2019年8月17日， 2019年深信服創新大會分論壇—智慧醫療專場在深圳華僑城召開。公安部第三研究所檢測中心智能互聯安全測評實驗室主任張艷博士在專場上以《等保2．0在醫療行業的落地分析》進行演講，動脈網對其精彩內容進行了整編。

公安部第三研究所張艷

張艷博士具有豐富的信息安全相關科研和標準化工作經驗，曾獲得多項省部級科技獎勵，并作為主編出版了《下一代安全隔離與信息交換產品原理及應用》《防火墻產品原理及應用》《網絡入侵檢測系統原理及應用》等6本著作，共發布GB∕T 36627－2018《信息安全技術 網絡安全等級保護測試評估技術指南》等信息安全國家標準、公安行業標準十余項。

2019年5月，國家市場監督管理總局、國家標準化管理委員會正式發布了網絡安全等級保護系列國家標準。該系列標準的發布對保障和促進醫療行業信息化發展，提升各醫療機構網絡安全保護能力具有重要的指導意義。

醫療行業的健康發展，與民生問題有著直接的關系。十三五期間，不斷發展和推廣的醫療信息技術，使得網絡系統逐漸成為了醫療行業的業務服務支撐體系。

一旦網絡系統發生了故障或是網絡癱瘓，對整個醫療服務體系也會產生致命影響。網絡系統中存儲的重要業務數據、診療數據，甚至是1．6億診療庫中的患者隱私信息若遭到泄露，將會對患者造成不可估量的損害。

數字化、網絡化引領著著行業發展的方向，但同時也引發了一些可能會出現的安全問題和風險，例如惡意遠程控制設備的風險、比特幣勒索的風險、個人信息泄露的風險等。而這些安全問題也對行業提出了新的挑戰和要求。

網絡安全事件數量不斷增加，政府對醫療行業網絡安全方面的重視程度也在不斷提高。如中國信息通信研究院等機構發布的《2019年健康醫療行業網絡安全觀測報告》，也同樣披露了目前網絡安全風險集中的幾個表現：

第一是僵木蠕等問題嚴峻，勒索病毒嚴重威脅醫療業務正常運行；

第二是數據泄露事件高發，應用服務軟件存在較多安全隱患；

第三是醫療行業的網站同政府網站、教育機構網站等都是境外機構的重點攻擊對象，且網站篡改手法多變。

張艷認為，擁有較高數據價值是醫療行業成為網絡安全重災區的原因之一，而最主要的原因是，在大數據、物聯網等新技術的驅動下，傳統的IT系統安全管理體系已無法覆蓋實際應用場景和范圍。

除了上述的內部原因之外，一些恐怖組織、黑客組織、黑產等經濟犯罪團伙、極端個人，出于一些個人或利益原因也可能會實施網絡攻擊。

其實，究其根源，重要業務系統在網絡安全建設、安全運維方面存在不足，才是導致這些內外部因素發揮效力的關鍵。

現階段，網絡安全態勢嚴峻，國家在網絡安全方面也在不斷地完善相關法律法規和政策體系標準。網絡安全法除了確認網絡安全各個相關方的保護義務和職責，還明確了國家網絡安全相關的一些基本制度。

網絡安全等級保護制度是國家在網絡安全法中明確且強調以等級保護為基礎，對關鍵基礎信息建設進行重點保護的制度。國家實行網絡安全等級保護遵照了對網絡（信息網絡、信息系統以及數據資源等）實行分等級保護、分等級監管的核心思想。

事實上，等級保護制度自1994年通過國務院147號令便被確認。隨著網絡安全法出臺后，等級保護制度進入了2．0的階段。

等保2．0階段是主管部門根據當前國家或全球的網絡安全態勢發展、網絡安全保衛任務要求和技術發展而重新審視并提出了新的要求。

需要明確的是，等保2．0不僅僅是一個標準版本更新的概念，而是整個體系、整個核心的提升。

內涵措施更豐富。進一步明確了網絡定級及評審、備案及審核、等級測評、安全建設整改、自查等工作要求，并將風險評估、安全監測等與網絡安全密切相關的措施納入了等級保護制度。

