原創(chuàng)?醫(yī)療測評實驗室?中國軟件評測中心?1周前

醫(yī)院互聯(lián)互通測評，即國家醫(yī)療健康信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測評，近年來隨著政策的要求、需求的驅(qū)動、技術(shù)的更迭、價值的引領(lǐng)，越來越被業(yè)內(nèi)人士接受和認可，測評熱度也水漲船高。國家衛(wèi)生健康委統(tǒng)計信息中心積極響應(yīng)新的政策文件和業(yè)務(wù)需求對測評方案進行了修訂。從2020年測評批次開始，將使用2020年版測評方案，在新的測評方案中，對信息安全的建設(shè)又做了進一步的加強要求，尤其是明確規(guī)定了參加測評時，醫(yī)院核心業(yè)務(wù)系統(tǒng)(含平臺)要完成等級保護三級的定級備案與測評工作，增加了對信息安全管理制度、技術(shù)保障等方面的一系列新的要求。

對參評的各醫(yī)院而言，系統(tǒng)通過等級保護測評已然成為參加互聯(lián)互通測評的必要條件，那么是不是通過等保測評就萬事大吉了，互聯(lián)互通測評中關(guān)于信息安全的內(nèi)容除了要滿足等級保護要求，是否還有需要額外關(guān)注的要點，本文將基于這兩者之間的聯(lián)系與區(qū)別，對互聯(lián)互通的信息安全建設(shè)要點進行梳理。

互聯(lián)互通的信息安全指標(biāo)主要集中在測評指標(biāo)體系的第4部分基礎(chǔ)設(shè)施建設(shè)情況中：

【平臺硬件基礎(chǔ)設(shè)施情況】

1、?服務(wù)器設(shè)備

如上圖所示，在互聯(lián)互通對服務(wù)器設(shè)備的要求中，支持統(tǒng)一監(jiān)控管理平臺的管控和高可用部署可以在等保測評指標(biāo)項中覆蓋，但以下兩點在互聯(lián)互通測評建設(shè)中還要著重關(guān)注：

1)?服務(wù)器設(shè)備的專用化

國標(biāo)的等保測評指標(biāo)中并沒有對服務(wù)器的使用目的進行要求，只有在金融行業(yè)推標(biāo)JR/T0072-2020《金融行業(yè)網(wǎng)絡(luò)安全等級保護測評指南》中對安全計算環(huán)境設(shè)備(包括服務(wù)器)的專用化進行了規(guī)定。服務(wù)器的專用化保證了使用人員可控，與無關(guān)信息的隔離等，此項要求與信息安全建設(shè)一直領(lǐng)先的金融行業(yè)看齊，更應(yīng)給與重視。

2)?服務(wù)器的虛擬化和云計算的實現(xiàn)

虛擬化和云計算的推廣和應(yīng)用，可以帶來更多的業(yè)務(wù)靈活性。虛擬化可以使資源得到最充分的利用；云計算可以為使用者提供使用便利，幫助其隨地獲取各種高度可擴展的、靈活的IT資源。就目前的建設(shè)情況來看，大部分醫(yī)院可以實現(xiàn)虛擬化技術(shù)，但存在由于存儲管理不善或效率低下導(dǎo)致并沒有發(fā)揮虛擬化技術(shù)的真正優(yōu)勢。而云計算技術(shù)的應(yīng)用范圍則比較小，所以在互聯(lián)互通建設(shè)過程中，還應(yīng)投入一定的精力去完善這項指標(biāo)。

2、?存儲設(shè)備

等保測評中沒有對存儲設(shè)備和架構(gòu)進行明確的要求。但等保中要求關(guān)鍵計算節(jié)點滿足硬件冗余，并且對數(shù)據(jù)備份。除此以外，以下四點在互聯(lián)互通測評建設(shè)中還要著重關(guān)注：

1)?專業(yè)的設(shè)備·充足的容量·冗余的架構(gòu)

互聯(lián)互通指標(biāo)體系中對存儲設(shè)備配置情況、冗余模式等進行了單獨的、詳細的要求，在等保測評中會涉及對存儲設(shè)備的基本配置信息調(diào)研，但具體的部署架構(gòu)以及與業(yè)務(wù)的匹配能力的建設(shè)是比較容易忽略的地方。

2)?對數(shù)據(jù)災(zāi)備RTO和RPO的要求

2020年版測評方案對此項要求進行了加強，不同等級的醫(yī)院需要滿足不同的RTO和RPO時間限制。例如，RTO≤4h、RPO≤6h方滿足四級甲等要求。

3)?充分重視離線備份

雖然技術(shù)上不難實現(xiàn)，但從歷年測評情況來看，這項要求卻極易被忽略，即使提供了相應(yīng)的手段，也只是流于表面，離線存儲的存放地點等也未進行認真管理，過于依靠線上存儲，風(fēng)險意識需繼續(xù)加強。

4)?實現(xiàn)虛擬存儲化

如同對服務(wù)器虛擬化的要求，將存儲空間虛擬成資源池，不僅提高了利用率，還是存儲系統(tǒng)具備了冗余或容災(zāi)能力。

3、?網(wǎng)絡(luò)設(shè)備

如上圖，互聯(lián)互通中關(guān)于網(wǎng)絡(luò)設(shè)備的大部分要求都可以被等保測評指標(biāo)覆蓋，隨著新興技術(shù)的發(fā)展，2020版測評方案中增加了對無線網(wǎng)絡(luò)的接入能力要求：

