楊旋，周小甲

浙江大學(xué)醫(yī)學(xué)院附屬婦產(chǎn)科醫(yī)院 信息科，浙江 杭州 310006

醫(yī)院信息系統(tǒng)安全等級保護定級與整改結(jié)果探討

楊旋，周小甲

浙江大學(xué)醫(yī)學(xué)院附屬婦產(chǎn)科醫(yī)院 信息科，浙江 杭州 310006

目的 通過醫(yī)院信息系統(tǒng)安全等級保護測評工作，提高醫(yī)院信息系統(tǒng)業(yè)務(wù)安全和信息安全。方法 對2014年醫(yī)院首次等級保護測評結(jié)果與2016年復(fù)測評結(jié)果進行對比。結(jié)果 通過針對首次等保測評結(jié)果的整改，醫(yī)院4套信息系統(tǒng)的測評指標控制點完全符合項與部分符合項增加，系統(tǒng)安全保護等級也逐步提高。結(jié)論 隨著等級保護測評后的整改工作的開展，醫(yī)院信息系統(tǒng)安全性逐漸增加，醫(yī)院工作人員的安全意識得到提高。

信息安全；醫(yī)院信息系統(tǒng)；等級保護；等保備案

引言

網(wǎng)絡(luò)與信息安全的問題一直伴隨著信息化的發(fā)展而得到人們的重視，當(dāng)醫(yī)院信息化建設(shè)隨之深入，伴隨而來的安全建設(shè)也顯得愈發(fā)重要。近些年來，維護保障國家與政府的信息安全，已經(jīng)成為各國領(lǐng)導(dǎo)者的共識，并且上升到了國家安全的戰(zhàn)略高度?！皼]有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，這就是習(xí)近平總書記在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議中明確表示的態(tài)度[1]。而信息安全等級保護（下稱“等?！保┦俏覈畔踩Ｕ系囊豁椈局贫群头椒ǎ_展信息安全等級保護工作是促進信息化發(fā)展，保障國家信息安全的重要舉措[2-3]。我國信息安全等級保護工作已經(jīng)經(jīng)過了20余年的探索和發(fā)展，是我國這些年來信息安全工作的經(jīng)驗總結(jié)。本文主要介紹了等保測評的流程和對醫(yī)院信息安全的重要性，并將我院2014年等保初測評與2016年醫(yī)院等保復(fù)測評的情況進行了對比，同時對醫(yī)院信息系統(tǒng)等保測評的工作展開探討，為未來醫(yī)療行業(yè)信息安全工作提供了借鑒[4]。

1 信息系統(tǒng)安全等級保護測評流程

1.1 信息系統(tǒng)確定與定級

根據(jù)浙衛(wèi)發(fā)[2011]131號《關(guān)于做好省醫(yī)療衛(wèi)生行業(yè)重要信息系統(tǒng)信息安全等級保護工作的通知》及《計算機信息系統(tǒng)安全保護等級劃分準則(GB17859-1999)》等標準，結(jié)合我院信息化現(xiàn)狀與發(fā)展需要，經(jīng)過專家論證，按類歸并的原則，從系統(tǒng)管理、業(yè)務(wù)使用者、系統(tǒng)服務(wù)對象和運行環(huán)境等多面綜合考慮，把醫(yī)院信息系統(tǒng)劃分為以下幾類[5]，見表1。

