HIT专家网
来源:HIT专家网 记者:孙鹏
5月13日,我国网络安全等级保护制度2.0标准发布,正式实施时间为2019年12月1日。据了解,网络安全等级保护制度2.0国家标准在1.0的基础上,实现对新技术、新应用安全保护对象和安全保护领域的全覆盖。
那么,对比等级保护1.0标准,等级保护2.0标准都发生了哪些新变化?在新标准下,在云计算、大数据、物联网、移动通信等新技术驱动下的医院网络安全建设和网络等保测评又该何去何从?这也是每个医疗信息化从业者所关心的问题。
等保2.0的主要变化
就在5月16日举行的“网络安全等级保护制度2.0国家标准宣贯会”上,公安部信息安全等级保护评估中心副研究员马力介绍了等级保护2.0标准体系的三大特点:
一是对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。
二是分类结构统一。等级保护的基本要求、测评要求、设计技术要求框架统一,形成“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”支持下的完全统一的三重防护体系架构。
三是新标准把可信计算使用列入标准范围,从一级到四级全部提出了可信验证要求。
资深网络安全专家、深信服医疗事业部副总经理钟一鸣在接受HIT专家网采访时表示,对比等级保护1.0标准,等级保护2.0标准有5点比较重要的变化。
1.名称变化:从1.0时代的《信息安全技术 信息系统安全等级保护基本要求》变成2.0时代的《信息安全技术 网络安全等级保护基本要求》。名称的变化代表了等级保护标准上升到了网络空间安全的层面,网络安全的重要程度无疑是增加了。
2.定级对象变化:从1.0时代的“信息系统”变为2.0时代的“信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、移动互联网络等”,覆盖更加全面,指导更加聚焦。
3.安全要求变化:从1.0时代的“安全要求”变为2.0时代的“安全通用要求+安全扩展要求”,为近些年新兴的网络技术制定了安全标准,更有针对性。
4.控制措施分类结构变化:从1.0时代“技术(物理、网络、主机、应用、数据)+管理”变为2.0时代“技术(物理环境、一个中心三重防护)+管理”,控制措施的变化体现了标准制定者对网络安全提出的新要求。从1.0时代更重视防护转变为2.0时代更重视安全的运营。
5.内容变化:从1.0时代的“5个规定动作(定级、备案、整改建设、等级评测、监督检查)”变为2.0时代“5个规定动作(定级、备案、整改建设、等级评测、监督检查)+风险评估、安全检测、通报预警、态势感知等”。内容的变化同样体现了等保2.0时代更加注重安全的动态过程,通过持续的运营去解决日益复杂的新安全隐患。
“对于医院来说,需要去理解标准制定者希望通过新标准传递了什么样的信息。”钟一鸣建议,从1.0标准的重视防护(偏静态)到2.0标准中重视安全运营(偏动态),医院需要结合新标准的具体技术手段升级现有的网络安全体系,避免因网络安全影响医院正常业务。
医院网络安全现状不容乐观
中国医院协会信息专业委员会(CHIMA)在去年发布了《2017-2018年度中国医院信息化状况调查报告》,其中对医院实施等级保护情况做了专门章节介绍。据了解,在484家样本医院中,36.16%的医院通过了等保测评。其中,三级医院实施等保工作情况明显好于三级以下医院,经济发达地区实施等保工作的比例高于中等发达地区和经济欠发达地区。
根据CHIMA发布的信息,日前在CHIMA组织的医院网络安全技术培训班上,北京市卫生计生委信息中心副主任郑攀介绍了北京市医疗行业等级保护情况。郑攀副主任认为,我国医院现有的安全保障体系尚处于初步建设阶段,尚不足以应对当前网络安全威胁,行业整体网络安全保障水平亟需提升。
“现在医院的网络安全风险非常大,尤其在“互联网+”时代,医院原来的内网已经开放给互联网。而与金融等传统行业相比,医疗行业在安全设备和安全管理上其实还都没做好准备。”新疆维吾尔自治区人民医院(简称:新疆人民医院)信息中心主任彭建明在接受HIT专家网采访时表示,医院网络安全建设落后主要有两方面原因:一方面,医院信息化建设本身投入就相对不足,资金更多投入在应用和硬件上,安全方面投入很少;另一方面,医院信息部门缺乏安全建设经验,安全专业能力不足。
钟一鸣也认为,绝大部分医院都缺乏专业的网络安全人才,因此在网络安全运营方向做的都很少,还是以防御建设为主。医院网络安全建设痛点要从两个方面看:一是外部。医疗行业越来越开放,医疗业务拥抱互联网,虽然方便了老百姓就医,但也引入了大量的互联网安全风险。二是内部。医院网络规模虽不大,但相对比较复杂。各个业务系统之间的关联非常紧密,数据共享很频繁,非常容易造成安全风险在内部蔓延。
医院如何备战等保2.0?
