等級保護測評費用:受各種原因影(yǐng)響,不一樣的省份、地區(qū),收費規範都不一樣,并且測評費用還(hái)受測評新項目總數(shù)的影(yǐng)響,假如企業必須測評的新項目多(duō),必須支出的測評費用當然也更高(gāo)一些(xiē)。一般來(lái)說,二級等保測評費用在6萬以上(shàng),三級等保測評費用在9萬以上(shàng)。且企業特别注意,測評費用一般不包含整改費用。
醫(yī)療行(xíng)業是勒索軟件威脅的關鍵目标。患者的單體(tǐ)數(shù)據具有(yǒu)很(hěn)高(gāo)的價值,病曆和(hé)藥物成為(wèi)數(shù)據洩露的主要內(nèi)容,因此建立安全的網絡架構尤為(wèi)重要。
2007年,公安部等四部門(mén)發布了《信息安全》[k管理(lǐ)措施(以下簡稱.0),為(wèi)信息安全建設提供了框架标準的具體(tǐ)要求。根據相關政策文件,原衛生(shēng)部于2011年發布了《衛生(shēng)行(xíng)業信息安全》等級保護《工作(zuò)指引》明(míng)确指出,三級甲等醫(yī)院核心業務體(tǐ)系必須通(tōng)過三級安全評估。近年來(lái),随着雲計(jì)算(suàn)、移動互聯網和(hé)物聯網的發展,以往的安全結構面臨着越來(lái)越多(duō)的挑戰,醫(yī)療機構中的各種信息安全事故時(shí)有(yǒu)發生(shēng)。面對嚴峻的網絡安全形勢,
2019年5月,信息安全技(jì)術(shù)網絡安全等級保護基本要求:.0)正式發布醫(yī)療行(xíng)業帶來(lái)了新的安全規範和(hé)要求。
等保2.0增加了顯著的新的變化和(hé)建設要求,主要體(tǐ)現在以下四個(gè)方面:
(1)覆蓋對象的變化。新規範中的對象不僅包括傳統對象,還(hái)增加了大(dà)數(shù)據平台、物聯網、移動互聯網等新興事物的主體(tǐ)。
(2)安全要求的變化。安全擴展的邊界更側重于考慮大(dà)數(shù)據技(jì)術(shù)和(hé)互聯網技(jì)術(shù)等便利技(jì)術(shù)同時(shí)産生(shēng)的安全風險。
(3)分類結構的變化。等保2.0定義了兩個(gè)技(jì)術(shù)部分和(hé)管理(lǐ)部分。技(jì)術(shù)部分側重于物理(lǐ)環境、通(tōng)信網絡、網絡邊界、計(jì)算(suàn)和(hé)整體(tǐ)框架;管理(lǐ)部分包括管理(lǐ)系統、管理(lǐ)機構、管理(lǐ)人(rén)員、施工跟蹤和(hé)連續運行(xíng)維護
(4)強調雲連接的安全性。它不僅需要以前的基礎設施和(hé)公共雲的安全性,還(hái)需要增加虛拟化等私有(yǒu)雲的安全內(nèi)容,甚至涉及雲服務提供商資格和(hé)雲計(jì)算(suàn)環境等制(zhì)度性強制(zhì)性審計(jì)要求。
某三級專科醫(yī)院,主要診斷和(hé)治療心肺疾病。它一直非常重視(shì)信息安全。根據以往的要求,醫(yī)院的核心業務系統和(hé)門(mén)戶系統于2018年6月通(tōng)過了等保1.0安全評估。醫(yī)院為(wèi)等保2.0合求的新變化,結合現有(yǒu)的醫(yī)院基礎,進行(xíng)了全面的頂層設計(jì),制(zhì)定了新的整改方案,升級主要體(tǐ)現在三個(gè)關鍵方面。
2.1.擴大(dà)覆蓋範圍,擴大(dà)新場(chǎng)景
醫(yī)院信息系統在原有(yǒu)的基礎上(shàng)進行(xíng)了分類和(hé)擴展,增加了特定的技(jì)術(shù)領域,并将其重新劃分為(wèi)兩個(gè)範圍:傳統應用和(hé)新應用。傳統應用是指支持醫(yī)院所需的基本業務系統,包括醫(yī)療業務系統(HIS)、實驗室系統(LIS)、放射檢查系統(RIS)、行(xíng)政辦公系統和(hé)物流運維系統。新應用是指圍繞人(rén)機交互系統、數(shù)據分析平台、雲數(shù)據存儲平台等特定新技(jì)術(shù)的應用。