表1 醫(yī)院重要信息系統(tǒng)分類

同時，信息系統(tǒng)定級由兩個方面因素決定：一是業(yè)務(wù)信息安全等級，二是系統(tǒng)安全服務(wù)等級[6-7]。主要看業(yè)務(wù)信息受到破壞時的客觀對象是誰，和客觀對象的損壞程度如何，根據(jù)《信息系統(tǒng)安全保護等級定級指南》(GB/T 22240-2008)，由兩者的等級較高者決定系統(tǒng)定級的級別，見表2。例如當(dāng)門戶網(wǎng)站系統(tǒng)業(yè)務(wù)信息遭到破壞后，所侵害的客體是社會秩序、公共利益，主要侵害的客觀方面表現(xiàn)為：①內(nèi)部工作人員無法通過門戶網(wǎng)站發(fā)布正常相關(guān)信息；② 統(tǒng)計信息被惡意修改，導(dǎo)致公眾無法準確的獲取醫(yī)院信息，降低醫(yī)院的公信度，破壞醫(yī)院形象，可能給醫(yī)院造成惡劣影響，引起法律糾紛等，對社會造成較大影響，結(jié)果程度表現(xiàn)為嚴重損害，故等級確定為第三級。同時網(wǎng)站系統(tǒng)服務(wù)遭到破壞后，所侵害的客體也是社會秩序、公共利益，侵害的客觀方面主要表現(xiàn)為：應(yīng)用服務(wù)部分中斷、全部癱瘓等侵害，結(jié)果程度表現(xiàn)為一般損害，故等級確定為第二級。根據(jù)表2可確定門戶網(wǎng)站系統(tǒng)安全保護等級取兩者較高者為第三級。

表2 信息系統(tǒng)定級表

1.2 信息系統(tǒng)備案

根據(jù)《信息安全等級保護備案實施細則》（公信安[2007] 1360號）文件要求，省衛(wèi)計委及省級醫(yī)療衛(wèi)生單位信息系統(tǒng)、全省統(tǒng)一聯(lián)網(wǎng)或跨市聯(lián)網(wǎng)運行的信息系統(tǒng)由省公安廳受理備案。醫(yī)院應(yīng)將《信息系統(tǒng)安全等級保護備案表》和醫(yī)療衛(wèi)生單位備案匯總情況等材料以電子文件形式向歸口省衛(wèi)計委報備[8-9]。定級工作的結(jié)果是以此備案完成為標志。

1.3 信息系統(tǒng)安全建設(shè)和整改

在完成備案后，需要開始對信息系統(tǒng)進行合規(guī)性建設(shè)與整改，明確需求后要進行整體的方案設(shè)計，在設(shè)計中要體現(xiàn)近期和遠期的設(shè)計方案，細分不同的項目，逐一進行完善，最后組織專家對方案進行評審[10-11]。堅持管理和技術(shù)并重的原則，依據(jù)《信息系統(tǒng)安全等級保護基本要求》，落實信息安全責(zé)任制，建立并落實各類安全管理制度，開展系統(tǒng)建設(shè)管理、系統(tǒng)運維管理和人員安全管理等工作，落實網(wǎng)絡(luò)、物理、應(yīng)用和數(shù)據(jù)安全等安全保護技術(shù)措施[12-14]。部署鞏固醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)防御邊界，提高醫(yī)院信息系統(tǒng)整體安全性[15-16]。

1.4 信息系統(tǒng)測評

醫(yī)院信息系統(tǒng)根據(jù)等保要求進行建設(shè)、整改并且自評達到相關(guān)標準后，開始啟動測評。根據(jù)《浙江省信息安全等級保護工作協(xié)調(diào)小組關(guān)于公布信息安全等級測評機構(gòu)的通知》（浙等保[2010]9號）選擇浙江省信息安全等級保護工作協(xié)調(diào)小組辦公室推薦的等級測評機構(gòu)，啟動等級測評工作，結(jié)合等級要求，對系統(tǒng)進行逐項測評。測評機構(gòu)通過對醫(yī)院系統(tǒng)進行查驗、訪談、現(xiàn)場測試等方式收集相關(guān)信息，詳細了解信息系統(tǒng)安全保護狀況，收集分析資料和數(shù)據(jù)，查找發(fā)現(xiàn)系統(tǒng)漏洞和安全隱患，以此為依據(jù)形成醫(yī)院信息系統(tǒng)安全等級測評報告和安全建設(shè)整改方案等，并擇時進行測評報告審核。

1.5 流程小結(jié)

信息安全等級保護制度將信息系統(tǒng)按其重要程度以及受到破壞后對相應(yīng)客體的合法權(quán)益、社會秩序、公共利益和國家安全侵害的嚴重程度，將信息系統(tǒng)由低到高分為5級。每一保護級別的信息系統(tǒng)需要滿足本級的基本安全要求，落實相關(guān)安全措施，以獲得相應(yīng)級別的安全保護能力，對抗各類安全威脅。醫(yī)院信息系統(tǒng)就是按照這套規(guī)定的流程和相應(yīng)的法定要求、指南和準則進行等保測評，見圖1。從定級、備案、安全整改/建設(shè)、測評等各個階段來完成信息系統(tǒng)安全等級保護測評。

