《医学信息学论文-医疗行业信息安全治理方法论课件.pptx》由会员分享,可在线阅读,更多相关《医学信息学论文-医疗行业信息安全治理方法论课件.pptx(40页珍藏版)》请在三一办公上搜索。
1、医疗行业信息安全治理方法论,深圳市圣格灵科技,安全量化与贴身服务倡导者20072013,开 篇 引 言,医疗行业信息安全治理方法论,有人的地方,就会产生:,概率,医疗行业信息安全治理方法论,信赖的短信发送人,面对上述短信,我们会做出什么抉择?,医疗行业信息安全治理方法论,医疗行业信息安全治理方法论,传统电话通讯流程,网络电话通讯流程,医疗行业信息安全治理方法论,上述与信息安全有什么关系?假设拥有最完美的系统与网络都有可能 溃于 概率or身份 这是对信息安全的一种最简单的诠释,计算机及其网络对信任的界定:从技术上,界定信任关系总是基于这样一个假设:手机的使用者一定是手机的主人,医疗行业信息安全治
2、理方法论,安全与威胁,信息安全是个立体化构成体,理解才能做到,威胁样例一,医疗行业信息安全治理方法论,威胁样例二,医疗行业信息安全治理方法论,某虚拟货币数据被盗,IT管理员,IT管理员电脑,数据被篡改,威胁样例三,医疗行业信息安全治理方法论,威胁样例四,医疗行业信息安全治理方法论,医疗行业信息安全治理方法论,何谓免杀?免杀技术其实就是木马如何逃避杀毒软件查杀的技术。免杀技术现状 早期免杀技术没有普及的时候,只掌握在一小部分人手上,而现在互联网上免杀工作室的普及,则开始完全利益化、产业化。免杀技术带来的威胁 杀毒软件特征库庞大臃肿 主动防御假阳性导致用户提心吊胆,医疗行业信息安全治理方法论,信息
3、安全管理与社会工程学,信息外泄不一定只发生在内部,大部分信息外泄是第三方导致的!其途径一般包含但不限于:航班、社保、违章、通信电话、住宿、从业资质、房产,威胁样例:信息泄露,医疗行业信息安全治理方法论,威胁样例:恶意篡改,一个典型的实例,Microsoft 安全公告 MS08-067-严重服务器服务中的漏洞可能允许远程执行代码(958644)发布时间:发布日期:十月 23,2008利用该漏洞的蠕虫:conficker(又名Downup,Downadup或Kido)发现时间:2008年11月(最早捕获样本日期)爆发时间:2009年4月,漏洞被黑客组织发现的实际时间为2008年6月份,利用该漏洞进
4、行攻击的蠕虫Conficker开始传播2008年10月,微软发布编号为KB958644的补丁。08年10月23日,Conficker第一个病毒样本被截获并反编译完成。08年11月7日,时至今日,Conficker依然在肆虐我们的信息系统!,几年的时间跨度,杀毒软件也都加入了特征库,为什么还会出现这样的问题?除非组织没有任何安全设备、没有任何安全制度,甚至连杀毒软件都没有!如果都不是,那么不言而喻!我们的安全体系缺乏运维!,医疗行业信息安全治理方法论,医疗行业信息安全治理方法论,医疗信息化,医疗信息化是国际发展趋势。10月14日,国务院印发关于促进健康服务业发展的若干意见,再次将医疗信息化提上了
5、时间表。十二五规划中,卫生信息化建设也是医改中主要部分。大力推进医药卫生信息化建设,逐步实现高效统一、互联互通的区域性医疗卫生信息共享也已迫在眉梢。,医疗行业信息安全治理方法论,预约挂号,信息共享,在线支付,智能医疗,移动医疗,在线问医,不久的将来,医疗业将不再是互联网的一道鸿沟。互联网能够帮助解决现在医疗行业的问题。与互联网结合,为解决“看病难,看病贵”问题这类问题开辟新途径和新方式。预约挂号、信息共享、居民健康卡、智慧医疗等等,正是基于此!,医疗行业信息安全治理方法论,现在,,我们准备好了吗?,医疗行业信息安全治理方法论,安全现状,不与互联网接驳、信息孤岛是目前医疗行业面对威胁的唯一点,医
6、疗行业信息安全治理方法论,缺乏有效设计和标准,简单的应用及产品堆砌;,专业技术人员匮乏。很多机构几乎没有专职的安全运维人员;,缺乏资金的保障和激励机制。重业务轻信息支撑;,信息化建设不平衡。同样三甲,但信息化建设参差不齐;,医疗信息化建设、指导、监管相对滞后。,目前医疗信息化主要存在的问题,医疗行业信息安全治理方法论,应用复杂;业务数据缺乏清晰的梳理;,厂商繁多,交叉问题严重,缺乏有效的安全协调机制;,基础安全建设良莠不齐,信息资产缺乏有效管理和运维;,网络故障或蠕虫爆发时定位与处置缺乏辅助手段;,缺乏行业及时有效的技术资讯获取渠道和平台。,目前医疗行业主要存在的安全困惑,医疗行业信息安全治理
7、方法论,综合治理,打好基础,应对威胁,推动全面信息化建设,医疗行业信息安全治理方法论,很少有机构去假设:安全事件是必然的。安全建设不是简单堆砌必须具有目的性适应性,安全设备不是万能的,医疗行业信息安全治理方法论,基础安全体系构架,医疗行业信息安全治理方法论,1、医院应成立信息化领导小组和安全事件应急处置办公室,负责领导、组织、协调各个科室的网络与信息安全各方面工作;2、领导小组应由主管院长挂帅,信息部门主导实施;3、信息化发展到一定程度时,应建立稽核部门,负责对各项信息化管理体系执行力的核查。,医疗行业信息安全治理方法论,1、制定适合自身的安全管理体系;2、要定期评审安全政策和制度,尤其当发生
8、重大安全事故以及技术基础结构发生变更时。3、安全管理制度主要包括:管理制度、制定和发布、评审和修订三个控制点。并且由信息化领导小组发布。4、以周、月、季、年为节点,各个环节采用报表形式,全面核查和监督信息安全工作。,医疗行业信息安全治理方法论,1、传统三大样在行业应形成基本的安全标配标准;2、以应用为主导,定期对全网进行业务数据流的梳理工作和网络健康度分析,避免无关数据对业务的感染;3、建立虚拟IT资产管理机制,采用安全基线措施,保障单位最低安全准则不被破坏;4、建立较为全面的技术监控和预警应急机制,根据自身情况设定最低预警阀值,并与专业机构建立安全资讯获取渠道。,医疗行业信息安全治理方法论,
9、安全技术:业务数据流梳理与分析,应用优化,通过网络分析系统采集网络内的数据,针对业务系统的响应质量进行分析,并依此持续性的对网络优化提出方法,设立应用流量排名。,健康检查,通过网络分析系统评估网段的运行健康状况,了解关键网段的运行性能,发现影响网络性能和潜在影响网络性能的因素。,网络分析,通过网络流量采集、汇总、分析,列出各个科室流量分布、占用的带宽情况,依此可进行流量控制或进行网络的升级改造。,业务拓扑,通过梳理整理出当前业务拓扑图,列出各个业务应用之间的访问关系图。依此建立可信的网络访问关系和区域。,医疗行业信息安全治理方法论,安全技术:最低安全准则的安全基线,没有安全基线体系的网络准入是
10、苍白无力的解决方案,接入的系统必须要安全,这是共识。但如何界定?,应强调接入的所有服务器均需符合安全基线,全面提升系统的安全性和合规性。,并以此作为最低的安全准则!,医疗行业信息安全治理方法论,安全技术:建立监控应急预警机制,通告,比对,验证,审计,归档,将所有的过程整理归档,记录在案,形成组织自身的运维知识库。运维知识库随着积累丰富之后,安全事件的处置可以更好的找到对应点。,除了设备本身之外,也要确认带有事件库的安全设备是否已经更新了该通告特征。通过审计去弥补安全设备的缺失性。,验证该通告的危害是组织进行内部评估的最根本形式,也是对该通告进行内部定级的技术依据。,分发下来的通告归口人必须根据
11、自己的资产标识库进行比对;首先要确立该通告所危害的目标资产标识库内是否有对应的受害体。,安全通告可以来自第三方,包含漏洞、病毒、新型攻击等;组织内部必须有专人定期负责接收和分发这些通告。,医疗行业信息安全治理方法论,业务系统都是处于正常工作状态吗?他们日志里面都记录了些什么?安全制度是否被有效执行?是否有攻击者在关注我们?攻击者关注我们的具体目标?这个目标真的有弱点吗?安全设备能主动防范或阻断吗?病毒查杀日志里面记录什么病毒?这些病毒什么机理如何感染的?,被谁关注,如何应对,关注什么,外部哪些人正在持续关注我们?并对我们进行试探性攻击或检测!,告警一般都会揭示关注者所关注的位置,而这个位置多半
12、会存在攻击者所能利用的缺陷。,被谁关注?关注什么都已知晓,需要做的就是如何应对它们,医疗行业信息安全治理方法论,设备运维,全面掌握风险状态,安全防护设备发挥价值,定期启动,功能校验,状态检查,日志审计,输出报表,保障节奏性,定期进行,利用录制的事件包向设备发送,校验保护模块是否告警!,检查配置是否异常或者规定配置是否移位。驱动引擎调用是否正常等。,对设备告警日志进行审计,判断关注对象和关注位置,核算关注度较高的Top排名!,制作报表,包含调整方案、下一阶段设备策略等。,医疗行业信息安全治理方法论,医疗行业信息安全治理方法论,谢 谢,医疗行业信息安全治理方法论,Q&A?,1、有时候读书是一种巧妙
