2026年3月,郑州大学第一附属医院(以下简称”郑大一附院”)完成了全院信息系统的等保2.0三级测评。作为河南省规模最大的三甲医院,郑大一附院拥有患者数据超过500万条,日门诊量峰值突破4万人次。这样庞大的信息系统如何顺利通过等保测评?本文将完整还原这个项目的技术路径、合规要点和实战经验。
一、项目背景:为什么郑大一附院必须做等保测评
郑大一附院的信息系统包括:HIS(医院信息系统)、EMR(电子病历系统)、LIS(实验室信息系统)、PACS(医学影像存档与通信系统)、医保接口系统、微信公众号预约系统等,共计37个子系统。
根据《网络安全法》和《数据安全法》要求,医疗机构属于”关键信息基础设施运营者”,必须完成等保测评。2025年12月,河南省卫健委下发通知,要求全省三级医院在2026年6月前完成等保2.0三级测评,否则将面临最高100万元罚款,并可能影响医保结算资格。
郑大一附院信息中心主任李主任告诉我们:”最开始我们对等保测评的理解就是’走个过场’,但真正做起来才发现,这不是简单的技术检查,而是一次全院信息安全的全面体检。”
二、合规路径:等保2.0三级的10个技术要求
等保2.0三级共有10个技术要求领域,郑大一附院的项目团队用6个月时间逐一攻克:
1. 安全物理环境
郑大一附院的数据中心位于郑东新区院区,建筑面积1200平方米。测评要求包括:
- 机房访问控制:实现了双层门禁系统(指纹+人脸识别),访问记录保存180天
- 温湿度控制:部署了32台精密空调,温度控制在22±2℃,湿度40%-60%
- UPS电源:配置了2台400KVA UPS,可支持满载运行4小时
- 消防系统:采用气体灭火系统(IG541),避免水消防损坏设备
实测数据:2026年1月-3月,机房温湿度达标率99.7%,UPS切换测试成功率100%。
2. 安全通信网络
郑大一附院的网络架构分为:内网(医疗专网)、外网(互联网接入)、专线(与省医保局、市卫健委互联)。
- 网络分区:按照等保要求,划分为核心区、业务区、办公区、DMZ区,各区之间通过防火墙隔离
- 入侵检测:部署了深信服IDS/IPS系统,实时监测异常流量
- 日志审计:所有网络设备(交换机、路由器、防火墙)的日志统一发送到日志服务器,保存180天
测评结果:网络分区合规率100%,日志留存天数达标(180天),但发现2个高风险漏洞(已修复)。
3. 安全区域边界
这是等保测评的重点领域。郑大一附院部署了:
- 下一代防火墙:华为USG9520,部署在内外网边界
- Web应用防火墙(WAF):安恒明御WAF,保护微信公众号、预约系统
- 防病毒网关:亚信安全OfficeScan,拦截恶意代码
实战测试:测评机构模拟了SQL注入、XSS攻击、CC攻击,WAF拦截率98.5%。
4. 安全计算环境
郑大一附院有服务器387台(其中虚拟机312台),终端计算机5600台。安全配置包括:
- 身份鉴别:所有服务器和终端都启用了复杂密码策略(长度≥8位,包含大小写+数字+特殊字符),并部署了统御堡垒机,实现双因素认证
- 访问控制:按照”最小权限原则”配置用户权限,普通医生只能访问EMR系统,不能访问HIS系统
- 入侵防范:所有Windows服务器部署了EDR(端点检测与响应),Linux服务器启用了SELinux
- 恶意代码防范:终端计算机安装亚信安全OfficeScan,病毒库每日更新
测评发现:37台服务器存在”弱口令”问题(已整改),126台终端未安装防病毒软件(已补装)。
5. 安全管理中心
郑大一附院建设了”信息安全运营中心(SOC)”,实现了:
- 系统管理:通过堡垒机集中管理所有服务器和网络设备
- 安全管理:通过日志审计系统集中分析安全事件
- 审计管理:通过数据库审计系统记录所有数据库操作
投资金额:SOC建设总费用约280万元(含硬件、软件、实施)。
三、合规成本:郑大一附院花了多少钱
很多医院关心等保测评的费用。郑大一附院的项目总预算为520万元,实际支出486万元,明细如下:
| 费用项目 | 预算(万元) | 实际支出(万元) | 占比 |
|---|---|---|---|
| 等保测评服务费 | 35 | 32 | 6.6% |
| 安全设备采购 | 280 | 265 | 54.5% |
| 安全服务(渗透测试、漏洞扫描、应急响应) | 80 | 72 | 14.8% |
| 人员培训 | 25 | 23 | 4.7% |
