从等保合规的角度，探讨医疗信息系统如何抵御勒索病毒

等级保护，构筑医疗信息系统安全壁垒

因为医院拥有大量需要紧急使用的信息和数据，难以承受信息系统停止工作的影响，因此特别受到勒索病毒的“青睐”。如何抵御防不胜防的勒索病毒，医院的信息系统首先应从等级保护建设开始。

早在2011年，原卫生部就下发了《关于全面开展卫生行业信息安全等级保护工作的通知》，要求三级甲等医院的核心业务信息系统信息安全保护等级不低于第三级(第三级为安全标记保护级，它要求对访问者和访问对象指定不同安全标记，监督、限制访问者的权限，实现对访问对象的强制访问控制)，同时要求各医院于2015年12月30日前完成信息安全等级保护建设整改工作，并通过等级测评。

PS：其实早在2017年6月，省儿童医院信息系统通过了公安部国家信息安全三级等保，中心机房对勒索病毒做过防护措施，增加了安全补丁，但还是不幸中招。

在《网络安全法》和各政策的高压态势下，很多医院在信息化建设方面都非常重视，但不得不承认通过等保测评的医院数量仍差强人意，信息安全投入远远不够，存在很多风险，给各种勒索病毒可乘之机。

下面，详细说一下医疗信息系统三级等保实施的各项要素：

等保实施的方向主要体现在七方面，管理安全，数据安全及备份恢复，数据库，网络安全、物理安全和应用系统，还有主机设备。

物理方面：

1、电磁防护：电源线和通信线缆隔离铺设，避免相互干扰。

2、边界完整性检查和身份鉴别：应能够对内部网络中出现的内部用户未经允许私自联网的行为进行检查。(内网、用户名密码、电子签名、IP和mac和交换机端口绑定等)

主机方面：

1、当对服务器进行远程管理时，防止鉴别信息在传输过程中被监听。(管理制度完善、防止非法接入内网等、尽量少用远程管理、日志审计能对其操作进行详细的记录 )

2、采用校验码技术保证通信过程中数据的完整性。

3、采用密码技术进行会话初始化验证，应对敏感数据进行加密

机房方面：

1、应鉴别和记录出入人员。(指纹门禁、监控、机房管理制度)

2、机房划分区域进行管理，并有隔离装置，有防雷、自动灭火、空调、UPS、备用电源系统、防盗报警、防水检测和报警。(环境监测)

网络方面：

1、应避免将重要网络部署在网络边界处，重要网段之间采用可靠的技术隔离手段;能够对数据流提供允许和拒绝访问能力;能实现对 http、ftp、telnet、smtp等协议命令级控制(防火墙、网闸、访问控制列表)

2、应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、网络蠕虫攻击等，应在网络边界处对恶意代码进行检测和清除。(入侵检测、入侵防御、防病毒网关)

数据服务器方面：

1、能够根据数据进行分析并生成统计报表。应能对重要服务器进行监视，包括CPU、硬盘、内存、网络等资源的使用情况。(数据库审计、日志审计、环境监测)

2、应定期扫描系统等主要设备漏洞。(漏洞扫描)

备份方面：

1、应提供本地数据备份和恢复功能，完全备份至少每天一次，备份介质场外存储。

2、应提供异地备份功能，采用冗余技术设计网络拓扑结构，应提供核心网络设备、服务器等硬件冗余。

管理方面：

1、应委托第三方进行等保测评，并出具安全性测评报告;3级系统每半年进行一次，不合格及时整改。

2、应确保介质存放在安全的环境中，对各类介质进行控制和保护，并需专人管理。

3、应对通信线路、主机、网络和应用软件的运行状况、网络流量、用户行为等进行检测和报警，形成记录并妥善保存。(网管、数据库审计、日志审计、内网、入侵检测、漏洞扫描、环境监测、制度文档等)

4、应组织相关人员对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取相应措施。(数据库审计、日志审计、漏洞扫描、制度文档、入侵防御)

5、应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计、漏洞等进行集中管理，应定期检查违法安全策略行为，应根据安全策略允许或拒绝便携式或移动设备的网络接入。(防毒、补丁服务器、入侵检测、防病毒网关、内网管理、无线安全设备、主要设备IP地址和MAC地址绑定、管理规定等)

6、制定并贯彻落实医院信息安全管理制度，向所有医护人员定期强化信息安全的意识，从源头堵住人为造成的信息安全事件。