網(wǎng)絡(luò)安全體系建設(shè)——建設(shè)思路
那么武漢口腔醫(yī)院網(wǎng)絡(luò)安全體系建設(shè)思路是怎么樣的呢?必要性的分析和說明。蔣老師先是將政策���、法律法規(guī)等做了羅列和陳述:
1.針對《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法要求》,醫(yī)院需要以等保合規(guī)為基礎(chǔ),以“三化六防”為措施����,建立體系化的網(wǎng)絡(luò)安全防御能力��,堅決落實“同步規(guī)劃���、同步建設(shè)��、同步使用”的工作��,把好立項關(guān)��、建設(shè)關(guān)��、驗收關(guān)����。2.四新要求則指的是:公安部出臺的《貫徹落實網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見[2020]1960號文》,各部委和央企逐步推進(jìn)和落實“三化六防”工作�。四新指的是:①新目標(biāo)——構(gòu)建國家網(wǎng)絡(luò)安全綜合防控體系,② 新理念——體系化�、常態(tài)化、實戰(zhàn)化(三化)����,③ 新措施——動態(tài)防御、主動防御�、縱深防御、精準(zhǔn)防護(hù)�、整體防控、聯(lián)防聯(lián)控(六防)���,④ 新高度——國家網(wǎng)絡(luò)安全總額和防御能力和水平上升一個新高度����。3.按照2019年12月1日實施的國標(biāo)標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》2.0版本�����,該規(guī)定用于指導(dǎo)非涉密對象��,有1-4級等保對象的安全通用和擴(kuò)展要求。按照等保2.0要求醫(yī)院做好信息安全保護(hù)體系�,武漢口腔醫(yī)院建設(shè)了一個中心管理下的三重防護(hù)體系,這個體系也跟醫(yī)院的信息化系統(tǒng)架構(gòu)有關(guān)���,做大醫(yī)院核心信息資產(chǎn)全面防護(hù):①安全管理中心�����,統(tǒng)一管理、集中審計��、安全態(tài)勢感知②通信網(wǎng)絡(luò)安全防護(hù):傳輸信息加密���、可信接入保護(hù)③邊界安全防護(hù):威脅全面防護(hù)、未知威脅深度防護(hù)④計算環(huán)境安全防護(hù):主機(jī)、應(yīng)用���、數(shù)據(jù)安全防護(hù)
網(wǎng)絡(luò)安全體系建設(shè)——建設(shè)內(nèi)容那么醫(yī)院網(wǎng)絡(luò)安全體系是如何建設(shè)的呢��?醫(yī)院安全體系建設(shè)從3處入手:管理體系(設(shè)安全責(zé)任人�����、安全管理員)�,技術(shù)應(yīng)用體系(用安全設(shè)備、技術(shù)來完善醫(yī)院安全防護(hù)系統(tǒng))���,服務(wù)支撐(引入第三方安全服務(wù)機(jī)構(gòu))�。1.管理體系建設(shè)�����,醫(yī)院在2021年建立醫(yī)院網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組����,書記+院長為組長,發(fā)布信息中心員工工作手冊�,(這里也簡單提到了22年的醫(yī)院網(wǎng)絡(luò)安全會議)2.技術(shù)應(yīng)用體系更新,采用①邊界防護(hù)�����、②WAF防護(hù)�,在DMZ區(qū)外網(wǎng)出口位置部署web防火墻,在應(yīng)用層設(shè)置口令防護(hù)��、權(quán)限控制�����、數(shù)據(jù)防泄密、漏洞掃描�、CC攻擊防護(hù)、Cookie攻擊防護(hù)等合理安全策略���,外部訪問IP如觸發(fā)安全策略可以動態(tài)封堵����,實時保護(hù)DMZ區(qū)提供對外訪問的服務(wù)器����。③平臺部署一臺態(tài)勢感知平臺���、流量探針�����,實施分析和監(jiān)測流量�,感知資產(chǎn)安全(我的neixin內(nèi)心OS:總感覺這部分是安全常識的硬廣)�����,④服務(wù)器安全����,在服務(wù)器區(qū)域設(shè)置隔離防火墻���,允許指定IP訪問其余一概禁止;接口上�,“按需開發(fā)、最小開放”原則只保留必需端口應(yīng)用�,禁用21、22��、23����、135、137����、139、445等高危端口�;強(qiáng)密碼管理等。⑤ 終端安全管理上�����,設(shè)置IP準(zhǔn)入規(guī)則�,禁USB等���。⑥運維管理 ⑦容災(zāi)備份,武漢口腔部署的是兩地雙活多冗余災(zāi)備體系�����。3.服務(wù)支撐上���,盤點好需要聯(lián)網(wǎng)和管理的醫(yī)院資產(chǎn):武漢口腔以EMR為核心的信息化平臺部署應(yīng)用系統(tǒng)37個����;交換機(jī)228臺��、網(wǎng)絡(luò)安全設(shè)備20臺�����、數(shù)據(jù)資產(chǎn)282TB�����,服務(wù)器31臺��、PC有1510臺���、虛機(jī)174臺�。針對資產(chǎn)管理及網(wǎng)絡(luò)信息安全管控�,除依靠醫(yī)院信息科之外,醫(yī)院還邀請第三方專業(yè)網(wǎng)絡(luò)安全公司定期對重要信息系統(tǒng)進(jìn)行漏洞掃描�、排查系統(tǒng)安全隱患,發(fā)現(xiàn)問題及時督促系統(tǒng)建設(shè)方整改��。與省等保通報辦公室����、省公安廳護(hù)網(wǎng)演習(xí)等積極參與。
網(wǎng)絡(luò)安全體系建設(shè)思考最后���,蔣老師給到了一些建設(shè)思考�,拋出來一些問題�����。困境:花很多預(yù)算在安全上��,卻沒有把安全設(shè)備有效使用起來����,沒有深度���、全面的做分析和監(jiān)測,發(fā)現(xiàn)問題之后無法進(jìn)行閉環(huán)處置�。在建設(shè)上,武漢口腔的經(jīng)驗是什么樣的呢���?
