日期:2019-12-03 點擊: 關鍵詞:網(wǎng)絡安全,等級保護
等級保護2.0 標準將于今年下半年正式實施,對于醫(yī)療機構來說,要保證醫(yī)院業(yè)務系統(tǒng)穩(wěn)定運作,保證數(shù)據(jù)完整,數(shù)據(jù)保密以及信息安全有很多難點。炫億工程師近期做了一個醫(yī)療機構的等保案例,總結了醫(yī)療機構在等保2.0標準下面臨的風險,下面一起來看看吧。
(網(wǎng)絡安全)
一、物理安全
我們要考慮機房選址,不能在地下室或者頂層,因為頂層可能會漏水,地下室會回潮,如果要建設,就必須做好這類風險防御工作。要具備門禁系統(tǒng),還要對進出人員識別,也就是說不單純是門禁系統(tǒng),你還得具備防盜報警系統(tǒng)。要安裝防雷保安器;分區(qū)域管理,區(qū)域之間要有隔離防火;防靜電措施之外,對于設備你要配置防靜電手環(huán)等等;電力方面也增強了,需要冗余;有些關鍵設備還得電磁防護等。所以說機房物理安全性是加強。
二、網(wǎng)絡安全
網(wǎng)絡安全,對于架構來說,要滿足醫(yī)院高峰期業(yè)務處理能力和帶寬,所以對醫(yī)院這么龐大業(yè)務信息,網(wǎng)絡架構需要升級。線路上也要做冗余,我們在運維發(fā)現(xiàn),一旦匯聚主干線出現(xiàn)故障,就全面癱瘓,因此在這塊也加強線路冗余。傳輸過程數(shù)據(jù)加密以及可信驗證。在邊界防護上,也會加強非授權設備限制,內(nèi)部用戶非法訪問行為限制等等。對于數(shù)據(jù)訪問也上升協(xié)議限制;網(wǎng)絡入侵防范也作出相關要求。
三、主機安全、應用安全
這些安全性,也加強安全計算環(huán)境,通過身份鑒別、訪問控制、入侵防范、惡意代碼、可信驗證、數(shù)據(jù)完整性等等,進行相關防范管理。
四、數(shù)據(jù)安全及備份恢復
信息安全,更重要是數(shù)據(jù)能否安全,我們數(shù)據(jù)對于醫(yī)院來說是非常寶貴的,因此在這塊備份恢復措施,目的就需要保證我們數(shù)據(jù)安全。因此我們要求數(shù)據(jù)要實時備份,重要數(shù)據(jù)還需要熱冗余,可見,我們不單純備份策略,還得升級備份措施。避免數(shù)據(jù)修改,關鍵參數(shù)需在線更新。
五、安全管理制度、機構、人員安全、系統(tǒng)建設以及運維管理
除了我們防御,我覺得2.0更偏重信息安全管理,網(wǎng)絡和系統(tǒng)安全管理制度不單純是安全策略、配置管理、日常操作、賬戶管理、日志管理、口令更新周期、升級補丁,還必須要有安全事件處置制度,我們可疑事件上報流程等等,另一方面,也強調(diào)了信息安全管理專職人員,不可兼任,突出專人管理,加強安全管理制度有效實施,在機構上配置人員,必須具備系統(tǒng)管理員、審計人員以及安全員等。對于人員離崗,都要形成制度,恰恰是我們忽視安全點,人員安全管理必須簽訂相關保密協(xié)議,關鍵崗位設置責任協(xié)議,離任辦理嚴格離崗手續(xù),保密義務等等,對于隱蔽檢查點都要提供維修工具,巡檢報告、維護記錄等等,可見安全管理制度更加嚴格。
從等級2.0標準來看,我們也認識到安全重要性,以往我們測評關心防御體系建設,現(xiàn)在不單是做好防御體系,更需要安全管理持續(xù)性。
企業(yè)通訊