据彭建明主任介绍,新疆人民医院于2017年开始启动等保3级,经过一年多的建设,在2018年顺利通过测评。在他看来,等保测评一方面要抓住重点、节约资金。在进行等保测评时,要根据医院实际业务应用情况,有些地方要按照等保要求严格执行,有些地方则相对可以投入少一些。
另一方面要加强安全管理。“安全就是‘三分技术、七分管理’,不是投入一堆硬件就安全了。很多高分通过等保三级的医院后来还是出现了安全问题,所以管理一定要跟得上。”彭建明主任说,该院后续还将参考等保2.0标准,结合医院实际情况,有选择性地采取更多安全措施。
那么,对于之前已经通过等保3级的医疗机构,如何再去认证等级保护2.0下的相关测评要求?对此,钟一鸣解释说,已通过等保1.0标准下等保3级的系统沿用之前的定级,在2.0时代不需要再重新定级和备案。但仍需按照新标准进行安全加固、补齐不足,在每年复评审查时需要满足新标准的评分要求。
不过,医院在开展等保测评项目时,除了改造网络所产生的设备应用投入外,等保测评费也是价格不菲,这可能也是医院参加等保测评积极性低的重要原因之一。据彭建明主任透露,该院之前开展等保3级测评是按照核心系统计算,HIS、LIS、PACS、EMR等4大核心系统都需要逐个测评,单是等保测评费就要花费数十万元。而随着等级保护标准的提高,测评投入费用也将更高。
此外,等保2.0中技术控制项与等保1.0中有不少区别。比如在“安全扩展要求”中,针对云计算平台、物联网平台、移动互联网均有额外的控制项要求。深圳南山医院网络技术科主任朱岁松表示,在国家出台网络安全等级保护2.0标准的背景下,医院上云更加需要一种审慎的态度。等保2.0提出了更高要求,比如等级保护对象从原来关注传统系统扩展到云平台和大数据平台的安全。因此,云平台的基础架构要符合等级保护2.0标准的要求。尤其在选择云端安全产品时,一定要提前考虑等保2.0标准的要求,这也是上云必须要解决的问题。
在加强医院网络和信息安全建设方面,彭建明主任建议,要把能造成医院业务系统停运的每个环节都要考虑到位。比如,数据库等核心应用更要加强安全建设。医院在开展网络安全建设时可以遵循两个原则:一是医院的信息系统不会因为硬件障而停运;二是一定要对核心数据进行安全有效的备份。
结合行业现状和新标准要求,钟一鸣对医疗机构开展网络安全等级保护工作提出了五点建议。
第一,合理开展新业务系统及平台的定级备案工作,如医疗大数据平台、互联网医疗平台等。院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统,也需要加快等保建设步伐。
第二,在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击。
第三,加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单并且更加有效。
第四,加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板。从而降低安全风险,提高信息系统健壮性。
第五,适当选择安全厂商提供的安全服务,弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。
想加入HIT专家网专业交流群吗?请添加“HIT专家网”小助手微信好友后提交你的申请哦
(请注明姓名、单位名称、职务、主管技术或产品领域,以便有针对性加群)
【责任编辑:孙鹏】
评论前必须登录!
注册