定級流程更規范。2．0階段以明確等級、增強保護、常態監督為定級原則，將定級流程明確為確定定級對象、初步確定定級、專家評審、主管部門審批和公安機關備案審查。

等級保護體系升級。主管部門在現有的技術規范基礎上，通過陸續出臺一系列的政策法規和更新的標準規范，進一步完善包括政策、標準、測評、技術、服務、關鍵技術研究和教育的等級保護體系。主管部門圍繞等級保護體系構建起安全監測、通報預警、快速處置、態勢感知、安全防范和精確打擊等為一體的國家關鍵信息基礎設施安全保衛體系。

擴展等級保護對象。將基礎信息網絡、重要信息系統、網站、大數據中心、云計算平臺、物聯網、工控系統以及公眾服務平臺等全部納入等級保護范圍中。

將被動防護轉變為主動防護。在技術要求上，等保在安全管理中心、物理環境、通信網絡、區域邊界、計算環境共五個安全層面設置了控制點，并將可信驗證應用納入了等級保護，以進行更精準化地防護。

在管理要求方面，等保2．0對部分控制點進行了調整、合并，并特地強調了外部人員訪問管理、漏洞風險管理等要求。主管部門在后續執行中，會采用細粒度測評結論分級的概念，體現不同系統的安全防護水平。

除了上述變化，等保2．0在以下方面未進行改變。

等保五個級別不變。包括用戶自主保護級、系統保護審計級、安全標記保護級、結構化保護級和訪問驗證保護級。

等保五個重要環節不變。依舊圍繞定級、系統備案、建設整改、等級測評和監督檢查這五個環節開展工作。

等保主體職責不變。運營單位的等級保護職責、上級主管單位的安全管理職責、第三方測評機構的安全評估職責，以及網安對定級對象的備案受理及監督檢查職責都沒有變化。

網絡安全等級保護是關鍵信息基礎設施保護的基礎。關鍵信息基礎設施是等級保護制定的保護重點。網絡運營者應當在第三級（含）以上保護對象中確定關鍵信息基礎設施的范圍。

張艷表示，除此以外，關鍵信息基礎設施須按照網絡安全等級保護制度要求，開展定級備案、等級測評、安全建設整改以及安全檢查等工作。

基于安全事件的分析，張艷結合等保2．0的要求，詳解了目前醫療行業的網絡安全現狀，以及存在哪些不合規的控制點安全問題。

一是計算環境安全措施缺失。訪問控制、入侵防范、惡意代碼防范、數據保密性、數據備份恢復、個人信息保護等方面都存在諸多不合規的問題。

其中，等保2．0新增了個人信息保護的要求，醫療行業系統同樣僅允許采集和保存業務必需的用戶個人信息。

二是網絡通信安全措施缺失。網絡架構方面，存在關鍵設備的業務處理能力不足、網絡區域未劃分和網絡單鏈路設計的問題；在通信傳輸方面，缺少通信數據完整性保護措施。

三是區域邊界安全措施缺失。區域邊界強調的是邊界防護、訪問控制等要求，包括關鍵網絡節點如何防止來自互聯網或從內部網絡的攻擊行為。惡意代碼檢測缺失和審計機制缺失也是比較常見的。

最后是安全管理中心安全措施缺失。這一方面集中表現在系統管理的運行監控措施缺失、審計日志存儲不滿足要求，以及網絡中安全事件發現處置措施缺失等。

有困難就要及時解決。在醫療行業系統，結合等保2．0，我們又該如何進行安全防范呢？對此，張艷提出了兩點建議。

第一，加強技術和管理的融合。由于安全事件多發生在管理安全或數據交互場景中，所以需要通過技術方式來填補管理方面的缺失。另外，管理制度也能為技術設施提供多重保障。

第二，參照等保2．0“一個中心、三重保護”的要求，落實網絡安全部等級保護各方面的安全要求，最大程度地發揮系統安全措施的保護能力。

此外，加強防范木馬、新型網絡的攻擊，以及日常運維建設，滿足包括雙重鑒別、安全接入、統一集中管理，以及日志審計等多方面控制點的要求。通過加強主動防御、采用安全廠商的安全服務等來提升醫療行業的整體安全防護能力。

＊文中圖片由受訪企業提供。