欢迎访问等保测评网!

等保服务热线:18122425657

当前位置:主页 > 行业实践 > 医疗 >

互联网医院信息系统过等保,这样做就对了!

2024-05-09 18:01

 
医疗行业关于等级保护工作的要求最早可追溯到2011年原卫生部下发的关于全面开展卫生行业信息安全等级保护工作的通知》,其要求三级甲等医院的核心业务信息系统信息安全保护等级不低于第三级(第三级为安全标记保护级,它要求对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制)。
 
再到2018年,国家卫生健康委员会发布了《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》,对互联网医院信息安全、人员资质、监督管理等进行了规范,其明确规定:承载互联网医院的平台必须通过等保三级测评。
 
2019年8月12日,上海市卫健委还发布了《上海市互联网医院管理办法》,其规定, 互联网医院信息系统按照《信息安全技术 网络安全等级保护基本要求》第三级标准完成定级备案和测评,每年应依法开展测评,测评通过后应提交系统年度测评报告。
 
对互联网医院来说,过等保有多重要呢?答案:如果互联网医院不过等保,互联网医院平台就无法上线!
 
青莲网络为互联网医院提供互联网医院信息系统过等保解决方案,下面是青莲网络为广州市某中医信息系统做过的三级等保案例:
一、中医信息系统及需求介绍
 
该中医信息系统业务包含医生信息、患者信息、诊疗信息、处方信息、电子病历信息、中药材信息、支付信息等,系统主要由数据服务器、内部用户终端、交换机、防火墙、数据库、操作系统等组成,处于阿里云内,属信息部/云模式应用系统,具有系统的基本要素,它的系统边界是网络边界,边界设备是防火墙。根据客户需求,该中医信息系统需要过三级等保。
 
二、等保测评网提供的三级等保解决方案
 
为该中医信息系统提供的三级等保解决方案包括:协助定级备案以及开展等级测评,对该信息系统提供安全加固服务,并帮助部署安全产品。最终,该中医信息系统成功拿证!本篇文章中,我们重点阐述该中医信息系统存在的安全问题及安全加固和安全产品部署服务。因为只有通过安全加固,提高信息系统的安全防护能力,信息系统才能成功通过等级测评,不然企业的安全防护就算是做得不到位。
 
经过差距测评,该中医信息系统存在的安全问题有:
1.安全区域边界
该系统的网络边界未部署访问控制设备,未能保证数据通过受控接口进行通信。
2.安全审计
该中医应用系统已启用安全审计功能,审计覆盖到每个用户,已对用户操作和异常记录进行审计,但未对用户登录、退出、增删改进行审计。
3.安全计算环境-访问控制
①中医应用系统存在特权用户admin,未实现管理用户的权限分离;
②中医应用系统未提供设置安全标记功能;
③数据库服务器操作系统未设置重要信息的敏感标记,并对此类信息资源进行保护;
④WEB服务器操作系统未设置重要信息的敏感标记,并对此类信息资源进行保护。
 
针对该信息系统存在的安全问题,保技术专家提出,可以从主动防御体系的思路做安全建设,这涉及四道防线:
1.第一道防线:检查预警。通过数据库漏扫产品对数据库威胁进行检查分析,给出安全建议。
2.第二道防线:主动防御。通过数据库安全运维产品的身份识别、运维审批、流程管理,防止非法人员操作;防止外部攻击破坏;与此同时做好内部防护,防止内部超级权限。
3.第三道防线:底线防守。
①阈值管控:规避批量恶意访问,针对大批量医疗泄密进行告警控管,防止医疗数据批量查询;
②数据库加密产品:防止防止医患数据泄露 “脱库”;
③数据库脱敏产品:医疗数据去隐私化,防止泄漏真实数据给第三方。
4.第四道防线:事后追查。利用数据库审计产品来区分是外部威胁还是内鬼作案,可以对安全事件进行责任追溯。
   
同时,等保测评网协助该企业完成了安全产品的部署:
1.业务入口通过WAF+SSL证书,提供来自互联网的CC攻击、SQL注入、XSS跨站攻击、木马上传等所有web攻击,保障业务的可用性、机密性和安全性;
2.系统通过ECS自建Nginx负载流量至后端应用服务器,应用服务器共用一个数据库;
3.云安全中心带有主机防病毒、漏洞扫描,补丁修复,密码防暴力破解等功能,结合基于大数据安全分析,看清业务的安全现状;
4.通过数据库审计对所有数据库会话行为进行审计和应用关联,及时发现非法操作行为;
5.ECS快照备份实现每日一全备,数据库通过DBS实现异地备份;
6.堡垒机实现主机管理的双因子认证,统一运维管理入口,实现运维审计。