2.2.細化分類結構,确保标準化
醫(yī)院依據等保2.0中的基本要求、設計(jì)要求和(hé)評價要求産生(shēng)了相應的分類結構。在相應的分類結構下,綜合考慮安全、流程、系統和(hé)人(rén)員的相關要求,通(tōng)過合規檢查加強管理(lǐ)規範,配置安全設備阻擋內(nèi)外攻擊,設置防禦策略保護數(shù)據,提高(gāo)應急處理(lǐ)能力,形成安全通(tōng)信網絡的保護體(tǐ)系結構,安全區(qū)域邊界、安全計(jì)算(suàn)環境和(hé)安全管理(lǐ)中心。
2.3.嵌入式可(kě)信計(jì)算(suàn),全過程管理(lǐ)
醫(yī)院加強了使用可(kě)信計(jì)算(suàn)技(jì)術(shù)的要求,并在1~4級提出了可(kě)信建模空(kōng)間(jiān)。可(kě)信驗證完全包含在同等保險評估的水(shuǐ)平中,并逐步提出每個(gè)環節的主要信任鏈實體(tǐ)內(nèi)容。基于系統指導程序、系統程序、重要配置參數(shù)和(hé)通(tōng)信應用程序的可(kě)信設備傳輸數(shù)據流,涵蓋應用程序的所有(yǒu)收集和(hé)執行(xíng)鏈接,并将最終驗證結果形成審計(jì)記錄發送到安全管理(lǐ)中心,方便醫(yī)院信息管理(lǐ)人(rén)員動态感知鏈接相關細節。加強醫(yī)院獨立可(kě)控的可(kě)信應用,實現網絡中的全閉環,實時(shí)安全動态監控。
醫(yī)院信息系統按等保2.0以安全管理(lǐ)平台為(wèi)中心,圍繞标準的合規要求,建立了安全計(jì)算(suàn)環境、安全區(qū)域邊界、安全網絡通(tōng)信的三重防禦系統,設計(jì)了內(nèi)外網絡信息交互的安全可(kě)信互連模型,确保整改後的安全應用交互和(hé)數(shù)據傳輸。
3.1.安全管理(lǐ)平台
安全管理(lǐ)平台負責對整個(gè)系統的安全管理(lǐ)提出技(jì)術(shù)控制(zhì)要求,并通(tōng)過相應手段實現集中安全管理(lǐ)。醫(yī)院授權的安全管理(lǐ)平台是整個(gè)安全管理(lǐ)系統的中樞神經系統。同時(shí),使用雲存儲和(hé)存儲患者的醫(yī)療圖像數(shù)據,如将檢查圖像上(shàng)傳到雲中進行(xíng)備份,也催生(shēng)了雲互聯的應用實踐。為(wèi)了确保雲平台的安全性和(hé)可(kě)靠性,安全管理(lǐ)平台不僅包括傳統的信息室和(hé)網絡基礎設施,而且注重加強網絡結構、隔離設備和(hé)虛拟化終端的在線評價,實現日常運維管理(lǐ)與實時(shí)監控的整合。
3.2.安全計(jì)算(suàn)環境
通(tōng)過安全計(jì)算(suàn)環境的控制(zhì)節點,規定了醫(yī)院信息系統需要滿足安全要求的所有(yǒu)維度。相應的目标要求是從不同的角度設定的。例如,在醫(yī)務人(rén)員身份識别中,部署了兩種組合識别技(jì)術(shù)來(lái)識别用戶身份,以滿足身份認證的維度要求;在安全審計(jì)維度中,計(jì)算(suàn)物理(lǐ)機、宿主機、虛拟機和(hé)數(shù)據庫系統的安全控制(zhì)。通(tōng)過充分發揮網絡計(jì)算(suàn)環境中的安全框架,首先滿足所有(yǒu)計(jì)算(suàn)實體(tǐ)完整性的有(yǒu)效測量優勢,确保用戶終端在域間(jiān)數(shù)據計(jì)算(suàn)交互中的動态安全控制(zhì)。
3.3.安全區(qū)域邊界
