2018年4月27日-28日，由中國疾控中心、中國信息通信研究院主辦，中國疾控中心慢病中心、中國信息通信研究院云計算與大數據云研究所、中國通信標準化協會慢性病防控信息技術委員會承辦、CloudBest和大健康派協辦的"第四屆中國慢性病與信息大會"在北京盛大召開。

4月28日，“健康智能終端發展與應用”分論壇正式召開，中國信通院云大所高級業務主管逄淑寧在現場進行《衛生行業信息安全等級保護測試評估》精彩分享。

中國信通院云大所高級業務主管逄淑寧

演講內容如下：

逄淑寧：各位領導、來賓，大家好！我來自中國信息通信研究院的逄淑寧，今天我跟大家分享的內容是“衛生行業信息安全等級保護測試評估”的內容。首先，介紹衛生行業面臨的一些信息安全形勢，之后，會重點介紹一下信息安全等級保護測試脛骨的內容，最后，給大家介紹一下云計算、大數據等新技術、新業務，給信息安全等級保護測評帶來的一些新的變化。

首先，我們來看一下目前醫療健康領域發展的一個新的形勢，近些年來，隨著互聯網與醫療健康領域的融合創新不斷深入，新的技術和產業生態不斷構建，智能健康穿戴式設備、VR設備以及智能康復輔助設備、手術機器人等新型的智能醫療設備逐漸在醫療健康中得到應用，在網絡側像5G等寬帶移動網絡和醫療健康領域的融合也是重要的行業應用方向之一。在應用支撐側，云計算、大數據、區塊鏈等新的技術與醫療領域進行融合，也是不斷的支撐智能的健康管理、遠程手術、臨床輔助診斷等新的智能化應用的快速發展。醫療衛生行業在創新發展的同時，信息安全威脅也是越來越多樣，包括終端、網絡、系統應用和個人信息數據等各個環節都會面臨一些新的安全威脅，安全形勢也是日趨嚴峻。比如，像年初在醫療領域國內的醫院服務器遭受了勒索病毒的攻擊，嚴重的影響了醫院正常就醫的秩序。

具體來說，智能健康終端設備在醫療健康領域的應用之后會帶來一些隱私泄露、遠程控制方面的一些風險，比如說醫療健康設備可能會秘密的收集和上傳用戶的一些數據。有的健康設備在傳輸過程中沒有加密，容易被截取。在網絡方面，通訊網絡的服務質量關系到遠程醫療的服務安全，遠程服務醫療它依托的網絡鏈路質量將會嚴重影響了上層業務的業務質量，甚至會造成一些漏診、誤診等醫療事故。

在系統應用方面，醫療健康信息系統目前正成為網絡攻擊的一些重災區，從測試數據來看，目前一些醫療信息系統還普遍存在SQL注入、安全漏洞的等問題。此外，在個人信息方面醫療健康的個人信息泄露事件也是頻繁發生，黑色產業鏈也在成型。比如說，安全網站曾經爆出一些體檢機構的漏洞，會泄露一些用戶的身份數據等隱私的信息，因為醫療健康的數據價值比較高，directadmin安裝，安全機制弱會成為一個主要的攻擊原因。

目前國家高度重視網絡信息的安全，去年正式頒發的《網絡安全法》也明確提出了國家要實行網絡安全等級保護制度，要求網絡運營者要按照網絡安全等級保護制度的要求履行相應的安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被篡改、竊取等等。

此外，行業監管部門也提出了一些相關的信息安全要求，衛計委發生的衛生行業《信息安全等級保護工作的指導意見》，依據國家安全等級保護制度在衛生行業全面開展信息安全等級保護備案、測評整改等工作，其中這個要求里也提出像衛生統計的系統、傳染疾病報告的系統、醫院核心的業務信息系統等，這些重要的衛生信息系統安全保護等級要不低于第三級。

信息安全等級保護是指對信息系統分等級實行安全保護，對信息中使用的信息安全產品實行按等級管理，對信息系統發生的安全事件分等級進行響應處置。具體來說，信息安全等級保護工作有五項規定動作，一是信息定級，對信息系統安全等級保護級別進行明確，二是系統備案，定級信息系統需要在上級主管部門和屬地公安進行備案，三是會根據相應的國家標準運營者對這個系統進行相應的安全加固和改進。四是等級測評，要求具有信息安全等級保護測評資質的測評機構進行安全等級保護，五是對安全等級保護經過進行監督檢查。

系統升級備案這個過程，系統運營者要依據定級指南這個確定確定信息安全的保護等級。定級方法包括對系統的業務信息安全等級進行明確，對系統服務安全等級進行明確，綜合兩者安全情況確定一個信息系統等級，整個等級分為一到五級，通常大多數信息系統一般是在第二級或者第三級比較常見。定級備案之后，需要開展等級測評，這個需要選擇符合國家規定條件的測評機構，對系統開展等級測評，三級以上的系統要求每年要開展一次等級測評的工作。測評機構他在等級測評的時候，一般是這么幾個過程，首先是測評準備，然后對測評方案進行編制，現場進行測評的實施，最后會根據測評結果分析得出測評的結論。