“等保2.0”背景下醫(yī)學(xué)圖書館的安全等級(jí)保護(hù)體系建設(shè)

丁 寧

(天津醫(yī)學(xué)科學(xué)信息研究所 天津 300300)

0 引 言

伴隨著云計(jì)算、移動(dòng)互聯(lián)、大數(shù)據(jù)等技術(shù)的日益成熟并迅速滲透到醫(yī)學(xué)圖書館的業(yè)務(wù)重建過程中，傳統(tǒng)醫(yī)學(xué)圖書館的業(yè)務(wù)形式已經(jīng)發(fā)生了翻天覆地的變化。智慧城市建設(shè)發(fā)展離不開聯(lián)動(dòng)云計(jì)算、移動(dòng)互聯(lián)、大數(shù)據(jù)等技術(shù)的應(yīng)用，促使醫(yī)學(xué)圖書館必須緊隨時(shí)代脈搏，向智慧圖書館發(fā)展。智慧圖書館的演變離不開互聯(lián)網(wǎng)等技術(shù)的支撐，而互聯(lián)網(wǎng)在給醫(yī)學(xué)圖書館帶來流量的同時(shí)也帶來了前所未有的網(wǎng)絡(luò)安全隱患，重要數(shù)據(jù)及業(yè)務(wù)系統(tǒng)的安全防護(hù)工作是重中之重。

為了提高本單位業(yè)務(wù)信息系統(tǒng)在信息時(shí)代中的安全防護(hù)能力，本文以重要信息系統(tǒng)等級(jí)保護(hù)2.0為基點(diǎn)，結(jié)合醫(yī)學(xué)圖書館自身業(yè)務(wù)信息系統(tǒng)的安全需求，在等級(jí)保護(hù)方面提出合理的思路及建設(shè)方案。

1 等級(jí)保護(hù)2.0概述

1.1 什么是等級(jí)保護(hù)2.0

網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是國(guó)家在網(wǎng)絡(luò)安全領(lǐng)域的基本制度，在國(guó)民經(jīng)濟(jì)和社會(huì)信息化發(fā)展過程中提高信息安全保證能力和水平，維護(hù)國(guó)家網(wǎng)絡(luò)空間安全有著重要意義。2019年5月10日網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0國(guó)家標(biāo)準(zhǔn)正式發(fā)布，預(yù)示我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度進(jìn)入了全新時(shí)代。

1.2 等級(jí)保護(hù)的定義

網(wǎng)絡(luò)安全等級(jí)保護(hù)是根據(jù)等保對(duì)象在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益的危害程度等因素，按照重要性和遭受損壞后的危害性分成 5個(gè)安全保護(hù)等級(jí)進(jìn)行保護(hù)的工作[1]。

1.3 等級(jí)保護(hù)2.0的變化

等保 2.0強(qiáng)調(diào)“一個(gè)中心、三重防護(hù)”的理念，標(biāo)準(zhǔn)安全要求由基本要求變更為安全通用要求和安全擴(kuò)展要求。標(biāo)準(zhǔn)體系名稱更名為《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》，與網(wǎng)絡(luò)安全法有關(guān)條文保持一致。《網(wǎng)絡(luò)安全法》明確規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行安全保護(hù)義務(wù)，法律地位明顯提升。等保 2.0標(biāo)準(zhǔn)不再自主定級(jí)，系統(tǒng)定級(jí)必須經(jīng)過專家評(píng)審和主管部門審核。定級(jí)對(duì)象由原來的信息系統(tǒng)改為等級(jí)保護(hù)對(duì)象(云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、移動(dòng)互聯(lián)等場(chǎng)景)[2]。

1.4 等級(jí)保護(hù)2.0的實(shí)施流程

定級(jí)——備案——建設(shè)整改——等級(jí)測(cè)評(píng)——監(jiān)督檢查。

2 等級(jí)保護(hù)2.0建設(shè)思想

在以“一個(gè)中心，三重防護(hù)”為思想的合規(guī)建設(shè)基礎(chǔ)上，同時(shí)貫徹“智能化、實(shí)戰(zhàn)化、持續(xù)化”的新安全理念，以攻促防，全面提升安全態(tài)勢(shì)感知能力、漏洞管理能力。建立常態(tài)化安全運(yùn)營(yíng)體系，不斷完善運(yùn)營(yíng)體系和網(wǎng)絡(luò)安全防御體系建設(shè)，實(shí)現(xiàn)網(wǎng)絡(luò)安全綜合防御能力的提升，建立可信、可控、可管的自適應(yīng)閉環(huán)安全防護(hù)體系。

3 等級(jí)保護(hù)2.0醫(yī)學(xué)圖書館建設(shè)方案

3.1 方案框架

由于醫(yī)學(xué)圖書館是比較特殊的行業(yè)服務(wù)機(jī)構(gòu)，在我國(guó)互聯(lián)網(wǎng)飛速發(fā)展、技術(shù)日新月異的時(shí)代背景下，既要為醫(yī)教研相關(guān)工作者提供特殊的信息服務(wù)，又面臨著自身服務(wù)系統(tǒng)暴露于互聯(lián)網(wǎng)中及網(wǎng)絡(luò)安全的挑戰(zhàn)。醫(yī)學(xué)單位重要信息系統(tǒng)數(shù)據(jù)若發(fā)生泄露，將會(huì)對(duì)整個(gè)社會(huì)帶來不利影響。因此根據(jù)等級(jí)保護(hù)2.0的建設(shè)思想，明確本單位信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)制度，制定行之有效的等級(jí)保護(hù)相關(guān)對(duì)策，提升等級(jí)保護(hù)相關(guān)能力成為重中之重。

根據(jù)本單位現(xiàn)有網(wǎng)絡(luò)架構(gòu)情況及重要業(yè)務(wù)信息系統(tǒng)情況，形成以技術(shù)保障為基礎(chǔ)、以監(jiān)測(cè)預(yù)警為核心、以協(xié)同響應(yīng)為目標(biāo)的網(wǎng)絡(luò)安全縱深防御體系，將安全物理環(huán)境、“一個(gè)中心”管理下的安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等各個(gè)層面的安全需求，全部轉(zhuǎn)化為可以實(shí)現(xiàn)的技術(shù)防護(hù)、安全管理措施、安全運(yùn)營(yíng)手段，構(gòu)建可信、可控、可管的安全防護(hù)體系。積極進(jìn)行本單位信息化建設(shè)，其投入水平將直接決定本單位未來幾年的信息化發(fā)展水平。相對(duì)于本單位現(xiàn)有網(wǎng)絡(luò)安全投入，信息化建設(shè)還有相當(dāng)大的進(jìn)步空間，從決策層到執(zhí)行層必須統(tǒng)一思想，加大投入力度，促進(jìn)本單位信息化業(yè)務(wù)發(fā)展，從根本上減少重要業(yè)務(wù)信息系統(tǒng)發(fā)生問題的可能性。

3.2 安全技術(shù)體系——通用安全

通用部分安全解決方案是針對(duì)等保對(duì)象共性化保護(hù)需求提出的，應(yīng)對(duì)安全通用要求的一般性解決方案。根據(jù)對(duì)定級(jí)對(duì)象的分析與評(píng)估，通過“一個(gè)中心”管理下的“安全通信網(wǎng)絡(luò)防護(hù)、安全區(qū)域邊界防護(hù)、安全計(jì)算環(huán)境防護(hù)”安全技術(shù)體系結(jié)構(gòu)，提出系統(tǒng)在總體上的策略要求、各個(gè)子系統(tǒng)應(yīng)該實(shí)現(xiàn)的安全技術(shù)措施，最終形成用于指導(dǎo)系統(tǒng)具體安全實(shí)施的總體安全方案，構(gòu)建網(wǎng)絡(luò)安全縱深防御體系。

3.3 安全技術(shù)體系——云計(jì)算安全

針對(duì)本單位業(yè)務(wù)系統(tǒng)均已部署到云端的情況，按照安全通用要求和云計(jì)算安全擴(kuò)展要求，提出采用軟件定義安全設(shè)計(jì)的云等保合規(guī)解決方案，清晰責(zé)任邊界，簡(jiǎn)化安全運(yùn)維，幫助云業(yè)務(wù)實(shí)現(xiàn)等保合規(guī)[3]。

3.4 安全技術(shù)體系——移動(dòng)互聯(lián)安全

針對(duì)本單位移動(dòng)終端、移動(dòng)應(yīng)用、無線網(wǎng)絡(luò)以及服務(wù)器區(qū)的安全需求提出整體安全解決方案，保證整個(gè)移動(dòng)網(wǎng)絡(luò)從前端到后端整體的安全可擔(dān)[4-5]。

