結(jié)果報(bào)備及整改測(cè)評(píng)機(jī)構(gòu)在完成對(duì)醫(yī)院信息系統(tǒng)測(cè)評(píng)工作后，會(huì)出具 信息系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告 ， 醫(yī)院需將測(cè)評(píng)報(bào)告提交給當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行備案，按照測(cè)評(píng)報(bào)告評(píng)測(cè)結(jié)果，對(duì)照信息系統(tǒng)安全等級(jí)保護(hù)基本要求等有關(guān)標(biāo)準(zhǔn)，結(jié)合醫(yī)院工作實(shí)際，組織開展等級(jí)保護(hù)安全建設(shè)整改工作，將整改工作具體落實(shí)到個(gè)人并在預(yù)期內(nèi)完成整改工作。2.5 制定醫(yī)院信息安全等級(jí)保護(hù)管理體系醫(yī)院將參照信息安全等級(jí)保護(hù)管理要求，結(jié)合醫(yī)院的自身實(shí)際情況，從信息安全管理機(jī)構(gòu)、信息安全管理制度、信息人員安全、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面來構(gòu)建信息安全等級(jí)保護(hù)管理體系?？偟膩碚f，信息安全等級(jí)保護(hù)建設(shè)系統(tǒng)要從實(shí)際需求出發(fā)，定期檢驗(yàn)建設(shè)的合規(guī)性、 合理性。?合規(guī)性是指在政策要求指導(dǎo)下構(gòu)建醫(yī)院完整的信息安全體系。要落實(shí)國家等級(jí)保護(hù)標(biāo)準(zhǔn)；響應(yīng)衛(wèi)生部推進(jìn)等級(jí)保護(hù)建設(shè)工作的指導(dǎo)精神；通過國家等級(jí)保護(hù)測(cè)評(píng)；為醫(yī)療行業(yè)信息安全體系建設(shè)以及等級(jí)保護(hù)建設(shè)方面起到試點(diǎn)示范效應(yīng)。?實(shí)際需求是指結(jié)合醫(yī)院自身業(yè)務(wù)發(fā)展需要進(jìn)行系統(tǒng)化建設(shè)，切實(shí)提高自身信息安全防護(hù)水平。實(shí)現(xiàn)主動(dòng)防御外部入侵威脅，防范內(nèi)部不規(guī)范操作帶來危害影響；降低日常信息化管理工作難度，提高對(duì)復(fù)雜、異構(gòu)信息系統(tǒng)的運(yùn)管效率，做到“有法可