2019年5月13日,网络安全等级保护制度2.0标准正式发布,实施时间定为2019年12月1日。网络安全等级保护制度2.0标准在1.0的基础上,实现对新技术、新应用安全保护对象和安全保护领域的全覆盖。那么,对比等保 1.0,等保2.0还有哪些具体变化?在新标准下,医院应该如何更好地开展网络安全建设?
等级保护的发展历程
等级保护在医疗行业的相关规定
2011年
国家卫健委《卫生行业信息安全等级保护工作的指导意见》规定了三级医院重要业务系统(可由各省卫健委自己定义)必须通过等保三级测评,二级医院重要业务系统必须通过等保二级测评;
2016年
国家卫健委《2016 三级综合医院评审标准考评办法 ( 完整版 )》规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求;
2018年
国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定了承载健康医疗大数据的平台必须通过等级保护(未规定级别),一般引入大数据技术的医院都是三级甲等医院,基本以三级等保为主;
2018年
国家卫健委《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须通过等保三级测评。
近期深信服在全国各地开展等级保护 2.0 的宣贯会,很多医疗客户都在咨询等保 2.0 的相关问题。在这里深信服筛选了五个医院客户最关心的问题为大家一一解答。
目前医院网络安全建设存在哪些痛点或面临哪些威胁?国内医院网络安全等级保护测评的现状是怎样的?
结合医院的业务,医院网络安全建设的痛点可以从外部和内部两个方面来看:
外部
如今,医疗行业各项业务与互联网广泛接轨,为老百姓看病就医提供了诸多便利,但同时也引入了大量的互联网安全风险。这两年频发的勒索病毒事件便印证了这一点。
内部
医院的网络规模不大,但相对来说比较复杂,各个业务系统之间的关联非常紧密,数据共享很频繁,因此很难界定哪些系统之间可以完全隔离、哪些系统只允许特定人员的访问。因此安全风险非常容易在内部蔓延。
当前大部分医院都缺乏专业的网络安全,国内医院网络通过等级保护测评的主要策略还是以网络安全防御性质建设为主。
对比等级保护 1.0,等级保护 2.0 都发生了哪些重要变化?这些变化将对医疗行业产生哪些影响?
名称变化:从 1.0 时代《信息安全技术信息系统安全等级保护基本要求》变成 2.0 时代《信息安全技术网络安全等级保护基本要求》。名称的变化代表了等级保护标准上升到了网络空间安全的层面,重要性也就相应提高了一个层次。
定位对象变化:从 1.0 时代的“信息系统”变为 2.0 时代的“信息系统、基础信息网络、云计算平台、移动互联网络、物联网系统、工业控制系统等”,覆盖更加全面,指导性更聚焦。
安全要求变化:从 1.0 时代的“安全要求”变为 2.0 时代的“安全通用要求 + 安全扩展要求”,为近些年来新兴的网络技术制定了安全标准,更有针对性。
控制措施分类结构变化:从 1.0 时代“技术(物理、网络、主机、应用、数据)+ 管理”变为 2.0 时代“技术(物理环境、一个中心三重防护)+ 管理”,控制措施的变化体现了标准制定者对网络安全提出的新要求。从 1.0 时代更重视防护转变为 2.0 时代更重视安全的运营。毕竟网络安全是动态变化的,攻击和防御永远在对抗中成长,只有把安全运营做好才能不断提升自身的防御能力,一劳永逸的安全是不存在的。
内容变化:从 1.0 时代的“5 个规定动作(定级、备案、整改建设、等级测评、监督检查)”变为 2.0 时代“5 个规定动作(定级、备案、整改建设、等级测评、监督检查)+ 风险评估、安全检测、通报预警、态势感知等”。内容的变化同样体现了等保2.0 时代更加注重安全防御的动态过程,通过持续的运营去解决日益复杂的新安全隐患。
对于之前已经通过三级等保的医疗机构来说,如何完成等级保护 2.0 下的相关测评要求?
已通过等保 1.0 标准下的等保三级系统在 2.0 时代不需要再重新定级和备案,沿用之前的定级备案信息即可。但仍然需要按照2.0 的新标准进行安全加固,补齐不足的地方,在每年复评审查的时候需要满足新标准的评分要求。对于新建系统或网络,定级需按照等保 2.0《定级指南》的要求进行定级,二级以上定级对象需经过专家评审。
医疗行业属于关键信息基础设施,《网络安全法》与即将发布的《关键信息基础设施安全保护条例》中明确要对关键信息基础设施进行重点保护。那么,对于医院来说,需要关注到有关信息系统和 IT 基础设施的哪些新需求?是否需要对医院原有网络安全应用进行一轮“升级换代”?
等保 2.0 中技术控制项与等保 1.0 中有不少区别,比如在安全扩展要求中针对云计算平台、移动互联网、物联网平台、工业控制平台有额外的控制项要求,如果医院采用了这些新技术,在等级保护 2.0 的测评中就必须要满足针对这一类平台的安全扩展需求。
同时在安全通用需求中,与等保 1.0 相比一个最大的区别就是新增了安全管理中心这一技术类别,如果在早期等保 1.0 的建设中没有考虑到这一块建设的,则等保 2.0 中需要增补相关的安全能力。其他细节的控制措施变化限于篇幅的原因这里就不一一列举了,总体来说为了达到等保 2.0 所要求的安全能力,对医院原有的网络安全设备进行升级和查缺补漏是非常必要的。
针对当前医疗行业的网络安全建设现状,在新标准下,对医疗机构开展网络安全等级保护工作有哪些建议?
- 合理开展新业务系统及平台的定级备案工作,比如医疗大数据平台、互联网医疗平台等;院内传统重要业务系统如 HIS、EMR 等还未开展定级备案工作的,需要加快等保建设步伐;
- 在等保建设中尝试采用新技术新手段加强医院的安全技术防护和安全态势感知能力建设,防范特种木马或新型网络攻击;
- 加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单更加有效;
- 加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板,从而降低安全风险,提高信息系统健壮性;
- 适当选择安全厂商提供的安全服务,弥补医院专业安全技术人员缺失的问题,减少因网络安全事件而带来的医院运营中断和管理成本增加的风险。