公安部第三研究所张艳：等保2.0如何在医疗行业落地？

2019年8月17日， 2019年深信服创新大会分论坛—智慧医疗专场在深圳华侨城召开。公安部第三研究所检测中心智能互联安全测评实验室主任张艳博士在专场上以《等保2.0在医疗行业的落地分析》进行演讲，动脉网对其精彩内容进行了整编。

公安部第三研究所张艳

张艳博士具有丰富的信息安全相关科研和标准化工作经验，曾获得多项省部级科技奖励，并作为主编出版了《下一代安全隔离与信息交换产品原理及应用》《防火墙产品原理及应用》《网络入侵检测系统原理及应用》等6本著作，共发布GB∕T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》等信息安全国家标准、公安行业标准十余项。

2019年5月，国家市场监督管理总局、国家标准化管理委员会正式发布了网络安全等级保护系列国家标准。该系列标准的发布对保障和促进医疗行业信息化发展，提升各医疗机构网络安全保护能力具有重要的指导意义。

提高业务系统能力是保证网络安全的关键

医疗行业的健康发展，与民生问题有着直接的关系。十三五期间，不断发展和推广的医疗信息技术，使得网络系统逐渐成为了医疗行业的业务服务支撑体系。

一旦网络系统发生了故障或是网络瘫痪，对整个医疗服务体系也会产生致命影响。网络系统中存储的重要业务数据、诊疗数据，甚至是1.6亿诊疗库中的患者隐私信息若遭到泄露，将会对患者造成不可估量的损害。

数字化、网络化引领着着行业发展的方向，但同时也引发了一些可能会出现的安全问题和风险，例如恶意远程控制设备的风险、比特币勒索的风险、个人信息泄露的风险等。而这些安全问题也对行业提出了新的挑战和要求。

网络安全事件数量不断增加，政府对医疗行业网络安全方面的重视程度也在不断提高。如中国信息通信研究院等机构发布的《2019年健康医疗行业网络安全观测报告》，也同样披露了目前网络安全风险集中的几个表现:

第一是僵木蠕等问题严峻,勒索病毒严重威胁医疗业务正常运行;

第二是数据泄露事件高发，应用服务软件存在较多安全隐患；

第三是医疗行业的网站同政府网站、教育机构网站等都是境外机构的重点攻击对象，且网站篡改手法多变。

张艳认为，拥有较高数据价值是医疗行业成为网络安全重灾区的原因之一，而最主要的原因是，在大数据、物联网等新技术的驱动下，传统的IT系统安全管理体系已无法覆盖实际应用场景和范围。

除了上述的内部原因之外，一些恐怖组织、黑客组织、黑产等经济犯罪团伙、极端个人，出于一些个人或利益原因也可能会实施网络攻击。

其实，究其根源，重要业务系统在网络安全建设、安全运维方面存在不足，才是导致这些内外部因素发挥效力的关键。

等保2.0不仅仅是一个标准版本更新的概念

现阶段，网络安全态势严峻，国家在网络安全方面也在不断地完善相关法律法规和政策体系标准。网络安全法除了确认网络安全各个相关方的保护义务和职责，还明确了国家网络安全相关的一些基本制度。

网络安全等级保护制度是国家在网络安全法中明确且强调以等级保护为基础，对关键基础信息建设进行重点保护的制度。国家实行网络安全等级保护遵照了对网络（信息网络、信息系统以及数据资源等）实行分等级保护、分等级监管的核心思想。

事实上，等级保护制度自1994年通过国务院147号令便被确认。随着网络安全法出台后，等级保护制度进入了2.0的阶段。

等保2.0阶段是主管部门根据当前国家或全球的网络安全态势发展、网络安全保卫任务要求和技术发展而重新审视并提出了新的要求。

需要明确的是，等保2.0不仅仅是一个标准版本更新的概念，而是整个体系、整个核心的提升。

五变三不变

内涵措施更丰富。进一步明确了网络定级及评审、备案及审核、等级测评、安全建设整改、自查等工作要求，并将风险评估、安全监测等与网络安全密切相关的措施纳入了等级保护制度。

