構(gòu)建醫(yī)院等級保護縱深防護體系—助力醫(yī)院信息安全建設(shè)

摘要：參考《衛(wèi)生信息化\"十二五\"發(fā)展規(guī)劃》的關(guān)于\"信息安全體系建設(shè)\"的要求，同時伴隨醫(yī)院數(shù)字化醫(yī)療的安全建設(shè)的推進，如何有效構(gòu)建醫(yī)院重要信息系統(tǒng)的安全保障體系是未來醫(yī)院信息化安全關(guān)注的焦點。實踐證明采取等級保護體系化建設(shè)整改，是一個行之有效的全面提升安全保護能力的方法。

關(guān)鍵詞：醫(yī)院；等級保護；體系化；建設(shè)整改方案

1需求分析

近日，為貫徹落實國家信息安全等級保護制度，滿足三級甲等醫(yī)院復(fù)審任務(wù)對醫(yī)院信息安全等級保護的要求，三級醫(yī)院開展等級保護建設(shè)勢在必行。①醫(yī)院信息系統(tǒng)出現(xiàn)故障，會直接影響醫(yī)院業(yè)務(wù)的正常開展，導(dǎo)致醫(yī)院業(yè)務(wù)停滯，對社會秩序和公共利益造成嚴重損害。②由于信息系統(tǒng)中存儲著大量患者個人數(shù)據(jù)，若發(fā)生數(shù)據(jù)泄露，會引起患者不滿，激化醫(yī)患矛盾，同時帶來負面社會影響。因此，現(xiàn)代化醫(yī)院對信息系統(tǒng)的穩(wěn)定性和安全性尤為關(guān)注。

為此，衛(wèi)生部下發(fā)了《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》（衛(wèi)辦綜函 [2011]1126號文），文件中要求三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)信息安全保護等級不低于第三級，同時要求各醫(yī)院于2015年12月30日前完成信息安全等級保護建設(shè)整改工作，并通過等級測評。隨后《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》（衛(wèi)辦發(fā)[20111]85號）的發(fā)布，標志著全國衛(wèi)生行業(yè)等級保護進入了提速階段。

同時作為醫(yī)院主管信息化的領(lǐng)導(dǎo)也應(yīng)從風險管理的治理角度出發(fā)，按照合規(guī)性的要求進行相應(yīng)級別等級保護建設(shè)，就相當于個人或組織買了一份保險，規(guī)避出現(xiàn)安全事件的追責問題。

綜上所述，按照等級保護要求進行符合國家及行業(yè)政策規(guī)范的信息安全體系建設(shè)，非常符合醫(yī)院信息化建設(shè)的根本利益和業(yè)務(wù)安全需要。

2醫(yī)院等級保護建設(shè)階段

2.1醫(yī)院等級保護全生命周期建設(shè) 醫(yī)院等級保護全生命周期建設(shè)主要3個階段：需求分析->體系化實施->安全運維，具體如下所述。

2.1.1差距測評，確定安全需求 通過系統(tǒng)定級、等級評估等識別系統(tǒng)的安全風險，確定定級對象的信息系統(tǒng)的安全等級，并找出系統(tǒng)安全現(xiàn)狀與等級要求的差距，形成完整準確的等級化的安全建設(shè)需求。

2.1.2體系化建設(shè)，實現(xiàn)縱深安全保障體系 等級保護體系化安全建設(shè)的設(shè)計思想是采用\"體系化\"的分析和控制方法，以等級保護的\"一個中心、三維防護\"為核心指導(dǎo)思想，不僅構(gòu)建集防護、檢測、響應(yīng)、恢復(fù)于一體的安全防護體系，而且建立符合等級保護整體安全控制要求的安全防護體系。

具體體現(xiàn)為：以全面貫徹落實等級保護制度為核心，打造科學實用的信息安全防護能力、安全風險監(jiān)測能力、應(yīng)急響應(yīng)能力和災(zāi)難恢復(fù)能力，從安全技術(shù)、安全管理、安全運維三個視角構(gòu)建縱深安全防護體系，切實保障醫(yī)院信息安全。

2.1.3安全運維 通過安全監(jiān)控、安全評估、安全加固、現(xiàn)場駐守、應(yīng)急響應(yīng)等服務(wù)包，實現(xiàn)從事前、事中、事后的整體安全運維，確保醫(yī)院業(yè)務(wù)系統(tǒng)的持續(xù)安全，滿足可持續(xù)性、縱深防御、等級化安全建設(shè)需求。

