开元体育等保 医院网络体系等保合规建设方案_等保

　　开元体育等保 医院网络体系等保合规建设方案_等保随着医院信息化建设的飞速发展，医院的信息系统已经运用到医疗服务的各个环节中，但以安全事故引起的系统故障，医疗活动的开展将会受到严重影响。国家对信息安全越来越重视，等级保护相关标准为适应新环境、新技术进行了优化升级，按照卫健委对甲等医院信息系统

　　根据《2019-2020年度中国医院信息化状况调查报告》显示开元体育官方网站，在被调查的390家医院中，网络安全年投入在50-100万元的医院占比17.18%；年投入在100-200万元的医院占比17.69%；年投入200万元以上的医院占比15.9%。

　　据CHIMA《2019-2020年度中国医院信息化状况调查报告》显示，医院在信息安全方面的投入已占总投入的9.43%，投入显著增加，在2019年有43.95%的医院实施并通过了等级保护测评，2020年有66.18%的医院通过了网络安全等级保护测评。由此可看出，医院对网络安全的投入相比往年有很大程度提升。但仍有部分医疗机构对网络安全建设重视程度不足的情况。报告统计了医院对于信息安全保障工作开展的情况，如下图所列举的安全防护措施。

　　从图中看到，医院所使用的安全防护措施也是比较全面的，但是能够真正这样部署的医院寥寥无几。目前，还有为数较多的医院主机还是Windows xp、移动医疗PAD设备还是Windows CE等被淘汰的操作系统，漏洞百出的主机极易被黑客攻陷。在医院的网络拓扑中，从建设初期沿用至今，随着应用的扩展和网络结构的复杂化，暴露出内外网物理隔离或者逻辑隔离的漏洞，安全设备形同虚设。在安全管理上开元体育官方网站，维护人员为了图方便而使用弱口令，没有一套完整规范的管理办法、没有专业的技术培训。

　　医疗行业是勒索病毒威胁的“重灾区”——入侵医疗行业的恶意软件高达85%，其中数据库服务器成为了勒索病毒的主要攻击目标。也正是因为医疗机构网络安全意识淡薄、资金投入不足、专业人才缺乏等问题，才导致医院信息系统近年频频遭受“勒索软件”攻击、病毒植入导致业务服务中断等安全事故。

　　医院作为保障基础民生的重要基础设施，确保其医疗服务的稳定是十分重要的。随着医院信息化的脚步加快，其网络安全的建设要遵循“三同步”开元体育官方网站，即同步规划、同步建设和同步执行，而对医院信息系统的保护也不可能做到绝对的安全，以重点保护、全面防护、动态调整为原则开展网络安全防护建设，满足等保的标准要求，就可以达到较好的防护效果。

　　重点保护原则：根据医院信息系统的特点、重要性和等级保护的要求，对医院各系统确定安全保护等级，集中优势资源保护关键核心，实现重点系统重点保护，最终达到满足《网络安全等级保护基本要求》相关规定的效果。

　　全面防护原则：在等级保护制度的核心是纵深防御的思想，充分考虑到各个区域层面的安全风险，在技术层面采取安全防护措施，兼顾管理措施的设计，对等级保护对象形成由外到内的全面防护，保障信息系统整体的安全保护能力。

　　动态调整原则：医院网络安全等级保体系的建设是一项长周期的持续性工程，因此要根据外部网络环境情况和信息系统的运行现状，动态调整安全保护手段，有步骤、有计划的推进医院网络安全体系的建设。

　　方案的设计首先要明确建设的目标，评估系统受到破坏后的造成的影响程度，对测评对象进行预定级，参照一个甲等医院的现有系统现状和业务需求，医院通常等级保护定级为，具体各子系统的定级在下文中给出。因此，在对三甲医院设计网络安全方案时，就要参照等保的要求进行组织建设，具体得设计方案如下图所示。

　　医院现有的业务系统，主要包括HIS（医院信息系统）、EMR（电子病历）、CIS（临床信息系统）、LIS（实验室信息系统）、RIS（放射信息管理系统）、PACS（影像归档和通信系统）、OA（协同办公系统）几大系统[6]。根据最新发布的《网络安全等级保护定级指南》，医院的各现有系统可以单独作为定级对象，各系统的重要程度及系统遭受破坏后对社会造成的影响程度，作为定级的依据；对于通信网络设施，原则上安全保护等级不低于在其承载的等级保护对象的保护等级。返回搜狐，查看更多