“等保2.0”背景下医学图书馆的安全等级保护体系建设

丁 宁

(天津医学科学信息研究所 天津 300300)

0 引 言

伴随着云计算、移动互联、大数据等技术的日益成熟并迅速渗透到医学图书馆的业务重建过程中，传统医学图书馆的业务形式已经发生了翻天覆地的变化。智慧城市建设发展离不开联动云计算、移动互联、大数据等技术的应用，促使医学图书馆必须紧随时代脉搏，向智慧图书馆发展。智慧图书馆的演变离不开互联网等技术的支撑，而互联网在给医学图书馆带来流量的同时也带来了前所未有的网络安全隐患，重要数据及业务系统的安全防护工作是重中之重。

为了提高本单位业务信息系统在信息时代中的安全防护能力，本文以重要信息系统等级保护2.0为基点，结合医学图书馆自身业务信息系统的安全需求，在等级保护方面提出合理的思路及建设方案。

1 等级保护2.0概述

1.1 什么是等级保护2.0

网络安全等级保护制度是国家在网络安全领域的基本制度，在国民经济和社会信息化发展过程中提高信息安全保证能力和水平，维护国家网络空间安全有着重要意义。2019年5月10日网络安全等级保护制度2.0国家标准正式发布，预示我国网络安全等级保护制度进入了全新时代。

1.2 等级保护的定义

网络安全等级保护是根据等保对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，按照重要性和遭受损坏后的危害性分成 5个安全保护等级进行保护的工作[1]。

1.3 等级保护2.0的变化

等保 2.0强调“一个中心、三重防护”的理念，标准安全要求由基本要求变更为安全通用要求和安全扩展要求。标准体系名称更名为《信息安全技术网络安全等级保护基本要求》，与网络安全法有关条文保持一致。《网络安全法》明确规定网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，法律地位明显提升。等保 2.0标准不再自主定级，系统定级必须经过专家评审和主管部门审核。定级对象由原来的信息系统改为等级保护对象(云计算、物联网、工业控制系统、移动互联等场景)[2]。

1.4 等级保护2.0的实施流程

定级——备案——建设整改——等级测评——监督检查。

2 等级保护2.0建设思想

在以“一个中心，三重防护”为思想的合规建设基础上，同时贯彻“智能化、实战化、持续化”的新安全理念，以攻促防，全面提升安全态势感知能力、漏洞管理能力。建立常态化安全运营体系，不断完善运营体系和网络安全防御体系建设，实现网络安全综合防御能力的提升，建立可信、可控、可管的自适应闭环安全防护体系。

3 等级保护2.0医学图书馆建设方案

3.1 方案框架

由于医学图书馆是比较特殊的行业服务机构，在我国互联网飞速发展、技术日新月异的时代背景下，既要为医教研相关工作者提供特殊的信息服务，又面临着自身服务系统暴露于互联网中及网络安全的挑战。医学单位重要信息系统数据若发生泄露，将会对整个社会带来不利影响。因此根据等级保护2.0的建设思想，明确本单位信息系统安全等级保护相关制度，制定行之有效的等级保护相关对策，提升等级保护相关能力成为重中之重。

根据本单位现有网络架构情况及重要业务信息系统情况，形成以技术保障为基础、以监测预警为核心、以协同响应为目标的网络安全纵深防御体系，将安全物理环境、“一个中心”管理下的安全通信网络、安全区域边界、安全计算环境、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等各个层面的安全需求，全部转化为可以实现的技术防护、安全管理措施、安全运营手段，构建可信、可控、可管的安全防护体系。积极进行本单位信息化建设，其投入水平将直接决定本单位未来几年的信息化发展水平。相对于本单位现有网络安全投入，信息化建设还有相当大的进步空间，从决策层到执行层必须统一思想，加大投入力度，促进本单位信息化业务发展，从根本上减少重要业务信息系统发生问题的可能性。

3.2 安全技术体系——通用安全

通用部分安全解决方案是针对等保对象共性化保护需求提出的，应对安全通用要求的一般性解决方案。根据对定级对象的分析与评估，通过“一个中心”管理下的“安全通信网络防护、安全区域边界防护、安全计算环境防护”安全技术体系结构，提出系统在总体上的策略要求、各个子系统应该实现的安全技术措施，最终形成用于指导系统具体安全实施的总体安全方案，构建网络安全纵深防御体系。

3.3 安全技术体系——云计算安全

针对本单位业务系统均已部署到云端的情况，按照安全通用要求和云计算安全扩展要求，提出采用软件定义安全设计的云等保合规解决方案，清晰责任边界，简化安全运维，帮助云业务实现等保合规[3]。

3.4 安全技术体系——移动互联安全

针对本单位移动终端、移动应用、无线网络以及服务器区的安全需求提出整体安全解决方案，保证整个移动网络从前端到后端整体的安全可担[4-5]。

3.5 安全技术体系——大数据安全

从大数据应用安全、大数据支撑环境安全、访问安全、数据传输安全及管理安全等角度出发，构建大数据安全防护技术设计框架。从数据采集、传输、存储、处理和应用等方面应对大数据安全挑战，以及等保 2.0大数据方向的合规性要求，形成全面、有效保障大数据安全的纵深防御体系，提升安全能力。

3.6 安全管理体系

安全管理体系从安全策略、管理制度、管理机构、人员管理和安全运维管理等方面分别设计[6]。重点内容包括安全管理机构的组建，安全策略、管理制度、操作规程、记录表单等内容的安全管理制度体系的补充和完善，安全相关人员的录用、培训、授权和离岗管理，围绕信息系统全生命周期安全的安全建设管理和安全运维管理。

为确保信息安全等级保护工作顺利进行，要从本单位工作人员实际出发，建立切合实际的医学图书馆信息安全等级保护管理标准，吸取国内外先进医学信息服务提供机构管理经验的同时，结合自身实际，制定一整套可行、可控、可靠的管理制度。此外，在实际管理过程中，不断针对发现的安全管理体系问题实行改正和修订，不断完善管理标准，发现问题解决问题，提升安全等级保护工作效果，从而促进本单位安全等级保护工作发展[7-8]。

3.7 安全服务体系

安全服务体系是从管理和运营角度出发，通过周期性实现安全风险评估，使安全加固、渗透测试、应急响应、重要时期安全保障、应急演练、安全培训等服务保障信息系统的安全风险始终处于可控、可管的安全状态。随着时代发展和科技的进步，信息安全面临很大挑战，必将不断暴露出这样那样的信息安全问题[9]。只有不断完善自身信息系统安全防护能力，才能最大限度地降低发生安全漏洞的可能性，用最短的时间解决最棘手的信息系统网络安全问题。作为服务型机构，能够安全持续有效的提供信息服务是衡量其信息服务水平的重要依据，只有定期进行风险评估，明确网络信息安全所处的等级，根据风险评估报告的具体内容，及时发现现阶段各系统上面临的风险，制定可实施的风险应对方案，及时完成风险应对工作，才能从根本上提升本单位业务信息系统的安全等级。

3.8 安全运营体系

形成成熟的监测预警体系，同时依托安全管理平台，建设符合单位实际的安全应急和处置服务体系，通过协同安全运营建立网络安全服务队伍，增强单位对安全事件分析、处置的能力。