2019年8月17日， 2019年深信服創(chuàng)新大會(huì)分論壇—智慧醫(yī)療專(zhuān)場(chǎng)在深圳華僑城召開(kāi)。公安部第三研究所檢測(cè)中心智能互聯(lián)安全測(cè)評(píng)實(shí)驗(yàn)室主任張艷博士在專(zhuān)場(chǎng)上以《等保2．0在醫(yī)療行業(yè)的落地分析》進(jìn)行演講，動(dòng)脈網(wǎng)對(duì)其精彩內(nèi)容進(jìn)行了整編。

公安部第三研究所張艷

張艷博士具有豐富的信息安全相關(guān)科研和標(biāo)準(zhǔn)化工作經(jīng)驗(yàn)，曾獲得多項(xiàng)省部級(jí)科技獎(jiǎng)勵(lì)，并作為主編出版了《下一代安全隔離與信息交換產(chǎn)品原理及應(yīng)用》《防火墻產(chǎn)品原理及應(yīng)用》《網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)原理及應(yīng)用》等6本著作，共發(fā)布GB∕T 36627－2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》等信息安全國(guó)家標(biāo)準(zhǔn)、公安行業(yè)標(biāo)準(zhǔn)十余項(xiàng)。

2019年5月，國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布了網(wǎng)絡(luò)安全等級(jí)保護(hù)系列國(guó)家標(biāo)準(zhǔn)。該系列標(biāo)準(zhǔn)的發(fā)布對(duì)保障和促進(jìn)醫(yī)療行業(yè)信息化發(fā)展，提升各醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全保護(hù)能力具有重要的指導(dǎo)意義。

醫(yī)療行業(yè)的健康發(fā)展，與民生問(wèn)題有著直接的關(guān)系。十三五期間，不斷發(fā)展和推廣的醫(yī)療信息技術(shù)，使得網(wǎng)絡(luò)系統(tǒng)逐漸成為了醫(yī)療行業(yè)的業(yè)務(wù)服務(wù)支撐體系。

一旦網(wǎng)絡(luò)系統(tǒng)發(fā)生了故障或是網(wǎng)絡(luò)癱瘓，對(duì)整個(gè)醫(yī)療服務(wù)體系也會(huì)產(chǎn)生致命影響。網(wǎng)絡(luò)系統(tǒng)中存儲(chǔ)的重要業(yè)務(wù)數(shù)據(jù)、診療數(shù)據(jù)，甚至是1．6億診療庫(kù)中的患者隱私信息若遭到泄露，將會(huì)對(duì)患者造成不可估量的損害。

數(shù)字化、網(wǎng)絡(luò)化引領(lǐng)著著行業(yè)發(fā)展的方向，但同時(shí)也引發(fā)了一些可能會(huì)出現(xiàn)的安全問(wèn)題和風(fēng)險(xiǎn)，例如惡意遠(yuǎn)程控制設(shè)備的風(fēng)險(xiǎn)、比特幣勒索的風(fēng)險(xiǎn)、個(gè)人信息泄露的風(fēng)險(xiǎn)等。而這些安全問(wèn)題也對(duì)行業(yè)提出了新的挑戰(zhàn)和要求。

網(wǎng)絡(luò)安全事件數(shù)量不斷增加，政府對(duì)醫(yī)療行業(yè)網(wǎng)絡(luò)安全方面的重視程度也在不斷提高。如中國(guó)信息通信研究院等機(jī)構(gòu)發(fā)布的《2019年健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全觀測(cè)報(bào)告》，也同樣披露了目前網(wǎng)絡(luò)安全風(fēng)險(xiǎn)集中的幾個(gè)表現(xiàn)：

第一是僵木蠕等問(wèn)題嚴(yán)峻，勒索病毒嚴(yán)重威脅醫(yī)療業(yè)務(wù)正常運(yùn)行；

第二是數(shù)據(jù)泄露事件高發(fā)，應(yīng)用服務(wù)軟件存在較多安全隱患；

第三是醫(yī)療行業(yè)的網(wǎng)站同政府網(wǎng)站、教育機(jī)構(gòu)網(wǎng)站等都是境外機(jī)構(gòu)的重點(diǎn)攻擊對(duì)象，且網(wǎng)站篡改手法多變。

張艷認(rèn)為，擁有較高數(shù)據(jù)價(jià)值是醫(yī)療行業(yè)成為網(wǎng)絡(luò)安全重災(zāi)區(qū)的原因之一，而最主要的原因是，在大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的驅(qū)動(dòng)下，傳統(tǒng)的IT系統(tǒng)安全管理體系已無(wú)法覆蓋實(shí)際應(yīng)用場(chǎng)景和范圍。

除了上述的內(nèi)部原因之外，一些恐怖組織、黑客組織、黑產(chǎn)等經(jīng)濟(jì)犯罪團(tuán)伙、極端個(gè)人，出于一些個(gè)人或利益原因也可能會(huì)實(shí)施網(wǎng)絡(luò)攻擊。

