刘文志:信息安全等级保护在实施中的几大误区

由中国数字医疗网联手中国医科大学附属第一医院共同主办的“乐享互联 医路同行”2015医院信息化沙龙全国巡展活动第七站,于2015年11月6日在国家历史文化名城–沈阳正式拉开序幕。北方实验室技术经理刘文志分享了“医院信息安全等级保护实施探讨”主题相关内容。本文直接根据演讲内容整理,相关内容略有编辑删节。

目前,医院信息化越来越受到关注,尤其是12年以后,医院信息化呈逐步加速趋势,。在实现医院信息化过程中,安全问题是我们现在越来越重视的问题,无论是从国家政策上,还是从医院自身来说,安全问题都上升到了一个新高度。而一谈到安全问题,就不得不谈及公安部主推的信息安全等级保护。对此,刘经理围绕“为什么要实施”、“如何高效实施”、“实施中的误区”三个方向进行阐述。

为什么要实施信息安全等级保护?

刘经理表示,从国家政策方面来谈,从1994年开始到目前有太多的条令对此做了解读和规范。1994年,国务院147号令,规定计算机信息系统实行安全等级保护,由公安部会同有关部门共同制定相关标准和办法;2003年,国家信息化领导小组27号文,明确要求加强信息安全标准化工作,形成安全标准体系;2004年,公安部66号文,加快信息安全管理与技术标准的制定和完善;2007年,公安部43号文,信息安全等级保护管理办法出台;2007-2010年,针对定级、备案、安全建设整改、等级测评、检查五个规定动作,均提出了实施要求,并发布了管理和技术标准规范;2011年,卫生部1126号文,全面开展卫生行业信息安全等级保护工作;2011年,卫生部85号文,卫生行业信息安全等级保护工作的指导意见;2012年,辽宁省卫生厅382号文,开展卫生行业信息安全等级保护专项监督检查工作。

以上罗列的都是国家政策层面,刘经理表示,从2012年到2015年又有了新的变化和发展。15年出台了《国家信息网络安全法》,表明如果因为网络的管理者或者服务者对数据保护不当,造成数据泄露或进行数据篡改等,产生严重影响是要负相应的刑事责任。而随着医院的信息化发展,每一家医院没有数据?尤其是信息化之后,电子病历、患者的信息、医患的信息,这些都是个人隐私数据,每个医院都掌握着大量的数据,如果这些数据泄露的话,就上升到刑法的范畴了。而这也应该是每一位信息中心主任值得思考的问题。

刘经理表示,除了上述追随国家政策方面需要实施信息安全等级保护,从医院自身信息化发展发面实施安全等级保护的必要性。第一,“互联网+医院”成为解决群众看病难的重要手段。第二,无线局域网在医疗行业中的应用已经成为了一种趋势。第三,区域卫生信息平台,实现健康档案、电子病历的共享交互,建立了更为重要的数据资源库。第四,对外的接口功能丰富,包括与金融、社保、农合等的接口。第五,软件外包模式,从管理上和技术上都有更多的安全风险。第六,安全人才队伍建设,信息化背景下的运维安全。第七,内部防范(误操作、恶意攻击等)。第八,管理体系(制度体系是否健全、是否得到了有效落实、是否形成了严格的工作记录并可追责)。

在医院中很多场景都存在潜在安全威胁,比如:网上预约挂号,可以得到所有病人的预约挂号信息;可以瞬间将全医院的预约号占满;可以对预约挂号系统的数据库进行完全控制,获取预约人全部信息;可以免费预约挂号。无线局域网,可以非法接入无线局域网,对整个内部网络实施Arp攻击,获取全部网络运行数据。电子病历,可以对医院提供给外部的接口,和外部提供给医院的接口进行破坏,轻者获取数据,重者删除、篡改病人的电子病历等。银行金融接口,支付接口如果存在漏洞,可以免费看病,可以造成资金损失和账面出错。运维方面,如果没有好的运维团队和体系,出现问题无法立即解决,造成数据丢失或服务中断。刘经理表示,从以上场景可以看出医院各个方面都存在潜在威胁,为了保证重要的数据,医院很有必要对每一个层面进行加护。

如何高效实施安全等保

医院如果不实施信息安全等级保护会带来什么后果?要么数据泄露,要么服务中断。大的医院对服务依赖会非常高,尤其是三甲医院,对新系统的依赖程度已经到了离不开的地步。这种情况下,如果不施行信息保护,如果不对服务进行评测,整个系统就会死掉。数据这一块,每家医院都有数据,都是患者的电子病历数据,如果说在某些方面做得安全不够,数据的泄露也是很不可避免地。

面对实施安全等保的必要性,如何高效实施也是信息中心主任考量的问题。刘经理介绍称,若想要高效实施安全等保需实现两点。第一,定级。三级甲等医院的核心业务信息系统(HIS、LIS、RIS)原则上,定级应不低于三级。其他医院参照三级甲等的定级原则,根据自身业务和数据的安全需求,自行定级。

第二,测评和建设整改。测评从整体上评估,不会片面考虑。建设整改应与咨询相结合,建设整改前进行必要的安全规划和设计,会避免投资浪费,提升安全水平和资金利用率。应更注重设备策略的配置和启用情况,而盲目购置新设备,同时应更多的提升安全管理方面的水平,加强具体的落实。

等级保护实施的几个误区

刘经理还阐述了等级保护在实施过程中的几大误区:

首先,信息系统级别还要细分S、A、G要求,同样是三级,S、A不一样,实际要求差别很大。

其次,测评绝不是简单的安全设备有无的检查,更多的会侧重于安全策略的有效性评估,以及整体安全水平的评估,同时还要从实战环节进行验证(模拟真实攻击者)。

再次,安全整改绝不是设备的叠加,事实证明,更多的安全整改都集中于策略和管理上的调整(无额外费用投入),一般仅会发生少数极其必要的产品采购。

最后,定级信息系统应具有以下三个特性:1、安全责任单位唯一2、信息系统3、承担单一或业务独立的应用。对于业务功能或运行数据独立的信息系统不应合并定级。

转载请注明出处:HC3i中国数字医疗网
【责任编辑:孙杨 TEL:(010)68476606】

发表评论