圖1 信息安全等級保護標準體系流程圖

2 信息系統(tǒng)安全等級保護測評結(jié)果

根據(jù)上文，醫(yī)院的信息系統(tǒng)被劃分為：《基礎(chǔ)支撐系統(tǒng)》、《面向患者服務(wù)系統(tǒng)》、《門戶網(wǎng)站系統(tǒng)》和《協(xié)同辦公系統(tǒng)》。通過《信息系統(tǒng)安全保護等級定級指南（GB/T 22240-2008）》，2014年初次等保測評時我院將《基礎(chǔ)支撐系統(tǒng)》、《面向患者服務(wù)系統(tǒng)》定級為三級，《門戶網(wǎng)站系統(tǒng)》和《協(xié)同辦公系統(tǒng)》定級為二級。經(jīng)過整改和面向公眾的業(yè)務(wù)信息擴展，在2016年等保復(fù)測評時，我院把兩套二級系統(tǒng)：《門戶網(wǎng)站系統(tǒng)》和《協(xié)同辦公系統(tǒng)》提升為等保三級，加大了安全防護力度和要求。

2.1 2014年總體評價

根據(jù)2014年系統(tǒng)定級情況，我們把《基礎(chǔ)支撐系統(tǒng)》、《面向患者服務(wù)系統(tǒng)》兩套三級系統(tǒng)采用《GB/T 22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》S3A3G3標準（共76個控制點）作為系統(tǒng)的測評依據(jù)，另外兩套《門戶網(wǎng)站系統(tǒng)》、《協(xié)同辦公系統(tǒng)》二級系統(tǒng)采用《GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》S2A2G2標準（共69個控制點,由于管理制度安全與第三級S3A3G3基礎(chǔ)支撐系統(tǒng)共用，根據(jù)就高原則選取S3A3G3標準，共74個控制點）作為系統(tǒng)的測評依據(jù)。在測評過程中，結(jié)合系統(tǒng)業(yè)務(wù)和單位實際情況，我們分別對《基礎(chǔ)支撐系統(tǒng)》、《面向患者服務(wù)系統(tǒng)》選取57個控制點和68個控制點作為該系統(tǒng)等級測評指標（其余控制點不適用）。其中《基礎(chǔ)支撐系統(tǒng)》34個控制點為符合、20個控制點為部分符合、3個控制點為不符合，《面向患者服務(wù)系統(tǒng)》34個控制點為符合、29個控制點為部分符合、5個控制點為不符合。同樣，我們對《門戶網(wǎng)站系統(tǒng)》、《協(xié)同辦公系統(tǒng)》分別選取59個控制點和74個控制點作為系統(tǒng)等級測評指標（其余控制點不適用）。其中《門戶網(wǎng)站系統(tǒng)》39個控制點為符合、18個控制點為部分符合、2個控制點為不符合，《協(xié)同辦公系統(tǒng)》41個控制點為符合、28個控制點為部分符合、5個控制點為不符合。通過測評結(jié)果分析，4套系統(tǒng)的等級測評結(jié)論均為“基本符合”。

2.2 2016年總體評價

經(jīng)過兩年時間的建設(shè)整改以及門戶網(wǎng)站、協(xié)同辦公系統(tǒng)對外面向用戶的擴展，同時考慮到WEB應(yīng)用系統(tǒng)的宣傳影響，我院4套系統(tǒng)在2016年等保復(fù)測評時已經(jīng)全部定級為三級系統(tǒng)。根據(jù)4套系統(tǒng)定級情況，我們采用《GB/ T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》S3A2G3標準（共76個控制點）作為全部系統(tǒng)的測評依據(jù)。經(jīng)過測評，《基礎(chǔ)支撐系統(tǒng)》39個控制點為符合、16個控制點為部分符合、2個控制點為不符合，《面向患者系統(tǒng)》35個控制點為符合、29個控制點為部分符合、4個控制點為不符合，《門戶網(wǎng)站系統(tǒng)》39個控制點為符合、21個控制點為部分符合、9個控制點為不符合，《協(xié)同辦公系統(tǒng)》40個控制點為符合、28個控制點為部分符合、8個控制點為不符合。通過復(fù)測評結(jié)果分析，4套系統(tǒng)等級復(fù)測評結(jié)論均為“基本符合”。

