2019年12月我国网络安全等级保护制度2.0标准正式实施。在等保2.0标准下云计算、大数据、物联网、移动通信等新技术、新应用安全保护对象和安全保护领域的全覆盖。那么等保2.0标准下医院网络安全建设和网络等保测评又该何去何从？这也是每个医疗信息化从业者所关心的问题。西安等保测评服务公司弈聪软件这里就介绍下等级保护2.0标准体系的三大特点：

一、对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。

二、分类结构统一。等级保护的基本要求、测评要求、设计技术要求框架统一，形成“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”支持下的完全统一的三重防护体系架构。

三、新标准把可信计算使用列入标准范围，从一级到四级全部提出了可信验证要求。

对于医院来说，需要去理解标准制定者希望通过新标准传递了什么样的信息。从等保1.0标准的重视防护（偏静态）到等保2.0标准中重视安全运营（偏动态），医院需要结合新标准的具体技术手段升级现有的网络安全体系，避免因网络安全影响医院正常业务。我国医院现有的安全保障体系尚处于初步建设阶段，尚不足以应对当前网络安全威胁，行业整体网络安全保障水平亟需提升。而与金融等传统行业相比，医疗行业在安全设备和安全管理上其实还都没做好准备。”新疆维吾尔自治区人民医院（简称：新疆人民医院）信息中心主任彭建明在接受HIT专家网采访时表示，医院网络安全建设落后主要有两方面原因：一方面，医院信息化建设本身投入就相对不足，资金更多投入在应用和硬件上，安全方面投入很少；另一方面，医院信息部门缺乏安全建设经验，安全专业能力不足。

绝大部分医院都缺乏专业的网络安全人才，因此在网络安全运营方向做的都很少，还是以防御建设为主。医院网络安全建设痛点要从两个方面看：一是外部。医疗行业越来越开放，医疗业务拥抱互联网，虽然方便了老百姓就医，但也引入了大量的互联网安全风险。二是内部。医院网络规模虽不大，但相对比较复杂。各个业务系统之间的关联非常紧密，数据共享很频繁，非常容易造成安全风险在内部蔓延。很多高分通过等保三级的医院后来还是出现了安全问题，所以管理一定要跟得上。

医院在开展等保测评项目时，除了改造网络所产生的设备应用投入外，等保测评费也是价格不菲，这可能也是医院参加等保测评积极性低的重要原因之一。而随着等级保护标准的提高，测评投入费用也将更高。在国家出台网络安全等级保护2.0标准的背景下，医院上云更加需要一种审慎的态度。等保2.0提出了更高要求，因此等保测评要把能造成医院业务系统停运的每个环节都要考虑到位。例如数据库等核心应用更要加强安全建设。医院在开展网络安全建设时可以遵循两个原则：一是医院的信息系统不会因为硬件障而停运；二是一定要对核心数据进行安全有效的备份。

结合行业现状和新标准要求，我们对医疗机构开展网络安全等级保护工作五点建议。

一、合理开展新业务系统及平台的定级备案工作，如医疗大数据平台、互联网医疗平台等。院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统，也需要加快等保建设步伐。 二、在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设，以防范特种木马或新型网络攻击。

三、加强日常安全运维，引入可视化、统一运维等创新技术，让安全管理和运维更简单并且更加有效。

四、加强主动防御能力，并通过全方位、多视角的风险分析，完善医院网络安全建设短板。从而降低安全风险，提高信息系统健壮性。

五、适当选择安全厂商提供的安全服务，弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。