2018年4月27日-28日,由中国疾控中心、中国信息通信研究院主办,中国疾控中心慢病中心、中国信息通信研究院云计算与大数据云研究所、中国通信标准化协会慢性病防控信息技术委员会承办、CloudBest和大健康派协办的"第四届中国慢性病与信息大会"在北京盛大召开。
4月28日,“健康智能终端发展与应用”分论坛正式召开,中国信通院云大所高级业务主管逄淑宁在现场进行《卫生行业信息安全等级保护测试评估》精彩分享。
中国信通院云大所高级业务主管逄淑宁
演讲内容如下:
逄淑宁:各位领导、来宾,大家好!今天我跟大家分享的内容是“卫生行业信息安全等级保护测试评估”,包括卫生行业面临的一些信息安全形势,信息安全等级保护测试评估的内容,以及新技术新业务给信息安全等级保护测评带来的一些新的变化。
首先,我们来看一下目前医疗健康领域发展的一个新的形势,近些年来,随着互联网与医疗健康领域的融合创新不断深入,新的技术和产业生态不断构建。智能健康穿戴式设备、VR设备以及智能康复辅助设备、手术机器人等新型的智能医疗设备逐渐在医疗健康中得到应用。在网络侧像5G等宽带移动网络和医疗健康领域的融合也是重要的行业应用方向之一。在应用支撑侧,云计算、大数据、人工智能、区块链等新的技术与医疗领域进行融合,也是不断的支撑健康管理、远程手术、临床辅助诊断等新的智能化应用的快速发展。医疗卫生行业在创新发展的同时,信息安全威胁也是越来越多样,包括终端、网络、系统应用和个人信息数据等各个环节都会面临一些新的安全威胁,安全形势也是日趋严峻。比如,像年初在医疗领域国内的医院服务器遭受了勒索病毒的攻击,严重的影响了医院正常就医的秩序。
具体来说,智能健康终端设备在医疗健康领域的应用之后会带来一些隐私泄露、远程控制方面的一些风险,比如说医疗健康设备可能会秘密的收集和上传用户的一些数据,有的健康设备在传输过程中没有加密,容易被截取。在网络方面,通讯网络的服务质量关系到远程医疗的服务安全,远程服务医疗它依托的网络链路质量将会严重影响了上层业务的业务质量,甚至会造成一些漏诊、误诊等医疗事故。在系统应用方面,医疗健康信息系统目前正成为网络攻击的一些重灾区,从测试数据来看,目前一些医疗信息系统还普遍存在SQL注入、安全漏洞的等问题。此外,在个人信息方面医疗健康的个人信息泄露事件也是频繁发生,黑色产业链也在成型。比如说,安全网站曾经爆出一些体检机构的漏洞,会泄露一些用户的身份数据等隐私的信息,因为医疗健康的数据价值比较高,安全机制弱会成为一个主要的攻击原因。
目前国家高度重视网络信息的安全,去年正式颁发的《网络安全法》明确提出了国家要实行网络安全等级保护制度,要求网络运营者要按照网络安全等级保护制度的要求履行相应的安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被篡改、窃取等等。此外,行业监管部门也提出了一些相关的信息安全要求,卫健委发布的《卫生行业信息安全等级保护工作的指导意见》,依据国家安全等级保护制度在卫生行业全面开展信息安全等级保护备案、测评整改等工作,其中这个要求里也提出像卫生统计的系统、传染疾病报告的系统、医院核心的业务信息系统等,这些重要的卫生信息系统安全保护等级要不低于第三级。
信息安全等级保护是指对信息系统分等级实行安全保护,对信息中使用的信息安全产品实行按等级管理,对信息系统发生的安全事件分等级进行响应处置。具体来说,信息安全等级保护工作有五项规定动作,一是信息定级,对信息系统安全等级保护级别进行明确,二是系统备案,定级信息系统需要在上级主管部门和属地公安进行备案,三是建设整改,根据相应的国家标准运营者对这个系统进行相应的安全加固和改进。四是等级测评,邀请具有信息安全等级保护测评资质的测评机构进行安全等级保护,五是对安全等级保护进行监督检查。