2.3 兩次測評對比評價與分析

在2014年等保初次測評階段，發(fā)現(xiàn)醫(yī)院信息系統(tǒng)存在很多安全問題，也是醫(yī)療單位常見的安全防護弱點，例如：在物理安全方面未在內(nèi)外網(wǎng)之間設(shè)置物理隔離裝置、未提供介質(zhì)存儲環(huán)境；在網(wǎng)絡(luò)方面核心和匯聚設(shè)備未啟用訪問控制功能；在主機安全方面未開啟口令復(fù)雜度、無登陸失敗限制策略、未設(shè)置系統(tǒng)超時時間、審計內(nèi)容不全；在應(yīng)用安全方面無雙因子驗證、未對最大并發(fā)連接數(shù)和多重并發(fā)連接數(shù)進行限制、無異地備份功能、未采用密碼技術(shù)保證通信過程中的數(shù)據(jù)完整性和保密性等。

有了等保測評標準和測評結(jié)果報告，可以說醫(yī)院就有了安全策略依據(jù)可以對照，經(jīng)過兩年的系統(tǒng)整改建設(shè)，包括醫(yī)院信息安全技術(shù)手段和產(chǎn)品的研究革新和新增及調(diào)整安全策略，我們在2016年的定級升級和等保復(fù)測評后發(fā)現(xiàn)，《基礎(chǔ)支撐系統(tǒng)》和《面向患者系統(tǒng)》的符合控制點數(shù)量有了顯著上升，不符合點數(shù)量下降，具體對比，見圖2～3。同樣，因為考慮到《門戶網(wǎng)站系統(tǒng)》和《協(xié)同辦公系統(tǒng)》有了定級變化，要求大幅提高，但控制點的符合和部分符合項仍然保持在較高值，并對于初測評比較而言并沒有出現(xiàn)下落，可見安全策略和整改的效果顯著。

圖2 基礎(chǔ)支撐和面向患者系統(tǒng)2014年符合情況圖

圖3 基礎(chǔ)支撐和面向患者系統(tǒng)2016年符合情況圖

3 結(jié)論

醫(yī)院信息化領(lǐng)域發(fā)展迅猛，IT技術(shù)在極大地輔助醫(yī)院臨床的同時，也帶來了不少自身難以克服的缺陷，特別是醫(yī)院信息系統(tǒng)產(chǎn)品設(shè)計之初很少考慮安全問題，更沒有充分考慮到如今互聯(lián)網(wǎng)的蓬勃發(fā)展所帶來的內(nèi)外網(wǎng)數(shù)據(jù)互聯(lián)互通的問題，特別隨著智能移動終端的普及，社交媒體的發(fā)展，使信息呈爆炸式增長，用戶越來越依賴互聯(lián)網(wǎng)，越來越多地將自己與移動互聯(lián)網(wǎng)緊緊結(jié)合在一起，同時也更多地把自己的信息參與到網(wǎng)絡(luò)中，使個人信息的隱私度降低，增加了泄露風(fēng)險，極易引發(fā)嚴重的社會事件。醫(yī)院信息系統(tǒng)等保測評就是一種良好的，具有標準化參考價值的依據(jù)，讓醫(yī)院的安全建設(shè)有了更好的對照標準，通過等保定級、備案、安全整改/建設(shè)、測評/復(fù)測評這樣的循環(huán)迭進改造，讓醫(yī)院的安全邊界更加牢固，安全策略更加可靠。當(dāng)然，并不是每一條等保的測評控制點都是符合醫(yī)院管理流程的，所以醫(yī)院也需要針對自己的差異化管理做出切合實際的安全改造，不斷加固網(wǎng)絡(luò)邊界安全，完善流程策略，提高管理水平。

[1] 汪玉凱.網(wǎng)絡(luò)安全戰(zhàn)略意義及新趨勢[J].人民論壇,2014, (16):37-39.

