基于等保2.0的医院数据安全建设经验分享

医院信息安全等级保护工作汇报尊敬的领导、各位专家：我代表xx医院信息科，向大家汇报我们医院在信息安全等级保护工作方面所取得的成果和经验。

一、背景和目标随着信息技术的快速发展，信息安全问题越来越受到各行各业的关注。

对于医疗机构来说，保护患者隐私、确保信息安全具有更加重要的意义。

为此，我们医院将信息安全等级保护工作列为重中之重，旨在提高信息系统的安全性，防止患者信息泄露和医院遭受攻击。

二、工作内容与实施过程1.组织架构：我们成立了以院长为组长的信息安全等级保护工作领导小组，全面负责信息安全等级保护工作的组织、协调和实施。

2.制度建设：我们制定了一系列信息安全管理制度和操作规范，明确了信息安全等级保护工作的具体要求和操作流程。

3.技术防范：我们对全院信息系统进行了全面排查，安装了防火墙、入侵检测系统等安全设备，对服务器、网络设备等进行了安全加固。

同时，我们定期进行安全漏洞扫描和风险评估，及时发现和处理安全隐患。

4.人员培训：我们组织了全院范围内的信息安全培训，重点加强了对医务人员的信息安全意识和技能培训，提高了全院员工的信息安全意识和操作技能。

5.应急处置：我们制定了详细的应急预案和演练计划，定期进行模拟演练，确保在发生信息安全事件时能够迅速响应并有效处置。

三、工作成果与亮点1.顺利通过等级保护测评：经过努力，我们医院的信息安全等级保护工作顺利通过测评机构的测评，获得了二级等保认证。

2.提升了信息安全意识：通过广泛宣传和培训，全院员工对信息安全的认识明显提高，都能自觉遵守相关制度和规范。

3.信息系统安全性提升：通过技术防范措施的实施，医院信息系统的安全性得到了显著提升，未发生一起重大信息安全事件。

4.建立了良好的协作机制：医院各科室之间形成了良好的协作机制，共同应对信息安全风险和挑战。

四、经验总结与未来展望1.领导重视是关键：医院领导对信息安全等级保护工作高度重视，亲自挂帅，为我们提供了强有力的支持和指导。

基于等级保护2.0标准体系医院信息化安全建设作者：***来源：《科技风》2019年第33期摘要：本文基于等级保护2.0标准体系，从技术角度论述医院信息化安全建设。

依据医院信息化特点，结合等级保护2.0点的新要求，从内外网防护、主机准入控制和数据备份等几个方面系统的阐述了等级保护建设的新特点。

关键词：等级保护2.0;内外网防护;数据备份;准入控制一、概述为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业信息安全等级保护工作，卫生部办公厅于2011年12月下发卫生部《卫生行业信息安全等级保护工作的指导意见》，从物理安全、主机安全、应用安全、数据安全与备份恢复四个层面提供融合化的等级保护解决方案，本文主要论述了目前系统的现状，依照《信息安全技术信息系统安全等级保护基本要求》2.0版本和系统现状进行了比对，分析出系统的不足，为达到系统安全等级二级的要求提出整改方案，通过此方案的实施提高信息系統的安全防护水平。

二、等保2.0新变化（一）基本要求说明根据信息系统安全等级保护基本要求说明，信息系统安全被分为两大部分，分别是技术要求部分和管理要求部分，只有满足相应等级的技术（管理）要求，才能达到一定的基本安全要求，从而实现相应的安全保护能力。

（二）安全指标说明以信息系统实施等级保护二级为例，根据技术5大类（物理安全、网络安全、主机安全、应用安全和数据安全）和管理5大类（安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理），共计有66个子类，175个检项，如下图所示：三、方案设计（一）网络安全架构设计（二）拓扑说明此次网络方案设计严格安全信息安全等级化保护二建设级标准设计，并满足二级等级保护建设要求。

网络共分为两套，外网一套内网一套，两张网络中间采用数据隔离网闸进行数据“摆渡”，既做到了两网的安全隔离，又确保了内网与外网数据交互的问题。

内网出口部署专用防火墙、入侵防御保障主干链路安全。

外网部署上网行为保证上网安全。

117Internet Security互联网+安全引言：我国的医院信息化建设起步于上个世纪的七十年代, 历经发展前夕和基于小型机的摸索、微机初级应用、全院规模管理信息系统、临床信息系统与区域医疗协同摸索、基于电子病历的医院信息平台、人口健康信息化6个发展阶段[1]。