1)?無線網(wǎng)絡(luò)的物聯(lián)網(wǎng)與5G部署接入能力

該指標(biāo)屬于五級甲等的要求，相信在不遠的將來，物聯(lián)網(wǎng)與5G部署的實現(xiàn)將會給醫(yī)院就醫(yī)帶來嶄新的體驗。

【網(wǎng)絡(luò)及網(wǎng)絡(luò)安全情況】

1、?網(wǎng)絡(luò)帶寬情況

如上圖所示，滿足等保測評指標(biāo)項(安全通信網(wǎng)絡(luò)-網(wǎng)絡(luò)架構(gòu)-應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要)之后，在互聯(lián)互通測評中就不需要再額外關(guān)注了。且就目前的測評經(jīng)驗，網(wǎng)絡(luò)帶寬一般不會成為系統(tǒng)建設(shè)的瓶頸。

2、?接入域建設(shè)

等保測評中沒有對接入域進行明確要求，但對無線網(wǎng)絡(luò)的建設(shè)是有要求的：無線網(wǎng)絡(luò)需單獨組網(wǎng)，并通過邊界防護設(shè)備接入到內(nèi)部有線網(wǎng)絡(luò)。因此，醫(yī)院無線網(wǎng)絡(luò)建設(shè)因遵循此原則，在保障安全的前提下，最大限度為醫(yī)療行為和患者就診行為提供便利。

3、?網(wǎng)絡(luò)安全

如上圖所示，等保測評指標(biāo)基本可以覆蓋互聯(lián)互通網(wǎng)絡(luò)安全部分的指標(biāo)。

【信息安全情況】

1、?環(huán)境安全

如上圖所示，等保測評指標(biāo)項本可以覆蓋互聯(lián)互通環(huán)境安全部分的指標(biāo)。但等保測評并不是專門針對機房的檢測，此處最佳選擇還是提供專業(yè)的機房檢測報告。

2、?應(yīng)用安全

如上圖所示，等保測評指標(biāo)項可以覆蓋大部分互聯(lián)互通應(yīng)用安全部分的指標(biāo)。唯獨要注意互聯(lián)互通中對數(shù)據(jù)痕跡修改的要求。上級醫(yī)師修改病歷要保留修改痕跡，當(dāng)前大部分電子病歷系統(tǒng)都可以滿足本要求。

3、?數(shù)據(jù)安全

如上圖所示，等保測評指標(biāo)基本可以覆蓋互聯(lián)互通數(shù)據(jù)安全部分的指標(biāo)。

4、?隱私保護

如上圖所示，互聯(lián)互通測評中比較側(cè)重對隱私信息的保護。除了傳統(tǒng)的數(shù)據(jù)完整性和保密性的保護，還需要注意一些安全功能的實現(xiàn)：

1)?數(shù)據(jù)訪問警示服務(wù)

醫(yī)務(wù)人員因業(yè)務(wù)需要查看或訪問費直接相關(guān)的患者電子病歷資料時，需要警示其依照規(guī)定使用資料，加強患者電子病歷資料管理。

2)?電子病歷匿名化處理

實現(xiàn)對電子病歷的脫敏處理，采用替換、重排、加密、階段或掩碼等處理手段對患者敏感信息進行處理，保證不向非授權(quán)用戶泄露患者敏感信息。

3)?患者的許可指令管理服務(wù)

在提供訪問或傳輸患者電子病歷醫(yī)療數(shù)據(jù)之前，通過一定的手段以確定患者或個人是否允許或限制這些醫(yī)療數(shù)據(jù)的公開。

4)?數(shù)據(jù)保密等級服務(wù)

這是一項比較高的要求，需要涉及到對數(shù)據(jù)的分類分級，數(shù)據(jù)的治理等課題，最后實現(xiàn)對根據(jù)數(shù)據(jù)分類分級的不同設(shè)置不同的安全等級進行存儲。進一步規(guī)范和完善數(shù)據(jù)的存儲和使用安全。

5、?管理安全

如上圖所示，等保測評指標(biāo)可以覆蓋互聯(lián)互通安全管理部分的指標(biāo)。

【結(jié)語】

綜上，通過等級保護測評并不意味著互聯(lián)互通的安全指標(biāo)就可以高枕無憂了。因為：

1.互聯(lián)互通具有醫(yī)療領(lǐng)域個性化指標(biāo)需求

互聯(lián)互通測評針對醫(yī)療行業(yè)的特點，并結(jié)合諸如金融等安全工作比較領(lǐng)先的行業(yè)的工作經(jīng)驗提出了適用于醫(yī)療行業(yè)的個性化指標(biāo)需求，因此，各參評單位不僅要落實好等級保護測評工作，還要對這些醫(yī)療行業(yè)的個性化指標(biāo)充分重視起來，才能確保互聯(lián)互通測評的順利推進。

2.互聯(lián)互通和等保測評評分機制不同

互聯(lián)互通采取的是一票否決制，等保測評的成績則取決于總分?jǐn)?shù)及高風(fēng)險存在與否。互聯(lián)互通如果測評等級及其以下等級有一項不滿足就不能達到所申報的測評等級。所以即使以中、良等成績通過等保測評，并不意味著互聯(lián)互通中被等保測評覆蓋的指標(biāo)項就已經(jīng)達到互聯(lián)互通的要求了。

總結(jié)

以上是生活随笔為你收集整理的网站等保测评针对服务器,互联互通测评知识分享之信息安全建设要点的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。