其實(shí)，究其根源，重要業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)安全建設(shè)、安全運(yùn)維方面存在不足，才是導(dǎo)致這些內(nèi)外部因素發(fā)揮效力的關(guān)鍵。

現(xiàn)階段，網(wǎng)絡(luò)安全態(tài)勢(shì)嚴(yán)峻，國(guó)家在網(wǎng)絡(luò)安全方面也在不斷地完善相關(guān)法律法規(guī)和政策體系標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全法除了確認(rèn)網(wǎng)絡(luò)安全各個(gè)相關(guān)方的保護(hù)義務(wù)和職責(zé)，還明確了國(guó)家網(wǎng)絡(luò)安全相關(guān)的一些基本制度。

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國(guó)家在網(wǎng)絡(luò)安全法中明確且強(qiáng)調(diào)以等級(jí)保護(hù)為基礎(chǔ)，對(duì)關(guān)鍵基礎(chǔ)信息建設(shè)進(jìn)行重點(diǎn)保護(hù)的制度。國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)遵照了對(duì)網(wǎng)絡(luò)（信息網(wǎng)絡(luò)、信息系統(tǒng)以及數(shù)據(jù)資源等）實(shí)行分等級(jí)保護(hù)、分等級(jí)監(jiān)管的核心思想。

事實(shí)上，等級(jí)保護(hù)制度自1994年通過(guò)國(guó)務(wù)院147號(hào)令便被確認(rèn)。隨著網(wǎng)絡(luò)安全法出臺(tái)后，等級(jí)保護(hù)制度進(jìn)入了2．0的階段。

等保2．0階段是主管部門(mén)根據(jù)當(dāng)前國(guó)家或全球的網(wǎng)絡(luò)安全態(tài)勢(shì)發(fā)展、網(wǎng)絡(luò)安全保衛(wèi)任務(wù)要求和技術(shù)發(fā)展而重新審視并提出了新的要求。

需要明確的是，等保2．0不僅僅是一個(gè)標(biāo)準(zhǔn)版本更新的概念，而是整個(gè)體系、整個(gè)核心的提升。

內(nèi)涵措施更豐富。進(jìn)一步明確了網(wǎng)絡(luò)定級(jí)及評(píng)審、備案及審核、等級(jí)測(cè)評(píng)、安全建設(shè)整改、自查等工作要求，并將風(fēng)險(xiǎn)評(píng)估、安全監(jiān)測(cè)等與網(wǎng)絡(luò)安全密切相關(guān)的措施納入了等級(jí)保護(hù)制度。

定級(jí)流程更規(guī)范。2．0階段以明確等級(jí)、增強(qiáng)保護(hù)、常態(tài)監(jiān)督為定級(jí)原則，將定級(jí)流程明確為確定定級(jí)對(duì)象、初步確定定級(jí)、專(zhuān)家評(píng)審、主管部門(mén)審批和公安機(jī)關(guān)備案審查。

等級(jí)保護(hù)體系升級(jí)。主管部門(mén)在現(xiàn)有的技術(shù)規(guī)范基礎(chǔ)上，通過(guò)陸續(xù)出臺(tái)一系列的政策法規(guī)和更新的標(biāo)準(zhǔn)規(guī)范，進(jìn)一步完善包括政策、標(biāo)準(zhǔn)、測(cè)評(píng)、技術(shù)、服務(wù)、關(guān)鍵技術(shù)研究和教育的等級(jí)保護(hù)體系。主管部門(mén)圍繞等級(jí)保護(hù)體系構(gòu)建起安全監(jiān)測(cè)、通報(bào)預(yù)警、快速處置、態(tài)勢(shì)感知、安全防范和精確打擊等為一體的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保衛(wèi)體系。

擴(kuò)展等級(jí)保護(hù)對(duì)象。將基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)、網(wǎng)站、大數(shù)據(jù)中心、云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、工控系統(tǒng)以及公眾服務(wù)平臺(tái)等全部納入等級(jí)保護(hù)范圍中。

將被動(dòng)防護(hù)轉(zhuǎn)變?yōu)橹鲃?dòng)防護(hù)。在技術(shù)要求上，等保在安全管理中心、物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境共五個(gè)安全層面設(shè)置了控制點(diǎn)，并將可信驗(yàn)證應(yīng)用納入了等級(jí)保護(hù)，以進(jìn)行更精準(zhǔn)化地防護(hù)。

在管理要求方面，等保2．0對(duì)部分控制點(diǎn)進(jìn)行了調(diào)整、合并，并特地強(qiáng)調(diào)了外部人員訪(fǎng)問(wèn)管理、漏洞風(fēng)險(xiǎn)管理等要求。主管部門(mén)在后續(xù)執(zhí)行中，會(huì)采用細(xì)粒度測(cè)評(píng)結(jié)論分級(jí)的概念，體現(xiàn)不同系統(tǒng)的安全防護(hù)水平。