经过半个世纪的演进，目前我国的医院信息化已经基本满足医院对主要业务和管理的支撑需求，在临床服务、便民惠民、科学化运营管理方面都取得了较好成效。

然而，随着信息通信技术的发展以及新兴业务的出现，医院的IT 基础设施和运维管理也面临新的要求和挑战[2]-[4]。

新的发展需求提高了医院信息系统对数据存储及处理的要求，同时医疗数据安全风险也随之提高。

随着先进信息通信技术在医疗行业信息化进程中的深入应用，以及“互联网+医疗健康”的不断推进，党中央、国务院及医疗监管部门陆续出台了一系列信息化安全建设与管理的政策法规，逐步完善医疗行业网络安全体系[5]。

从陆续出台的政策法规可以看出，国家高度重视医疗行业的网络安全，强调落实做好网络安全工作。

本文接下来首先介绍了医疗业务发展的趋势及其网络安全挑战。

然后，分析了我国医疗行业信息系统的安全防护现状。

接着，提出了网络安全防护方案建议。

最后，总结了在新一代信息通信技术与医疗行业深度融合潮流下，对医疗行业信息系统的网络安全防护要求。

一、医疗业务发展趋势与网络安全挑战医院现有的核心业务系统，主要包括HIS、EMR、CIS、LIS、RIS、PACS 几大传统系统。

伴随着信息化技术和网络技术的跨越式发展，现代医院的运作开始呈现出智能化、协作化的趋势。

我国在“十四五”时期大力发展的“新基建”，5G、边缘计算与物联网、云计算、大数据分析与人工智能等新技术在医院场景下的应用，势必会提升医疗信息化水平，但同时医疗行业信息系统的安全将面临更多未知的挑战[5]。

第一，云计算技术使医院对医疗数据的存储和管理变得更加高效。

一旦医院信息资产所依托的云平台出现安全事故，将导致众多医疗信息系统业务中断、医疗数据丢失，严重影响医疗活动的正常运转。

第1篇一、前言随着信息技术的快速发展，医院信息系统在医疗服务中发挥着越来越重要的作用。

为保障医院信息系统安全稳定运行，提高医疗服务质量，我院积极开展等保工作。

现将我院等保工作总结如下：一、等保工作总体情况1. 组织领导我院高度重视等保工作，成立了等保工作领导小组，由院长担任组长，分管领导担任副组长，各部门负责人为成员。

领导小组负责统筹规划、组织协调、监督检查等保工作。

2. 制度建设根据国家等保相关法律法规和行业标准，我院制定了《医院信息安全等级保护管理办法》、《医院信息系统安全管理制度》等制度，明确了等保工作的目标、任务、责任和措施。

3. 技术保障我院加大投入，更新了部分信息系统硬件设备，提高了信息系统安全防护能力。

同时，加强了对信息系统软件的升级和更新，确保系统安全稳定运行。

二、等保工作具体措施1. 安全评估针对医院信息系统，开展了全面的安全评估，摸清了信息系统安全现状，明确了安全防护重点。

2. 安全防护（1）物理安全：加强了对信息系统硬件设备的物理保护，如设置监控设备、安装门禁系统等。

（2）网络安全：加强了对信息系统网络的防护，如设置防火墙、入侵检测系统等。

（3）主机安全：对信息系统主机进行了安全加固，如安装杀毒软件、定期更新系统补丁等。

（4）数据安全：加强了对信息系统数据的保护，如加密存储、定期备份等。

3. 安全运维（1）人员培训：组织开展了信息安全培训，提高了员工的信息安全意识。

（2）安全审计：定期对信息系统进行安全审计，发现问题及时整改。

（3）应急处置：制定了应急预案，确保在发生信息安全事件时能够迅速响应。

三、等保工作成效1. 信息系统安全防护能力显著提高，有效降低了信息系统安全风险。

2. 员工信息安全意识得到增强，形成了良好的安全文化氛围。

3. 医疗服务质量得到提升，患者满意度不断提高。

四、等保工作不足与改进措施1. 不足之处（1）部分信息系统安全防护措施仍需加强。

（2）安全运维工作需进一步规范。

第1篇一、引言随着信息技术的飞速发展，医院信息系统在医疗领域的应用越来越广泛，已成为医院管理、医疗救治、医疗服务的重要手段。

然而，信息系统在提高工作效率的同时，也面临着安全风险和挑战。

为确保医院信息系统安全稳定运行，保障患者和医院的信息安全，我国政府要求医院开展等级保护工作。

本文针对医院等保工作，提出了一套完整的解决方案。

二、医院等保工作背景及意义1. 背景根据《中华人民共和国网络安全法》和《信息安全技术信息系统安全等级保护基本要求》等法律法规，医院信息系统需要按照等级保护要求进行安全建设。

