等级保护2.0 标准将于今年下半年正式实施，对于医疗机构来说，要保证医院业务系统稳定运作，保证数据完整，数据保密以及信息安全有很多难点。炫亿工程师近期做了一个医疗机构的等保案例，总结了医疗机构在等保2.0标准下面临的风险，下面一起来看看吧。

（网络安全）

一、物理安全

我们要考虑机房选址，不能在地下室或者顶层，因为顶层可能会漏水，地下室会回潮，如果要建设，就必须做好这类风险防御工作。要具备门禁系统，还要对进出人员识别，也就是说不单纯是门禁系统，你还得具备防盗报警系统。要安装防雷保安器;分区域管理，区域之间要有隔离防火;防静电措施之外，对于设备你要配置防静电手环等等;电力方面也增强了，需要冗余;有些关键设备还得电磁防护等。所以说机房物理安全性是加强。

二、网络安全

网络安全，对于架构来说，要满足医院高峰期业务处理能力和带宽，所以对医院这么庞大业务信息，网络架构需要升级。线路上也要做冗余，我们在运维发现，一旦汇聚主干线出现故障，就全面瘫痪，因此在这块也加强线路冗余。传输过程数据加密以及可信验证。在边界防护上，也会加强非授权设备限制，内部用户非法访问行为限制等等。对于数据访问也上升协议限制;网络入侵防范也作出相关要求。

三、主机安全、应用安全

这些安全性，也加强安全计算环境，通过身份鉴别、访问控制、入侵防范、恶意代码、可信验证、数据完整性等等，进行相关防范管理。

四、数据安全及备份恢复

信息安全，更重要是数据能否安全，我们数据对于医院来说是非常宝贵的，因此在这块备份恢复措施，目的就需要保证我们数据安全。因此我们要求数据要实时备份，重要数据还需要热冗余，可见，我们不单纯备份策略，还得升级备份措施。避免数据修改，关键参数需在线更新。

五、安全管理制度、机构、人员安全、系统建设以及运维管理

除了我们防御，我觉得2.0更偏重信息安全管理，网络和系统安全管理制度不单纯是安全策略、配置管理、日常操作、账户管理、日志管理、口令更新周期、升级补丁，还必须要有安全事件处置制度，我们可疑事件上报流程等等，另一方面，也强调了信息安全管理专职人员，不可兼任，突出专人管理，加强安全管理制度有效实施，在机构上配置人员，必须具备系统管理员、审计人员以及安全员等。对于人员离岗，都要形成制度，恰恰是我们忽视安全点，人员安全管理必须签订相关保密协议，关键岗位设置责任协议，离任办理严格离岗手续，保密义务等等，对于隐蔽检查点都要提供维修工具，巡检报告、维护记录等等，可见安全管理制度更加严格。

从等级2.0标准来看，我们也认识到安全重要性，以往我们测评关心防御体系建设，现在不单是做好防御体系，更需要安全管理持续性。