一、案例背景

《網(wǎng)絡(luò)安全法》21條、38條和59條明確規(guī)定了等級保護(hù)工作的必要性和重要性，醫(yī)療機(jī)構(gòu)同樣有義務(wù)按照等級保護(hù)要求對自身網(wǎng)絡(luò)安全進(jìn)行安全基本保障，否則一旦出現(xiàn)由于未落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度造成安全事件，公安機(jī)關(guān)將依法對違法者進(jìn)行相關(guān)經(jīng)濟(jì)和行政處罰。

二、客戶需求

隨著各種法律法規(guī)及醫(yī)療行業(yè)規(guī)范的出臺，越來越多的醫(yī)院已將信息安全建設(shè)的關(guān)注點(diǎn)由“要不要”做等保轉(zhuǎn)移到“怎么做”等保上來，正所謂“聞道有先后，術(shù)業(yè)有專攻”，醫(yī)院信息科普遍現(xiàn)狀是業(yè)務(wù)繁雜、人員短缺，尤其缺乏網(wǎng)絡(luò)安全專業(yè)技術(shù)人員，所以更多醫(yī)院選擇與專業(yè)網(wǎng)絡(luò)安全廠商合作，根據(jù)醫(yī)院信息化發(fā)展現(xiàn)狀，有序開展網(wǎng)絡(luò)安全等級保護(hù)建設(shè)工作。 

三、解決方案

醫(yī)院等級保護(hù)建設(shè)方案的四個(gè)關(guān)鍵點(diǎn)如下：

1、體系化安全防護(hù)：構(gòu)建以安全管理中心為核心的安全邊界、安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)及安全管理支撐體系，遵循"一個(gè)中心、三重防護(hù)"的原則，確保醫(yī)療信息系統(tǒng)的全面安全。
2、 專項(xiàng)病毒防御能力：通過整合防火墻、WAF、APT等安全技術(shù)和網(wǎng)絡(luò)空間資產(chǎn)治理平臺，實(shí)現(xiàn)對勒索軟件、挖礦病毒等高級威脅的聯(lián)動(dòng)防御，強(qiáng)化病毒防御能力。
3、業(yè)務(wù)安全準(zhǔn)入機(jī)制：建立業(yè)務(wù)上線安全審批與安全準(zhǔn)入相結(jié)合的機(jī)制，通過自動(dòng)檢測和一鍵阻斷高危業(yè)務(wù)的能力，實(shí)現(xiàn)業(yè)務(wù)運(yùn)營中的安全防御閉環(huán)。
4、 安全合規(guī)與醫(yī)療服務(wù)治理：確保整個(gè)安全體系的建設(shè)和運(yùn)維滿足相關(guān)法律法規(guī)要求，實(shí)現(xiàn)對醫(yī)療服務(wù)過程的全面安全合規(guī)保障，提升醫(yī)療服務(wù)質(zhì)量和效率。

這四個(gè)關(guān)鍵點(diǎn)構(gòu)成了醫(yī)院等級保護(hù)建設(shè)方案的堅(jiān)實(shí)基礎(chǔ)，旨在創(chuàng)建一個(gè)安全、可靠、合規(guī)的醫(yī)療信息環(huán)境。

四、實(shí)際應(yīng)用

通過對“銀醫(yī)通”系統(tǒng)涉及的在線掛號、移動(dòng)支付、電子票據(jù)、在線問診等互聯(lián)網(wǎng)訪問業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)分析，設(shè)計(jì)了等保三級安全防護(hù)方案，對醫(yī)院內(nèi)網(wǎng)HIS、“銀醫(yī)通”等核心系統(tǒng)按照等保三級進(jìn)行建設(shè)。

1、針對未知威脅攻擊，通過在網(wǎng)絡(luò)核心交換機(jī)部署APT系統(tǒng)實(shí)現(xiàn)問題分析和溯源；
2、建立業(yè)務(wù)前置服務(wù)器區(qū)，通過部署防火墻、入侵防御、網(wǎng)閘實(shí)現(xiàn)醫(yī)院內(nèi)網(wǎng)與業(yè)務(wù)前置服務(wù)器區(qū)安全隔離與數(shù)據(jù)可控交換。

五、項(xiàng)目效果

某縣人民醫(yī)院通過等級保護(hù)三級建設(shè)，實(shí)現(xiàn)了安全防護(hù)體系的全面升級。通過強(qiáng)化安全邊界、計(jì)算環(huán)境、通信網(wǎng)絡(luò)和管理中心，醫(yī)院有效提升了對病毒攻擊的防御能力，建立了業(yè)務(wù)安全準(zhǔn)入機(jī)制，確保了醫(yī)療服務(wù)的連續(xù)性和數(shù)據(jù)的安全性。同時(shí)，項(xiàng)目滿足了法律法規(guī)要求，為醫(yī)院提供了一個(gè)合規(guī)、安全的醫(yī)療信息環(huán)境。