这是专访上海市卫计委信息中心副主任曹剑峰的上篇,曹剑峰从多个角度解读了我国信息安全等级保护的1.0时代与2.0时代。

2.0出世

与国家宏观科技战略呼应

我国信息安全等级保护大致可以分为1.0阶段和2.0阶段。

1994年,国务院颁布《中华人民共和国计算机信息系统安全保护条例》,“按等级保护”的工作思路被首次提出。其后,公安部在2005年连续发布《等级保护安全要求》《等级保护定级指南》《等级保护实施指南》《等级保护测评准则》,公安部、国家保密局、国家密码管理局、国家信息化工作办公室在2006年发布“关于印发《信息安全等级保护管理办法(试行)》的通知”(公通字[2006]7号文件),这些文件为信息系统等级保护制定了方法、标准,共同形成等级保护的基本理论框架,2007年6月,上述四部委正式签发《信息安全等级保护管理办法》(公通字[2007]43号文件),根据信息系统受到破坏后对公民、法人、社会秩序、公共利益造成损害的轻重,将信息系统的安全保护等级分为五级。至此,信息安全等级保护1.0阶段发展完成,依据上述文件,医疗行业信息系统安全应遵循第三级信息系统等级保护相关规定。

2.0阶段的开启,始于2016年发布的“《安全通用要求以及云计算、移动互联、工业控制、物联网等扩展要求》征求意见稿”,2017年6月1日起《中华人民共和国网络安全法》正式发布实施,有媒体解读,作为我国第一部全面规范网络空间安全管理的基础性法律,这是中国建立严格的网络治理指导方针的一个重要里程碑。由此开始,我国信息安全等级保护进入网络安全等级保护时代,随着云技术、物联网等技术在医疗行业越来越深入的应用,医疗行业网络信息安全也越来越重要。

关于医疗设备安全的一二

曹剑峰

一直以来,医疗设备的信息安全都格外值得关注,尤其在数字化时代推动下,作为医院基础设施的医疗设备正在成为医疗行业面临的最大威胁:面对黑客攻击,医院可能无法保护患者医疗信息,黑客甚至可以从外部操控系统导致临床操作中断,使患者安全受到威胁。

曹剑峰认为:“数字医疗设备成为构建网信空间的元件,网信安全是数字化医疗的基石。”

一方面,网信安全责任既在用户手中,也在设备供应商手中——用户要承担相应的安全责任,而设备供应商则应该具备完善的设备安全方案,配合用户的安全策略,并通过远程维护等方式给予支持。

另一方面,网信安全文化建设对数字化医疗各方参与者来说都很重要,其重要性体现在理念对行为的指导作用上。设备的部署、应用和维护有赖于设备供应商与用户从人员、程序、安全研发生命周期、安全基础设施等角度共同努力。从产品到服务,设备供应商应强调网信安全文化,遵循医疗行业适用的网络信息安全标准,并将设备的安全控制点和隐患点告知用户,便于用户设计实施安全策略,持续升级安全方案。

2017年,原国家食品药品监管总局制定颁布了《医疗器械网络安全注册技术审查指导原则》,以医疗器械数据安全为核心主要关注产品级的技术保证措施。根据这份文件要求,医疗器械网络安全防护层级包括产品级(即医疗器械产品自身)和系统级(即医疗信息技术网络),保证措施包括管理措施(如使用规范等)、物理措施(如防盗措施等)和技术措施(如加密技术等)。医疗器械网络安全能力包括对网络安全威胁的识别、防护、探测、响应、恢复的能力。医疗器械对网络安全威胁应当具备相应识别、防护能力,而由于预期用途、使用环境的限制,医疗器械对网络安全威胁的探测、响应、恢复能力应当与其产品特性相适应。

上海市卫计委信息中心副主任曹剑峰在采访中指出,1.0阶段和2.0阶段的区别可以从三个方面来看。

01 名称和体系的变化

1.0阶段注重信息系统的安全等级保护,2.0阶段则从信息系统安全保护升级到网络安全保护,与国家网络安全空间战略遥相呼应。

02 保护对象的变化

2.0阶段的保护对象主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络和大数据等。

03 测评内容的变化

主要体现在控制措施分类结构的变化、重点关注内容的变化、控制点和要求项的变化三项上。在测评实施时,要重点关注:

(1)数据的完整性和保密性;

(2)网络和通信安全——不仅要防范从外到内的网络攻击,也要防范从内发起的网络攻击,注重对网络行为的分析;

(3)对分布网络中的安全设备或安全组件进行集中管控;

(4)增加“个人信息保护”控制点。

在实际定级过程中,“按原国家卫计委的要求,所有区域平台及三级医疗机构都要按等级保护三级及以上来定级,但是现在则引进如公安系统等第三方审查机制对医院信息安全进行定级。”据曹剑峰介绍,医院在信息安全等级保护定级中将来可能会引进如“极端渗透性测试”,以测试医院内、外网对抗网络攻击的能力。

“原来的信息安全保护更多地从数据、信息模型方面提出指导,而2.0增加了网络空间概念,把互联网层面的云、大、物、移等全部囊括进去。不少医院都在探索上‘云’,不论是简单的云上存储,还是进行虚拟化平台整合,有相应的安全标准可以遵循和衡量,对医院数据安全是一个利好。”曹剑峰认为,从1.0到2.0,政策指导实现了从具体的微观操作层面到宏观空间层面的跨越和升级,这为医院信息化安全建设带来了更多挑战,但是也非常符合目前医院信息化发展趋势。

医院信息安全建设面临重大转型,应该从哪些方面着手?欢迎关注明天的推送:从1.0到2.0,医疗行业的信息安全如何升级?(下篇)

声明:本文来自e医疗,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。