綠盟科技智慧安全3.0體系護航醫療行業網絡安全

近日，國家衛生健康委、國家中醫藥局、國家疾控局發布了《醫療衛生機構網絡安全管理辦法》（以下簡稱《辦法》），提出了醫療衛生機構網絡安全整體建設的目標和路徑，為醫療行業網絡安全保護指明了方向。

《辦法》是為加強醫療衛生機構網絡安全管理，促進“互聯網+醫療健康”發展，落實《基本醫療衛生與健康促進法》《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》以及網絡安全等級保護制度等有關法律法規標準。全文共六章三十四條，分為總則、網絡安全管理、數據安全管理、監督管理、管理保障、附則六個大章節。以等級保護為基礎，參照關鍵信息基礎設施保護，在網絡安全、數據安全、監督管理、管理保障提出了相應要求。重點保障關鍵信息基礎設施、網絡安全等級保護第三級及以上網絡以及重要數據和個人信息安全。

網絡安全建設分工

構建安全防控體系

《辦法》指出要建立防護、監測、處置、保障四個體系協同的綜合安全防控體系。

安全防護

落實網絡安全保護“實戰化、體系化、常態化”和“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的“三化六防”措施。

安全監測

加強業務連續性管理并持續監測網絡運行狀態。鼓勵三級醫院探索態勢感知平臺建設，及時收集、匯總、分析各方網絡安全信息，與國家及行業平臺對接。

安全處置

應將態勢感知、監督管理、安全檢查、應急處置、聯防聯控組成協同安全處置體系。

安全保障

通過統籌領導和規劃設計，將各級監管機構、醫療衛生機構、參與信息化建設單位與設備供應商作為全鏈條納入安全保障體系，在人才培養、安全培訓、經費支持等方面實現全方位保障。

醫療衛生機構網絡安全保護的關鍵點

網絡安全部分關鍵點

1） 落實等級保護制度、威脅情報、監測預警、應急處置、安全整改、關基崗位人員管理、容災備份、新技術應用、密碼安全、醫療設備安全、供應鏈安全管理、設備全周期風險評估等。

2） 細化了網絡安全管理制度：

成立網絡安全和信息化工作領導小組，由單位主要負責人任領導小組組長，每年至少召開一次網絡安全辦公會。

第二級以上網絡應在網絡安全保護等級確定后10個工作日內，公安機關備案，上報上級衛生健康行政部門。網絡撤銷或變更安全保護等級的，應在10個工作日內向原備案公安機關撤銷或變更，同步上報上級衛生健康行政部門。

檢測評估，第三級或第四級，每年至少一次開展網絡安全等級測評。第二級涉及10萬人以上個人信息的網絡應至少三年開展一次網絡安全等級測評，其他的網絡至少五年開展一次網絡安全等級測評。新建的網絡上線運行前應進行安全性測試。鼓勵三級醫院探索態勢感知平臺建設，及時收集、匯總、分析各方網絡安全信息。

5通過建立完善應急預案、組織應急演練等方式，有效處理網絡中斷、網絡攻擊、數據泄露等安全事件。

數據安全部分關鍵點

1）平衡數據安全和數據應用，建立健全數據安全和個人信息保護制度。

2）應首先對數據分類分級，在數據分類分級的基礎上采取數據加密、數據備份、數據脫敏等技術。

3）加強數據收集、傳輸、存儲、使用、交換、銷毀等全生命周期的安全防護。

監督管理部分關鍵點

1）應積極配合有關主管監管機構監督管理。

2）建立網絡安全事件通報工作機制，及時通報網絡安全事件。

管理保障部分關鍵點

1）落實人員、經費投入、安全保護措施，信息系統安全建設確保“三同步”。

2）新建信息化項目的網絡安全預算不低于項目總預算的5%。

綠盟科技智慧安全3.0體系保障醫療衛生機構網絡安全

綠盟科技基于多年的網絡安全實踐經驗，發布了智慧安全3.0體系，提出構建“全場景、可信任、實戰化”的安全運營能力，為醫療衛生機構信息系統網絡安全保駕護航。

全場景覆蓋

醫療衛生機構產生的醫療健康數據不僅是重要的生產要素，更是國家基礎性戰略資源。需要在貫徹落實《辦法》的基礎上進行重點保護。在綠盟科技智慧安全3.0體系中，“全場景”的概念不僅意味著可以覆蓋大數據、云平臺、物聯網、5G等新型基礎設施場景，還可以有效應對針對醫療衛生機構信息系統的人員鏈、業務鏈、供應鏈等因素引起的關聯式深度威脅。不管是來自信息系統外部攻擊，還是面向核心業務鏈的威脅，甚至是內部無意識地濫用，綠盟科技“全場景”安全防護，都可以保障客戶網絡安全的無死角覆蓋，保障醫療衛生機構信息系統的業務鏈安全。

可信任機制

《辦法》強調對重要數據和個人信息的保護，在傳統邊界安全保護的基礎上，需要通過采取身份鑒別、訪問控制、密碼保護、安全審計、可信驗證等關鍵技術來切實保護重要數據全生命周期安全。無論是針對數據的安全訪問機制問題，還是針對產品和服務的供應鏈保障問題，本質上反映的是對醫療衛生機構信息系統安全的一種信任需求。綠盟科技智慧安全3.0體系提出“可信任”的要求，就是從根本上回應運營者在信任層面的憂慮，推出了一系列面向醫療衛生機構信息系統的可信高質量的產品；通過對數據安全、零信任等技術的研究，證明了綠盟科技具備在數據安全可信方面的前沿技術能力。

實戰化保障

網絡空間安全的本質是攻防對抗，而對抗的核心是攻防兩端的能力較量，醫療衛生機構信息系統作為關基單位更是如此。《辦法》指出要建立防護、監測、處置、保障四個體系協同的綜合防控格局。在醫療衛生機構信息系統安全防御的陣地上，如何收斂資產暴露面，如何布設蜜罐誘捕，如何進行專項APT監測分析，如何系統全面地分析攻擊者的攻擊意圖、技術與過程，實現對網絡攻擊的誘捕、溯源、干擾和阻斷等多方面防御呢？綠盟科技智慧安全3.0體系提出“實戰化”的要求，作為檢驗安全技術與產品能力轉化的基本要求，面向醫療衛生機構開展圍繞態勢感知、威脅情報、監測預警、安全演練、安全運營等服務，以實戰為導向，幫助醫療衛生機構信息系統達到網絡安全“全面防護、智能分析和自動響應”的一體化防護效果。建立健全有力的網絡安全應急響應機制和攻防一體化的協同保障體系，將攻防對抗知識通過培訓賦能、演練驗證，全力提高醫療衛生機構信息系統應對重大安全事件的“韌性”，在發生重大事件時能夠實現由常態化安全運營向戰時應急的迅速轉換，達到平戰結合一體化。