等级保护是指对信息系统进行安全等级划分，并采取相应的安全保护措施，确保信息系统安全稳定运行。

2. 意义（1）保障患者隐私：通过等保工作，加强医院信息系统安全管理，防止患者个人信息泄露，保护患者隐私。

（2）确保医疗救治：医院信息系统安全稳定运行，有利于提高医疗救治效率，降低医疗风险。

（3）提高医疗服务质量：通过等保工作，提升医院信息系统安全防护能力，为患者提供更加优质的医疗服务。

（4）降低医院运营成本：等保工作有助于提高医院信息系统安全防护水平，减少因安全事件导致的损失。

三、医院等保解决方案1. 等级保护体系（1）安全管理制度：建立健全医院信息系统安全管理制度，明确各级人员的安全责任，制定安全操作规范。

（2）安全组织机构：成立医院信息系统安全工作领导小组，负责统筹协调医院等保工作。

（3）安全技术人员：培养一支具备信息系统安全防护能力的专业团队，负责等保工作的实施和日常运维。

2. 安全技术措施（1）物理安全：加强医院信息系统的物理安全防护，如安装门禁系统、视频监控系统等，防止非法入侵。

（2）网络安全：采取防火墙、入侵检测系统、安全审计等措施，防止网络攻击和非法访问。

（3）主机安全：对服务器、工作站等主机进行安全加固，安装防病毒软件，定期进行安全漏洞扫描。

（4）数据安全：采用数据加密、访问控制等技术，保障数据安全，防止数据泄露和篡改。

184目的通过等保2.0在三甲医院的实践,梳理普适于三家医院的网络安全基本的建设模型。

方法以网络安全相关标准制度为依据,以初步实践为基础,从网络安全组织机构划分、网络安全管理、网络安全运行等方面提出医院网络安全防护策略建议。

0 引言随着等保2.0体系的提出,为各行各业的网络安全等保建设提出了更高的基本要求[1]。

本文聚焦国内三甲医院的网络安全建设,遵循国家网络安全相关法律,以等保2.0体系要求为指引,从网络安全组织架构和制度体系入手,全面梳理三甲医院网络安全建设内容。

1 网络安全管理组织架构和制度体系1.1 组织架构医院的网络安全工作是“一把手”工程,成立了由医院党委书记、院长任组长,主管副院长任副组长牵头的网络安全领导管理组。

包含全院医、护、技等临床医技科室,行政管理、信息、设备、后勤、实验基地等全部科室,并将网络安全日常管理工作设立在信息中心。

信息中心负责人为网络安全负责人。

领导小组完成医院网络安全工作的方针领导、目标规划审定、考核网络安全日常工作、监督安全事件的处理、评估年度安全工作成果等。

信息中心完成网络规划和年度预算的制定执行、网络安全策略和设备的配置和上线、日常网络安全运维、全院网络安全培训、安全事件的处理总结和汇报等。

其他科室的负责人为本科室的网络安全负责人,负责统筹本科室网络安全管理任务的完成,并向网络安全工作领导小组汇报。

1.2 制度体系医院构建了总体网络安全管理框架,制定了包含网络安全总体建设规划、方针和策略、基本原则、网络安全管理组织架构及人员配备、信息系统项目全生命周期管理、工作流程、资产管理及使用、日常运维、安全事件处理、应急预案、安全培训等规章制度,形成了完整的网络安全管理制度体系[2]。

总体的建设管理方针为:以国家等保2.0体系要求为基础,实现与医院信息化建设“同步规划、同步建设、同步运行”,达到纵深防御的目标[3]。

制度的制定完成后,更重要的是制度是否得到有效实施。

医院网络安全等级保护2.0管理体系建设实践作者：张朝来源：《网络空间安全》2020年第03期摘要：按照《中华人民共和国网络安全法》（本文简称《网络安全法》）及卫生行业网络安全等级保护相关指导文件要求，在医院开展三级等级保护工作。

