关键词:等级保护;医院;网络安全;信息系统;合规建设
摘要:有研究表明,针对医疗机构的勒索软件攻击可能会产生生死攸关的后果。近25%的医疗保健提供者报告说,勒索软件导致患者死亡率增加。所以医院做好网络安全防护是至关重要的,这也是对医院患者的一份负责!
一、现阶段医院现状分析
根据《2019-2020年度中国医院信息化状况调查报告》显示,在被调查的390家医院中,网络安全年投入在50-100万元的医院占比17.18%;年投入在100-200万元的医院占比17.69%;年投入200万元以上的医院占比15.9%。
据CHIMA《2019-2020年度中国医院信息化状况调查报告》显示,医院在信息安全方面的投入已占总投入的9.43%,投入显著增加,在2019年有43.95%的医院实施并通过了等级保护测评,2020年有66.18%的医院通过了网络安全等级保护测评。由此可看出,医院对网络安全的投入相比往年有很大程度提升。但仍有部分医疗机构对网络安全建设重视程度不足的情况。报告统计了医院对于信息安全保障工作开展的情况,如下图所列举的安全防护措施。
从图中看到,医院所使用的安全防护措施也是比较全面的,但是能够真正这样部署的医院寥寥无几。目前,还有为数较多的医院主机还是Windowsxp、移动医疗PAD设备还是WindowsCE等被淘汰的操作系统,漏洞百出的主机极易被黑客攻陷。在医院的网络拓扑中,从建设初期沿用至今,随着应用的扩展和网络结构的复杂化,暴露出内外网物理隔离或者逻辑隔离的漏洞,安全设备形同虚设。在安全管理上,维护人员为了图方便而使用弱口令,没有一套完整规范的管理办法、没有专业的技术培训。
医疗行业是勒索病毒威胁的“重灾区”——入侵医疗行业的恶意软件高达85%,其中数据库服务器成为了勒索病毒的主要攻击目标。也正是因为医疗机构网络安全意识淡薄、资金投入不足、专业人才缺乏等问题,才导致医院信息系统近年频频遭受“勒索软件”攻击、病毒植入导致业务服务中断等安全事故。
且有研究表明,针对医疗机构的勒索软件攻击可能会产生生死攸关的后果。近25%的医疗保健提供者报告说,勒索软件导致患者死亡率增加。所以医院做好网络安全防护是至关重要的,这也是对医院患者的一份负责!
二、医院网络体系建设原则
医院作为保障基础民生的重要基础设施,确保其医疗服务的稳定是十分重要的。随着医院信息化的脚步加快,其网络安全的建设要遵循“三同步”,即同步规划、同步建设和同步执行,而对医院信息系统的保护也不可能做到绝对的安全,以重点保护、全面防护、动态调整为原则开展网络安全防护建设,满足等保的标准要求,就可以达到较好的防护效果。
全面防护原则:在等级保护制度的核心是纵深防御的思想,充分考虑到各个区域层面的安全风险,在技术层面采取安全防护措施,兼顾管理措施的设计,对等级保护对象形成由外到内的全面防护,保障信息系统整体的安全保护能力。
动态调整原则:医院网络安全等级保体系的建设是一项长周期的持续性工程,因此要根据外部网络环境情况和信息系统的运行现状,动态调整安全保护手段,有步骤、有计划的推进医院网络安全体系的建设。
三、医院网络体系等保合规建设方案
方案的设计首先要明确建设的目标,评估系统受到破坏后的造成的影响程度,对测评对象进行预定级,参照一个三级甲等医院的现有系统现状和业务需求,医院通常等级保护定级为三级,具体各子系统的定级在下文中给出。因此,在对三甲医院设计网络安全方案时,就要参照等保三级的要求进行组织建设,具体得设计方案如下图所示。
医院等保对象定级
医院现有的业务系统,主要包括HIS(医院信息系统)、EMR(电子病历)、CIS(临床信息系统)、LIS(实验室信息系统)、RIS(放射信息管理系统)、PACS(影像归档和通信系统)、OA(协同办公系统)几大系统[6]。根据最新发布的《网络安全等级保护定级指南》,医院的各现有系统可以单独作为定级对象,各系统的重要程度及系统遭受破坏后对社会造成的影响程度,作为定级的依据;对于通信网络设施,原则上安全保护等级不低于在其承载的等级保护对象的保护等级。
医院做几级等保?等保等级如何确定,这里有一个免费测试工具,本工具参考《信息安全技术网络安全等级保护定级指南》标准模拟定级!
如果想要了解医院过等保具体费用多少?可以先通过报价工具测算大概费用,可查看“纯测评”或“测评+整改”费用: