導(dǎo)讀

CHIMA發(fā)布的《2019-2020年中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告》（公開(kāi)版）顯示，醫(yī)院信息安全建設(shè)的重要性日益凸顯。而作為醫(yī)院系統(tǒng)互聯(lián)互通關(guān)鍵樞紐的集成平臺(tái)，不僅承載醫(yī)療機(jī)構(gòu)內(nèi)部的大部分業(yè)務(wù)，還需要開(kāi)放接口給院外，和大量系統(tǒng)有千絲萬(wàn)縷的聯(lián)系。因此集成平臺(tái)的安全性倍受醫(yī)療機(jī)構(gòu)的重視。文章分為上下兩篇，上篇(即本篇)主要介紹了三級(jí)等保的重要性，并對(duì)集成平臺(tái)在三級(jí)等保測(cè)評(píng)中身份鑒別以及訪問(wèn)控制的要求進(jìn)行了詳細(xì)描述，下篇?jiǎng)t會(huì)對(duì)其余四點(diǎn)（備份和恢復(fù)、安全審計(jì)、通信完整性和保密性、入侵或惡意代碼防范）進(jìn)行探討。

為什么集成平臺(tái)需要三級(jí)等保

三級(jí)等保能夠衡量醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全保護(hù)管理措施和技術(shù)措施是否具備相應(yīng)的安全保護(hù)能力，能幫助醫(yī)院更好了解集成平臺(tái)安全狀況，排查其中的隱患和薄弱環(huán)節(jié)，并為監(jiān)管部門(mén)開(kāi)展監(jiān)督、檢查、指導(dǎo)等工作時(shí)提供參照。

2019年12月1日起實(shí)施的等保2.0對(duì)應(yīng)的最高國(guó)家政策是《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，要求醫(yī)療機(jī)構(gòu)依照“網(wǎng)絡(luò)安全法”履行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度測(cè)評(píng)工作。

近年來(lái)，多項(xiàng)國(guó)家規(guī)定中都對(duì)醫(yī)療機(jī)構(gòu)的三級(jí)等保建設(shè)提出了要求。

2016年發(fā)布的《三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)考評(píng)辦法》規(guī)定了重要業(yè)務(wù)系統(tǒng)必須達(dá)到等保三級(jí)標(biāo)準(zhǔn)才滿足三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)中對(duì)于網(wǎng)絡(luò)安全的要求。

2018年發(fā)布的《互聯(lián)網(wǎng)醫(yī)院管理辦法（試行）》規(guī)定了承載互聯(lián)網(wǎng)醫(yī)院的平臺(tái)必須通過(guò)等保三級(jí)測(cè)評(píng)。 

2020年發(fā)布的《國(guó)家醫(yī)療健康信息醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測(cè)評(píng)方案（2020年版）》新增對(duì)醫(yī)院核心業(yè)務(wù)系統(tǒng)（含平臺(tái)）完成三級(jí)等保備案和測(cè)評(píng)要求 (詳細(xì)內(nèi)容參見(jiàn)“集成平臺(tái)如何滿足醫(yī)院互聯(lián)互通第四、第五章測(cè)評(píng)要求”)。

……

集成平臺(tái)如何滿足三級(jí)等保的相關(guān)技術(shù)要求

集成平臺(tái)的三級(jí)等保要求每年開(kāi)展一次等級(jí)測(cè)評(píng)，得分為百分制，成績(jī)達(dá)到70分以上且無(wú)高危風(fēng)險(xiǎn)才基本符合要求（如圖1）。

圖1 等保測(cè)評(píng)結(jié)果參考

資料來(lái)源：騰訊安全

三級(jí)等保基本要求分為技術(shù)和管理兩大項(xiàng)共10小項(xiàng)（如圖2），其中和集成平臺(tái)相關(guān)的則是技術(shù)要求下屬的主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)這三項(xiàng)。

圖2 三級(jí)等保基本要求框架

資料來(lái)源：國(guó)家信息安全等級(jí)保護(hù)制度第三級(jí)要求 (標(biāo)黃部分與集成平臺(tái)相關(guān))

在這三項(xiàng)中，又有六點(diǎn)需要著重關(guān)注，分別是身份鑒別、訪問(wèn)控制、備份和恢復(fù)、安全審計(jì)、通信完整性和保密性以及入侵或惡意代碼防范, 本文將著重對(duì)身份鑒別及訪問(wèn)控制進(jìn)行探討。

1. 身份鑒別

測(cè)評(píng)關(guān)鍵點(diǎn)：口令強(qiáng)度、登錄失敗處理、鑒別信息防竊聽(tīng)、多重鑒別方式

1.1 口令強(qiáng)度要求：

醫(yī)院有時(shí)使用較為簡(jiǎn)單的口令或?qū)诹钸M(jìn)行復(fù)用，便于日常操作和記憶，然而這也是造成設(shè)備被攻陷的最常見(jiàn)原因。據(jù)報(bào)告顯示，勒索病毒最為流行的攻擊手段就是RDP弱口令滲透（占全部勒索事件的61%）。這里的口令指的是日常登錄系統(tǒng)界面時(shí)所填寫(xiě)的登錄密碼（即password，以下為方便理解統(tǒng)稱為密碼）。

三級(jí)等保也對(duì)身份鑒別信息具有復(fù)雜度要求。關(guān)于密碼復(fù)雜度可以參考下列算法（如圖3），該算法共分0-4級(jí)，根據(jù)提供的密碼來(lái)計(jì)算出統(tǒng)計(jì)學(xué)角度需要多少次試錯(cuò)可以猜出密碼信息，從而判斷密碼的強(qiáng)度等級(jí)。而在醫(yī)院集成平臺(tái)建設(shè)的場(chǎng)景中，建議強(qiáng)度達(dá)到2等，即試錯(cuò)次數(shù)需要達(dá)到109量級(jí)才能被破解。

圖3 密碼強(qiáng)度

醫(yī)院在實(shí)施過(guò)程中，可以設(shè)置字符長(zhǎng)度限制，并通過(guò)數(shù)字、符號(hào)、大小寫(xiě)字母混用等方式提升密碼強(qiáng)度。

集成平臺(tái)也應(yīng)提供規(guī)則校驗(yàn)，輔助用戶設(shè)置出強(qiáng)度較高的密碼。

1.2 登錄失敗/登錄超時(shí)處理：

除了增加密碼復(fù)雜度，集成平臺(tái)也需要具有登錄失敗或登錄超時(shí)處理功能，并能通過(guò)修改配置進(jìn)行更改，例如連續(xù)登錄失敗達(dá)到3次就鎖定賬號(hào)，需要等待一定時(shí)間才能再次登錄；登錄超時(shí)處理則是當(dāng)?shù)卿浐笪催M(jìn)行操作超過(guò)一定時(shí)間（如30分鐘），系統(tǒng)會(huì)自動(dòng)登出的措施。

1.3 鑒別信息傳輸：

醫(yī)院通常采用HTTP協(xié)議進(jìn)行登錄，然而這會(huì)使鑒別信息明文傳輸，一旦在傳輸途中被竊聽(tīng)或截取，信息就會(huì)直接暴露。

建議集成平臺(tái)可默認(rèn)支持訪問(wèn)443端口，采用HTTPs實(shí)現(xiàn)加密傳輸，保證鑒別信息傳輸過(guò)程中數(shù)據(jù)安全。

1.4 多種鑒別方式：

多數(shù)醫(yī)院僅采用用戶名+密碼方式進(jìn)行身份鑒別，一旦被攻破就沒(méi)有其它防御措施，因此三級(jí)等保也要求系統(tǒng)“應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。”

集成平臺(tái)可通過(guò)客戶端服務(wù)端雙向SSL證書(shū)驗(yàn)證，外加用戶名密碼組合的身份鑒別技術(shù)來(lái)實(shí)現(xiàn)該項(xiàng)等保要求。SSL客戶端服務(wù)端雙向證書(shū)驗(yàn)證功能對(duì)用戶Web管理界面提供了網(wǎng)絡(luò)層的身份鑒別保證，只有安裝了有效客戶端證書(shū)的瀏覽器才能夠正常訪問(wèn)Web管理界面，在打開(kāi)Web管理界面后用戶仍需要輸入用戶名和密碼進(jìn)行二次身份鑒別。

集成引擎應(yīng)可實(shí)現(xiàn)客戶端服務(wù)端雙向SSL證書(shū)驗(yàn)證：

a. 生成客戶端和服務(wù)端的CA證書(shū)；

b. 安裝服務(wù)端證書(shū)到引擎服務(wù)器內(nèi)；

c. 安裝客戶端證書(shū)到客戶端的瀏覽器內(nèi)。

2. 訪問(wèn)控制

測(cè)評(píng)關(guān)鍵點(diǎn)：默認(rèn)賬戶調(diào)整、賬戶權(quán)限管理

2.1 默認(rèn)賬戶：

在進(jìn)行三級(jí)等保測(cè)評(píng)過(guò)程中，一個(gè)常見(jiàn)問(wèn)題就是醫(yī)院系統(tǒng)的默認(rèn)賬戶Admin長(zhǎng)期存在且密碼未更改。由于醫(yī)院一般都會(huì)將默認(rèn)賬戶作為具備一定權(quán)限的管理賬戶進(jìn)行使用，一旦泄露干系甚大。因此三級(jí)等保要求此類默認(rèn)賬戶必須要重命名，并且修改默認(rèn)賬戶的初始密碼。集成平臺(tái)也應(yīng)支持并提示用戶在首次登錄時(shí)直接修改密碼。

2.2 權(quán)限管理：

除了修改默認(rèn)賬戶名稱和三級(jí)等保要求系統(tǒng)應(yīng)具備各賬戶的權(quán)限管理和控制功能，針對(duì)不同崗位的管理員，盡可能授予管理員所需的最小權(quán)限。而集成平臺(tái)除了設(shè)置管理員和監(jiān)控員外，還應(yīng)建立審計(jì)員角色，并根據(jù)業(yè)務(wù)需要設(shè)置各帳戶的權(quán)限，實(shí)現(xiàn)管理用戶權(quán)限分離。

結(jié)語(yǔ)

三級(jí)等保測(cè)評(píng)中，除了身份鑒別和訪問(wèn)控制，其余需要關(guān)注的四點(diǎn)（備份和恢復(fù)、安全審計(jì)、通信完整性和保密性、入侵或惡意代碼防范）對(duì)集成平臺(tái)又提出了什么要求，集成平臺(tái)又需要提供哪些技術(shù)支撐？這些都將在“下篇”逐一探討，敬請(qǐng)期待。

（未完待續(xù)）

參考資料：

集成平臺(tái)如何滿足醫(yī)院互聯(lián)互通第四、第五章測(cè)評(píng)要求