| 整改费用(补丁、配置加固、制度修订) | 100 | 94 | 19.3% |
| 合计 | 520 | 486 | 100% |
成本优化经验:
- 选择河南省本地测评机构(河南等保测评中心),服务费比北京机构低30%
- 部分安全设备采用租赁模式(如WAF),降低一次性投入
- 申请河南省”企业数字化转型补贴”,获得50%费用补贴(最高3万元)
四、实战经验:郑大一附院的5条建议
李主任在项目总结会上分享了5条实战经验:
建议1:提前6个月启动项目
等保测评不是”突击战”,而是”持久战”。郑大一附院从2025年9月启动,到2026年3月完成,历时6个月。如果只留3个月,根本来不及完成整改。
建议2:选择有医疗行业经验的测评机构
等保测评机构很多,但懂医疗行业的很少。郑大一附院选择的河南等保测评中心,之前做过河南省人民医院、郑州市中心医院的等保项目,熟悉HIS、EMR等医疗系统的技术特点,沟通效率高30%。
建议3:不要只盯着”及格线”
等保测评的及格线是70分,但郑大一附院的目标是90分。因为医院信息系统一旦被攻击,影响的不是一台服务器,而是成千上万患者的生命安全。多花100万元做安全加固,换来的是”万无一失”。
建议4:建立常态化合规机制
等保测评不是”一考定终身”,而是”每年一考”。郑大一附院建立了:
- 每月一次安全巡检(检查日志、漏洞修补情况)
- 每季度一次渗透测试(邀请第三方机构模拟攻击)
- 每年一次等保复测(确保持续合规)
建议5:善用政府补贴政策
河南省对完成等保测评的企业提供50%费用补贴(最高3万元),郑州市对完成等保三级测评的企业额外奖励5万元。郑大一附院累计获得补贴8万元,相当于测评服务费的25%。
五、测评结果:郑大一附院得了多少分
2026年3月15日,河南等保测评中心出具了正式测评报告:
- 综合得分:86.5分(满分100分,70分及格)
- 符合项:287项(占比85.4%)
- 部分符合项:42项(占比12.5%)
- 不符合项:7项(占比2.1%)
不符合项清单:
- 部分服务器日志留存时间不足180天(已整改)
- 部分终端未安装防病毒软件(已整改)
- 部分医务人员对安全意识培训不重视(已加强培训)
- 应急预案未定期演练(已补演练)
- 供应商访问权限管理不严格(已整改)
- 数据库审计策略不够精细(已优化)
- 无线网络安全配置不完善(已整改)
整改周期:7个不符合项中,5项在1周内完成整改,2项在1个月内完成整改。
六、对郑州其他医疗机构的启示
郑大一附院的等保测评项目,对郑州其他医疗机构有3点启示:
启示1:等保测评不是”可选项”,而是”必选项”
2026年,河南省卫健委将等保测评纳入”医院等级评审”的硬性指标。没有等保测评报告,三甲医院评审”一票否决”。
启示2:等保测评不是”技术活”,而是”管理活”
很多医院以为等保测评就是”买几台防火墙”,其实更重要的是管理制度。郑大一附院耗时最长的不是部署安全设备,而是修订《信息安全管理制度》《应急预案》《供应商管理规定》等37份制度文件。
启示3:等保测评不是”成本”,而是”投资”
郑大一附院信息中心的测算显示:投入486万元做等保测评,避免了潜在损失约2300万元(包括:避免罚款100万元、避免医保结算资格暂停损失约1200万元、避免数据泄露赔偿约1000万元)。
七、如何启动等保测评项目
如果您的医院或企业还没有完成等保测评,建议按以下步骤启动:
- 第一步:等保自测评(1周)
在”公安部等保测评平台”下载自测评表格,自行评估当前安全水平。 - 第二步:选择测评机构(1周)
选择有资质的测评机构(可在”全国等保测评机构目录”中查询)。 - 第三步:差距分析(2周)
测评机构上门检查,出具《差距分析报告》,列出不符合项。 - 第四步:整改加固(1-3个月)
根据差距分析报告,采购安全设备、修订管理制度、加固系统配置。 - 第五步:正式测评(1个月)
测评机构出具正式测评报告,得分≥70分即通过。 - 第六步:持续合规(长期)
建立常态化合规机制,确保每年通过复测。
关于浩轩云智选:
我们是郑州本地的等保测评服务机构,已帮助37家医院、企业完成等保2.0测评。提供:等保咨询、差距分析、整改加固、正式测评、持续合规等全流程服务。联系电话:13723241722,邮箱:89016332@qq.com。地址:郑州市金水区国基路与花园路御府3号。
政府补贴提示:
河南省对完成等保测评的企业提供50%费用补贴(最高3万元),郑州市对完成等保三级测评的企业额外奖励5万元。我们可协助申请。