阜外医院信息安全等级保护建设方案.pdf

阜外医院信息安全等级保护建设方案 摘 要 近年来，医院信息化发展迅速，为整个医院的业务以及患者提供了极大的方便与帮 助，但是医疗信息的安全问题也伴随而来，目前已暴露出许多相关的问题，国家因此推行了 等级保护政策，本文介绍了阜外医院根据国家卫生部的等级保护建设要求而对本院情况所做 的分析以及等级保护建设项目的内容，相信通过等级保护建设项目的实施，可以达到国家卫 生部等级保护的要求，更保护了医院医疗信息的安全，为之后的信息化建设打下良好的基础。 关键词 等级保护 医院信息化 等级保护三级 信息安全 1 引言 近几年医院信息化迅猛发展，正逐步建立统一高效、资源整合、互联互通、信息共享、 透明公开、使用便捷的医院信息系统，医院信息系统是关乎国计民生和社会发展的关键基础 设施。因此，医院信息系统在世界各国，普遍被列入关键信息基础设施的范畴。而我国各大 医院在医院信息化发展过程中，面临着诸多问题，如：因网络访问控制和终端准入控制不力 导致的对核心业务的威胁；医院的统计信息、孕妇新生儿信息被打包出售等较为恶性的数据 安全事件；由于蠕虫、病毒的入侵导致的系统故障等信息安全事件等。同时，随着医疗改革 的逐步深入，医保卡的使用使得医疗机构与银行、社保等机构需要更多的数据交换及实时结 算，在这种情况下，如何保证信息安全是医院信息化建设必须解决的关键问题之一。因此， 按照等级保护要求进行符合国家及行业政策规范的信息安全体系建设，符合医院信息化建设 的根本利益。 2 项目背景 等级保护是国家推行的具有强制执行力的重要政策，经过多年的发展，迄今为止已经发 布了众多的政策文件，开展卫生行业等级保护工作既加强了医院信息系统的整体安全，也落 实了卫生行业主管部门关于国家信息安全等级保护的相关要求。 对于非涉密的信息系统，等级保护划分主要根据信息系统遭到破坏后对公民、法人、社 会秩序、公共利益、国家安全等造成不同级别的破坏，由低到高共分为五级，对于不同级别 的管理办法也不尽相同，第一级为自主保护、第二级为指导保护、第三级为监督检查、第四 级为强制监督检查、第五级为专门监督检查。 根据等级保护要求，等级保护三级的信息系统受到破坏后，会对社会秩序和公共利益造 成严重损害，或者对国家安全造成损害。三级甲等医院的核心业务信息系统的安全保护等级 原则上不低于三级。第三级安全保护能力是指应能够在统一安全策略下防护系统免受来自外 部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及 其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭 到损害后，能够较快恢复绝大部分功能。 3 项目建设过程 信息安全工作是一个整体性很强的工作，结合医院自身实际情况，以及等级保护三级的 具体要求，将等保三级建设工作主要划分为定级备案、建设整改、等级测评、宣传培训、监 督检查五个步骤。 首先是定级备案，根据卫生部相关要求，三级医院核心信息系统不得低于三级，因此对 于大多数医院核心系统需要定为三级，其他信息系统定为二级。三级系统的定级需要通过技 术专家委员会的评审，因此需要组织专家就网络架构、信息系统实际情况进行技术论证、评 审，方可决定哪些系统定为三级，而二级系统则在自我评定后将定级材料上报辖区公安机关 备案即可。 第二步为建设整改，根据系统定级情况的不同，首先需要将信息系统进行区域划分，对 系统进行风险评估、差距分析，最后根据相关标准制定信息安全等级保护建设整改方案，并 组织专家进行评审，通过评审后按照制定的方案逐步进行整改。以我院 （阜外医院）为例， 为此专门组建了信息安全工作小组，小组首先对现有系统进行了区域划分，并对等级保护技 术要求进行学习，结合我院自身特点选择了等级保护三级中的S1A3G3 定级组合进行整改（S 为信息安全类要求、A 为服务保证类要求、G 为通用安全保护类要求）。根据风险评估和差距 分析报告共罗列技术类子项目7 个，管理类子项目4 个，制定详细计划逐一完成。其中技术 差异共细分为6 个子项目，主要包括： 3.1 网络结构调整 等级保护的主体思想为分区域保护，为了将医院核心业务系统与普通办 公网络进行有效区别保护，首先需要对网络结构进行调整，将最核心的系统放置在网络架构 最里端，进行包括准入控制及边界管理，实施完成后可实现对网络分区域的管理，不同区域 进行不同级别的安全控制，极大提高网络架构的安全性。 3.2 访问控制 对于重点区域的网络访问控制采用目前的 IP 层控制已经不能达到三级的要 求，需要将访问控制精细化，对