網站等保測評針對服務器,互聯互通測評知識分享之信息安全建設要點

原創?醫療測評實驗室?中國軟件評測中心?1周前

醫院互聯互通測評，即國家醫療健康信息互聯互通標準化成熟度測評，近年來隨著政策的要求、需求的驅動、技術的更迭、價值的引領，越來越被業內人士接受和認可，測評熱度也水漲船高。國家衛生健康委統計信息中心積極響應新的政策文件和業務需求對測評方案進行了修訂。從2020年測評批次開始，將使用2020年版測評方案，在新的測評方案中，對信息安全的建設又做了進一步的加強要求，尤其是明確規定了參加測評時，醫院核心業務系統(含平臺)要完成等級保護三級的定級備案與測評工作，增加了對信息安全管理制度、技術保障等方面的一系列新的要求。

對參評的各醫院而言，系統通過等級保護測評已然成為參加互聯互通測評的必要條件，那么是不是通過等保測評就萬事大吉了，互聯互通測評中關于信息安全的內容除了要滿足等級保護要求，是否還有需要額外關注的要點，本文將基于這兩者之間的聯系與區別，對互聯互通的信息安全建設要點進行梳理。

互聯互通的信息安全指標主要集中在測評指標體系的第4部分基礎設施建設情況中：

【平臺硬件基礎設施情況】

1、?服務器設備

220599912_1_202104220119593

如上圖所示，在互聯互通對服務器設備的要求中，支持統一監控管理平臺的管控和高可用部署可以在等保測評指標項中覆蓋，但以下兩點在互聯互通測評建設中還要著重關注：

1)?服務器設備的專用化

國標的等保測評指標中并沒有對服務器的使用目的進行要求，只有在金融行業推標JR/T0072-2020《金融行業網絡安全等級保護測評指南》中對安全計算環境設備(包括服務器)的專用化進行了規定。服務器的專用化保證了使用人員可控，與無關信息的隔離等，此項要求與信息安全建設一直領先的金融行業看齊，更應給與重視。

2)?服務器的虛擬化和云計算的實現

虛擬化和云計算的推廣和應用，可以帶來更多的業務靈活性。虛擬化可以使資源得到最充分的利用；云計算可以為使用者提供使用便利，幫助其隨地獲取各種高度可擴展的、靈活的IT資源。就目前的建設情況來看，大部分醫院可以實現虛擬化技術，但存在由于存儲管理不善或效率低下導致并沒有發揮虛擬化技術的真正優勢。而云計算技術的應用范圍則比較小，所以在互聯互通建設過程中，還應投入一定的精力去完善這項指標。

2、?存儲設備

220599912_2_20210422011959159

等保測評中沒有對存儲設備和架構進行明確的要求。但等保中要求關鍵計算節點滿足硬件冗余，并且對數據備份。除此以外，以下四點在互聯互通測評建設中還要著重關注：

1)?專業的設備·充足的容量·冗余的架構

互聯互通指標體系中對存儲設備配置情況、冗余模式等進行了單獨的、詳細的要求，在等保測評中會涉及對存儲設備的基本配置信息調研，但具體的部署架構以及與業務的匹配能力的建設是比較容易忽略的地方。

2)?對數據災備RTO和RPO的要求

2020年版測評方案對此項要求進行了加強，不同等級的醫院需要滿足不同的RTO和RPO時間限制。例如，RTO≤4h、RPO≤6h方滿足四級甲等要求。

3)?充分重視離線備份

雖然技術上不難實現，但從歷年測評情況來看，這項要求卻極易被忽略，即使提供了相應的手段，也只是流于表面，離線存儲的存放地點等也未進行認真管理，過于依靠線上存儲，風險意識需繼續加強。