2.2醫(yī)院等級保護體系化實施流程 通過一系列部委級等級保護項目建設(shè)的最佳實踐，總結(jié)并構(gòu)建等級保護的體系化實施模型，全面覆蓋公安部對等級保護實施要求5個規(guī)定動作：定級、備案、建設(shè)整改、測評、監(jiān)督檢查，使過程方法和PDCA模型更加完善和清晰化，同時補充其他體系化要素，形成完整的信息安全等級保護體系化實施方法。

2.2.1規(guī)劃階段 主要任務(wù)：系統(tǒng)定級、系統(tǒng)備案、差距測評、建設(shè)整改方案設(shè)計、安全規(guī)劃等。

2.2.2實施階段 主要任務(wù)：建設(shè)整改實施方案、安全技術(shù)措施和安全管理措施實施。

2.2.3自查和測評階段 主要任務(wù)：等級保護自查、系統(tǒng)等級測評。

2.2.4處置階段 主要任務(wù)：等級保護體系持續(xù)改進，系統(tǒng)檢查，采取糾正措施，防止安全事件再次發(fā)生。

3醫(yī)院等級保護建設(shè)整改方案設(shè)計

3.1建設(shè)整改方案總體設(shè)計 三級醫(yī)院等級保護建設(shè)整改方案設(shè)計總結(jié)來講就是：\"三個體系（安全技術(shù)體系、安全管理體系、安全運維體系）、一個中心（安全管理中心）、三維防護（安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)）\"。

3.2安全技術(shù)體系設(shè)計 三級信息系統(tǒng)的物理安全設(shè)計，不在本文所述之列。

3.2.1安全計算環(huán)境建設(shè) 根據(jù)《安全設(shè)計技術(shù)要求》的三維防護的思想和控制要求，并結(jié)合《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）的主機安全、應(yīng)用安全和數(shù)據(jù)安全等相關(guān)安全控制項，安全計算環(huán)境的建設(shè)通過操作系統(tǒng)加固系統(tǒng)、數(shù)據(jù)庫審計、終端管理系統(tǒng)、PKI/CA系統(tǒng)、WAF、網(wǎng)頁防篡改以及系統(tǒng)和應(yīng)用的自身安全控制實現(xiàn)。

3.2.2安全區(qū)域邊界建設(shè) 根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 》（GB/T25070-2010）\"一個中心，三維防護\"的思想和控制要求，并結(jié)合《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）的相關(guān)安全控制項，安全區(qū)域邊界的建設(shè)通過防火墻、入侵檢測、入侵防御、網(wǎng)絡(luò)審計等安全產(chǎn)品實現(xiàn)，滿足其安全控制措施的要求。

3.2.3安全通信網(wǎng)絡(luò)建設(shè) 根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 》（GB/T25070-2010）\"一個中心，三維防護\"的思想和控制要求，并結(jié)合《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）的相關(guān)安全控制項，安全通信網(wǎng)絡(luò)的建設(shè)通過VPN、網(wǎng)絡(luò)安全審計等安全產(chǎn)品實現(xiàn)，滿足其安全控制措施的要求。

3.2.4集中安全管理中心建設(shè) 根據(jù)《信息安全技術(shù) 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求 》（GB/T25070-2010）\"一個中心，三維防護\"的思想和控制要求，并結(jié)合《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）的相關(guān)安全控制項，安全通信網(wǎng)絡(luò)的建設(shè)通過安全管理平臺實現(xiàn)，包括系統(tǒng)管理、審計管理和安全管理滿足其安全控制措施的要求。

3.3安全管理和與運維體系設(shè)計

3.3.1安全管理體系 安全管理體系主要從三個維度設(shè)計：組織、人員和策略。按照信息系統(tǒng)安全等級保護的相關(guān)要求，協(xié)助建立信息安全保護持續(xù)改進機制，梳理醫(yī)院系統(tǒng)信息安全等級保護管理制度體系，健全和完善信息安全的管理體系。

3.3.2安全運維體系 主要從系統(tǒng)建設(shè)管理、安全運維管理及項目管理三個維度進行設(shè)計，以保證醫(yī)院信息安全運維體系的健康運行。

4結(jié)論

通過分析醫(yī)院等級保護安全需求，提出了全生命周期建設(shè)和體系化實施流程，以此為基礎(chǔ)擬定了等級保護建設(shè)整改方案。本文通過以三甲醫(yī)院擬定級的臨床應(yīng)用系統(tǒng)和臨床輔助系統(tǒng)等級保護對象為基礎(chǔ)，采用\"三個體系、一個中心、三維防護\"體系化設(shè)計方法，建立滿足等級保護整體安全控制要求的縱深信息安全防護體系。

編輯/肖慧