老百姓看病使用的医院APP应该如何进行等保测评

医药行业对保障工作的要求最早可以追溯到2011年原卫生部发布的《全面开展卫生行业信息安全等级保护工作的通知》，该通知要求三级甲等医院的核心业务信息系统信息安全保护等级不低于第三级(第三级为安全标记保护级，它要求对访问者和访问对象指定不同安全标记，监督、限制访问者的权限，强制访问访问对象)。

又至2018年，国家卫生健康委员会发布了《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》，对互联网医院的信息安全、人员资质、监管等进行了规范，规定了互联网医院必须通过等保三级测评。

在2019年8月12日，上海市卫健委还发布了《上海市互联网医院管理办法》，其中规定，互联网医院信息系统应根据《信息安全技术网络安全等级保护基本要求》第三级标准，每年进行测评，测评结果应提交系统年度测评报告。

“等待”对于互联网医院来说有多重要？回答：如果互联网医院只是等待保险，网络医院平台不能上线！

青莲网络为互联网医院提供了互联网医院信息系统过等保解决方案，以下是青莲网络为广州市一个中医信息系统所做的三级等保案例：

中医学信息系统与需求简介。

中医学信息系统包括了在阿里云内的医生信息、病人信息、诊疗信息、处方信息、电子病历信息、中药材信息、支付信息等，系统主要由数据服务器、内部用户终端、交换机、防火墙、数据库、操作系统等组成，在阿里云内属于信息部/云模式应用系统，具有系统的基本要素，其边界是网络边界，作为防火墙。依据用户的要求，本中医信息系统要求达到三级等保。

二、T5机房提供三个等值保解决方案。

“T5机房”为这一中医信息系统提供的三个等保解决方案包括：协助定级备案、开展等级评定、加强信息系统的安全服务、协助部署安全产品。终于，该中医信息系统获得了成功！本文着重论述了该中医信息系统存在的安全问题以及青莲安全加固和安全产品部署服务。由于只有加强安全措施，提高信息系统的安全防护能力，信息系统才能顺利通过等级测评，否则企业安全防护工作就是不到位。

通过对青莲的差距测量，该中医信息系统存在的安全问题如下：

1.区域安全界限。

在系统的网络边界上没有设置访问控制设备，无法保证数据通过受控接口进行通信。

2.安全审核。

本中医学应用系统实现了安全审计功能，审计范围覆盖每一个用户，对用户操作和异常记录进行了审核，但没有对用户登录、退出、增删改等情况进行审核。

3.安全计算环境-存取控制。

①中药应用系统存在特权用户admin，没有实现对中药用户的权限分离；

②中医应用系统没有设置安全标志功能；

③数据库服务器操作系统未对重要信息设置敏感标记，对此类信息资源进行保护；

④WEB服务器操作系统没有对重要信息设置敏感标记，对WEB信息资源进行保护。

鉴于信息系统中存在的安全问题，青莲等保技术专家提出，可以从主动防御体系的思路做安全建设，这涉及四道防线：

1.共同防线：检查预警。利用数据库漏洞产品对数据库的威胁进行检查分析，提出安全建议。

2.第二道防线：主动防御。透过资料库安全作业产品识别、作业审批、流程管理，防止非法作业；防止外来攻击破坏；同时做好内部防护，防止内部权限过大。

3.第三道防线：底线防守。

①避免批量恶意存取，对大量医疗信息进行告警控管，防止医疗数据的批量查询；

②数据库加密产品：防止医患数据泄漏“脱库”；

③数据库脱敏产品：医疗数据去隐私化，防止向第三方泄露真实数据。

4.第四道防线：事后追踪。采用数据库审计产品区分是外部威胁还是内鬼作案，可对安全事件进行责任追溯。

与此同时，青莲协助企业完成安全产品部署：

1.业务入口通过WAF+SSL证书，提供来自因特网的CC攻击、SQL注入、XSS跨站攻击、木马上传等各种web攻击，保证业务的可用性、机密性和安全性；

2.系统通过ECS自建Nginx到后台应用服务器的负载流量，并共享一个数据库；

3.云安全中心具备主机防毒、漏洞扫描、补丁补丁、密码防暴破解等功能，结合基于大数据安全分析，看安全状况；

4.通过数据库审计，对所有数据库会话行为进行审核和应用关联，及时发现非法操作；

5.ECS快照备份每天一次完成，数据库通过DBS实现异地备份；

6.堡垒机实现主机管理的双因素认证，统一操作管理入口，实现运营审计。