醫(yī)院有(yǒu)許多(duō)現有(yǒu)的網絡,包括內(nèi)部網絡、外部網絡和(hé)視(shì)頻監控網絡。為(wèi)了更好地構建安全區(qū)域邊界,采用塊隔離法實現網絡邊界的有(yǒu)效控制(zhì)和(hé)防禦,在邊界之間(jiān)增加了額外的防毒牆和(hé)入侵檢測設備。通(tōng)過應用服務、中間(jiān)件、鏡像文件和(hé)用戶隐私識别,在不同區(qū)域劃定邊界,以跨越邊界和(hé)數(shù)據互聯。該地區(qū)的業務試圖使用虛拟控制(zhì)策略來(lái)防止未經授權的訪問,并安裝虛拟機防火(huǒ)牆(virtualapplication firewall,VAF)防止病毒越境傳播,确保問題發生(shēng)後風險最小(xiǎo)化的控制(zhì)原則。
3.4.網絡通(tōng)信安全
加強網絡層面的安全保護和(hé)通(tōng)信建設,通(tōng)過人(rén)員、系統和(hé)流程的有(yǒu)機結合,建立重要業務活動的管理(lǐ)。安全網絡通(tōng)信通(tōng)過內(nèi)部和(hé)外部網絡隔離和(hé)服務器(qì)隔離,确保每個(gè)應用程序的安全鏈接(demilitarized zone,DMZ)等待通(tōng)信物理(lǐ),以确保數(shù)據通(tōng)信的加密。特别是對于雲計(jì)算(suàn)和(hé)互聯網業務,如電(diàn)子郵件、官方網站(zhàn)預約和(hé)手持醫(yī)院,網絡通(tōng)信上(shàng)的網絡應用安全保護已經實施。不同類型的網絡設置了不同的安全級别,特别是外部網絡、政府網絡、醫(yī)療網絡和(hé)外部鏈接的幹式保護網絡。安全通(tōng)信設備應同時(shí)設置在外部時(shí)設置。
經過整改和(hé)建設,醫(yī)院實現了基于可(kě)信計(jì)算(suàn)的防禦系統,加強了數(shù)據安全和(hé)患者隐私的安全網絡保護,包括數(shù)據完整性、數(shù)據保密性、數(shù)據備份恢複、剩餘信息保護和(hé)個(gè)人(rén)信息保護。在醫(yī)院的網絡結構中,它充分反映了基于等級保險的2.一個(gè)中心,三重防禦的概念,将系統安全與集中控制(zhì)的能力相結合。
其中,核心業務系統存儲在內(nèi)網和(hé)醫(yī)學影(yǐng)像信息系統網絡中,相關數(shù)據庫服務器(qì)單獨放置DMZ區(qū)域;外部網絡和(hé)內(nèi)部網絡通(tōng)過網絡大(dà)門(mén)進行(xíng)物理(lǐ)隔離,數(shù)據交互以應用服務器(qì)為(wèi)基礎,在互聯網出口實施安全出口控制(zhì);對于一些(xiē)在技(jì)術(shù)和(hé)管理(lǐ)方面無法達到最高(gāo)标準的應用,包括過渡性安全隔離網絡;安全管理(lǐ)中心主要監控數(shù)據中心的安全計(jì)算(suàn)環境、業務應用、行(xíng)政物流和(hé)運維管理(lǐ)系統,并對所有(yǒu)物理(lǐ)環境、通(tōng)信網絡、區(qū)域邊界、計(jì)算(suàn)環境和(hé)後台預警管理(lǐ)進行(xíng)審計(jì)。根據安全擴展要求的評估指标,各專有(yǒu)網絡實現技(jì)術(shù)、人(rén)員和(hé)流程的有(yǒu)機結合,确保整個(gè)醫(yī)院網絡的安全性和(hé)可(kě)信度。
等保2.0可(kě)以幫助醫(yī)院确定關鍵的信息系統,并确定醫(yī)院信息系統中存在的風險。通(tōng)過鞏固網絡安全保護的基礎,醫(yī)院滿足了政策、法規和(hé)指導方針的要求,将被動保護轉變為(wèi)主動防禦,更好地保護醫(yī)院各種應用産生(shēng)的患者醫(yī)療數(shù)據的信息安全。面對移動互聯網等創新技(jì)術(shù)應用對醫(yī)院的安全影(yǐng)響,通(tōng)過各種安全整改措施,可(kě)以更好地護送醫(yī)院的信息發展。
