等級保護測評費用:受各種原因影響,不一(yī)樣的(de)省份、地(dì)區,收費規範都不一(yī)樣,并且測評費用還受測評新項目總數的(de)影響,假如(rú)企業必須測評的(de)新項目多,必須支出的(de)測評費用當然也更高(gāo)一(yī)些。一(yī)般來說,二級等保測評費用在6萬以上,三級等保測評費用在9萬以上。且企業特别注意,測評費用一(yī)般不包含整改費用。
醫療行業是勒索軟件威脅的(de)關鍵目标。患者的(de)單體數據具有很高(gāo)的(de)價值,病曆和(hé)藥物成為(wèi)數據洩露的(de)主要內(nèi)容,因此建立安全的(de)網絡架構尤為(wèi)重要。
2007年(nián),公安部等四部門發布了《信息安全》[k管理(lǐ)措施(以下簡稱.0),為(wèi)信息安全建設提供了框架标準的(de)具體要求。根據相關政策文件,原衛生部于2011年(nián)發布了《衛生行業信息安全》等級保護《工作指引》明确指出,三級甲等醫院核心業務體系必須通過三級安全評估。近年(nián)來,随着雲計算、移動互聯網和(hé)物聯網的(de)發展,以往的(de)安全結構面臨着越來越多的(de)挑戰,醫療機構中的(de)各種信息安全事故時有發生。面對嚴峻的(de)網絡安全形勢,
2019年(nián)5月,信息安全技術網絡安全等級保護基本要求:.0)正式發布醫療行業帶來了新的(de)安全規範和(hé)要求。
等保2.0增加了顯著的(de)新的(de)變化和(hé)建設要求,主要體現在以下四個方面:
(1)覆蓋對象的(de)變化。新規範中的(de)對象不僅包括傳統對象,還增加了大數據平台、物聯網、移動互聯網等新興事物的(de)主體。
(2)安全要求的(de)變化。安全擴展的(de)邊界更側重于考慮大數據技術和(hé)互聯網技術等便利技術同時産生的(de)安全風險。
(3)分類結構的(de)變化。等保2.0定義了兩個技術部分和(hé)管理(lǐ)部分。技術部分側重于物理(lǐ)環境、通信網絡、網絡邊界、計算和(hé)整體框架;管理(lǐ)部分包括管理(lǐ)系統、管理(lǐ)機構、管理(lǐ)人員、施工跟蹤和(hé)連續運行維護
(4)強調雲連接的(de)安全性。它不僅需要以前的(de)基礎設施和(hé)公共雲的(de)安全性,還需要增加虛拟化等私有雲的(de)安全內(nèi)容,甚至涉及雲服務提供商資格和(hé)雲計算環境等制度性強制性審計要求。
某三級專科醫院,主要診斷和(hé)治療心肺疾病。它一(yī)直非常重視(shì)信息安全。根據以往的(de)要求,醫院的(de)核心業務系統和(hé)門戶系統于2018年(nián)6月通過了等保1.0安全評估。醫院為(wèi)等保2.0合求的(de)新變化,結合現有的(de)醫院基礎,進行了全面的(de)頂層設計,制定了新的(de)整改方案,升級主要體現在三個關鍵方面。
2.1.擴大覆蓋範圍,擴大新場景
醫院信息系統在原有的(de)基礎上進行了分類和(hé)擴展,增加了特定的(de)技術領域,并将其重新劃分為(wèi)兩個範圍:傳統應用和(hé)新應用。傳統應用是指支持醫院所需的(de)基本業務系統,包括醫療業務系統(HIS)、實驗室系統(LIS)、放射檢查系統(RIS)、行政辦公系統和(hé)物流運維系統。新應用是指圍繞人機交互系統、數據分析平台、雲數據存儲平台等特定新技術的(de)應用。
2.2.細化分類結構,确保标準化
醫院依據等保2.0中的(de)基本要求、設計要求和(hé)評價要求産生了相應的(de)分類結構。在相應的(de)分類結構下,綜合考慮安全、流程、系統和(hé)人員的(de)相關要求,通過合規檢查加強管理(lǐ)規範,配置安全設備阻擋內(nèi)外攻擊,設置防禦策略保護數據,提高(gāo)應急處理(lǐ)能力,形成安全通信網絡的(de)保護體系結構,安全區域邊界、安全計算環境和(hé)安全管理(lǐ)中心。
2.3.嵌入式可(kě)信計算,全過程管理(lǐ)
醫院加強了使用可(kě)信計算技術的(de)要求,并在1~4級提出了可(kě)信建模空間。可(kě)信驗證完全包含在同等保險評估的(de)水平中,并逐步提出每個環節的(de)主要信任鏈實體內(nèi)容。基于系統指導程序、系統程序、重要配置參數和(hé)通信應用程序的(de)可(kě)信設備傳輸數據流,涵蓋應用程序的(de)所有收集和(hé)執行鏈接,并将最終驗證結果形成審計記錄發送到安全管理(lǐ)中心,方便醫院信息管理(lǐ)人員動态感知鏈接相關細節。加強醫院獨立可(kě)控的(de)可(kě)信應用,實現網絡中的(de)全閉環,實時安全動态監控。
醫院信息系統按等保2.0以安全管理(lǐ)平台為(wèi)中心,圍繞标準的(de)合規要求,建立了安全計算環境、安全區域邊界、安全網絡通信的(de)三重防禦系統,設計了內(nèi)外網絡信息交互的(de)安全可(kě)信互連模型,确保整改後的(de)安全應用交互和(hé)數據傳輸。