除了上述變化，等保2．0在以下方面未進(jìn)行改變。

等保五個(gè)級(jí)別不變。包括用戶(hù)自主保護(hù)級(jí)、系統(tǒng)保護(hù)審計(jì)級(jí)、安全標(biāo)記保護(hù)級(jí)、結(jié)構(gòu)化保護(hù)級(jí)和訪(fǎng)問(wèn)驗(yàn)證保護(hù)級(jí)。

等保五個(gè)重要環(huán)節(jié)不變。依舊圍繞定級(jí)、系統(tǒng)備案、建設(shè)整改、等級(jí)測(cè)評(píng)和監(jiān)督檢查這五個(gè)環(huán)節(jié)開(kāi)展工作。

等保主體職責(zé)不變。運(yùn)營(yíng)單位的等級(jí)保護(hù)職責(zé)、上級(jí)主管單位的安全管理職責(zé)、第三方測(cè)評(píng)機(jī)構(gòu)的安全評(píng)估職責(zé)，以及網(wǎng)安對(duì)定級(jí)對(duì)象的備案受理及監(jiān)督檢查職責(zé)都沒(méi)有變化。

網(wǎng)絡(luò)安全等級(jí)保護(hù)是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)。關(guān)鍵信息基礎(chǔ)設(shè)施是等級(jí)保護(hù)制定的保護(hù)重點(diǎn)。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)在第三級(jí)（含）以上保護(hù)對(duì)象中確定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍。

張艷表示，除此以外，關(guān)鍵信息基礎(chǔ)設(shè)施須按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求，開(kāi)展定級(jí)備案、等級(jí)測(cè)評(píng)、安全建設(shè)整改以及安全檢查等工作。

基于安全事件的分析，張艷結(jié)合等保2．0的要求，詳解了目前醫(yī)療行業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀，以及存在哪些不合規(guī)的控制點(diǎn)安全問(wèn)題。

一是計(jì)算環(huán)境安全措施缺失。訪(fǎng)問(wèn)控制、入侵防范、惡意代碼防范、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、個(gè)人信息保護(hù)等方面都存在諸多不合規(guī)的問(wèn)題。

其中，等保2．0新增了個(gè)人信息保護(hù)的要求，醫(yī)療行業(yè)系統(tǒng)同樣僅允許采集和保存業(yè)務(wù)必需的用戶(hù)個(gè)人信息。

二是網(wǎng)絡(luò)通信安全措施缺失。網(wǎng)絡(luò)架構(gòu)方面，存在關(guān)鍵設(shè)備的業(yè)務(wù)處理能力不足、網(wǎng)絡(luò)區(qū)域未劃分和網(wǎng)絡(luò)單鏈路設(shè)計(jì)的問(wèn)題；在通信傳輸方面，缺少通信數(shù)據(jù)完整性保護(hù)措施。

三是區(qū)域邊界安全措施缺失。區(qū)域邊界強(qiáng)調(diào)的是邊界防護(hù)、訪(fǎng)問(wèn)控制等要求，包括關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)如何防止來(lái)自互聯(lián)網(wǎng)或從內(nèi)部網(wǎng)絡(luò)的攻擊行為。惡意代碼檢測(cè)缺失和審計(jì)機(jī)制缺失也是比較常見(jiàn)的。

最后是安全管理中心安全措施缺失。這一方面集中表現(xiàn)在系統(tǒng)管理的運(yùn)行監(jiān)控措施缺失、審計(jì)日志存儲(chǔ)不滿(mǎn)足要求，以及網(wǎng)絡(luò)中安全事件發(fā)現(xiàn)處置措施缺失等。

有困難就要及時(shí)解決。在醫(yī)療行業(yè)系統(tǒng)，結(jié)合等保2．0，我們又該如何進(jìn)行安全防范呢？對(duì)此，張艷提出了兩點(diǎn)建議。

第一，加強(qiáng)技術(shù)和管理的融合。由于安全事件多發(fā)生在管理安全或數(shù)據(jù)交互場(chǎng)景中，所以需要通過(guò)技術(shù)方式來(lái)填補(bǔ)管理方面的缺失。另外，管理制度也能為技術(shù)設(shè)施提供多重保障。

第二，參照等保2．0“一個(gè)中心、三重保護(hù)”的要求，落實(shí)網(wǎng)絡(luò)安全部等級(jí)保護(hù)各方面的安全要求，最大程度地發(fā)揮系統(tǒng)安全措施的保護(hù)能力。

此外，加強(qiáng)防范木馬、新型網(wǎng)絡(luò)的攻擊，以及日常運(yùn)維建設(shè)，滿(mǎn)足包括雙重鑒別、安全接入、統(tǒng)一集中管理，以及日志審計(jì)等多方面控制點(diǎn)的要求。通過(guò)加強(qiáng)主動(dòng)防御、采用安全廠(chǎng)商的安全服務(wù)等來(lái)提升醫(yī)療行業(yè)的整體安全防護(hù)能力。

＊文中圖片由受訪(fǎng)企業(yè)提供。