基于等保2.0标准的互联网医疗系统三级等保测评实践探索

【摘要】依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019），探讨互联网医疗服务系统的网络安全等级保护测评步骤，发现其中的问题并提出相应的解决方案。旨在探索网络安全等级保护2.0体系的医院信息安全建设，提升医院信息安全保障能力，保障医院基于互联网的信息系统安全稳定运行。

【关键词】信息安全；等级保护；医院管理；互联网医疗

近年来，随着国务院办公厅发布了《关于促进“互联网+医疗健康”发展的意见》等文件，国家不断推进“互联网+医疗健康”的发展，医院基于互联网建设信息系统的需求不断增加。与此同时，未来智慧医院的快速发展所带来的安全问题也日趋明显，互联网+医疗存在诸多的信息系统安全风险。

自2017年6月1日起，《中华人民共和国网络安全法》正式施行，对于网络安全的管理要求上升到一个新的高度。

1三级医院网络安全等级保护的基本要求

2011年，原国家卫生部针对医疗信息行业印发了《卫生行业信息安全等级保护工作的指导意见》，要求落实国家信息安全等级保护制度，三级甲等医院核心业务保护等级不低于第三级。医院信息安全等级保护体系主要包括安全技术和安全管理两方面，技术类和管理类共涉及10大类290余项控制标准。2019年，《信息安全技术网络安全等级保护基本要求》（GB/T

22239-2019）的正式颁布实施，标志着等保2.0时代正式到来，网络与信息系统安全的重要地位日益突出。《信息安全技术网络安全等级保护基本要求》在原有的《信息系统安全等级保护基本要求》基础上又增加了云计算、互联网、大数据等对象的信息安全建设要求）。

按照等保2.0的相关要求，信息系统在建设前需要按照等级保护相应等级进行安全建设方案的设计，并根据安全建设方案进行开发，系统上线前还需要进行安全性测试，如密码类测试、第三方软件的源代码审计等。

2互联网医疗服务系统的建设背景

北京医院互联网医疗服务系统（互联网医院）于2018年上线，依托实体医院丰富的医疗资源和技术实力，以云平台作为服务载体，已成为一个包含智能导诊、在线建卡、预约挂号、院内导航、排队候诊、报告查询、门诊缴费、在线咨询、视频门诊、健康宣教等业务功能在内的线上线下一体化的医疗服务平台，实现电脑、手机、iPad多终端全场景的应用，满足患者多样化的健康需求。互联网医疗服务系统，根据“统一平台、数据共享、服务闭环”的建设模式，将应用系统架构设计分为门户展现层、业务应用层、公告服务层和数据服务层4个基础层级，为患者提供线上医疗健康服务。

系统在混合云隔离区（demilitarized zone,DMZ）部署相关前置服务器及代理服务器，在北京医院私有云内部部署相关应用服务器、数据库服务器及数据库。系统部署架构见图1。

互联网医院作为面向社会公众服务的信息系统，日常提供建卡、挂号、在线诊疗、缴费、查询报告等功能，与医院核心业务系统（如HIS、电子病历等）具有频繁的数据交互，随着业务功能不断优化完善，版本也会定期发生迭代。该系统内存有大量的用户敏感个人信息、诊疗信息、支付结算信息等，极易作为攻击者的攻击目标。

3互联网医疗服务系统三级等保测评实践

医院网络安全等级保护测评流程包括5个部分：定级、备案、整改、测评、自查与配合监察。其中测评环节需要聘请第三方有专业资质的机构进行。

北京医院混合云平台为互联网医院提供了部署环境，前期已通过了三级等保定级备案和测评。互联网医疗服务系统作为云平台上的医疗业务系统需单独进行定级备案。

3.1系统定级

互联网医疗服务系统包含了大量的患者个人信息、诊疗信息等，根据《信息安全技术网络安全等级保护定级指南》，确定该系统的业务信息安全保护等级和系统服务安全保护等级均为第三级。因此，互联网医疗服务系统的安全保护等级为第三级。

3.2专家评审和备案

按照等级保护的相关要求，医院组织院外信息安全专家和医院信息化建设专家对定级情况进行了现场评审，并向北京市公安局提交了相关备案申请资料，最终获得了北京市公安局颁发的《三级等保备案证明》。

3.3预测评

医院通过公开招标的方式，从国家网络安全等级保护工作协调小组办公室推荐测评机构中遴选了一家专业测评机构，负责该系统的预测评和正式测评工作。

测评机构进行了为期2周的预测评，主要内容包括安全配置检查、渗透测试等方面，测试结果发现了不安全的HTTP方法、Tomcat版本泄露、账号枚举、暴力破解、 SQL注入等安全漏洞；此外，对于互联网医院App进行了数据安全、程序安全、业务安全、环境安全等方面的测试，测试结果发现了高风险6个、中风险9个、低风险6个。

3.4整改

测评机构按照三级等保的要求，针对身份鉴别、访问控制、入侵防御、数据保密、恶意代码防范、第三方软件管理、测试管理、上线管理等方面进行了详细的整改。

3.5申请正式测评

此阶段由测评机构驻场完成，针对等保测评方案中关于技术和管理两大类控制项进行评分，评分结果分为全部符合、部分符合、不符合、不适用。将所有测评项结果汇总分析，最终得分90.75分，通过三级等保正式测评。