3.1.安全管理(lǐ)平台
安全管理(lǐ)平台負責對整個系統的(de)安全管理(lǐ)提出技術控制要求,并通過相應手段實現集中安全管理(lǐ)。醫院授權的(de)安全管理(lǐ)平台是整個安全管理(lǐ)系統的(de)中樞神經系統。同時,使用雲存儲和(hé)存儲患者的(de)醫療圖像數據,如(rú)将檢查圖像上傳到雲中進行備份,也催生了雲互聯的(de)應用實踐。為(wèi)了确保雲平台的(de)安全性和(hé)可(kě)靠性,安全管理(lǐ)平台不僅包括傳統的(de)信息室和(hé)網絡基礎設施,而且注重加強網絡結構、隔離(lí)設備和(hé)虛拟化終端的(de)在線評價,實現日常運維管理(lǐ)與實時監控的(de)整合。
3.2.安全計算環境
通過安全計算環境的(de)控制節點,規定了醫院信息系統需要滿足安全要求的(de)所有維度。相應的(de)目标要求是從不同的(de)角度設定的(de)。例如(rú),在醫務人員身份識别中,部署了兩種組合識别技術來識别用戶身份,以滿足身份認證的(de)維度要求;在安全審計維度中,計算物理(lǐ)機、宿主機、虛拟機和(hé)數據庫系統的(de)安全控制。通過充分發揮網絡計算環境中的(de)安全框架,首先滿足所有計算實體完整性的(de)有效測量優勢,确保用戶終端在域間數據計算交互中的(de)動态安全控制。
3.3.安全區域邊界
醫院有許多現有的(de)網絡,包括內(nèi)部網絡、外部網絡和(hé)視(shì)頻監控網絡。為(wèi)了更好地(dì)構建安全區域邊界,采用塊隔離(lí)法實現網絡邊界的(de)有效控制和(hé)防禦,在邊界之間增加了額外的(de)防毒牆和(hé)入侵檢測設備。通過應用服務、中間件、鏡像文件和(hé)用戶隐私識别,在不同區域劃定邊界,以跨越邊界和(hé)數據互聯。該地(dì)區的(de)業務試圖使用虛拟控制策略來防止未經授權的(de)訪問,并安裝虛拟機防火牆(virtualapplication firewall,VAF)防止病毒越境傳播,确保問題發生後風險最小化的(de)控制原則。
3.4.網絡通信安全
加強網絡層面的(de)安全保護和(hé)通信建設,通過人員、系統和(hé)流程的(de)有機結合,建立重要業務活動的(de)管理(lǐ)。安全網絡通信通過內(nèi)部和(hé)外部網絡隔離(lí)和(hé)服務器隔離(lí),确保每個應用程序的(de)安全鏈接(demilitarized zone,DMZ)等待通信物理(lǐ),以确保數據通信的(de)加密。特别是對于雲計算和(hé)互聯網業務,如(rú)電子(zǐ)郵件、官方網站預約和(hé)手持醫院,網絡通信上的(de)網絡應用安全保護已經實施。不同類型的(de)網絡設置了不同的(de)安全級别,特别是外部網絡、政府網絡、醫療網絡和(hé)外部鏈接的(de)幹式保護網絡。安全通信設備應同時設置在外部時設置。
經過整改和(hé)建設,醫院實現了基于可(kě)信計算的(de)防禦系統,加強了數據安全和(hé)患者隐私的(de)安全網絡保護,包括數據完整性、數據保密性、數據備份恢複、剩餘信息保護和(hé)個人信息保護。在醫院的(de)網絡結構中,它充分反映了基于等級保險的(de)2.一(yī)個中心,三重防禦的(de)概念,将系統安全與集中控制的(de)能力相結合。
其中,核心業務系統存儲在內(nèi)網和(hé)醫學(xué)影像信息系統網絡中,相關數據庫服務器單獨放置DMZ區域;外部網絡和(hé)內(nèi)部網絡通過網絡大門進行物理(lǐ)隔離(lí),數據交互以應用服務器為(wèi)基礎,在互聯網出口實施安全出口控制;對于一(yī)些在技術和(hé)管理(lǐ)方面無法達到最高(gāo)标準的(de)應用,包括過渡性安全隔離(lí)網絡;安全管理(lǐ)中心主要監控數據中心的(de)安全計算環境、業務應用、行政物流和(hé)運維管理(lǐ)系統,并對所有物理(lǐ)環境、通信網絡、區域邊界、計算環境和(hé)後台預警管理(lǐ)進行審計。根據安全擴展要求的(de)評估指标,各專有網絡實現技術、人員和(hé)流程的(de)有機結合,确保整個醫院網絡的(de)安全性和(hé)可(kě)信度。
等保2.0可(kě)以幫助醫院确定關鍵的(de)信息系統,并确定醫院信息系統中存在的(de)風險。通過鞏固網絡安全保護的(de)基礎,醫院滿足了政策、法規和(hé)指導方針的(de)要求,将被動保護轉變為(wèi)主動防禦,更好地(dì)保護醫院各種應用産生的(de)患者醫療數據的(de)信息安全。面對移動互聯網等創新技術應用對醫院的(de)安全影響,通過各種安全整改措施,可(kě)以更好地(dì)護送醫院的(de)信息發展。
