等級保護測評費用(yòng):受各種原因影響,不一樣的省份、地區(qū),收費規範都不一樣,并且測評費用(yòng)還受測評新項目總數的影響,假如企業必須測評的新項目多,必須支出的測評費用(yòng)當然也(yě)更高(gāo)一些(xiē)。一般來(lái)說,二級等保測評費用(yòng)在6萬以上(shàng),三級等保測評費用(yòng)在9萬以上(shàng)。且企業特别注意,測評費用(yòng)一般不包含整改費用(yòng)。
醫(yī)療行業是勒索軟件威脅的關鍵目标。患者的單體數據具有很(hěn)高(gāo)的價值,病曆和(hé)藥物成爲數據洩露的主要内容,因此建立安全的網絡架構尤爲重要。
2007年,公安部等四部門(mén)發布了(le)《信息安全》[k管理(lǐ)措施(以下(xià)簡稱.0),爲信息安全建設提供了(le)框架标準的具體要求。根據相關政策文(wén)件,原衛生部于2011年發布了(le)《衛生行業信息安全》等級保護《工(gōng)作(zuò)指引》明(míng)确指出,三級甲等醫(yī)院核心業務體系必須通過三級安全評估。近年來(lái),随着雲計(jì)算(suàn)、移動互聯網和(hé)物聯網的發展,以往的安全結構面臨着越來(lái)越多的挑戰,醫(yī)療機構中的各種信息安全事(shì)故時(shí)有發生。面對(duì)嚴峻的網絡安全形勢,
2019年5月,信息安全技術網絡安全等級保護基本要求:.0)正式發布醫(yī)療行業帶來(lái)了(le)新的安全規範和(hé)要求。
等保2.0增加了(le)顯著的新的變化和(hé)建設要求,主要體現(xiàn)在以下(xià)四個方面:
(1)覆蓋對(duì)象的變化。新規範中的對(duì)象不僅包括傳統對(duì)象,還增加了(le)大(dà)數據平台、物聯網、移動互聯網等新興事(shì)物的主體。
(2)安全要求的變化。安全擴展的邊界更側重于考慮大(dà)數據技術和(hé)互聯網技術等便利技術同時(shí)産生的安全風(fēng)險。
(3)分類結構的變化。等保2.0定義了(le)兩個技術部分和(hé)管理(lǐ)部分。技術部分側重于物理(lǐ)環境、通信網絡、網絡邊界、計(jì)算(suàn)和(hé)整體框架;管理(lǐ)部分包括管理(lǐ)系統、管理(lǐ)機構、管理(lǐ)人員、施工(gōng)跟蹤和(hé)連續運行維護
(4)強調雲連接的安全性。它不僅需要以前的基礎設施和(hé)公共雲的安全性,還需要增加虛拟化等私有雲的安全内容,甚至涉及雲服務提供商資格和(hé)雲計(jì)算(suàn)環境等制度性強制性審計(jì)要求。
某三級專科醫(yī)院,主要診斷和(hé)治療心肺疾病。它一直非常重視(shì)信息安全。根據以往的要求,醫(yī)院的核心業務系統和(hé)門(mén)戶系統于2018年6月通過了(le)等保1.0安全評估。醫(yī)院爲等保2.0合求的新變化,結合現(xiàn)有的醫(yī)院基礎,進行了(le)全面的頂層設計(jì),制定了(le)新的整改方案,升級主要體現(xiàn)在三個關鍵方面。
2.1.擴大(dà)覆蓋範圍,擴大(dà)新場景
醫(yī)院信息系統在原有的基礎上(shàng)進行了(le)分類和(hé)擴展,增加了(le)特定的技術領域,并将其重新劃分爲兩個範圍:傳統應用(yòng)和(hé)新應用(yòng)。傳統應用(yòng)是指支持醫(yī)院所需的基本業務系統,包括醫(yī)療業務系統(HIS)、實驗室系統(LIS)、放(fàng)射檢查系統(RIS)、行政辦公系統和(hé)物流運維系統。新應用(yòng)是指圍繞人機交互系統、數據分析平台、雲數據存儲平台等特定新技術的應用(yòng)。
