您所在的位置:首页 > 会议精选 > 知南课堂 >  知南课堂第二期纪实:医院为啥非要做等保?网络安全怎么建?
知南课堂第二期纪实:医院为啥非要做等保?网络安全怎么建?
  • 2021-08-27 11:15
  • 作者:佚名
  • 来源:HC3i数字医疗网

疫情期间“健康码”的应用,加速了公民对于数据资源汇聚、数字技术支撑的广泛认知,医院也越来越开放了。与此同时,从《网络安全法》、《数据安全法》到最新发布的《个人信息保护法》,作为一个数字大国,我国配套的制度建设逐步走向成熟。

从互联互通、医联体,到远程医疗、互联网医院......医院建设愈加开放,但安全的认识和行动却非常滞后,建设越快风险越多,怎么办?

2021年8月25日,云南省医疗信息人才培训班(2021年秋季班)第二期线上培训正式开课。本期培训主题为“医院信息安全入门普及”,来自云南及其他省份的医院信息化工作者参加本期线上培训课程。

郑攀:

网络安全,人人有责!

近年来,网络安全攻击的复杂度越来越复杂,门槛越来越低。

《2019 健康医疗行业观测报告》显示,通过对 15339 家医疗行业相关单位的观测,存在僵尸、木马或蠕虫等恶意程序的单位共计1029 家,应用服务端口暴露在公共互联网中的单位有6446 家,4546 家单位网站存在被篡改安全隐患,其中 261 家单位已发生网站被篡改情况。

临床医生记不住密码,如上图一样贴在电脑上,很容易就会被“有心人”记住,无形中为网络攻击者提供了便利,这类情况在医院里并不少见。

在网络安全防线上,人的漏洞是最难修补的,人也是最脆弱的一环。

将口令写在便签上,贴在电脑监视器旁;

开着电脑离开工位;

轻易相信来自陌生人的邮件,好奇打开邮件附件;

使用容易猜测的口令,或者根本不设口令...

对此,医院有必要进行全员安全教育和管理,通过相应安全意识培训提升全员安全意识,避免因内部人员安全意识不足导致安全风险的发生。

马军:

等保测评升级,更难了

相比于过去的评分方式,2021版网络安全等级保护测评的算分公式基于缺陷扣分法,即三倍扣分法(若为不符合或部分符合,则采用原有扣分*3的倍数进行扣除)。由此导致测评报告的分数会有较大的变化,通过率也会大幅降低。

尽管新版安全等保测评的细节尚未公开,但等保测评的规则调整已经在路上,要求也在不断提高。因此,抓紧时间备战等保,医院才能变被动为主动。

等保不是应付合规的测评的建设需求,而是真正从业务安全“木桶原理”全局角度考虑规划设计。通过测评加强安全重视,形成可持续的安全运维(身份鉴别、三权分立),才是医院能够长期守住安全阵地的根本保障。同时,充分学习和理解监管机构对于互联网医疗等新业务发布的政策法规,在安全合规的前提背景下开展建设,是保障医院信息体系安全成长的重要前提。

曹磊:

医院信息安全员该做什么?

大部分医院的安全建设受限于人力和技术资源池,网络安全集中在安全设备采购,缺乏运营机制的建设,造成安全设备部署实施后运营不起来,无法发挥设备实际价值,形成了巨大的安全短板。

医院信息安全的责任必须落实到人。

医院可以通过规范信息安全员的相关工作,解决当前医疗系统网络安全普遍问题及困境,提高医院网络安全整体水平。

不同等级医院信息化建设需求不同,安全运维重点也有所不同。例如:二甲及以下的医院完善基础网络安全建设,确保在业务边界和网络边界都有防火墙一类的防护设备,且应在服务端配备终端杀毒;三级及以上医院应结合信息化建设情况,持续完善等保建设,并关注安全服务/数据安全/态势感知这些新安全领域等。

自正特:

二级医院先理清边界,配置防火墙

二级医院信息化建设起步较晚,信息科室人才紧缺,信息化建设投入也很有限,院领导不重视网络安全建设... 一系列的问题导致二级医院网络安全建设进展缓慢,不少二级医院尽管买了防火墙,却从来没有进行过配置,形同虚设,不堪一击。

理清业务边界和网络边界,配置防火墙加以防护是一项基本工作。

二级医院信息资产梳理举例:

整个网络内有哪些信息设备;

设备使用了多少个ip;

部署了哪些应用,是否存在高危漏洞;

开放了哪些端口;

具体哪个应用使用哪些端口;

部署了哪些安全设备,是否设置了安全策略。

路健:

不做等保,就是违法!

随着医院信息体系日益庞大,要守住安全这条线难度也越来越大。充分认识网络安全建设的重要性,并做好规划部署、人才配置和日常运维工作,才能实现医院网络安全建设的可持续发展。

医院在进行安全防护规划时,需要从物理安全、网络安全、应用系统安全、终端安全等维度进行全面部署,通过对内监测、对外防护,为既有的医院信息化设施筑起一道安全长城。例如:建立影子机房,避免因生产服务器宕机引起用户访问中断;通过执行一系列针对HTTP/HTTPS的安全策略来为Web应用提供保护;限制软件的安装和对终端安全进行控制;以及远程维护各科室计算机等。

医院网络安全工程师应该如何做?

信息安全团队必须建立对风险的“敬畏之心”,不能把安全防控重点放在风险事件发生之后疲于奔命的应急处置,不应该总是担任“救火队员”,而应该将风险前移,将工作重心放在事前预防、事中控制,重点放在对尚未暴露的风险隐患的排查、发现和及时化解,做到未雨绸缪,心中有数,防患于未然。

当然,如果风险事件万一真正发生了,也不要逃避,而是应该深入总结分析,查明根本原因,举一反三,落实整改措施,直至彻底解决。

学员:

不出事要你何用?出了事要你何用?

尽管国家对于网络安全建设的要求越来越高,但是身处医院信息科室的学员们对于开展网络安全工作仍然表示困难重重:领导不重视、评测太难、医护人员安全意识薄弱...

在老师的教学过程中,学员们一边学习一边交流着工作中遇到的难题,伴随着同学们的自嘲和支招,度过了干货满满的200分钟。

“知南课堂”

增补报名通道现已开启,

扫描下方二维码即可获取账号!

第三期培训预计将在9月下旬开始,主题为:《互联网+医疗健康实践指南》,具体时间将由辅导员另行通知。

附:知南课堂2021秋季班课表

 

转载请注明出处:HC3i数字医疗
【责任编辑:Rainbow TEL:(010)68476606】

标签:知南课堂  
  • 分享到: