医院信息系统安全等级保护定级与整改结果探讨

杨旋，周小甲

浙江大学医学院附属妇产科医院 信息科，浙江 杭州 310006

[摘 要]目的 通过医院信息系统安全等级保护测评工作，提高医院信息系统业务安全和信息安全。方法 对2014年医院首次等级保护测评结果与2016年复测评结果进行对比。结果 通过针对首次等保测评结果的整改，医院4套信息系统的测评指标控制点完全符合项与部分符合项增加，系统安全保护等级也逐步提高。结论 随着等级保护测评后的整改工作的开展，医院信息系统安全性逐渐增加，医院工作人员的安全意识得到提高。

[关键词]信息安全；医院信息系统；等级保护；等保备案

引言

网络与信息安全的问题一直伴随着信息化的发展而得到人们的重视，当医院信息化建设随之深入，伴随而来的安全建设也显得愈发重要。近些年来，维护保障国家与政府的信息安全，已经成为各国领导者的共识，并且上升到了国家安全的战略高度。“没有网络安全就没有国家安全，没有信息化就没有现代化”，这就是习近平总书记在中央网络安全和信息化领导小组第一次会议中明确表示的态度[1]。而信息安全等级保护（下称“等保”）是我国信息安全保障的一项基本制度和方法，开展信息安全等级保护工作是促进信息化发展，保障国家信息安全的重要举措[2-3]。我国信息安全等级保护工作已经经过了20余年的探索和发展，是我国这些年来信息安全工作的经验总结。本文主要介绍了等保测评的流程和对医院信息安全的重要性，并将我院2014年等保初测评与2016年医院等保复测评的情况进行了对比，同时对医院信息系统等保测评的工作展开探讨，为未来医疗行业信息安全工作提供了借鉴[4]。

1 信息系统安全等级保护测评流程

1.1 信息系统确定与定级

根据浙卫发[2011]131号《关于做好省医疗卫生行业重要信息系统信息安全等级保护工作的通知》及《计算机信息系统安全保护等级划分准则(GB17859-1999)》等标准，结合我院信息化现状与发展需要，经过专家论证，按类归并的原则，从系统管理、业务使用者、系统服务对象和运行环境等多面综合考虑，把医院信息系统划分为以下几类[5]，见表1。

表1 医院重要信息系统分类

序号医院级别信息系统名称1三级基础支撑系统2三级面向患者服务系统3三级门户网站系统4三级协同办公系统

同时，信息系统定级由两个方面因素决定：一是业务信息安全等级，二是系统安全服务等级[6-7]。主要看业务信息受到破坏时的客观对象是谁，和客观对象的损坏程度如何，根据《信息系统安全保护等级定级指南》(GB/T 22240-2008)，由两者的等级较高者决定系统定级的级别，见表2。例如当门户网站系统业务信息遭到破坏后，所侵害的客体是社会秩序、公共利益，主要侵害的客观方面表现为：①内部工作人员无法通过门户网站发布正常相关信息；② 统计信息被恶意修改，导致公众无法准确的获取医院信息，降低医院的公信度，破坏医院形象，可能给医院造成恶劣影响，引起法律纠纷等，对社会造成较大影响，结果程度表现为严重损害，故等级确定为第三级。同时网站系统服务遭到破坏后，所侵害的客体也是社会秩序、公共利益，侵害的客观方面主要表现为：应用服务部分中断、全部瘫痪等侵害，结果程度表现为一般损害，故等级确定为第二级。根据表2可确定门户网站系统安全保护等级取两者较高者为第三级。

表2 信息系统定级表

被破坏时所侵害的客观对象第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级对相应客观对象的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益

1.2 信息系统备案

根据《信息安全等级保护备案实施细则》（公信安[2007] 1360号）文件要求，省卫计委及省级医疗卫生单位信息系统、全省统一联网或跨市联网运行的信息系统由省公安厅受理备案。医院应将《信息系统安全等级保护备案表》和医疗卫生单位备案汇总情况等材料以电子文件形式向归口省卫计委报备[8-9]。定级工作的结果是以此备案完成为标志。

1.3 信息系统安全建设和整改

在完成备案后，需要开始对信息系统进行合规性建设与整改，明确需求后要进行整体的方案设计，在设计中要体现近期和远期的设计方案，细分不同的项目，逐一进行完善，最后组织专家对方案进行评审[10-11]。坚持管理和技术并重的原则，依据《信息系统安全等级保护基本要求》，落实信息安全责任制，建立并落实各类安全管理制度，开展系统建设管理、系统运维管理和人员安全管理等工作，落实网络、物理、应用和数据安全等安全保护技术措施[12-14]。部署巩固医院信息系统网络防御边界，提高医院信息系统整体安全性[15-16]。

1.4 信息系统测评

医院信息系统根据等保要求进行建设、整改并且自评达到相关标准后，开始启动测评。根据《浙江省信息安全等级保护工作协调小组关于公布信息安全等级测评机构的通知》（浙等保[2010]9号）选择浙江省信息安全等级保护工作协调小组办公室推荐的等级测评机构，启动等级测评工作，结合等级要求，对系统进行逐项测评。测评机构通过对医院系统进行查验、访谈、现场测试等方式收集相关信息，详细了解信息系统安全保护状况，收集分析资料和数据，查找发现系统漏洞和安全隐患，以此为依据形成医院信息系统安全等级测评报告和安全建设整改方案等，并择时进行测评报告审核。

1.5 流程小结

信息安全等级保护制度将信息系统按其重要程度以及受到破坏后对相应客体的合法权益、社会秩序、公共利益和国家安全侵害的严重程度，将信息系统由低到高分为5级。每一保护级别的信息系统需要满足本级的基本安全要求，落实相关安全措施，以获得相应级别的安全保护能力，对抗各类安全威胁。医院信息系统就是按照这套规定的流程和相应的法定要求、指南和准则进行等保测评，见图1。从定级、备案、安全整改/建设、测评等各个阶段来完成信息系统安全等级保护测评。

图1 信息安全等级保护标准体系流程图

2 信息系统安全等级保护测评结果

根据上文，医院的信息系统被划分为：《基础支撑系统》、《面向患者服务系统》、《门户网站系统》和《协同办公系统》。通过《信息系统安全保护等级定级指南（GB/T 22240-2008）》，2014年初次等保测评时我院将《基础支撑系统》、《面向患者服务系统》定级为三级，《门户网站系统》和《协同办公系统》定级为二级。经过整改和面向公众的业务信息扩展，在2016年等保复测评时，我院把两套二级系统：《门户网站系统》和《协同办公系统》提升为等保三级，加大了安全防护力度和要求。

2.1 2014年总体评价

根据2014年系统定级情况，我们把《基础支撑系统》、《面向患者服务系统》两套三级系统采用《GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求》S3A3G3标准（共76个控制点）作为系统的测评依据，另外两套《门户网站系统》、《协同办公系统》二级系统采用《GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求》S2A2G2标准（共69个控制点,由于管理制度安全与第三级S3A3G3基础支撑系统共用，根据就高原则选取S3A3G3标准，共74个控制点）作为系统的测评依据。在测评过程中，结合系统业务和单位实际情况，我们分别对《基础支撑系统》、《面向患者服务系统》选取57个控制点和68个控制点作为该系统等级测评指标（其余控制点不适用）。其中《基础支撑系统》34个控制点为符合、20个控制点为部分符合、3个控制点为不符合，《面向患者服务系统》34个控制点为符合、29个控制点为部分符合、5个控制点为不符合。同样，我们对《门户网站系统》、《协同办公系统》分别选取59个控制点和74个控制点作为系统等级测评指标（其余控制点不适用）。其中《门户网站系统》39个控制点为符合、18个控制点为部分符合、2个控制点为不符合，《协同办公系统》41个控制点为符合、28个控制点为部分符合、5个控制点为不符合。通过测评结果分析，4套系统的等级测评结论均为“基本符合”。

2.2 2016年总体评价

经过两年时间的建设整改以及门户网站、协同办公系统对外面向用户的扩展，同时考虑到WEB应用系统的宣传影响，我院4套系统在2016年等保复测评时已经全部定级为三级系统。根据4套系统定级情况，我们采用《GB/ T 22239-2008信息安全技术 信息系统安全等级保护基本要求》S3A2G3标准（共76个控制点）作为全部系统的测评依据。经过测评，《基础支撑系统》39个控制点为符合、16个控制点为部分符合、2个控制点为不符合，《面向患者系统》35个控制点为符合、29个控制点为部分符合、4个控制点为不符合，《门户网站系统》39个控制点为符合、21个控制点为部分符合、9个控制点为不符合，《协同办公系统》40个控制点为符合、28个控制点为部分符合、8个控制点为不符合。通过复测评结果分析，4套系统等级复测评结论均为“基本符合”。

2.3 两次测评对比评价与分析

在2014年等保初次测评阶段，发现医院信息系统存在很多安全问题，也是医疗单位常见的安全防护弱点，例如：在物理安全方面未在内外网之间设置物理隔离装置、未提供介质存储环境；在网络方面核心和汇聚设备未启用访问控制功能；在主机安全方面未开启口令复杂度、无登陆失败限制策略、未设置系统超时时间、审计内容不全；在应用安全方面无双因子验证、未对最大并发连接数和多重并发连接数进行限制、无异地备份功能、未采用密码技术保证通信过程中的数据完整性和保密性等。

有了等保测评标准和测评结果报告，可以说医院就有了安全策略依据可以对照，经过两年的系统整改建设，包括医院信息安全技术手段和产品的研究革新和新增及调整安全策略，我们在2016年的定级升级和等保复测评后发现，《基础支撑系统》和《面向患者系统》的符合控制点数量有了显著上升，不符合点数量下降，具体对比，见图2～3。同样，因为考虑到《门户网站系统》和《协同办公系统》有了定级变化，要求大幅提高，但控制点的符合和部分符合项仍然保持在较高值，并对于初测评比较而言并没有出现下落，可见安全策略和整改的效果显著。

图2 基础支撑和面向患者系统2014年符合情况图

图3 基础支撑和面向患者系统2016年符合情况图

3 结论

医院信息化领域发展迅猛，IT技术在极大地辅助医院临床的同时，也带来了不少自身难以克服的缺陷，特别是医院信息系统产品设计之初很少考虑安全问题，更没有充分考虑到如今互联网的蓬勃发展所带来的内外网数据互联互通的问题，特别随着智能移动终端的普及，社交媒体的发展，使信息呈爆炸式增长，用户越来越依赖互联网，越来越多地将自己与移动互联网紧紧结合在一起，同时也更多地把自己的信息参与到网络中，使个人信息的隐私度降低，增加了泄露风险，极易引发严重的社会事件。医院信息系统等保测评就是一种良好的，具有标准化参考价值的依据，让医院的安全建设有了更好的对照标准，通过等保定级、备案、安全整改/建设、测评/复测评这样的循环迭进改造，让医院的安全边界更加牢固，安全策略更加可靠。当然，并不是每一条等保的测评控制点都是符合医院管理流程的，所以医院也需要针对自己的差异化管理做出切合实际的安全改造，不断加固网络边界安全，完善流程策略，提高管理水平。

[参考文献]

[1] 汪玉凯.网络安全战略意义及新趋势[J].人民论坛,2014, (16):37-39.

[2] 张伟丽.信息安全等级保护现状浅析[J].信息安全与技术,2014,(9):9-13.

[3] 李晓燕.以信息安全等级保护为依托推进电子档案安全保障体系建设[J].城建档案,2014,(12):24-25.

[4] 王磊,魏晓艳,郎爽,等.医院信息安全等级保护三级评测的应用与实践[J].中国数字医学,2015,10(2):81-83.

[5] 辛均益,陈启岳,王宏宇.关于医院重要信息系统信息安全等级保护工作的探讨[J].信息网络安全,2013,(10):31-33.

[6] 蔡晓熙.基于风险分析的信息系统安全定级方法[D].南京:南京邮电大学,2012.

[7] 朱贤斌,常乐.基于等级保护基本要求的网站群安全体系研究[J].信息技术与信息化,2015,(9):107-108.

[8] 安庆权,黄俊强,王大萌.信息系统如何开展定级备案工作[J].信息技术,2011,(7):192-196.

[9] 王大萌,王希忠.测评机构如何在等级保护工作中发挥更大作用[J].信息网络安全,2012,(11):80-82.

[10] 韩作为.医院信息安全等级保护三级建设流程与要点[J].中国数字医学,2013,8(9):33-35.

[11] GB/T 28449-2012,信息系统安全等级保护测评过程指南[S].

[12] 邹陆曦,胡广禄,孙玲.三甲医院信息安全等级保护的实施及应用[J].中国数字医学,2015,10(2):84-86.

[13] 张静波,王韬.论医院信息安全保障体系建设[J].中国医院,2006,(10):51-53.

[14] 彭坤,冷金昌,孙晓玮,等.基于等级保护的跨区域医疗信息安全保障体系研究[J].中国数字医学,2013,8(6):88-91.

[15] 于京杰,刘方斌,马锡坤.数字化医院信息系统的安全问题[J].中国医疗设备,2013,28(6):88-90.

[16] 李志福.医院网络终端安全解决方案[J].中国数字医学,2007, 2(4):50-52.

本文编辑 王博洁

Discussion of Grading Protection Classification and Rectification for the Security of Hospital Information Systems

YANG Xuan, ZHOU Xiao-jia
Department of Information, Women’s Hospital, School of Medicine, Zhejiang University, Hangzhou Zhejiang 310006, China

Abstract：Objective Through the grading protection classification of the security, this paper aimed to further improve operational security and information security of hospital information systems. Methods A comparison between the first grading protection evaluation results of the hospital in 2014 with the reevaluation results in 2016 was made. Results After the rectification for results of first grading protection evaluation, the fully and partially conformed items in the evaluation indicators of the 4 information systems in the hospital were gradually increasing, and the system security protection level was also improving. Conclusion The implementation of rectification after the grading protection evaluation could make security level of hospital information systems increase, and improve the safety awareness of hospital staff.

Key words：information security; hospital information system; grading protection; grading protection record

[中图分类号]TP309

[文献标识码]C

doi：10.3969/j.issn.1674-1633.2017.06.045

[文章编号]1674-1633(2017)06-0166-04

收稿日期：2017-01-03

修回日期：2017-03-13

基金项目：浙江省科技计划项目(2014C33082)：居家孕妇及胎儿持续健康监测平台。

作者邮箱：yangxuan@zju.edu.cn