系统定级备案这个过程,系统运营者要依据定级指南确定系统信息安全的保护等级。定级方法包括对系统的业务信息安全等级进行明确,对系统服务安全等级进行明确,综合两者安全情况确定一个信息系统安全保护等级,整个等级分为一到五级,通常大多数信息系统一般是在第二级或者第三级比较常见。定级备案之后,需要开展等级测评,这个需要选择符合国家规定条件的测评机构,对系统开展等级测评,三级以上的系统要求每年要开展一次等级测评的工作。测评机构在等级测评的时候,一般包括几个过程,首先是测评准备,然后对测评方案进行编制,现场进行测评的实施,最后会根据测评结果分析得出测评的结论。
测评机构采用等级测评的方法通常包括三种:一个是访谈,这个主要是通过跟信息系统相关人员进行有目的地交流得到一些证据,然后是检查,这个主要是对测评过程中涉及到的一些安全文档的检查,系统的一些安全配置方面的检查等这些工作进行检查。此外,也有使用一些专门的测试工具,对系统进行安全测试,通过测试得出证据。测评实施的内容主要是依据相应的国家标准,包括《信息安全等级保护测评要求》和《测评过程指南》,按照国家标准对信息系统进行逐项的合规性检测,包括对技术要求方面的检测,也包括管理方面的要求检测。具体来说,技术方面的安全检测又包括物理安全、网络安全、主机安全、应用安全、数据安全等五个层面。安全要求包括安全管理制度、安全管理机构、人员的安全管理、系统建设的管理、系统运维的管理这几个层面进行测评。以一个典型的三级系统为例,整个测评内容包括290多项测评项。测评之后会对测评数据进行整理,得出一个测评结论,测评结论主要包括符合和基本符合、不符合,一般是在基本符合,如果系统存在高级安全风险的话是不符合要求。
目前随着移动互联网、云计算、大数据等技术在互联网医疗健康中的应用,医疗健康行业对等级保护测评也提出了一些新的要求,目前国家也是针对新的技术发展形势,也在制定等级保护相关新的技术标准和检测标准,目前等级保护已经进入到2.0的时代,这个主要是重点解决云计算、移动互联、物联网、大数据这些方面的安全问题。
新标准下的等级保护测评主要发生的变化是较旧版本的测评标准,增加了一些内容,主要是在安全测评通用要求的基础上增加了一些安全测评的扩展要求,安全测评的通用要求不管等级保护对象是什么样的,均都要使用通用的要求。安全扩展要求是针对云计算、移动互联、物联网等这些方面提出了一些特殊的安全测评要求。这里边以一个云计算平台测试为例,它既需要使用安全测评的通用要求,此外,又要同时使用云计算安全测评的扩展要求对信息系统的安全等级情况进行测评验证。
新形势下,测评对象也发生了一些变化,由原来传统的计算机信息系统扩展到了包括云计算的平台、使用移动互联技术的信息系统等这些方面。
测评内容也相应的发生了一些变化,这里同样是以一个云计算平台的测试内容为例,在物理和环境方面基本上跟原来没有太大的变化,主要是机房和基础设施方面的一些要求,但是像网络和通信方面就增加了虚拟化网络、结构网络设备、虚拟化安全设备等方面的要求。同样在设备各计算安全方面也增加了虚拟机、云计算的管理平台等方面的要求,应用方面也增加了云应用方面有针对性的安全要求。
相应的测评实施数量也是在大幅的增加,这里面以安全测评的通用要求为例,刚才提到旧版本的测评一个典型的三级系统大概是约300项的测试内容,但是这里新版本的测评标准针对一个典型的三级系统安全测评通用要求细化到了400多项测评内容。此外,测评报告内容也会发生相应的变化,除了体现安全通用要求方面的一些测评结论,也会增加安全扩展方面的测评结论。
最后,简单地总结一下中国信通院的情况,我们中国信通院是信息通信领域的国家级科研机构,我们也获得了国家级的等级保护测评机构的资质,我们也希望跟卫生医疗行业的机构一起合作,共同推动行业健康发展。谢谢大家!
【中国IDC圈原创,未经授权禁止转载】