后等保時(shí)代,醫(yī)院的網(wǎng)絡(luò)安全建設(shè)已經(jīng)逐步走向精細(xì)化�、場(chǎng)景化,開(kāi)始從“合規(guī)”到“有效”���,從“大而全”到“細(xì)而精”����,與傳統(tǒng)產(chǎn)品化的建設(shè)思路最大的不同是,網(wǎng)絡(luò)安全開(kāi)始真正與醫(yī)院業(yè)務(wù)進(jìn)行緊密結(jié)合�����。醫(yī)院更加關(guān)注對(duì)具體業(yè)務(wù)的保護(hù)�����,更加關(guān)注安全建設(shè)帶來(lái)的實(shí)際效果����,開(kāi)始真正的落到實(shí)處。
8月25日��,由深信服與CHIMA聯(lián)合舉辦的“后等保時(shí)代的醫(yī)院安全建設(shè)”線上研討會(huì)圓滿結(jié)束��。本次會(huì)議特邀CHIMA副秘書長(zhǎng)��、上海交通大學(xué)醫(yī)學(xué)院附屬瑞金醫(yī)院信息中心主任趙艷擔(dān)任主持����,華中科技大學(xué)同濟(jì)醫(yī)學(xué)院附屬協(xié)和醫(yī)院信息與數(shù)據(jù)中心主任郜勇����、云南省腫瘤醫(yī)院信息中心主任路健、深信服醫(yī)療事業(yè)部網(wǎng)絡(luò)安全運(yùn)營(yíng)總監(jiān)王成雨等專家,聚焦在“后等保時(shí)代”的安全建設(shè)話題����,包括醫(yī)院如何進(jìn)行合理的安全規(guī)劃、持續(xù)性的安全運(yùn)營(yíng)��,如何讓安全建設(shè)帶來(lái)實(shí)際性的效果和價(jià)值�,進(jìn)行了深度探討和經(jīng)驗(yàn)分享。
后等保時(shí)代:通過(guò)制度強(qiáng)化管理���,通過(guò)管理深入安全
華中科技大學(xué)同濟(jì)醫(yī)學(xué)院附屬協(xié)和醫(yī)院信息與數(shù)據(jù)中心主任郜勇�����,分享了《后等保時(shí)代的醫(yī)院信息安全建設(shè)實(shí)踐與探索》的主題演講���。郜主任提到,協(xié)和醫(yī)院通過(guò)建立規(guī)章制度��,開(kāi)展日常巡查工作���,嚴(yán)格把控醫(yī)院終端�����、技術(shù)����、數(shù)據(jù)、網(wǎng)絡(luò)等各個(gè)環(huán)節(jié)的安全風(fēng)險(xiǎn)點(diǎn)�,不斷強(qiáng)化安全管理。通過(guò)制度對(duì)醫(yī)院自身安全防護(hù)能力進(jìn)行持續(xù)性的檢測(cè)和提升�,讓管理深入安全。
對(duì)于“后等保時(shí)代”在未來(lái)的安全建設(shè)方向探索等保3.0?互聯(lián)網(wǎng)醫(yī)院�,郜主任建議圍繞以下幾個(gè)方面重點(diǎn)做好安全建設(shè)工作:
1.堅(jiān)持預(yù)防為主、加強(qiáng)重點(diǎn)環(huán)節(jié)安全防護(hù)��、落實(shí)及時(shí)響應(yīng)與處置�,做好持續(xù)的安全運(yùn)營(yíng)。
2.基于實(shí)際業(yè)務(wù)場(chǎng)景和數(shù)據(jù)全生命周期�����,構(gòu)建數(shù)據(jù)安全體系���。
3.從數(shù)據(jù)安全評(píng)估�、檢查�����、咨詢����,以及專項(xiàng)安全演練,來(lái)構(gòu)建數(shù)據(jù)安全治理服務(wù)支撐體系���。
4.混合云環(huán)境下安全思路:傳統(tǒng)數(shù)據(jù)中心+私有云平臺(tái)長(zhǎng)期并存
?安全管理中心統(tǒng)一負(fù)責(zé)混合云安全
?云平臺(tái)的安全防護(hù)級(jí)別應(yīng)不低于傳統(tǒng)數(shù)據(jù)中心
?云平臺(tái)與傳統(tǒng)數(shù)據(jù)中心之間應(yīng)部署邊界隔離與管控系統(tǒng)
