安全建設實踐案例四連發(一)如何讓安全建設更輕鬆?
當我們在談醫療資訊保安建設時,總會讓人深感發展迅速而又任務艱鉅。當醫院在積極利用各種創新技術,探索新型遠端診療模式時,自身的安全建設問題也逐漸暴露。醫院作為一個集資訊與技術密集於一身的整體,如何在各種複雜系統平穩、有序執行與建立健全自身資訊保安保障能力中實現平衡呢?綠盟君將透過分享真實的行業案例,帶您解鎖“更輕鬆”的醫療資訊保安建設方案。
近年來,隨著以雲、大、物、移、智等為代表的新技術、新應用不斷出現,一旦安全事件爆發,將對國家、社會、公民等造成更為嚴重的損害。同時,隨著《網路安全法》一系列法律、法規的頒佈、施行,國家對等級保護制度的實施也提出了更新的要求。落實等級保護已成各醫療機構的“剛需”。各醫療機構應結合自身特點,以等級保護合規能力為基礎,建立健全適應自身業務資訊化發展安全保障能力。
需求主導、理念升級,讓等保建設更輕鬆
對於醫療機構來說,網路安全等級保護體系的建設是一項長期的工作,應充分考慮等級保護體系和標準要求,圍繞規則與要求進行方案設計。同時,在建設過程中,以滿足醫院業務發展為目標,以業務需求為主導,堅持專業服從於全域性、安全服從於應用,適應醫院網路安全需求變化,及時滿足資訊化發展的需要。儘量避免將等級保護工作做得僵化。
科學規劃,構建多層、縱深防禦體系
綠盟科技從醫療機構的實際資訊保安建設角度出發,透過制定科學合理的規劃,確保系統建設滿足等級保護2.0的相關要求。等級保護2.0下的安全建設,透過建設“一箇中心”管理下的“三重防護”體系。分別對通訊網路、區域邊界、計算環境進行管理,實施多層隔離和保護措施,構建網路安全縱深防禦體系。
1. 安全技術體系
醫療機構應從安全通訊網路、安全區域邊界、安全計算環境和安全管理中心四個方面分別設計。安全通訊網路主要是實現通訊網路架構冗餘,合理劃分網路區域,採用技術隔離措施,並實現網路通訊過程中的保密性、完整性防護。
安全區域邊界主要是在網際網路邊界以及安全計算環境與安全通訊網路之間實現邊界防護、安全審計、訪問控制,並對重要節點進行安全檢測和惡意程式碼防範。
安全計算環境主是對定級系統的資訊進行儲存處理,並且實施安全策略保障資訊在儲存和處理過程中的安全。安全計算環境需要對使用者登入進行身份鑑別、許可權控制,並對使用者訪問行為進行安全審計、在計算環境內實現入侵防範、惡意程式碼防範,保證資料傳輸、儲存安全,實現對個人敏感資訊的保護。
安全管理中心主要實現安全技術體系的統一管理,包括系統管理、安全管理、審計管理、集中管控,同時,需要對全網進行安全事件感知和集中分析。
在進行整體技術設計時,結合當前主動防禦、積極防禦的特點,將泛終端與應用分離,重點加強網路韌性和資料保護,結合CARTA(Gartner持續自適應風險與信任評估)理念與縱深防禦設計安全技術體系。
2. 安全管理體系
從安全策略、管理制度、管理機構、人員管理、安全建設管理和安全運維管理等方面分別設計。重點內容包括安全管理機構的組建,安全策略、管理制度、操作規程、記錄表單等內容的安全管理制度體系的補充和完善,安全相關人員的錄用、培訓、授權和離崗管理,圍繞資訊系統全生命週期安全的安全建設管理和安全運維管理。
3. 安全服務體系
安全服務體系是等級保護安全建設不可或缺的部分,從管理和運營角度出發,透過週期性實現安全風險評估、安全加固、滲透測試、應急響應、重要時期安全保障、應急演練、安全培訓等服務,和安全技術體系、安全管理體系、安全運營體系共同保障資訊系統的安全風險始終處於可控、可管的安全狀態。
4. 持續運營體系
