从一份安全评测报告说起

做有料且有趣的医疗信息化公众号

《愚人老黄》

传播：项目管理 | 网络安全 | 数据治理 | 瞎扯淡

背 景

承蒙朋友们抬举，经常会接到一些帮忙的“小事”，这不，事又来了。

本次是一家机构痛定思痛、决心花大力气做好网络安全工作。前期就计划着让我前往“指导”，一直未能成行。由于是安全建设规划，于是我建议他们能从网络安全三级等保测评开始。现在测评已经完成了，评测方也提供了几百页厚厚的测评报告，从网络安全三级等保要求的各方面进行了评估，不可谓不完整。医院也根据测评发现的问题，找出了差距，拿出了网络安全建设方案。需要花的钱不少，为慎重期间，希望我给看看，提提意见。

安全测评报告的局限性

从报告的形式和内容看，中规中矩，完全标准化的产物，这就意味着给了机构一张“老板凳”。本次选择的测评机构熟悉标准，熟悉评测流程，对申请评测单位的安全现状分析也很到位，指出了100多个问题，并给予了评测“不达标”的结论。但是，对于用户来说，大多数的安全评测报告都一个套路，什么都说了，也什么都没说。

如果仅从技术层面评估安全，缺少业务评估，对业务安全的评估竟是寥寥数语，隔靴搔痒，没有找到真正的痛处。甚至对于严重影响业务安全的缺陷，也被定义为低风险，这样可能造成用户对该风险的忽略，从而造成安全风险管控不到位。报告沿用的是划分系统、分等级保护的传统思路，将安全保护的重点放在每个系统的合规上，分别从HIS、LIS、PACS进行了评估评测，完全无视现在这些个系统都已经是有机的整体，实时在进行着业务的协同，这样就忽略了安全的整体性；忽视了网络安全与业务安全的联系。

等保2.0，开启等级保护新纪元

从政策层面看，等保2.0版相关标准已经开始征求意见，管理策略已由之前1.0版的“自主定级、自主保护、监督指导”转向为“明确等级、增强保护、常态监督”。其核心内容也发生改变：

将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施。

将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等级保护监管。

将互联网企业纳入等级保护管理，保护互联网企业健康发展。

构建完善的安全体系

每一个院领导都会问到信息科一个问题，投入多少才能保证安全？安全上的投入一定是必要的，但如何才能更安全，如下图所示，应该由知识体系、技术体系、管理体系共同构成网络安全体系。三架马车，不应偏废。

管理体系是政令畅通的组织保证，安全体系中最活跃、最不稳定的因素是人，制度管人，完整的制度才能让安全建设具有权威性，也才能确保安全措施可落地。曾经在CHIMA会上，有听众问，”有什么好办法，能让临床科室听从信息科的管理“。我回答是，”在安全建设上必须有权威力，话语权“。

这个话语权应该是医院的安全委员会（由院领导和医院代表组成，是医院安全的最高决策组织）赋予的，安全委员会代表医院发布安全制度，制订安全措施，信息科作为网络安全管理执行部门负责日常网络安全管理，具有奖惩的权利。同时“立威”是必须的，可以用案例教育人、用案例警示大家去遵守安全制度。

技术体系是网络安全的技术实现，通常是使用安全设备去完善安全措施，确保所保护的资产安全，业务正常运行。这些工具既有杀毒软件、也包括终端管理、网络管理、行为管理、漏洞扫描、审计类产品、防火墙、网闸等等。种类繁多，每一种产品都有其适用范围，也都有技术门槛。

因此在选择安全设备时，也应该量体裁衣，根据安全风险等级和紧迫性进行分步骤建设。但也要考虑到是否有技术人员懂得使用工具，并将安全管理纳入常规运维，了解安全动态、感知安全威胁。

知识体系是网络安全的内涵保证，掌握必要知识的人决定网络安全的重要因素。无论是制度还是设备，都需要人去执行，去管理，而如何制定适宜的制度，如何管理安全设备，这些都需要我们具有网络安全的相关知识。这些知识包括规范、法律、标准，也包括专业知识，操作知识，以及安全动态等等。

随着国家、行业、单位对网络安全越发重视，作为网络安全的责任部门信息科，就目前来说，网络安全的专门人才和专门岗位普遍较为缺乏，这也是应该引起各级部门重视的现状，同时打铁还需自身硬，信息科的小伙伴们抓紧学习哟，这个岗位缺人就是机会。可以扫描关注屏幕下方二维码，本公众号长期致力于网络安全、数据价值发现、知识传播。大家一起学习吧。

做有料且有趣的医疗信息化公众号

○

愚人老黄

○

项目管理 | 网络安全 | 数据治理 | 瞎扯淡

欢迎关注、欢迎分享、一起学习、等你打赏