“等保2.0”背景下醫學圖書館的安全等級保護體系建設

丁 寧

(天津醫學科學信息研究所 天津 300300)

0 引 言

伴隨著云計算、移動互聯、大數據等技術的日益成熟并迅速滲透到醫學圖書館的業務重建過程中，傳統醫學圖書館的業務形式已經發生了翻天覆地的變化。智慧城市建設發展離不開聯動云計算、移動互聯、大數據等技術的應用，促使醫學圖書館必須緊隨時代脈搏，向智慧圖書館發展。智慧圖書館的演變離不開互聯網等技術的支撐，而互聯網在給醫學圖書館帶來流量的同時也帶來了前所未有的網絡安全隱患，重要數據及業務系統的安全防護工作是重中之重。

為了提高本單位業務信息系統在信息時代中的安全防護能力，本文以重要信息系統等級保護2.0為基點，結合醫學圖書館自身業務信息系統的安全需求，在等級保護方面提出合理的思路及建設方案。

1 等級保護2.0概述

1.1 什么是等級保護2.0

網絡安全等級保護制度是國家在網絡安全領域的基本制度，在國民經濟和社會信息化發展過程中提高信息安全保證能力和水平，維護國家網絡空間安全有著重要意義。2019年5月10日網絡安全等級保護制度2.0國家標準正式發布，預示我國網絡安全等級保護制度進入了全新時代。

1.2 等級保護的定義

網絡安全等級保護是根據等保對象在國家安全、經濟建設、社會生活中的重要程度，以及一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，按照重要性和遭受損壞后的危害性分成 5個安全保護等級進行保護的工作[1]。

1.3 等級保護2.0的變化

等保 2.0強調“一個中心、三重防護”的理念，標準安全要求由基本要求變更為安全通用要求和安全擴展要求。標準體系名稱更名為《信息安全技術網絡安全等級保護基本要求》，與網絡安全法有關條文保持一致。《網絡安全法》明確規定網絡運營者應當按照網絡安全等級保護制度的要求，履行安全保護義務，法律地位明顯提升。等保 2.0標準不再自主定級，系統定級必須經過專家評審和主管部門審核。定級對象由原來的信息系統改為等級保護對象(云計算、物聯網、工業控制系統、移動互聯等場景)[2]。

1.4 等級保護2.0的實施流程

定級——備案——建設整改——等級測評——監督檢查。

2 等級保護2.0建設思想

在以“一個中心，三重防護”為思想的合規建設基礎上，同時貫徹“智能化、實戰化、持續化”的新安全理念，以攻促防，全面提升安全態勢感知能力、漏洞管理能力。建立常態化安全運營體系，不斷完善運營體系和網絡安全防御體系建設，實現網絡安全綜合防御能力的提升，建立可信、可控、可管的自適應閉環安全防護體系。

3 等級保護2.0醫學圖書館建設方案

3.1 方案框架

由于醫學圖書館是比較特殊的行業服務機構，在我國互聯網飛速發展、技術日新月異的時代背景下，既要為醫教研相關工作者提供特殊的信息服務，又面臨著自身服務系統暴露于互聯網中及網絡安全的挑戰。醫學單位重要信息系統數據若發生泄露，將會對整個社會帶來不利影響。因此根據等級保護2.0的建設思想，明確本單位信息系統安全等級保護相關制度，制定行之有效的等級保護相關對策，提升等級保護相關能力成為重中之重。

根據本單位現有網絡架構情況及重要業務信息系統情況，形成以技術保障為基礎、以監測預警為核心、以協同響應為目標的網絡安全縱深防御體系，將安全物理環境、“一個中心”管理下的安全通信網絡、安全區域邊界、安全計算環境、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等各個層面的安全需求，全部轉化為可以實現的技術防護、安全管理措施、安全運營手段，構建可信、可控、可管的安全防護體系。積極進行本單位信息化建設，其投入水平將直接決定本單位未來幾年的信息化發展水平。相對于本單位現有網絡安全投入，信息化建設還有相當大的進步空間，從決策層到執行層必須統一思想，加大投入力度，促進本單位信息化業務發展，從根本上減少重要業務信息系統發生問題的可能性。

3.2 安全技術體系——通用安全

通用部分安全解決方案是針對等保對象共性化保護需求提出的，應對安全通用要求的一般性解決方案。根據對定級對象的分析與評估，通過“一個中心”管理下的“安全通信網絡防護、安全區域邊界防護、安全計算環境防護”安全技術體系結構，提出系統在總體上的策略要求、各個子系統應該實現的安全技術措施，最終形成用于指導系統具體安全實施的總體安全方案，構建網絡安全縱深防御體系。

3.3 安全技術體系——云計算安全

針對本單位業務系統均已部署到云端的情況，按照安全通用要求和云計算安全擴展要求，提出采用軟件定義安全設計的云等保合規解決方案，清晰責任邊界，簡化安全運維，幫助云業務實現等保合規[3]。

3.4 安全技術體系——移動互聯安全

針對本單位移動終端、移動應用、無線網絡以及服務器區的安全需求提出整體安全解決方案，保證整個移動網絡從前端到后端整體的安全可擔[4-5]。

3.5 安全技術體系——大數據安全

從大數據應用安全、大數據支撐環境安全、訪問安全、數據傳輸安全及管理安全等角度出發，構建大數據安全防護技術設計框架。從數據采集、傳輸、存儲、處理和應用等方面應對大數據安全挑戰，以及等保 2.0大數據方向的合規性要求，形成全面、有效保障大數據安全的縱深防御體系，提升安全能力。

3.6 安全管理體系

安全管理體系從安全策略、管理制度、管理機構、人員管理和安全運維管理等方面分別設計[6]。重點內容包括安全管理機構的組建，安全策略、管理制度、操作規程、記錄表單等內容的安全管理制度體系的補充和完善，安全相關人員的錄用、培訓、授權和離崗管理，圍繞信息系統全生命周期安全的安全建設管理和安全運維管理。

為確保信息安全等級保護工作順利進行，要從本單位工作人員實際出發，建立切合實際的醫學圖書館信息安全等級保護管理標準，吸取國內外先進醫學信息服務提供機構管理經驗的同時，結合自身實際，制定一整套可行、可控、可靠的管理制度。此外，在實際管理過程中，不斷針對發現的安全管理體系問題實行改正和修訂，不斷完善管理標準，發現問題解決問題，提升安全等級保護工作效果，從而促進本單位安全等級保護工作發展[7-8]。

3.7 安全服務體系

安全服務體系是從管理和運營角度出發，通過周期性實現安全風險評估，使安全加固、滲透測試、應急響應、重要時期安全保障、應急演練、安全培訓等服務保障信息系統的安全風險始終處于可控、可管的安全狀態。隨著時代發展和科技的進步，信息安全面臨很大挑戰，必將不斷暴露出這樣那樣的信息安全問題[9]。只有不斷完善自身信息系統安全防護能力，才能最大限度地降低發生安全漏洞的可能性，用最短的時間解決最棘手的信息系統網絡安全問題。作為服務型機構，能夠安全持續有效的提供信息服務是衡量其信息服務水平的重要依據，只有定期進行風險評估，明確網絡信息安全所處的等級，根據風險評估報告的具體內容，及時發現現階段各系統上面臨的風險，制定可實施的風險應對方案，及時完成風險應對工作，才能從根本上提升本單位業務信息系統的安全等級。

3.8 安全運營體系

形成成熟的監測預警體系，同時依托安全管理平臺，建設符合單位實際的安全應急和處置服務體系，通過協同安全運營建立網絡安全服務隊伍，增強單位對安全事件分析、處置的能力。