2.2.細化分類結構,确保标準化
醫(yī)院依據等保2.0中的基本要求、設計(jì)要求和(hé)評價要求産生了(le)相應的分類結構。在相應的分類結構下(xià),綜合考慮安全、流程、系統和(hé)人員的相關要求,通過合規檢查加強管理(lǐ)規範,配置安全設備阻擋内外(wài)攻擊,設置防禦策略保護數據,提高(gāo)應急處理(lǐ)能(néng)力,形成安全通信網絡的保護體系結構,安全區(qū)域邊界、安全計(jì)算(suàn)環境和(hé)安全管理(lǐ)中心。
2.3.嵌入式可信計(jì)算(suàn),全過程管理(lǐ)
醫(yī)院加強了(le)使用(yòng)可信計(jì)算(suàn)技術的要求,并在1~4級提出了(le)可信建模空(kōng)間。可信驗證完全包含在同等保險評估的水(shuǐ)平中,并逐步提出每個環節的主要信任鏈實體内容。基于系統指導程序、系統程序、重要配置參數和(hé)通信應用(yòng)程序的可信設備傳輸數據流,涵蓋應用(yòng)程序的所有收集和(hé)執行鏈接,并将最終驗證結果形成審計(jì)記錄發送到(dào)安全管理(lǐ)中心,方便醫(yī)院信息管理(lǐ)人員動态感知(zhī)鏈接相關細節。加強醫(yī)院獨立可控的可信應用(yòng),實現(xiàn)網絡中的全閉環,實時(shí)安全動态監控。
醫(yī)院信息系統按等保2.0以安全管理(lǐ)平台爲中心,圍繞标準的合規要求,建立了(le)安全計(jì)算(suàn)環境、安全區(qū)域邊界、安全網絡通信的三重防禦系統,設計(jì)了(le)内外(wài)網絡信息交互的安全可信互連模型,确保整改後的安全應用(yòng)交互和(hé)數據傳輸。
3.1.安全管理(lǐ)平台
安全管理(lǐ)平台負責對(duì)整個系統的安全管理(lǐ)提出技術控制要求,并通過相應手段實現(xiàn)集中安全管理(lǐ)。醫(yī)院授權的安全管理(lǐ)平台是整個安全管理(lǐ)系統的中樞神經系統。同時(shí),使用(yòng)雲存儲和(hé)存儲患者的醫(yī)療圖像數據,如将檢查圖像上(shàng)傳到(dào)雲中進行備份,也(yě)催生了(le)雲互聯的應用(yòng)實踐。爲了(le)确保雲平台的安全性和(hé)可靠性,安全管理(lǐ)平台不僅包括傳統的信息室和(hé)網絡基礎設施,而且注重加強網絡結構、隔離設備和(hé)虛拟化終端的在線評價,實現(xiàn)日常運維管理(lǐ)與實時(shí)監控的整合。
3.2.安全計(jì)算(suàn)環境
通過安全計(jì)算(suàn)環境的控制節點,規定了(le)醫(yī)院信息系統需要滿足安全要求的所有維度。相應的目标要求是從(cóng)不同的角度設定的。例如,在醫(yī)務人員身份識别中,部署了(le)兩種組合識别技術來(lái)識别用(yòng)戶身份,以滿足身份認證的維度要求;在安全審計(jì)維度中,計(jì)算(suàn)物理(lǐ)機、宿主機、虛拟機和(hé)數據庫系統的安全控制。通過充分發揮網絡計(jì)算(suàn)環境中的安全框架,首先滿足所有計(jì)算(suàn)實體完整性的有效測量優勢,确保用(yòng)戶終端在域間數據計(jì)算(suàn)交互中的動态安全控制。
3.3.安全區(qū)域邊界
