等級保護2.0 標(biāo)準(zhǔn)將于今年下半年正式實施�����,對于醫(yī)療機構(gòu)來說�����,要保證醫(yī)院業(yè)務(wù)系統(tǒng)穩(wěn)定運作�����,保證數(shù)據(jù)完整�,數(shù)據(jù)保密以及信息安全有很多難點�。炫億工程師近期做了一個醫(yī)療機構(gòu)的等保案例,總結(jié)了醫(yī)療機構(gòu)在等保2.0標(biāo)準(zhǔn)下面臨的風(fēng)險���,下面一起來看看吧�。
(網(wǎng)絡(luò)安全)
一���、物理安全
我們要考慮機房選址���,不能在地下室或者頂層�,因為頂層可能會漏水�,地下室會回潮,如果要建設(shè)�����,就必須做好這類風(fēng)險防御工作�����。要具備門禁系統(tǒng)�����,還要對進出人員識別���,也就是說不單純是門禁系統(tǒng)�����,你還得具備防盜報警系統(tǒng)�����。要安裝防雷保安器;分區(qū)域管理���,區(qū)域之間要有隔離防火;防靜電措施之外�,對于設(shè)備你要配置防靜電手環(huán)等等;電力方面也增強了�����,需要冗余;有些關(guān)鍵設(shè)備還得電磁防護等�����。所以說機房物理安全性是加強�����。
二�、網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全�����,對于架構(gòu)來說���,要滿足醫(yī)院高峰期業(yè)務(wù)處理能力和帶寬�����,所以對醫(yī)院這么龐大業(yè)務(wù)信息�,網(wǎng)絡(luò)架構(gòu)需要升級。線路上也要做冗余�,我們在運維發(fā)現(xiàn),一旦匯聚主干線出現(xiàn)故障���,就全面癱瘓���,因此在這塊也加強線路冗余。傳輸過程數(shù)據(jù)加密以及可信驗證�����。在邊界防護上�,也會加強非授權(quán)設(shè)備限制,內(nèi)部用戶非法訪問行為限制等等�����。對于數(shù)據(jù)訪問也上升協(xié)議限制;網(wǎng)絡(luò)入侵防范也作出相關(guān)要求�。
三�����、主機安全�、應(yīng)用安全
這些安全性�����,也加強安全計算環(huán)境�����,通過身份鑒別���、訪問控制�����、入侵防范�、惡意代碼�、可信驗證���、數(shù)據(jù)完整性等等�����,進行相關(guān)防范管理�����。
四�����、數(shù)據(jù)安全及備份恢復(fù)
信息安全�����,更重要是數(shù)據(jù)能否安全�����,我們數(shù)據(jù)對于醫(yī)院來說是非常寶貴的���,因此在這塊備份恢復(fù)措施���,目的就需要保證我們數(shù)據(jù)安全。因此我們要求數(shù)據(jù)要實時備份�����,重要數(shù)據(jù)還需要熱冗余,可見�,我們不單純備份策略,還得升級備份措施�����。避免數(shù)據(jù)修改���,關(guān)鍵參數(shù)需在線更新���。
五、安全管理制度�����、機構(gòu)�、人員安全、系統(tǒng)建設(shè)以及運維管理
除了我們防御�����,我覺得2.0更偏重信息安全管理,網(wǎng)絡(luò)和系統(tǒng)安全管理制度不單純是安全策略�、配置管理���、日常操作���、賬戶管理、日志管理�、口令更新周期、升級補丁���,還必須要有安全事件處置制度�,我們可疑事件上報流程等等�,另一方面,也強調(diào)了信息安全管理專職人員�����,不可兼任���,突出專人管理�,加強安全管理制度有效實施���,在機構(gòu)上配置人員�,必須具備系統(tǒng)管理員、審計人員以及安全員等�。對于人員離崗,都要形成制度�����,恰恰是我們忽視安全點�����,人員安全管理必須簽訂相關(guān)保密協(xié)議���,關(guān)鍵崗位設(shè)置責(zé)任協(xié)議���,離任辦理嚴格離崗手續(xù),保密義務(wù)等等�����,對于隱蔽檢查點都要提供維修工具���,巡檢報告�、維護記錄等等,可見安全管理制度更加嚴格�����。
從等級2.0標(biāo)準(zhǔn)來看�����,我們也認識到安全重要性�,以往我們測評關(guān)心防御體系建設(shè)�����,現(xiàn)在不單是做好防御體系���,更需要安全管理持續(xù)性�����。
企業(yè)通訊