13、地避开思考的方法。23.3.2223.3.22Wednesday,March 22,20232、阅读一切好书如同和过去最杰出的人谈话。18:16:2418:16:2418:163/22/2023 6:16:24 PM3、越是没有本领的就越加自命不凡。23.3.2218:16:2418:16Mar-2322-Mar-234、越是无能的人,越喜欢挑剔别人的错儿。18:16:2418:16:2418:16Wednesday,March 22,20235、知人者智,自知者明。胜人者有力,自胜者强。23.3.2223.3.2218:16:2418:16:24March 22,20236、意志坚强的人能把
14、世界放在手中像泥块一样任意揉捏。2023年3月22日星期三下午6时16分24秒18:16:2423.3.227、最具挑战性的挑战莫过于提升自我。2023年3月下午6时16分23.3.2218:16March 22,20238、业余生活要有意义,不要越轨。2023年3月22日星期三6时16分24秒18:16:2422 March 20239、一个人即使已登上顶峰,也仍要自强不息。下午6时16分24秒下午6时16分18:16:2423.3.2210、你要做多大的事情,就该承受多大的压力。3/22/2023 6:16:24 PM18:16:242023/3/2211、自己要先看得起自己,别人才会看得
15、起你。3/22/2023 6:16 PM3/22/2023 6:16 PM23.3.2223.3.2212、这一秒不放弃,下一秒就会有希望。22-Mar-2322 March 202323.3.2213、无论才能知识多么卓著,如果缺乏热情,则无异纸上画饼充饥,无补于事。Wednesday,March 22,202322-Mar-2323.3.2214、我只是自己不放过自己而已,现在我不会再逼自己眷恋了。23.3.2218:16:2422 March 202318:16,谢谢大家,1、有时候读书是一种巧妙地避开思考的方法。23.3.2223.3.22Wednesday,March 22,2023
16、2、阅读一切好书如同和过去最杰出的人谈话。18:16:2418:16:2418:163/22/2023 6:16:24 PM3、越是没有本领的就越加自命不凡。23.3.2218:16:2418:16Mar-2322-Mar-234、越是无能的人,越喜欢挑剔别人的错儿。18:16:2418:16:2418:16Wednesday,March 22,20235、知人者智,自知者明。胜人者有力,自胜者强。23.3.2223.3.2218:16:2418:16:24March 22,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2023年3月22日星期三下午6时16分24秒18:16:2
17、423.3.227、最具挑战性的挑战莫过于提升自我。2023年3月下午6时16分23.3.2218:16March 22,20238、业余生活要有意义,不要越轨。2023年3月22日星期三6时16分24秒18:16:2422 March 20239、一个人即使已登上顶峰,也仍要自强不息。下午6时16分24秒下午6时16分18:16:2423.3.2210、你要做多大的事情,就该承受多大的压力。3/22/2023 6:16:24 PM18:16:242023/3/2211、自己要先看得起自己,别人才会看得起你。3/22/2023 6:16 PM3/22/2023 6:16 PM23.3.2223.3.2212、这一秒不放弃,下一秒就会有希望。22-Mar-2322 March 202323.3.2213、无论才能知识多么卓著,如果缺乏热情,则无异纸上画饼充饥,无补于事。Wednesday,March 22,202322-Mar-2323.3.2214、我只是自己不放过自己而已,现在我不会再逼自己眷恋了。23.3.2218:16:2422 March 202318:16,谢谢大家,