4)?實現虛擬存儲化

如同對服務器虛擬化的要求，將存儲空間虛擬成資源池，不僅提高了利用率，還是存儲系統具備了冗余或容災能力。

3、?網絡設備

220599912_3_20210422011959316

如上圖，互聯互通中關于網絡設備的大部分要求都可以被等保測評指標覆蓋，隨著新興技術的發展，2020版測評方案中增加了對無線網絡的接入能力要求：

1)?無線網絡的物聯網與5G部署接入能力

該指標屬于五級甲等的要求，相信在不遠的將來，物聯網與5G部署的實現將會給醫院就醫帶來嶄新的體驗。

【網絡及網絡安全情況】

1、?網絡帶寬情況

220599912_4_20210422011959472

如上圖所示，滿足等保測評指標項(安全通信網絡-網絡架構-應保證網絡設備的業務處理能力滿足業務高峰期需要)之后，在互聯互通測評中就不需要再額外關注了。且就目前的測評經驗，網絡帶寬一般不會成為系統建設的瓶頸。

2、?接入域建設

220599912_5_20210422011959613

等保測評中沒有對接入域進行明確要求，但對無線網絡的建設是有要求的：無線網絡需單獨組網，并通過邊界防護設備接入到內部有線網絡。因此，醫院無線網絡建設因遵循此原則，在保障安全的前提下，最大限度為醫療行為和患者就診行為提供便利。

3、?網絡安全

220599912_6_20210422011959739

如上圖所示，等保測評指標基本可以覆蓋互聯互通網絡安全部分的指標。

【信息安全情況】

1、?環境安全

220599912_7_20210422011959941

如上圖所示，等保測評指標項本可以覆蓋互聯互通環境安全部分的指標。但等保測評并不是專門針對機房的檢測，此處最佳選擇還是提供專業的機房檢測報告。

2、?應用安全

220599912_8_2021042201200097

如上圖所示，等保測評指標項可以覆蓋大部分互聯互通應用安全部分的指標。唯獨要注意互聯互通中對數據痕跡修改的要求。上級醫師修改病歷要保留修改痕跡，當前大部分電子病歷系統都可以滿足本要求。

3、?數據安全

220599912_9_20210422012000269

如上圖所示，等保測評指標基本可以覆蓋互聯互通數據安全部分的指標。

4、?隱私保護

220599912_10_20210422012000425

如上圖所示，互聯互通測評中比較側重對隱私信息的保護。除了傳統的數據完整性和保密性的保護，還需要注意一些安全功能的實現：

1)?數據訪問警示服務

醫務人員因業務需要查看或訪問費直接相關的患者電子病歷資料時，需要警示其依照規定使用資料，加強患者電子病歷資料管理。

2)?電子病歷匿名化處理

實現對電子病歷的脫敏處理，采用替換、重排、加密、階段或掩碼等處理手段對患者敏感信息進行處理，保證不向非授權用戶泄露患者敏感信息。

3)?患者的許可指令管理服務

在提供訪問或傳輸患者電子病歷醫療數據之前，通過一定的手段以確定患者或個人是否允許或限制這些醫療數據的公開。

4)?數據保密等級服務

這是一項比較高的要求，需要涉及到對數據的分類分級，數據的治理等課題，最后實現對根據數據分類分級的不同設置不同的安全等級進行存儲。進一步規范和完善數據的存儲和使用安全。

5、?管理安全

220599912_11_20210422012000597

如上圖所示，等保測評指標可以覆蓋互聯互通安全管理部分的指標。

【結語】

綜上，通過等級保護測評并不意味著互聯互通的安全指標就可以高枕無憂了。因為：

1.互聯互通具有醫療領域個性化指標需求

互聯互通測評針對醫療行業的特點，并結合諸如金融等安全工作比較領先的行業的工作經驗提出了適用于醫療行業的個性化指標需求，因此，各參評單位不僅要落實好等級保護測評工作，還要對這些醫療行業的個性化指標充分重視起來，才能確保互聯互通測評的順利推進。

2.互聯互通和等保測評評分機制不同

互聯互通采取的是一票否決制，等保測評的成績則取決于總分數及高風險存在與否。互聯互通如果測評等級及其以下等級有一項不滿足就不能達到所申報的測評等級。所以即使以中、良等成績通過等保測評，并不意味著互聯互通中被等保測評覆蓋的指標項就已經達到互聯互通的要求了。

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/259796.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/259796.shtml
英文地址，請注明出處：http://en.pswp.cn/news/259796.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！