文章通过实践探讨了医院网络安全管理体系建立的过程，对同类医院的等级保护建设具有一定的参考价值。

关键词：网络安全;等级保护;管理中图分类号： TP393 文献标识码：AAbstract： According to the requirements of the Cybersecurity law and the related guidance documents of the cybersecurity level protection in medical system， the three-level protectionwork is carried out in hospitals. The process of establishing the cybersecurity management system in hospitals is discussed through practice， which is helpful to the construction of the similar hospitals.Key words： cybersecurity ;level protection;management1 引言2011年，卫生部发出了关于全面开展卫生行业信息安全等级保护工作的通知，对卫生行业信息系统等级保护工作提出了具体要求。

2017年6月1日正式实施的《中华人民共和国网络安全法》（以下简称《网络安全法》）第21条规定，国家实行网络安全等级保护制度。

自2019年12月1日起，正式实施的《网络安全等级保护级别要求GB/T 22239-2019》诸多标准，标志着网络安全等级保护正式进入2.0时代（以下简称等级保护2.0）。

管理观察45作者简介：杨孟杰（1991—　），女，汉族，河北邢台人。

主要研究方向：医院信息化。

于2019年12月2日正式出台的《信息安全技术网络安全等级保护基本要求》（以下简称等保2.0）对医院信息化安全建设提出了新的要求和挑战，面对医院快速发展的信息化建设和新生大数据，需要保证医院信息系统的安全稳定运行，保证数据完整的同时也要做到数据保密和信息安全。

一、医院信息化所面临的安全威胁随着网络信息技术的飞速发展，医院各个部门都开始建立信息系统帮助内部提供经营、管理、决策服务，医院信息化建设极大的提高了工作效率和医疗水平，但是对内部管理也提出了更高的要求。

目前的多数医院内部较之等保2.0所提出的标准还有一定的差距，反应在医院职工信息安全意识薄弱、网络架构不安全、物理基础设施不健全、当前信息化系统存在漏洞、移动医疗应用存在漏洞、大数据平台漏洞、数据管理存在漏洞、云计算平台上的漏洞、内部人员系统访问权限混乱等。

医院信息化建设中还存在外部威胁，主要体现通过技术手段或者管理漏洞窃取患者身份、病例或者治疗信息；窃取财物办公信息；向医院医疗系统植入恶意软件；内部人员非法交易患者身份、病例或者治疗信息；外包人员在程序中安插后门；网络被攻击；自然灾害包括但不限于断电、洪水、火灾等；跨国的政治或商业目的的信息窃取等。

造成这些威胁的主要原因在于人员安全意识较差，缺少对信息安全的相关培训。

医院在历史经营中存在有组织架构上的问题，权限对应不清。

在施行信息化建设时因为资源有限，而减少了在安全方面的投入。

以及在面临像是开展移动业务这种创新业务时，不得不需要面临的相应风险。

还有因为大部分的医院信息化管理软件都是外包服务商进行开发，难以保障其安全性和稳定性，缺少技术人员，无法做到实时更新漏洞，这都是形成危险的潜在因素。

二、如何基于等保2.0进行医院信息化建设（1）管理体系的建设。

为了应对新技术发展带来的威胁，解决医院在信息化建设方面的等级保护工作的需要，需要严格遵照等级保护2.0管理策略，明确安全等级、增强信息保护、随时监督管理。

^m m m m 2021年第01期(总第217期）基于等级保护2.0的医院网络安全建设方案余佳伟(华信咨询设计研究院有限公司，浙江抗州310052)摘要：随着医院信息化建设的飞速发展，医院的信息系统已经运用到医疗服务的各个环节中，但以安全事故引起的系统 故障，医疗活动的开展将会受到严重影响。

国家对信息安全越来越重视，等级保护相关标准为适应新环境、新技术进行 了优化升级，按照卫健委对三级甲等医院信息系统定级不低于三级的要求，提出以“一个中心、三重防护”为核心的合规 建设方案，并对未来安全防护的优化提出建议。

关键词：等级保护；医院；网络安全;信息系统;合规建设中图分类号:TP393.08 文献标识码:A 文章编号:2096-9759( 2021)01-0004-04Hospital Cybersecurity Construction Scheme Based on Level Protection 2.0Yu Jiawei(Huaxin Consulting co., Ltd., Hangzhou 310052, China)Abstract:W ith the rapid development of hospital information construction, the hospital information system has been applied to all aspects of medical services, but the development of medical activities will be seriously affected by system failures caused by security incidents. Our state is paying more and more attention to information security. The related standards of g rade protection have been optimized and upgraded to adapt to the new environment and new technology. According to the requirements of the Health Commission for the information system of Grade III-A General Hospital to be graded no less than level three, it is pro­posed to a compliance construction program with M one center and triple protection" as the core, and suggestions for the optimi­zation of future security protection.Key words:Level protection; Hospital; Cybersecurity; Information system; Compliance construction〇引言近年来，关键信息基础设施由于具有基础性和全局性等 重要地位，己成为网络攻击重点目标，漏洞攻击、钓鱼攻击、勒 索软件等网络安全风险日趋严峻，尤其在政府、教育、医疗、电信、科研机构等重要行业，己成为网络攻击重灾区[1]。