3.5 安全技術(shù)體系——大數(shù)據(jù)安全

從大數(shù)據(jù)應(yīng)用安全、大數(shù)據(jù)支撐環(huán)境安全、訪問安全、數(shù)據(jù)傳輸安全及管理安全等角度出發(fā)，構(gòu)建大數(shù)據(jù)安全防護(hù)技術(shù)設(shè)計(jì)框架。從數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理和應(yīng)用等方面應(yīng)對(duì)大數(shù)據(jù)安全挑戰(zhàn)，以及等保 2.0大數(shù)據(jù)方向的合規(guī)性要求，形成全面、有效保障大數(shù)據(jù)安全的縱深防御體系，提升安全能力。

3.6 安全管理體系

安全管理體系從安全策略、管理制度、管理機(jī)構(gòu)、人員管理和安全運(yùn)維管理等方面分別設(shè)計(jì)[6]。重點(diǎn)內(nèi)容包括安全管理機(jī)構(gòu)的組建，安全策略、管理制度、操作規(guī)程、記錄表單等內(nèi)容的安全管理制度體系的補(bǔ)充和完善，安全相關(guān)人員的錄用、培訓(xùn)、授權(quán)和離崗管理，圍繞信息系統(tǒng)全生命周期安全的安全建設(shè)管理和安全運(yùn)維管理。

為確保信息安全等級(jí)保護(hù)工作順利進(jìn)行，要從本單位工作人員實(shí)際出發(fā)，建立切合實(shí)際的醫(yī)學(xué)圖書館信息安全等級(jí)保護(hù)管理標(biāo)準(zhǔn)，吸取國(guó)內(nèi)外先進(jìn)醫(yī)學(xué)信息服務(wù)提供機(jī)構(gòu)管理經(jīng)驗(yàn)的同時(shí)，結(jié)合自身實(shí)際，制定一整套可行、可控、可靠的管理制度。此外，在實(shí)際管理過程中，不斷針對(duì)發(fā)現(xiàn)的安全管理體系問題實(shí)行改正和修訂，不斷完善管理標(biāo)準(zhǔn)，發(fā)現(xiàn)問題解決問題，提升安全等級(jí)保護(hù)工作效果，從而促進(jìn)本單位安全等級(jí)保護(hù)工作發(fā)展[7-8]。

3.7 安全服務(wù)體系

安全服務(wù)體系是從管理和運(yùn)營(yíng)角度出發(fā)，通過周期性實(shí)現(xiàn)安全風(fēng)險(xiǎn)評(píng)估，使安全加固、滲透測(cè)試、應(yīng)急響應(yīng)、重要時(shí)期安全保障、應(yīng)急演練、安全培訓(xùn)等服務(wù)保障信息系統(tǒng)的安全風(fēng)險(xiǎn)始終處于可控、可管的安全狀態(tài)。隨著時(shí)代發(fā)展和科技的進(jìn)步，信息安全面臨很大挑戰(zhàn)，必將不斷暴露出這樣那樣的信息安全問題[9]。只有不斷完善自身信息系統(tǒng)安全防護(hù)能力，才能最大限度地降低發(fā)生安全漏洞的可能性，用最短的時(shí)間解決最棘手的信息系統(tǒng)網(wǎng)絡(luò)安全問題。作為服務(wù)型機(jī)構(gòu)，能夠安全持續(xù)有效的提供信息服務(wù)是衡量其信息服務(wù)水平的重要依據(jù)，只有定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，明確網(wǎng)絡(luò)信息安全所處的等級(jí)，根據(jù)風(fēng)險(xiǎn)評(píng)估報(bào)告的具體內(nèi)容，及時(shí)發(fā)現(xiàn)現(xiàn)階段各系統(tǒng)上面臨的風(fēng)險(xiǎn)，制定可實(shí)施的風(fēng)險(xiǎn)應(yīng)對(duì)方案，及時(shí)完成風(fēng)險(xiǎn)應(yīng)對(duì)工作，才能從根本上提升本單位業(yè)務(wù)信息系統(tǒng)的安全等級(jí)。

3.8 安全運(yùn)營(yíng)體系

形成成熟的監(jiān)測(cè)預(yù)警體系，同時(shí)依托安全管理平臺(tái)，建設(shè)符合單位實(shí)際的安全應(yīng)急和處置服務(wù)體系，通過協(xié)同安全運(yùn)營(yíng)建立網(wǎng)絡(luò)安全服務(wù)隊(duì)伍，增強(qiáng)單位對(duì)安全事件分析、處置的能力。