醫(yī)院有許多現(xiàn)有的網絡,包括内部網絡、外(wài)部網絡和(hé)視(shì)頻監控網絡。爲了(le)更好(hǎo)地構建安全區(qū)域邊界,采用(yòng)塊隔離法實現(xiàn)網絡邊界的有效控制和(hé)防禦,在邊界之間增加了(le)額外(wài)的防毒牆和(hé)入侵檢測設備。通過應用(yòng)服務、中間件、鏡像文(wén)件和(hé)用(yòng)戶隐私識别,在不同區(qū)域劃定邊界,以跨越邊界和(hé)數據互聯。該地區(qū)的業務試圖使用(yòng)虛拟控制策略來(lái)防止未經授權的訪問,并安裝虛拟機防火牆(virtualapplication firewall,VAF)防止病毒越境傳播,确保問題發生後風(fēng)險最小(xiǎo)化的控制原則。
3.4.網絡通信安全
加強網絡層面的安全保護和(hé)通信建設,通過人員、系統和(hé)流程的有機結合,建立重要業務活動的管理(lǐ)。安全網絡通信通過内部和(hé)外(wài)部網絡隔離和(hé)服務器隔離,确保每個應用(yòng)程序的安全鏈接(demilitarized zone,DMZ)等待通信物理(lǐ),以确保數據通信的加密。特别是對(duì)于雲計(jì)算(suàn)和(hé)互聯網業務,如電子郵件、官方網站(zhàn)預約和(hé)手持醫(yī)院,網絡通信上(shàng)的網絡應用(yòng)安全保護已經實施。不同類型的網絡設置了(le)不同的安全級别,特别是外(wài)部網絡、政府網絡、醫(yī)療網絡和(hé)外(wài)部鏈接的幹式保護網絡。安全通信設備應同時(shí)設置在外(wài)部時(shí)設置。
經過整改和(hé)建設,醫(yī)院實現(xiàn)了(le)基于可信計(jì)算(suàn)的防禦系統,加強了(le)數據安全和(hé)患者隐私的安全網絡保護,包括數據完整性、數據保密性、數據備份恢複、剩餘信息保護和(hé)個人信息保護。在醫(yī)院的網絡結構中,它充分反映了(le)基于等級保險的2.一個中心,三重防禦的概念,将系統安全與集中控制的能(néng)力相結合。
其中,核心業務系統存儲在内網和(hé)醫(yī)學影像信息系統網絡中,相關數據庫服務器單獨放(fàng)置DMZ區(qū)域;外(wài)部網絡和(hé)内部網絡通過網絡大(dà)門(mén)進行物理(lǐ)隔離,數據交互以應用(yòng)服務器爲基礎,在互聯網出口實施安全出口控制;對(duì)于一些(xiē)在技術和(hé)管理(lǐ)方面無法達到(dào)最高(gāo)标準的應用(yòng),包括過渡性安全隔離網絡;安全管理(lǐ)中心主要監控數據中心的安全計(jì)算(suàn)環境、業務應用(yòng)、行政物流和(hé)運維管理(lǐ)系統,并對(duì)所有物理(lǐ)環境、通信網絡、區(qū)域邊界、計(jì)算(suàn)環境和(hé)後台預警管理(lǐ)進行審計(jì)。根據安全擴展要求的評估指标,各專有網絡實現(xiàn)技術、人員和(hé)流程的有機結合,确保整個醫(yī)院網絡的安全性和(hé)可信度。
等保2.0可以幫助醫(yī)院确定關鍵的信息系統,并确定醫(yī)院信息系統中存在的風(fēng)險。通過鞏固網絡安全保護的基礎,醫(yī)院滿足了(le)政策、法規和(hé)指導方針的要求,将被動保護轉變爲主動防禦,更好(hǎo)地保護醫(yī)院各種應用(yòng)産生的患者醫(yī)療數據的信息安全。面對(duì)移動互聯網等創新技術應用(yòng)對(duì)醫(yī)院的安全影響,通過各種安全整改措施,可以更好(hǎo)地護送醫(yī)院的信息發展。