綠盟科技透過構建持續化的安全運營體系實現安全動態防禦。透過一體化運營服務體系,整合智慧化安全運營平臺工具,以資產管理為軸,常態化威脅發現、常態化漏洞發現、常態化處置,加強安全運維與值守,等級保護持續運營體系建設,基於綠盟威脅情報構建安全監測預警、安全態勢感知、安全評估、通報預警、研判處置於一體的運營體系,運營體系建設將應急響應和安全事件管理變得更加高效,並且依託安全運營體系的能力建設即鍛鍊了人才隊伍,也增強單位綜合安全保障能力。
協同防護,讓安全建設更省力
1. 省時、省心、省力
綠盟科技能夠為醫療機構在等保建設中,在定級、備案、建設整改、等級測評、安全運營階段,提供專業的等保諮詢服務、安全防護產品、安全技術服務、安全運營服務,讓醫療機構在等級保護建設中省時、省心、省力。
2. 協同安全運營,有效提升安全能力
綠盟科技能夠為醫療機構提供協同安全運營,幫助醫療機構形成比較成熟的監測預警體系。同時依託安全管理平臺,建設符合機構現狀的安全應急和處置服務體系,透過協同安全運營可以使衛生醫療機構建立網路安全服務隊伍,有效增強機構對安全事件分析、處置的能力。
下期預告
本文是全系列的第一講。在醫療資訊保安建設中,智慧醫院又應如何化繁為簡,提升自身的安全防護能力呢?且聽下回分解。
相關文章
- 安全建設實踐案例四連發(二)丨如何讓智慧醫院更有“安全感”?
- 安全建設實踐案例四連發(四)丨5G背景下,醫療機構應如何開展資訊化建設?
- 安全建設實踐案例四連發(三)丨醫療衛生主管單位如何實現安全管理一盤棋?
- 智慧安全3.0實踐 | 中臺賦能安全建設
- 案例|政務大資料平臺資料安全建設實踐大資料
- 邁出資料安全建設的第一步|公安資料分類分級建設案例實踐
- 醫療資訊化建設實踐丨一體化安全能力建設,助力醫院安全能力提升
- 甲方安全建設之研發安全-SCA
- 網路安全實踐案例丨“縱深防禦”思想下的醫療機構安全體系建設
- 讓移動開發更輕鬆 閒魚基於Flutter構建跨端APP應用實踐移動開發Flutter跨端APP
- 將軍令:資料安全平臺建設實踐
- 信創雲安全建設實踐|構建更加智慧、安全的政務雲服務體系
- “四個建設、一項評估”,看菸草行業如何實現工業控制安全?行業
- 從智慧城市建設,看如何構建智慧安全基礎設施?
- 教育網路安全實踐丨如何讓科研院所網路更安全?
- 宜信SDL實踐:產品經理如何驅動產品安全建設
- ChatGPT:讓程式開發更輕鬆ChatGPT
- 網路安全建設思路
- 校園日 | 看高校資料安全建設典型案例
- [平臺建設] HBase平臺建設實踐
- 勒索病毒防禦 運維安全管控 | 某菸草公司資料安全建設實踐運維
- 輕鬆保障萬級例項,vivo服務端監控體系建設實踐服務端
- API安全的防禦建設API
- 網站安全體系建設網站
- 金融日 | 看金融機構資料安全建設典型案例
- 雲上安全更輕鬆,華為雲網站安全解決方案網站
- 案例丨堡壘機如何讓醫療機構運維更安全?運維
- 廈門大學附屬翔安醫院流動資料安全建設實踐
- 實踐|美創助力“雲學堂”資料安全風險管控建設
- 貨拉拉王海華:大資料安全體系建設實踐和思考大資料
- 電信日 | 看運營商資料安全建設典型案例
- PHP 安全程式設計建議PHP程式設計
- 如何設定iis服務更安全
- 智慧城市:如何設計的更安全?
- 《資料安全法》實施|美創開啟“資料安全建設實踐諮詢”專項行動
- 甲方安全建設之日誌採集實操乾貨
- 智慧安全3.0助力高校網路安全保障體系建設
- 如何建設網路安全架構及防禦措施?架構