2019年8月17日， 2019年深信服創(chuàng)新大會分論壇—智慧醫(yī)療專場在深圳華僑城召開。公安部第三研究所檢測中心智能互聯(lián)安全測評實驗室主任張艷博士在專場上以《等保2．0在醫(yī)療行業(yè)的落地分析》進行演講，動脈網(wǎng)對其精彩內容進行了整編。

公安部第三研究所張艷

張艷博士具有豐富的信息安全相關科研和標準化工作經(jīng)驗，曾獲得多項省部級科技獎勵，并作為主編出版了《下一代安全隔離與信息交換產(chǎn)品原理及應用》《防火墻產(chǎn)品原理及應用》《網(wǎng)絡入侵檢測系統(tǒng)原理及應用》等6本著作，共發(fā)布GB∕T 36627－2018《信息安全技術 網(wǎng)絡安全等級保護測試評估技術指南》等信息安全國家標準、公安行業(yè)標準十余項。

2019年5月，國家市場監(jiān)督管理總局、國家標準化管理委員會正式發(fā)布了網(wǎng)絡安全等級保護系列國家標準。該系列標準的發(fā)布對保障和促進醫(yī)療行業(yè)信息化發(fā)展，提升各醫(yī)療機構網(wǎng)絡安全保護能力具有重要的指導意義。

醫(yī)療行業(yè)的健康發(fā)展，與民生問題有著直接的關系。十三五期間，不斷發(fā)展和推廣的醫(yī)療信息技術，使得網(wǎng)絡系統(tǒng)逐漸成為了醫(yī)療行業(yè)的業(yè)務服務支撐體系。

一旦網(wǎng)絡系統(tǒng)發(fā)生了故障或是網(wǎng)絡癱瘓，對整個醫(yī)療服務體系也會產(chǎn)生致命影響。網(wǎng)絡系統(tǒng)中存儲的重要業(yè)務數(shù)據(jù)、診療數(shù)據(jù)，甚至是1．6億診療庫中的患者隱私信息若遭到泄露，將會對患者造成不可估量的損害。

數(shù)字化、網(wǎng)絡化引領著著行業(yè)發(fā)展的方向，但同時也引發(fā)了一些可能會出現(xiàn)的安全問題和風險，例如惡意遠程控制設備的風險、比特幣勒索的風險、個人信息泄露的風險等。而這些安全問題也對行業(yè)提出了新的挑戰(zhàn)和要求。

網(wǎng)絡安全事件數(shù)量不斷增加，政府對醫(yī)療行業(yè)網(wǎng)絡安全方面的重視程度也在不斷提高。如中國信息通信研究院等機構發(fā)布的《2019年健康醫(yī)療行業(yè)網(wǎng)絡安全觀測報告》，也同樣披露了目前網(wǎng)絡安全風險集中的幾個表現(xiàn)：

第一是僵木蠕等問題嚴峻，勒索病毒嚴重威脅醫(yī)療業(yè)務正常運行；

第二是數(shù)據(jù)泄露事件高發(fā)，應用服務軟件存在較多安全隱患；

第三是醫(yī)療行業(yè)的網(wǎng)站同政府網(wǎng)站、教育機構網(wǎng)站等都是境外機構的重點攻擊對象，且網(wǎng)站篡改手法多變。

張艷認為，擁有較高數(shù)據(jù)價值是醫(yī)療行業(yè)成為網(wǎng)絡安全重災區(qū)的原因之一，而最主要的原因是，在大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術的驅動下，傳統(tǒng)的IT系統(tǒng)安全管理體系已無法覆蓋實際應用場景和范圍。

除了上述的內部原因之外，一些恐怖組織、黑客組織、黑產(chǎn)等經(jīng)濟犯罪團伙、極端個人，出于一些個人或利益原因也可能會實施網(wǎng)絡攻擊。

其實，究其根源，重要業(yè)務系統(tǒng)在網(wǎng)絡安全建設、安全運維方面存在不足，才是導致這些內外部因素發(fā)揮效力的關鍵。

現(xiàn)階段，網(wǎng)絡安全態(tài)勢嚴峻，國家在網(wǎng)絡安全方面也在不斷地完善相關法律法規(guī)和政策體系標準。網(wǎng)絡安全法除了確認網(wǎng)絡安全各個相關方的保護義務和職責，還明確了國家網(wǎng)絡安全相關的一些基本制度。

網(wǎng)絡安全等級保護制度是國家在網(wǎng)絡安全法中明確且強調以等級保護為基礎，對關鍵基礎信息建設進行重點保護的制度。國家實行網(wǎng)絡安全等級保護遵照了對網(wǎng)絡（信息網(wǎng)絡、信息系統(tǒng)以及數(shù)據(jù)資源等）實行分等級保護、分等級監(jiān)管的核心思想。

事實上，等級保護制度自1994年通過國務院147號令便被確認。隨著網(wǎng)絡安全法出臺后，等級保護制度進入了2．0的階段。

等保2．0階段是主管部門根據(jù)當前國家或全球的網(wǎng)絡安全態(tài)勢發(fā)展、網(wǎng)絡安全保衛(wèi)任務要求和技術發(fā)展而重新審視并提出了新的要求。

需要明確的是，等保2．0不僅僅是一個標準版本更新的概念，而是整個體系、整個核心的提升。

內涵措施更豐富。進一步明確了網(wǎng)絡定級及評審、備案及審核、等級測評、安全建設整改、自查等工作要求，并將風險評估、安全監(jiān)測等與網(wǎng)絡安全密切相關的措施納入了等級保護制度。