管理探索©等保2.0下堡垒机在医院信息系统的应用刘炬宏(徐州市妇幼保健院，江苏徐州221009)摘要:在医院信息系统的飞速发展的浪潮中，信息技术已逐渐成为发展医院业务的必要工具。

但有人的地方就有风险和失误，信息系统管理员有着在医院信息网络中畅行无阻的权利，一旦出现运维误操作或者恶意访问等安全问题，必然会对医院日常的业务运行造成巨大的损害。

因此,加强对信息系统管理员的监督和审计是现代医院信息安全发展的必然趋势。

在等保2.0对医院信息安全提出了更高安全要求的背景下，打造安全管理中心缺一不可的堡垒机更多地出现在了人们的视野里，为医院各种类型的信息资源的安全运维提供了一种高效率的、细粒度的管理和安全可回溯的审计方式。

关键词：等保2.0；堡垒机；医院信息安全中图分类号:R197.32文献标识码：A文章编号：1008-4428(2021)17-0041-02The applicalion of baslion hos|in hospital iHlormaIlon s\、|em under\丨丨」＞、2.0Liu Juhong(Xuzhou Maternity and Child Health Care Hospital,Xuzhou,Jiangsu,221009)Abstract:With the rapid development of hospital information systems,infor^mation technology has gradually become more important for the development of hospital.But where there are people,there are risks and mistakes.System administrators have the right to unimpeded in the hospital's information network.Once there are security problems such as misoperation or malicious access, it will cause huge damage to the daily business of the hospital.Therefore,strengthen the supervision and auditing of administrators is a trend in the development of mod­ern hospital information security.When MLPS2.0improves the higher security requirements for hospital information security,the bastion host,which is indispensable for the security management center,becomes more important in people's vision.It provides an efficient,fine-grained management and safe and traceable audit method for the safe operation and maintenance of various types of information resources in the hospital.Key words:MLPS2.0；bastion host；hospital information security一、信息安全现状与要求国家《信息安全技术网络安全等级保护基本要求》(GB/T22239—2019)的公布，标志着等级保护标准正式进入2.0时代，各单位应按要求使用等保2.0标准建设整改自己的网络。

2021.31等级保护对医疗行业的要求我国十分重视网络安全的发展,等级保护制度已经推行10年,新的标准要求医院必须从新的技术体系,管理体系来审视过去的安全建设工作并将新技术、新体系应用到未来的网络安全建设中去[2-3]。

在新标准下,各大医院要建立起符合等保2.0的要求的信息安全体系,主要建议如下:要加快等保2.0建设步伐,正确开展定期、备案、整改建设、测评工作;要定期组织进行内部系统的渗透测试和攻防演练,通过实战化的演习加强网络技术人员的专业技能培训以及普通医疗人员的安全意识培训,关于安全服务人员的技能要求,医院方可以通过和第三方公司合作的方式来提升,弥补医院缺少专业安全技能人才的问题,提升整体安全运营的能力;必须将安全工作融入到日常运维中,做好定期安全巡检工作;结合医院的业务发展需求,从顶层考虑安全,提升安全战略高度,统一筹划、统一建设、统一运营、综合防护,构建全面的态势感知主动安全防御体系[4-5]。

2系统设计与实现在互联网信息安全提出的严峻挑战背景下,要将传统形式的被动防护手段转换为主动防护手段、静态防护状态转换为动态防护状态,分散情况防护装换为协同共进防护,一步一步构建完全覆盖全网纵深协同防御体系,需加强医疗系统态势感知平台建设,在总结医疗系统平台建设网络安全应用发展现状和特点的基础上,根据国家安全技术网络安全等级保护基本要求,构建基于等保2.0的医院安全态势感知系统,提升医疗行业整体安全防范的能力[6-7]。

2.1系统架构安全态势感知的建设,需要继承医院之前网络安全建设的经验,同时融合目前先进的大数据技术,既能满足海量数据环境下的高效分析需求,又兼顾针对IT 数字化转型的大量基础管理功能,还要考虑更多有关提升产品易用性、分析准确率和计算性能的问题,并提供完善的配套服务方案。