4经验总结

随着互联网应用的不断扩展，很多原来存储在内网的医疗业务数据不可避免地暴露在互联网上，极易作为非法攻击者攻击获利的目标。为了保障本信息系统的正常运行，切实维护患者利益，降低数据泄露风险。本次针对互联网医疗服务系统三级等保测评的整体过程，总结了如下经验。

在互联网医疗服务系统开发和测试期间，对其部署环境和软件按照网络安全等级保护相关标准进行了安全基线统一配置、渗透测试、漏洞扫描以及源代码审计等安全测试，并对App、小程序进行安全加固，从基础设施、应用系统及其代码层面多维度进行安全测试检查，满足三级等保合规的同时尽最大力度进行了风险隐患排查，同时针对发现的安全风险进行安全整改，并在互联网医疗系统改版过程中持续进行相关测试。

互联网业务连续性要求较高，需7×24h不间断运行，每日有大量患者访问，攻击者使用DDOS攻击手段，借助每日大量患者访问的情况发动大量的访问请求，影响基础设施以及系统本身的处理能力，以致影响业务的正常运行。为防范上述问题，医院在互联网边界处采购CDN服务以及抗DDOS服务，对流量进行实时清洗以及DDOS攻击的防护。

互联网医疗服务系统App面向的是患者群体，账户弱口令和超时登录2个高风险漏洞是比较普遍的。用户如果长时间没有退出，也容易存在被植入远程操控木马的风险。针对暴力破解漏洞，可通过使用强口令，设置WordPress网站限制登录尝试，通过P限制进入wp-admin和wp-login等形式进行漏洞修复或降低风险。

未授权访问漏洞是在攻击者没有获取到登录权限或未授权的情况下，或者不需要输入密码，即可通过直接输入网站控制台主页面地址，或者不允许查看的链接便可进行访问并进行非法操作。在互联网医院系统中，加入用户身份认证机制或者token验证，对系统重要功能点增加权限控制，对用户操作进行合法性验证，防止入侵者直接通过链接就访问到用户的功能进行操作。

此外，互联网医疗服务系统中存储了大量的患者信息、医生信息、就诊信息、支付信息等敏感信息。为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》的要求，互联网医疗服务系统整体数据传输均采用加密信道，仅采集互联网医疗服务系统所需信息，不会多收集患者个人信息。

在网络安全防护方面，部署综合日志审计、数据库防火墙、数据库审计设备，加强对于数据的采集、调用、传输、使用以及销毁的全流程操作的记录。未来对于用户端使用过程的审计也应该在考虑范围之内。

5讨论

5.1树立网络安全防护意识，加强人员培训

在医院不断推进互联网+医疗健康应用、探索智慧医院建设的过程中，对于内外网数据交互、线上线下数据共享的需求越发迫切。但与此同时，可能存在的安全风险也随之增加。《国家健康医疗大数据标准、安全和服务管理办法（试行）的通知》中针对信息保护、安全管理等内容进行了详细的规定，明确指出各责任单位应当按照国家网络安全等级保护制度要求，构建可信的网络安全环境，加强健康医疗大数据相关系统安全保障体系建设。未来应制定和完善安全管理制度和应急操作规范，形成常态化的管理机制，加强对人员的安全培训，增强网络安全防范意识和防范能力，探索智慧医院发展与信息安全保障的平衡体系。

5.2加强系统建设前期的防护部署

本次互联网医疗系统三级等保备案和测评历时近2个月的时间，依据《信息安全技术网络安全等级保护基本要求》的测评流程和标准，借助测评机构的专业技术能力，全面系统地分析医院信息系统和网络安全现状，对医院物理安全、网络安全、主机安全、管理体系等进行了梳理和完善，并对应用系统的安全建设能力进行了一次查漏补缺。

医院信息化建设经历了不同阶段的发展过程，信息系统上线时间先后差别较大，系统安全防护能力参差不齐。未来信息系统在建设时，应该充分结合网络安全等级保护2.0的具体要求，在建设初期就把网络安全的标准制定好，提升系统安全防护能力，保证系统运行稳定性。

5.3加强对第三方人员的安全管理

除了针对信息系统本身的安全防护之外，日常的安全操作规范也格外重要。针对互联网医院前端和后台的操作均应进行日志的记录，统一发送至日志审计平台进行日志审计，在满足《中华人民共和国网络安全法》以及等级保护中关于日志留存不少于6个月要求的基础上进行全方面的审计工作，便于对异常行为的检测与溯源工作的开展。第三方运维人员以及开发人员进行操作时，应通过堡垒机账户的权限划分，保障运维人员与开发人员的分离，防止越权行为产生，满足等级保护中关于三权分立的要求。此外，通过与第三方人员签订保密协议等方式，规范相关人员的管理并记录存档。应急预案等重新评估并修订完善，形成常态化的循环工作机制。

原文详见https://pan.baidu.com/s/1keKWsE4waoKLlAsu0RtzTw?pwd=8o8x

Doi：10.3969/j.issn.1673-7571.2022.3.021