一����、為什么集成平臺需要三級等保
三級等保能夠衡量醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全保護(hù)管理措施和技術(shù)措施是否具備相應(yīng)的安全保護(hù)能力,能幫助醫(yī)院更好了解集成平臺安全狀況���,排查其中的隱患和薄弱環(huán)節(jié)���,并為監(jiān)管部門開展監(jiān)督、檢查���、指導(dǎo)等工作時提供參照����。
開展等保工作是一件需要依法履行的安全保護(hù)義務(wù)�����。
2019年12月1日起實(shí)施的等保2.0對應(yīng)的最高國家政策是《中華人民共和國網(wǎng)絡(luò)安全法》���,要求醫(yī)療機(jī)構(gòu)依照“網(wǎng)絡(luò)安全法”履行網(wǎng)絡(luò)安全等級保護(hù)制度測評工作�����。
三級等保是互聯(lián)互通測評����、互聯(lián)網(wǎng)醫(yī)院等諸多建設(shè)的必要要求�����。
近年來,多項(xiàng)國家規(guī)定中都對醫(yī)療機(jī)構(gòu)的三級等保建設(shè)提出了要求���。
2016年發(fā)布的《三級綜合醫(yī)院評審標(biāo)準(zhǔn)考評辦法》規(guī)定了重要業(yè)務(wù)系統(tǒng)必須達(dá)到等保三級標(biāo)準(zhǔn)才滿足三級醫(yī)院評審標(biāo)準(zhǔn)中對于網(wǎng)絡(luò)安全的要求��。
2018年發(fā)布的《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》規(guī)定了承載互聯(lián)網(wǎng)醫(yī)院的平臺必須通過等保三級測評���。
2020年發(fā)布的《國家醫(yī)療健康信息醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測評方案(2020年版)》新增對醫(yī)院核心業(yè)務(wù)系統(tǒng)(含平臺)完成三級等保備案和測評要求 。
二�、集成平臺如何滿足三級等保的相關(guān)技術(shù)要求(下列為部分要求)
1.身份鑒別
測評關(guān)鍵點(diǎn):口令強(qiáng)度、登錄失敗處理�、鑒別信息防竊聽、多重鑒別方式(CA證書����、電子簽名應(yīng)用)
2.口令強(qiáng)度要求
醫(yī)院有時使用較為簡單的口令或?qū)诹钸M(jìn)行復(fù)用,便于日常操作和記憶�,然而這也是造成設(shè)備被攻陷的最常見原因。據(jù)報告顯示��,勒索病毒最為流行的攻擊手段就是RDP弱口令滲透(占全部勒索事件的61%)�����。這里的口令指的是日常登錄系統(tǒng)界面時所填寫的登錄密碼(即password,以下為方便理解統(tǒng)稱為密碼)�。
三級等保也對身份鑒別信息具有復(fù)雜度要求。關(guān)于密碼復(fù)雜度可以參考下列算法(如圖3)�,該算法共分0-4級,根據(jù)提供的密碼來計(jì)算出統(tǒng)計(jì)學(xué)角度需要多少次試錯可以猜出密碼信息�,從而判斷密碼的強(qiáng)度等級。而在醫(yī)院集成平臺建設(shè)的場景中����,建議強(qiáng)度達(dá)到2等��,即試錯次數(shù)需要達(dá)到10^9量級才能被破解��。
醫(yī)院在實(shí)施過程中��,可以設(shè)置字符長度限制�,并通過數(shù)字、符號��、大小寫字母混用等方式提升密碼強(qiáng)度��。集成平臺也應(yīng)提供規(guī)則校驗(yàn)����,輔助用戶設(shè)置出強(qiáng)度較高的密碼。
3.登陸失敗/超時處理
除了增加密碼復(fù)雜度,集成平臺也需要具有登錄失敗或登錄超時處理功能���,并能通過修改配置進(jìn)行更改���,例如連續(xù)登錄失敗達(dá)到3次就鎖定賬號,需要等待一定時間才能再次登錄���;登錄超時處理則是當(dāng)?shù)卿浐笪催M(jìn)行操作超過一定時間(如30分鐘)��,系統(tǒng)會自動登出的措施����。
4.鑒別信息傳輸
醫(yī)院通常采用HTTP協(xié)議進(jìn)行登錄�,然而這會使鑒別信息明文傳輸,一旦在傳輸途中被竊聽或截取�����,信息就會直接暴露�����。
建議集成平臺可默認(rèn)支持訪問443端口�,采用HTTPS實(shí)現(xiàn)加密傳輸,保證鑒別信息傳輸過程中數(shù)據(jù)安全。
5.多種鑒別方式
多數(shù)醫(yī)院僅采用用戶名+密碼方式進(jìn)行身份鑒別���,一旦被攻破就沒有其它防御措施���,因此三級等保也要求系統(tǒng)“應(yīng)采用口令、密碼技術(shù)���、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別���,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實(shí)現(xiàn)����。”
集成平臺可通過客戶端服務(wù)端雙向SSL證書驗(yàn)證,外加用戶名密碼組合的身份鑒別技術(shù)來實(shí)現(xiàn)該項(xiàng)等保要求��。SSL客戶端服務(wù)端雙向證書驗(yàn)證功能對用戶Web管理界面提供了網(wǎng)絡(luò)層的身份鑒別保證�,只有安裝了有效客戶端證書的瀏覽器才能夠正常訪問Web管理界面,match在打開Web管理界面后用戶仍需要輸入用戶名和密碼進(jìn)行二次身份鑒別�。
集成引擎應(yīng)可實(shí)現(xiàn)客戶端服務(wù)端雙向SSL證書驗(yàn)證:
a. 生成客戶端和服務(wù)端的CA證書;
b. 安裝服務(wù)端證書到引擎服務(wù)器內(nèi)����;
c. 安裝客戶端證書到客戶端的瀏覽器內(nèi)。
如需等保測評服務(wù),可后臺私信聯(lián)系�。陸陸科技整合云安全產(chǎn)品的技術(shù)優(yōu)勢,聯(lián)合優(yōu)質(zhì)等保咨詢��、等保測評合作資源��,提供等保項(xiàng)目的一站式服務(wù)�,全面覆蓋等保定級、備案�����、建設(shè)整改以及測評階段����,高效通過等保測評,落實(shí)網(wǎng)絡(luò)安全等級保護(hù)工作�。
互聯(lián)互通評測中集成平臺如何滿足哈爾濱三級等保?
等保咨詢熱線:15084670000,15846603791