互联网安全状态趋势的感应,是通过在风险示警状况的前提下呈现一致的互联网安全多层趋势图,让人工安全监测员能够即时精确地掌握互联网安全状况,并根据不同的状况采用不同的解决手段。

DCWTechnology Analysis技术分析103数字通信世界2023.111 物理安全1.1 数据中心的物理安全措施随着我国信息化程度的逐渐提高，医院信息系统中的敏感数据越来越多，如果这些数据被非法获取，将会对医院和患者造成不可估量的损失，因此对数据中心进行物理性质的安全保护是非常必要的。

第一，加强门禁管理。

设置门禁系统，只有获得授权的人员才能进入数据中心，限制未经授权人员的进入，确保数据中心不会受到随意进出所带来的问题的影响。

门禁系统还可以记录进出数据，方便对进出人员进行管理和监控，保障数据中心的安全性。

第二，安装监控摄像头。

监控摄像头可以对数据中心进行全天候监控，能够及时发现异常情况，并且保留监控录像作为证据，有助于对异常情况的追溯和处理。

摄像头的安装位置和角度的选择需要慎重考虑，确保监控全面有效。

第三，实行巡逻制度。

巡逻制度可以有效增强数据中心的安保力量，及时发现并处理异常情况。

同时要对巡逻人员的职责和工作流程进行培训，提高巡逻人员的安全意识和处理能力，确保数据中心的安全性[1]。

1.2 网络设备的物理安全措施网络设备是医院信息系统中极为重要的载体设施，必须对其进行严格的物理安全保护，这也是为了确保医院信息系统安全的必要措施。

其一，加强设备的标识和管理。

对网络设备进行标识可以更好地管理医院信息系统信息安全等级保护的有效措施陈 舒（南京市江宁医院，江苏 南京 211100）摘要：近年来，医院信息系统中医疗数据不断增多，导致患者敏感信息泄露、数据被病毒感染等问题频发，这不仅会对患者的隐私造成侵害，还可能导致医院医疗工作的严重混乱，甚至影响医疗服务的安全性和稳定性。

因此，医院网络信息安全问题受到社会各界广泛的重视。

为了保障医院信息系统的安全，我国出台了比以往政策要求更为严谨的等保2.0，这不仅要求医院信息系统的等级划分和保护要做出更加科学合理的规划，而且要求医院采取一系列的有效措施来确保医院信息系统的安全性。

电子技术与软件工程Electronic Technology & Software Engineering信息技术与安全Information Technology And Security基于等保2.0的医院门户网站网络安全防护实践胡红雨(皖南医学院弋矶山医院信息中心安徽省芜湖市 241000 )摘要：本文针对所在医院网络安全现状，按照等保2.0标准中安全通信网络、安全区域边界要求、安全计算环境和安全管理中心的 要求，提出了符合等保2. 0标准要求的医院门户网站二级等保安全方案和具体的安全防护措施，对医院门户网站安全防护工作具有重要的 参考价值。

关键词：等保2.0;网络安全；网站防护；医院门户网站医院门户网站仍是医患沟通和信息发布的重要平台，在为患者提供医疗服务，方便患者就医，提升患者满意度以及展示医院形象，建立医院品牌等方面担负着重要的角色。

同时，门户网站作为对外 的网络入口，也是承受外部网络攻击的首要目标。

[|]2017年6月1日实施的《网络安全法》要求网络运营者应当按照网络安全等级保 护制度要求履行安全保护义务。

2019年12月1日等保2.0开始实施，在等保1.0的基础上进一步优化，统一了基本要求与设计要求的安 全框架，技术要求定义更精确，内涵更丰富。

[2]本文依据等保2.0的测评要求，结合针对医院门户网站开展的 各项等级保护措施，总结初步实践经验，为网站网络安全防护工作 提供参考。

1安全现状1.1网络架构分析互联网防火塌I外网核心交換机网 mj Q Q C l内離心交換机网站*务器Bill_______HIS EMR PACS LIS医皖核心疊务系统图1:未整改网络拓扑图医院已经建成的网络安全平台，使得门户网站具备了一定的防 护能力。

但网络攻击手段也在不断升级，医疗卫生行业的面临的网 络安全风险急剧增加。

如图1所示，未整改前仅在互联网边界处部署防火墙提供访问 控制功能，安全防护能力较弱，存在较大的安全风险。