[2] 張偉麗.信息安全等級保護現(xiàn)狀淺析[J].信息安全與技術(shù),2014,(9):9-13.

[3] 李曉燕.以信息安全等級保護為依托推進電子檔案安全保障體系建設(shè)[J].城建檔案,2014,(12):24-25.

[4] 王磊,魏曉艷,郎爽,等.醫(yī)院信息安全等級保護三級評測的應(yīng)用與實踐[J].中國數(shù)字醫(yī)學(xué),2015,10(2):81-83.

[5] 辛均益,陳啟岳,王宏宇.關(guān)于醫(yī)院重要信息系統(tǒng)信息安全等級保護工作的探討[J].信息網(wǎng)絡(luò)安全,2013,(10):31-33.

[6] 蔡曉熙.基于風(fēng)險分析的信息系統(tǒng)安全定級方法[D].南京:南京郵電大學(xué),2012.

[7] 朱賢斌,常樂.基于等級保護基本要求的網(wǎng)站群安全體系研究[J].信息技術(shù)與信息化,2015,(9):107-108.

[8] 安慶權(quán),黃俊強,王大萌.信息系統(tǒng)如何開展定級備案工作[J].信息技術(shù),2011,(7):192-196.

[9] 王大萌,王希忠.測評機構(gòu)如何在等級保護工作中發(fā)揮更大作用[J].信息網(wǎng)絡(luò)安全,2012,(11):80-82.

[10] 韓作為.醫(yī)院信息安全等級保護三級建設(shè)流程與要點[J].中國數(shù)字醫(yī)學(xué),2013,8(9):33-35.

[11] GB/T 28449-2012,信息系統(tǒng)安全等級保護測評過程指南[S].

[12] 鄒陸曦,胡廣祿,孫玲.三甲醫(yī)院信息安全等級保護的實施及應(yīng)用[J].中國數(shù)字醫(yī)學(xué),2015,10(2):84-86.

[13] 張靜波,王韜.論醫(yī)院信息安全保障體系建設(shè)[J].中國醫(yī)院,2006,(10):51-53.

[14] 彭坤,冷金昌,孫曉瑋,等.基于等級保護的跨區(qū)域醫(yī)療信息安全保障體系研究[J].中國數(shù)字醫(yī)學(xué),2013,8(6):88-91.

[15] 于京杰,劉方斌,馬錫坤.數(shù)字化醫(yī)院信息系統(tǒng)的安全問題[J].中國醫(yī)療設(shè)備,2013,28(6):88-90.

[16] 李志福.醫(yī)院網(wǎng)絡(luò)終端安全解決方案[J].中國數(shù)字醫(yī)學(xué),2007, 2(4):50-52.

本文編輯 王博潔

Discussion of Grading Protection Classification and Rectification for the Security of Hospital Information Systems

YANG Xuan, ZHOU Xiao-jia
Department of Information, Women’s Hospital, School of Medicine, Zhejiang University, Hangzhou Zhejiang 310006, China

Objective Through the grading protection classification of the security, this paper aimed to further improve operational security and information security of hospital information systems. Methods A comparison between the first grading protection evaluation results of the hospital in 2014 with the reevaluation results in 2016 was made. Results After the rectification for results of first grading protection evaluation, the fully and partially conformed items in the evaluation indicators of the 4 information systems in the hospital were gradually increasing, and the system security protection level was also improving. Conclusion The implementation of rectification after the grading protection evaluation could make security level of hospital information systems increase, and improve the safety awareness of hospital staff.

information security; hospital information system; grading protection; grading protection record

TP309

C

10.3969/j.issn.1674-1633.2017.06.045

1674-1633(2017)06-0166-04

2017-01-03

2017-03-13

浙江省科技計劃項目(2014C33082)：居家孕婦及胎兒持續(xù)健康監(jiān)測平臺。

作者郵箱：yangxuan@zju.edu.cn