一、医保信息平台等保建设要求：

1、国家局建设计划

 

        2019年8月底，完成技术标准规范制定并下发；2019年10月底，完成国家级基础设施建设并验收；2019年12月底，完成应用软件开发并发布基础版本；2020年10月底，完成项目验收工作。

 

2、地方建设计划

 

        2019年底前完成设计、立项、招标等前期工作；2020年底前完成相关信息化建设实施工作；2021年完成项目验收工作，国家医疗保障局派人参与省级验收工作。

 

3、等级保护建设要求

 

        国家医保局下发的《医疗保障信息平台建设指南》中明确要求，各地按照《信息安全技术网络安全等级保护基本要求》(GB/T22239 一 2019)文件第三级安全要求，在安全通用、云计算安全扩展、移动互联安全扩展、物联网安全扩展、工业控制系统安全 扩展各方面，结合医疗保障业务实际建设医疗保障信息平台，着重加强防病毒、网络态势感知、终端接入管理、身份认证密码等网络安全体系建设，保障医疗保障信息平台安全可靠运行。

 

二、需求分析：
 

1、国家政策及标准提出安全建设的要求：

 

《医疗保障信息平台建设指南》--各地医疗保障信息平台数据中心网络系统设计应采用分区域安全架构设计，总体划分为(参考)：核心业务区、内外网数据交换区、公共服务区、纵向接入区、横向接入区。应在各网络区域边界部署边界防护设备，加强医疗保障核心业务网边界安全防护，实现安全可控的数据流访问和数据交换。《医保核心业务网网络安全接入规范》-- 接入安全体系包括终端安全、链路安全、边界安全、认证安全和应用安全等方面。安全产品原则上应采用国产自主可控产品。

 

2、医保业务数据共享下带来的网络和数据安全风险需要规避：

 

（1）医保核心业务网系统需要与上下级医保及同级第三方单位做对接，通过横向接入区与人社、卫健委、民政、税务等部门对接，通过纵向接入区与上下级医保局对接，在不同接入区需要依据等级保护中安全区域边界相关要求部署相应设备实现威胁防护。设立核心业务数据交换区，做为其他单位与核心业务系统数据交换的前置区。

 

（2）医保网络架构分为公共服务区和核心业务区，公共服务区与互联网逻辑隔离，核心业务区与公共服务区物理隔离，但不同区域之间要做数据交互，需要采取防病毒、终端接入管理、身份认证等措施来规避非法访问、防止病毒等风险入侵。

 

（3）医保信息平台具有大量的高价值敏感数据，同时也会上线大数据类业务，数据的泄密、丢失、越权访问会造成较为恶劣的社会影响。