等級(jí)保護(hù)2.0 標(biāo)準(zhǔn)將于今年下半年正式實(shí)施,對(duì)于醫(yī)療機(jī)構(gòu)來(lái)說(shuō)�,要保證醫(yī)院業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)作,保證數(shù)據(jù)完整���,數(shù)據(jù)保密以及信息安全有很多難點(diǎn)���。炫億工程師近期做了一個(gè)醫(yī)療機(jī)構(gòu)的等保案例��,總結(jié)了醫(yī)療機(jī)構(gòu)在等保2.0標(biāo)準(zhǔn)下面臨的風(fēng)險(xiǎn)�,下面一起來(lái)看看吧�。
(網(wǎng)絡(luò)安全)
一、物理安全
我們要考慮機(jī)房選址���,不能在地下室或者頂層��,因?yàn)轫攲涌赡軙?huì)漏水���,地下室會(huì)回潮,如果要建設(shè)�,就必須做好這類(lèi)風(fēng)險(xiǎn)防御工作。要具備門(mén)禁系統(tǒng)�����,還要對(duì)進(jìn)出人員識(shí)別����,也就是說(shuō)不單純是門(mén)禁系統(tǒng)����,你還得具備防盜報(bào)警系統(tǒng)���。要安裝防雷保安器;分區(qū)域管理,區(qū)域之間要有隔離防火;防靜電措施之外����,對(duì)于設(shè)備你要配置防靜電手環(huán)等等;電力方面也增強(qiáng)了,需要冗余;有些關(guān)鍵設(shè)備還得電磁防護(hù)等�����。所以說(shuō)機(jī)房物理安全性是加強(qiáng)���。
二�、網(wǎng)絡(luò)安全
網(wǎng)絡(luò)安全���,對(duì)于架構(gòu)來(lái)說(shuō)�,要滿足醫(yī)院高峰期業(yè)務(wù)處理能力和帶寬��,所以對(duì)醫(yī)院這么龐大業(yè)務(wù)信息�,網(wǎng)絡(luò)架構(gòu)需要升級(jí)����。線路上也要做冗余�����,我們?cè)谶\(yùn)維發(fā)現(xiàn)���,一旦匯聚主干線出現(xiàn)故障��,就全面癱瘓�����,因此在這塊也加強(qiáng)線路冗余���。傳輸過(guò)程數(shù)據(jù)加密以及可信驗(yàn)證。在邊界防護(hù)上���,也會(huì)加強(qiáng)非授權(quán)設(shè)備限制�,內(nèi)部用戶(hù)非法訪問(wèn)行為限制等等�����。對(duì)于數(shù)據(jù)訪問(wèn)也上升協(xié)議限制;網(wǎng)絡(luò)入侵防范也作出相關(guān)要求。
三�、主機(jī)安全、應(yīng)用安全
這些安全性����,也加強(qiáng)安全計(jì)算環(huán)境,通過(guò)身份鑒別�����、訪問(wèn)控制�、入侵防范����、惡意代碼、可信驗(yàn)證�、數(shù)據(jù)完整性等等,進(jìn)行相關(guān)防范管理��。
四�����、數(shù)據(jù)安全及備份恢復(fù)
信息安全���,更重要是數(shù)據(jù)能否安全����,我們數(shù)據(jù)對(duì)于醫(yī)院來(lái)說(shuō)是非常寶貴的,因此在這塊備份恢復(fù)措施�,目的就需要保證我們數(shù)據(jù)安全。因此我們要求數(shù)據(jù)要實(shí)時(shí)備份��,重要數(shù)據(jù)還需要熱冗余�����,可見(jiàn)���,我們不單純備份策略�,還得升級(jí)備份措施�����。避免數(shù)據(jù)修改����,關(guān)鍵參數(shù)需在線更新。
五、安全管理制度��、機(jī)構(gòu)�、人員安全、系統(tǒng)建設(shè)以及運(yùn)維管理
除了我們防御�����,我覺(jué)得2.0更偏重信息安全管理�,網(wǎng)絡(luò)和系統(tǒng)安全管理制度不單純是安全策略、配置管理����、日常操作、賬戶(hù)管理��、日志管理��、口令更新周期����、升級(jí)補(bǔ)丁���,還必須要有安全事件處置制度���,我們可疑事件上報(bào)流程等等����,另一方面����,也強(qiáng)調(diào)了信息安全管理專(zhuān)職人員,不可兼任��,突出專(zhuān)人管理�,加強(qiáng)安全管理制度有效實(shí)施,在機(jī)構(gòu)上配置人員����,必須具備系統(tǒng)管理員、審計(jì)人員以及安全員等�。對(duì)于人員離崗,都要形成制度��,恰恰是我們忽視安全點(diǎn)�����,人員安全管理必須簽訂相關(guān)保密協(xié)議�,關(guān)鍵崗位設(shè)置責(zé)任協(xié)議��,離任辦理嚴(yán)格離崗手續(xù)����,保密義務(wù)等等��,對(duì)于隱蔽檢查點(diǎn)都要提供維修工具���,巡檢報(bào)告���、維護(hù)記錄等等,可見(jiàn)安全管理制度更加嚴(yán)格����。
從等級(jí)2.0標(biāo)準(zhǔn)來(lái)看,我們也認(rèn)識(shí)到安全重要性�����,以往我們測(cè)評(píng)關(guān)心防御體系建設(shè)�����,現(xiàn)在不單是做好防御體系�,更需要安全管理持續(xù)性。
企業(yè)通訊