定级流程更规范。2.0阶段以明确等级、增强保护、常态监督为定级原则，将定级流程明确为确定定级对象、初步确定定级、专家评审、主管部门审批和公安机关备案审查。

等级保护体系升级。主管部门在现有的技术规范基础上，通过陆续出台一系列的政策法规和更新的标准规范，进一步完善包括政策、标准、测评、技术、服务、关键技术研究和教育的等级保护体系。主管部门围绕等级保护体系构建起安全监测、通报预警、快速处置、态势感知、安全防范和精确打击等为一体的国家关键信息基础设施安全保卫体系。

扩展等级保护对象。将基础信息网络、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统以及公众服务平台等全部纳入等级保护范围中。

将被动防护转变为主动防护。在技术要求上，等保在安全管理中心、物理环境、通信网络、区域边界、计算环境共五个安全层面设置了控制点，并将可信验证应用纳入了等级保护，以进行更精准化地防护。

在管理要求方面，等保2.0对部分控制点进行了调整、合并，并特地强调了外部人员访问管理、漏洞风险管理等要求。主管部门在后续执行中，会采用细粒度测评结论分级的概念，体现不同系统的安全防护水平。

除了上述变化，等保2.0在以下方面未进行改变。

等保五个级别不变。包括用户自主保护级、系统保护审计级、安全标记保护级、结构化保护级和访问验证保护级。

等保五个重要环节不变。依旧围绕定级、系统备案、建设整改、等级测评和监督检查这五个环节开展工作。

等保主体职责不变。运营单位的等级保护职责、上级主管单位的安全管理职责、第三方测评机构的安全评估职责，以及网安对定级对象的备案受理及监督检查职责都没有变化。

网络安全等级保护是关键信息基础设施保护的基础。关键信息基础设施是等级保护制定的保护重点。网络运营者应当在第三级（含）以上保护对象中确定关键信息基础设施的范围。

张艳表示，除此以外，关键信息基础设施须按照网络安全等级保护制度要求，开展定级备案、等级测评、安全建设整改以及安全检查等工作。

不符合控制点要求的四大安全问题

基于安全事件的分析，张艳结合等保2.0的要求，详解了目前医疗行业的网络安全现状，以及存在哪些不合规的控制点安全问题。

一是计算环境安全措施缺失。访问控制、入侵防范、恶意代码防范、数据保密性、数据备份恢复、个人信息保护等方面都存在诸多不合规的问题。

其中，等保2.0新增了个人信息保护的要求，医疗行业系统同样仅允许采集和保存业务必需的用户个人信息。

二是网络通信安全措施缺失。网络架构方面，存在关键设备的业务处理能力不足、网络区域未划分和网络单链路设计的问题；在通信传输方面，缺少通信数据完整性保护措施。

三是区域边界安全措施缺失。区域边界强调的是边界防护、访问控制等要求，包括关键网络节点如何防止来自互联网或从内部网络的攻击行为。恶意代码检测缺失和审计机制缺失也是比较常见的。

最后是安全管理中心安全措施缺失。这一方面集中表现在系统管理的运行监控措施缺失、审计日志存储不满足要求，以及网络中安全事件发现处置措施缺失等。

安全防范的两点建议

有困难就要及时解决。在医疗行业系统，结合等保2.0，我们又该如何进行安全防范呢？对此，张艳提出了两点建议。

第一，加强技术和管理的融合。由于安全事件多发生在管理安全或数据交互场景中，所以需要通过技术方式来填补管理方面的缺失。另外，管理制度也能为技术设施提供多重保障。

第二，参照等保2.0“一个中心、三重保护”的要求，落实网络安全部等级保护各方面的安全要求，最大程度地发挥系统安全措施的保护能力。

此外，加强防范木马、新型网络的攻击，以及日常运维建设，满足包括双重鉴别、安全接入、统一集中管理，以及日志审计等多方面控制点的要求。通过加强主动防御、采用安全厂商的安全服务等来提升医疗行业的整体安全防护能力。