日期:2019-12-03 點擊: 關鍵詞:網絡安全,等級保護
等級保護2.0 標準將于今年下半年正式實施,對于醫療機構來說,要保證醫院業務系統穩定運作,保證數據完整,數據保密以及信息安全有很多難點。炫億工程師近期做了一個醫療機構的等保案例,總結了醫療機構在等保2.0標準下面臨的風險,下面一起來看看吧。
(網絡安全)
一、物理安全
我們要考慮機房選址,不能在地下室或者頂層,因為頂層可能會漏水,地下室會回潮,如果要建設,就必須做好這類風險防御工作。要具備門禁系統,還要對進出人員識別,也就是說不單純是門禁系統,你還得具備防盜報警系統。要安裝防雷保安器;分區域管理,區域之間要有隔離防火;防靜電措施之外,對于設備你要配置防靜電手環等等;電力方面也增強了,需要冗余;有些關鍵設備還得電磁防護等。所以說機房物理安全性是加強。
二、網絡安全
網絡安全,對于架構來說,要滿足醫院高峰期業務處理能力和帶寬,所以對醫院這么龐大業務信息,網絡架構需要升級。線路上也要做冗余,我們在運維發現,一旦匯聚主干線出現故障,就全面癱瘓,因此在這塊也加強線路冗余。傳輸過程數據加密以及可信驗證。在邊界防護上,也會加強非授權設備限制,內部用戶非法訪問行為限制等等。對于數據訪問也上升協議限制;網絡入侵防范也作出相關要求。
三、主機安全、應用安全
這些安全性,也加強安全計算環境,通過身份鑒別、訪問控制、入侵防范、惡意代碼、可信驗證、數據完整性等等,進行相關防范管理。
四、數據安全及備份恢復
信息安全,更重要是數據能否安全,我們數據對于醫院來說是非常寶貴的,因此在這塊備份恢復措施,目的就需要保證我們數據安全。因此我們要求數據要實時備份,重要數據還需要熱冗余,可見,我們不單純備份策略,還得升級備份措施。避免數據修改,關鍵參數需在線更新。
五、安全管理制度、機構、人員安全、系統建設以及運維管理
除了我們防御,我覺得2.0更偏重信息安全管理,網絡和系統安全管理制度不單純是安全策略、配置管理、日常操作、賬戶管理、日志管理、口令更新周期、升級補丁,還必須要有安全事件處置制度,我們可疑事件上報流程等等,另一方面,也強調了信息安全管理專職人員,不可兼任,突出專人管理,加強安全管理制度有效實施,在機構上配置人員,必須具備系統管理員、審計人員以及安全員等。對于人員離崗,都要形成制度,恰恰是我們忽視安全點,人員安全管理必須簽訂相關保密協議,關鍵崗位設置責任協議,離任辦理嚴格離崗手續,保密義務等等,對于隱蔽檢查點都要提供維修工具,巡檢報告、維護記錄等等,可見安全管理制度更加嚴格。
從等級2.0標準來看,我們也認識到安全重要性,以往我們測評關心防御體系建設,現在不單是做好防御體系,更需要安全管理持續性。
企業通訊