定級流程更規(guī)范。2．0階段以明確等級、增強保護、常態(tài)監(jiān)督為定級原則，將定級流程明確為確定定級對象、初步確定定級、專家評審、主管部門審批和公安機關備案審查。

等級保護體系升級。主管部門在現(xiàn)有的技術規(guī)范基礎上，通過陸續(xù)出臺一系列的政策法規(guī)和更新的標準規(guī)范，進一步完善包括政策、標準、測評、技術、服務、關鍵技術研究和教育的等級保護體系。主管部門圍繞等級保護體系構建起安全監(jiān)測、通報預警、快速處置、態(tài)勢感知、安全防范和精確打擊等為一體的國家關鍵信息基礎設施安全保衛(wèi)體系。

擴展等級保護對象。將基礎信息網(wǎng)絡、重要信息系統(tǒng)、網(wǎng)站、大數(shù)據(jù)中心、云計算平臺、物聯(lián)網(wǎng)、工控系統(tǒng)以及公眾服務平臺等全部納入等級保護范圍中。

將被動防護轉變?yōu)橹鲃臃雷o。在技術要求上，等保在安全管理中心、物理環(huán)境、通信網(wǎng)絡、區(qū)域邊界、計算環(huán)境共五個安全層面設置了控制點，并將可信驗證應用納入了等級保護，以進行更精準化地防護。

在管理要求方面，等保2．0對部分控制點進行了調整、合并，并特地強調了外部人員訪問管理、漏洞風險管理等要求。主管部門在后續(xù)執(zhí)行中，會采用細粒度測評結論分級的概念，體現(xiàn)不同系統(tǒng)的安全防護水平。

除了上述變化，等保2．0在以下方面未進行改變。

等保五個級別不變。包括用戶自主保護級、系統(tǒng)保護審計級、安全標記保護級、結構化保護級和訪問驗證保護級。

等保五個重要環(huán)節(jié)不變。依舊圍繞定級、系統(tǒng)備案、建設整改、等級測評和監(jiān)督檢查這五個環(huán)節(jié)開展工作。

等保主體職責不變。運營單位的等級保護職責、上級主管單位的安全管理職責、第三方測評機構的安全評估職責，以及網(wǎng)安對定級對象的備案受理及監(jiān)督檢查職責都沒有變化。

網(wǎng)絡安全等級保護是關鍵信息基礎設施保護的基礎。關鍵信息基礎設施是等級保護制定的保護重點。網(wǎng)絡運營者應當在第三級（含）以上保護對象中確定關鍵信息基礎設施的范圍。

張艷表示，除此以外，關鍵信息基礎設施須按照網(wǎng)絡安全等級保護制度要求，開展定級備案、等級測評、安全建設整改以及安全檢查等工作。

基于安全事件的分析，張艷結合等保2．0的要求，詳解了目前醫(yī)療行業(yè)的網(wǎng)絡安全現(xiàn)狀，以及存在哪些不合規(guī)的控制點安全問題。

一是計算環(huán)境安全措施缺失。訪問控制、入侵防范、惡意代碼防范、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、個人信息保護等方面都存在諸多不合規(guī)的問題。

其中，等保2．0新增了個人信息保護的要求，醫(yī)療行業(yè)系統(tǒng)同樣僅允許采集和保存業(yè)務必需的用戶個人信息。

二是網(wǎng)絡通信安全措施缺失。網(wǎng)絡架構方面，存在關鍵設備的業(yè)務處理能力不足、網(wǎng)絡區(qū)域未劃分和網(wǎng)絡單鏈路設計的問題；在通信傳輸方面，缺少通信數(shù)據(jù)完整性保護措施。

三是區(qū)域邊界安全措施缺失。區(qū)域邊界強調的是邊界防護、訪問控制等要求，包括關鍵網(wǎng)絡節(jié)點如何防止來自互聯(lián)網(wǎng)或從內部網(wǎng)絡的攻擊行為。惡意代碼檢測缺失和審計機制缺失也是比較常見的。

最后是安全管理中心安全措施缺失。這一方面集中表現(xiàn)在系統(tǒng)管理的運行監(jiān)控措施缺失、審計日志存儲不滿足要求，以及網(wǎng)絡中安全事件發(fā)現(xiàn)處置措施缺失等。

有困難就要及時解決。在醫(yī)療行業(yè)系統(tǒng)，結合等保2．0，我們又該如何進行安全防范呢？對此，張艷提出了兩點建議。

第一，加強技術和管理的融合。由于安全事件多發(fā)生在管理安全或數(shù)據(jù)交互場景中，所以需要通過技術方式來填補管理方面的缺失。另外，管理制度也能為技術設施提供多重保障。

第二，參照等保2．0“一個中心、三重保護”的要求，落實網(wǎng)絡安全部等級保護各方面的安全要求，最大程度地發(fā)揮系統(tǒng)安全措施的保護能力。

此外，加強防范木馬、新型網(wǎng)絡的攻擊，以及日常運維建設，滿足包括雙重鑒別、安全接入、統(tǒng)一集中管理，以及日志審計等多方面控制點的要求。通過加強主動防御、采用安全廠商的安全服務等來提升醫(yī)療行業(yè)的整體安全防護能力。

＊文中圖片由受訪企業(yè)提供。