知南课堂第二期纪实：医院为啥非要做等保？网络安全怎么建？

您所在的位置：首页 > 会议精选 > 知南课堂 > 知南课堂第二期纪实：医院为啥非要做等保？网络安全怎么建？

2021-08-27 11:15
作者:佚名
来源：HC3i数字医疗网

疫情期间“健康码”的应用，加速了公民对于数据资源汇聚、数字技术支撑的广泛认知，医院也越来越开放了。与此同时，从《网络安全法》、《数据安全法》到最新发布的《个人信息保护法》，作为一个数字大国，我国配套的制度建设逐步走向成熟。

从互联互通、医联体，到远程医疗、互联网医院......医院建设愈加开放，但安全的认识和行动却非常滞后，建设越快风险越多，怎么办？

2021年8月25日，云南省医疗信息人才培训班（2021年秋季班）第二期线上培训正式开课。本期培训主题为“医院信息安全入门普及”，来自云南及其他省份的医院信息化工作者参加本期线上培训课程。

郑攀：

网络安全，人人有责！

近年来，网络安全攻击的复杂度越来越复杂，门槛越来越低。

《2019 健康医疗行业观测报告》显示，通过对 15339 家医疗行业相关单位的观测，存在僵尸、木马或蠕虫等恶意程序的单位共计1029 家，应用服务端口暴露在公共互联网中的单位有6446 家，4546 家单位网站存在被篡改安全隐患，其中 261 家单位已发生网站被篡改情况。

临床医生记不住密码，如上图一样贴在电脑上，很容易就会被“有心人”记住，无形中为网络攻击者提供了便利，这类情况在医院里并不少见。

在网络安全防线上，人的漏洞是最难修补的，人也是最脆弱的一环。

将口令写在便签上，贴在电脑监视器旁；

开着电脑离开工位；

轻易相信来自陌生人的邮件，好奇打开邮件附件；

使用容易猜测的口令，或者根本不设口令...

对此，医院有必要进行全员安全教育和管理，通过相应安全意识培训提升全员安全意识，避免因内部人员安全意识不足导致安全风险的发生。

马军：

等保测评升级，更难了

相比于过去的评分方式，2021版网络安全等级保护测评的算分公式基于缺陷扣分法，即三倍扣分法（若为不符合或部分符合，则采用原有扣分*3的倍数进行扣除）。由此导致测评报告的分数会有较大的变化，通过率也会大幅降低。

尽管新版安全等保测评的细节尚未公开，但等保测评的规则调整已经在路上，要求也在不断提高。因此，抓紧时间备战等保，医院才能变被动为主动。

等保不是应付合规的测评的建设需求，而是真正从业务安全“木桶原理”全局角度考虑规划设计。通过测评加强安全重视，形成可持续的安全运维（身份鉴别、三权分立），才是医院能够长期守住安全阵地的根本保障。同时，充分学习和理解监管机构对于互联网医疗等新业务发布的政策法规，在安全合规的前提背景下开展建设，是保障医院信息体系安全成长的重要前提。

曹磊：

医院信息安全员该做什么？

大部分医院的安全建设受限于人力和技术资源池，网络安全集中在安全设备采购，缺乏运营机制的建设，造成安全设备部署实施后运营不起来，无法发挥设备实际价值，形成了巨大的安全短板。

医院信息安全的责任必须落实到人。

医院可以通过规范信息安全员的相关工作，解决当前医疗系统网络安全普遍问题及困境，提高医院网络安全整体水平。

不同等级医院信息化建设需求不同，安全运维重点也有所不同。例如：二甲及以下的医院完善基础网络安全建设，确保在业务边界和网络边界都有防火墙一类的防护设备，且应在服务端配备终端杀毒；三级及以上医院应结合信息化建设情况，持续完善等保建设，并关注安全服务/数据安全/态势感知这些新安全领域等。

自正特：

二级医院先理清边界，配置防火墙

二级医院信息化建设起步较晚，信息科室人才紧缺，信息化建设投入也很有限，院领导不重视网络安全建设... 一系列的问题导致二级医院网络安全建设进展缓慢，不少二级医院尽管买了防火墙，却从来没有进行过配置，形同虚设，不堪一击。

理清业务边界和网络边界，配置防火墙加以防护是一项基本工作。

二级医院信息资产梳理举例：

整个网络内有哪些信息设备；

设备使用了多少个ip；

部署了哪些应用，是否存在高危漏洞；

开放了哪些端口；

具体哪个应用使用哪些端口；

部署了哪些安全设备，是否设置了安全策略。

路健：

不做等保，就是违法！

随着医院信息体系日益庞大，要守住安全这条线难度也越来越大。充分认识网络安全建设的重要性，并做好规划部署、人才配置和日常运维工作，才能实现医院网络安全建设的可持续发展。

医院在进行安全防护规划时，需要从物理安全、网络安全、应用系统安全、终端安全等维度进行全面部署，通过对内监测、对外防护，为既有的医院信息化设施筑起一道安全长城。例如：建立影子机房，避免因生产服务器宕机引起用户访问中断；通过执行一系列针对HTTP/HTTPS的安全策略来为Web应用提供保护；限制软件的安装和对终端安全进行控制；以及远程维护各科室计算机等。