2019年12月我國網絡安全等級保護制度2.0標準正式實施。在等保2.0標準下云計算、大數據、物聯網、移動通信等新技術、新應用安全保護對象和安全保護領域的全覆蓋。那么等保2.0標準下醫院網絡安全建設和網絡等保測評又該何去何從？這也是每個醫療信息化從業者所關心的問題。西安等保測評服務公司弈聰軟件這里就介紹下等級保護2.0標準體系的三大特點：

一、對象范圍擴大。新標準將云計算、移動互聯、物聯網、工業控制系統等新技術、新應用的場景列入標準范圍。

二、分類結構統一。等級保護的基本要求、測評要求、設計技術要求框架統一，形成“安全通信網絡”、“安全區域邊界”、“安全計算環境”、“安全管理中心”支持下的完全統一的三重防護體系架構。

三、新標準把可信計算使用列入標準范圍，從一級到四級全部提出了可信驗證要求。

對于醫院來說，需要去理解標準制定者希望通過新標準傳遞了什么樣的信息。從等保1.0標準的重視防護（偏靜態）到等保2.0標準中重視安全運營（偏動態），醫院需要結合新標準的具體技術手段升級現有的網絡安全體系，避免因網絡安全影響醫院正常業務。我國醫院現有的安全保障體系尚處于初步建設階段，尚不足以應對當前網絡安全威脅，行業整體網絡安全保障水平亟需提升。而與金融等傳統行業相比，醫療行業在安全設備和安全管理上其實還都沒做好準備。”新疆維吾爾自治區人民醫院（簡稱：新疆人民醫院）信息中心主任彭建明在接受HIT專家網采訪時表示，醫院網絡安全建設落后主要有兩方面原因：一方面，醫院信息化建設本身投入就相對不足，資金更多投入在應用和硬件上，安全方面投入很少；另一方面，醫院信息部門缺乏安全建設經驗，安全專業能力不足。

絕大部分醫院都缺乏專業的網絡安全人才，因此在網絡安全運營方向做的都很少，還是以防御建設為主。醫院網絡安全建設痛點要從兩個方面看：一是外部。醫療行業越來越開放，醫療業務擁抱互聯網，雖然方便了老百姓就醫，但也引入了大量的互聯網安全風險。二是內部。醫院網絡規模雖不大，但相對比較復雜。各個業務系統之間的關聯非常緊密，數據共享很頻繁，非常容易造成安全風險在內部蔓延。很多高分通過等保三級的醫院后來還是出現了安全問題，所以管理一定要跟得上。

醫院在開展等保測評項目時，除了改造網絡所產生的設備應用投入外，等保測評費也是價格不菲，這可能也是醫院參加等保測評積極性低的重要原因之一。而隨著等級保護標準的提高，測評投入費用也將更高。在國家出臺網絡安全等級保護2.0標準的背景下，醫院上云更加需要一種審慎的態度。等保2.0提出了更高要求，因此等保測評要把能造成醫院業務系統停運的每個環節都要考慮到位。例如數據庫等核心應用更要加強安全建設。醫院在開展網絡安全建設時可以遵循兩個原則：一是醫院的信息系統不會因為硬件障而停運；二是一定要對核心數據進行安全有效的備份。

結合行業現狀和新標準要求，我們對醫療機構開展網絡安全等級保護工作五點建議。

一、合理開展新業務系統及平臺的定級備案工作，如醫療大數據平臺、互聯網醫療平臺等。院內如HIS、EMR等還未開展定級備案工作的傳統核心業務系統，也需要加快等保建設步伐。 二、在等保建設中嘗試采用新技術新手段加強醫院的安全技術防護和態勢感知建設，以防范特種木馬或新型網絡攻擊。

三、加強日常安全運維，引入可視化、統一運維等創新技術，讓安全管理和運維更簡單并且更加有效。

四、加強主動防御能力，并通過全方位、多視角的風險分析，完善醫院網絡安全建設短板。從而降低安全風險，提高信息系統健壯性。

五、適當選擇安全廠商提供的安全服務，彌補醫院專業安全技術人員不足。最大程度減少因網絡安全事件所帶來的醫院運營中斷以及管理成本增加的風險。