一、为什么集成平台需要三级等保

三级等保能够衡量医疗机构信息系统安全保护管理措施和技术措施是否具备相应的安全保护能力，能帮助医院更好了解集成平台安全状况，排查其中的隐患和薄弱环节，并为监管部门开展监督、检查、指导等工作时提供参照。

开展等保工作是一件需要依法履行的安全保护义务。

2019年12月1日起实施的等保2.0对应的最高国家政策是《中华人民共和国网络安全法》，要求医疗机构依照“网络安全法”履行网络安全等级保护制度测评工作。

三级等保是互联互通测评、互联网医院等诸多建设的必要要求。

近年来，多项国家规定中都对医疗机构的三级等保建设提出了要求。

2016年发布的《三级综合医院评审标准考评办法》规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求。

2018年发布的《互联网医院管理办法（试行）》规定了承载互联网医院的平台必须通过等保三级测评。

2020年发布的《国家医疗健康信息医院信息互联互通标准化成熟度测评方案（2020年版）》新增对医院核心业务系统（含平台）完成三级等保备案和测评要求 。

二、集成平台如何满足三级等保的相关技术要求（下列为部分要求）

1.身份鉴别

测评关键点：口令强度、登录失败处理、鉴别信息防窃听、多重鉴别方式（CA证书、电子签名应用）

2.口令强度要求

医院有时使用较为简单的口令或对口令进行复用，便于日常操作和记忆，然而这也是造成设备被攻陷的最常见原因。据报告显示，勒索病毒最为流行的攻击手段就是RDP弱口令渗透（占全部勒索事件的61%）。这里的口令指的是日常登录系统界面时所填写的登录密码（即password，以下为方便理解统称为密码）。

三级等保也对身份鉴别信息具有复杂度要求。关于密码复杂度可以参考下列算法（如图3），该算法共分0-4级，根据提供的密码来计算出统计学角度需要多少次试错可以猜出密码信息，从而判断密码的强度等级。而在医院集成平台建设的场景中，建议强度达到2等，即试错次数需要达到10^9量级才能被破解。

医院在实施过程中，可以设置字符长度限制，并通过数字、符号、大小写字母混用等方式提升密码强度。集成平台也应提供规则校验，辅助用户设置出强度较高的密码。

3.登陆失败/超时处理

除了增加密码复杂度，集成平台也需要具有登录失败或登录超时处理功能，并能通过修改配置进行更改，例如连续登录失败达到3次就锁定账号，需要等待一定时间才能再次登录；登录超时处理则是当登录后未进行操作超过一定时间（如30分钟），系统会自动登出的措施。

4.鉴别信息传输

医院通常采用HTTP协议进行登录，然而这会使鉴别信息明文传输，一旦在传输途中被窃听或截取，信息就会直接暴露。

建议集成平台可默认支持访问443端口，采用HTTPS实现加密传输，保证鉴别信息传输过程中数据安全。

5.多种鉴别方式

多数医院仅采用用户名+密码方式进行身份鉴别，一旦被攻破就没有其它防御措施，因此三级等保也要求系统“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。”

集成平台可通过客户端服务端双向SSL证书验证，外加用户名密码组合的身份鉴别技术来实现该项等保要求。SSL客户端服务端双向证书验证功能对用户Web管理界面提供了网络层的身份鉴别保证，只有安装了有效客户端证书的浏览器才能够正常访问Web管理界面，match在打开Web管理界面后用户仍需要输入用户名和密码进行二次身份鉴别。

集成引擎应可实现客户端服务端双向SSL证书验证：

a. 生成客户端和服务端的CA证书；

b. 安装服务端证书到引擎服务器内；

c. 安装客户端证书到客户端的浏览器内。

如需等保测评服务，可后台私信联系。陆陆科技整合云安全产品的技术优势，联合优质等保咨询、等保测评合作资源，提供等保项目的一站式服务，全面覆盖等保定级、备案、建设整改以及测评阶段，高效通过等保测评，落实网络安全等级保护工作。

黑龙江等保测评——陆陆官网