?云平臺(tái)集成安全產(chǎn)品應(yīng)符合傳統(tǒng)數(shù)據(jù)中心要求����,盡量兼顧運(yùn)維習(xí)慣
后等保時(shí)代:安全建設(shè)是持續(xù)的����、深入的、可反擊的
云南省腫瘤醫(yī)院信息中心主任路健��,進(jìn)行了《醫(yī)院網(wǎng)絡(luò)安全建設(shè)實(shí)踐》的主題分享����。路主任指出網(wǎng)絡(luò)安全建設(shè)的三個(gè)重要原則:
1. 醫(yī)院安全建設(shè)一定是持續(xù)改進(jìn)的過(guò)程,不是一蹴而就的����。雖然沒(méi)有絕對(duì)的安全,但醫(yī)院在整個(gè)安全建設(shè)過(guò)程中�,要持續(xù)保持高度的安全防范意識(shí)和風(fēng)險(xiǎn)意識(shí)��,不斷跟隨外部攻擊手段的發(fā)展而升級(jí)自身安全防范機(jī)制��,保持持續(xù)改進(jìn)���,螺旋式上升。
2. 安全建設(shè)不能只停留在基礎(chǔ)表面工作����,要從網(wǎng)絡(luò)層、虛擬層����、系統(tǒng)層、應(yīng)用層到數(shù)據(jù)層�、用戶層、業(yè)務(wù)層��、總控層���,進(jìn)行層層防御�,共同組成整體縱深防御體系��。
3. 對(duì)于攻擊者而言����,只要找到一個(gè)醫(yī)院的漏洞就能達(dá)到入侵目的���;對(duì)于醫(yī)院信息安全人員而言��,必須找到系統(tǒng)所有弱點(diǎn)���,才能做到百分百防御��。這種非對(duì)稱性導(dǎo)致攻擊者和防御者的思維方式不同�����,而信息安全人員應(yīng)該學(xué)習(xí)和利用這種非對(duì)稱思維����。在醫(yī)院面對(duì)攻擊時(shí)�����,通過(guò)蜜罐誘捕等方式�,學(xué)會(huì)進(jìn)行安全反制,讓惡意攻擊者難以全身而退�,扭轉(zhuǎn)局勢(shì)����。
“圖與司南”—后等保時(shí)代醫(yī)院安全差距評(píng)估與建設(shè)指引
在本次直播中��,深信服醫(yī)療事業(yè)部網(wǎng)絡(luò)安全運(yùn)營(yíng)總監(jiān)王成雨指出:在“十四五”國(guó)家信息化規(guī)劃����、外部攻防壓力、合規(guī)建設(shè)要求的種種因素下�����,當(dāng)前醫(yī)療行業(yè)的安全建設(shè)已進(jìn)入“后等保時(shí)代”?,F(xiàn)階段很多醫(yī)院通過(guò)等級(jí)保護(hù)2.0測(cè)評(píng)之后,依舊面臨著種種安全風(fēng)險(xiǎn)和威脅���,安全建設(shè)不是設(shè)備堆疊就能實(shí)現(xiàn)防護(hù)效果�。
基于此��,深信服經(jīng)過(guò)對(duì)全國(guó)各地醫(yī)療行業(yè)用戶的深入調(diào)研��,梳理了后等保時(shí)代的“十大安全建設(shè)重點(diǎn)場(chǎng)景”���,并且提出了“圖與司南”方法論����。“圖”是指醫(yī)院網(wǎng)絡(luò)安全建設(shè)全景圖����,“司南”是指醫(yī)院安全加固建設(shè)指引。這是深信服為醫(yī)院安全建設(shè)量身打造��、符合行業(yè)實(shí)際情況�����、可執(zhí)行��、可分批落地的安全差距評(píng)估及建設(shè)方法��,能夠滿足智慧醫(yī)療多場(chǎng)景的安全發(fā)展需求�����。
會(huì)上�,王成雨對(duì)“圖與司南”中涉及的勒索病毒專項(xiàng)防護(hù)�����、醫(yī)療設(shè)備安全管控防護(hù)、服務(wù)器側(cè)安全加固�����、醫(yī)療軟件供應(yīng)鏈安全����、醫(yī)療安全運(yùn)營(yíng)中心五個(gè)關(guān)鍵場(chǎng)景進(jìn)行了深度解析,為醫(yī)療用戶在后等保時(shí)代的重點(diǎn)安全場(chǎng)景提供建設(shè)參考����。
