搜索
医疗行业信息安全治理方法论深圳市圣格灵科技有限公司安全量化与贴身服务倡导者2007©2013©2007-2013圣格灵科技开篇引言©2007-2013圣格灵科技医疗行业信息安全治理方法论©2007-2013圣格灵科技有人的地方,就会产生:概率医疗行业信息安全治理方法论©2007-2013圣格灵科技信赖的短信发送人面对上述短信,我们会做出什么抉择?医疗行业信息安全治理方法论©2007-2013圣格灵科技医疗行业信息安全治理方法论传统电话通讯流程网络电话通讯流程©2007-2013圣格灵科技医疗行业信息安全治理方法论上述与信息安全有什么关系?假设拥有最完美的系统与网络都有可能溃于概率or身份这是对信息安全的一种最简单的诠释-计算机及其网络对信任的界定:从技术上,界定信任关系总是基于这样一个假设:手机的使用者一定是手机的主人©2007-2013圣格灵科技医疗行业信息安全治理方法论安全与威胁信息安全是个立体化构成体,理解才能做到©2007-2013圣格灵科技威胁样例一医疗行业信息安全治理方法论©2007-2013圣格灵科技威胁样例二医疗行业信息安全治理方法论©2007-2013圣格灵科技某虚拟货币数据被盗攻击者IT管理员IT管理员电脑数据被篡改威胁样例三医疗行业信息安全治理方法论©2007-2013圣格灵科技威胁样例四医疗行业信息安全治理方法论©2007-2013圣格灵科技医疗行业信息安全治理方法论何谓免杀?免杀技术其实就是木马如何逃避杀毒软件查杀的技术。免杀技术现状早期免杀技术没有普及的时候,只掌握在一小部分人手上,而现在互联网上免杀工作室的普及,则开始完全利益化、产业化。免杀技术带来的威胁杀毒软件特征库庞大臃肿主动防御假阳性导致用户提心吊胆©2007-2013圣格灵科技医疗行业信息安全治理方法论©2007-2013圣格灵科技信息安全管理与社会工程学信息外泄不一定只发生在内部,大部分信息外泄是第三方导致的!其途径一般包含但不限于:航班、社保、违章、通信电话、住宿、从业资质、房产……威胁样例:信息泄露©2007-2013圣格灵科技医疗行业信息安全治理方法论威胁样例:恶意篡改©2007-2013圣格灵科技一个典型的实例Microsoft安全公告MS08-067-严重服务器服务中的漏洞可能允许远程执行代码(958644)发布时间:发布日期:十月23,2008利用该漏洞的蠕虫:conficker(又名Downup,Downadup或Kido)发现时间:2008年11月(最早捕获样本日期)爆发时间:2009年4月漏洞被黑客组织发现的实际时间为2008年6月份利用该漏洞进行攻击的蠕虫Conficker开始传播2008年10月微软发布编号为KB958644的补丁。08年10月23日Conficker第一个病毒样本被截获并反编译完成。08年11月7日时至今日,Conficker依然在肆虐我们的信息系统!…几年的时间跨度,杀毒软件也都加入了特征库,为什么还会出现这样的问题?除非组织没有任何安全设备、没有任何安全制度,甚至连杀毒软件都没有!如果都不是,那么不言而喻!我们的安全体系缺乏运维!!!医疗行业信息安全治理方法论©2007-2013圣格灵科技医疗行业信息安全治理方法论医疗信息化医疗信息化是国际发展趋势。10月14日,国务院印发《关于促进健康服务业发展的若干意见》,再次将医疗信息化提上了时间表。十二五规划中,卫生信息化建设也是医改中主要部分。大力推进医药卫生信息化建设,逐步实现高效统一、互联互通的区域性医疗卫生信息共享也已迫在眉梢。©2007-2013圣格灵科技医疗行业信息安全治理方法论预约挂号信息共享在线支付智能医疗移动医疗在线问医不久的将来,医疗业将不再是互联网的一道鸿沟。互联网能够帮助解决现在医疗行业的问题。与互联网结合,为解决“看病难,看病贵”问题这类问题开辟新途径和新方式。预约挂号、信息共享、居民健康卡、智慧医疗等等,正是基于此!©2007-2013圣格灵科技医疗行业信息安全治理方法论现在,我们准备好了吗?©2007-2013圣格灵科技医疗行业信息安全治理方法论安全现状不与互联网接驳、信息孤岛是目前医疗行业面对威胁的唯一点©2007-2013圣格灵科技医疗行业信息安全治理方法论缺乏有效设计和标准,简单的应用及产品堆砌;专业技术人员匮乏。很多机构几乎没有专职的安全运维人员;缺乏资金的保障和激励机制。重业务轻信息支撑;信息化建设不平衡。同样三甲,但信息化建设参差不齐;医疗信息化建设、指导、监管相对滞后。目前医疗信息化主要存在的问题©2007-2013圣格灵科技医疗行业信息安全治理方法论应用复杂;业务数据缺乏清晰的梳理;厂商繁多,交叉问题严重,缺乏有效的安全协调机制;基础安全建设良莠不齐,信息资产缺乏有效管理和运维;网络故障或蠕虫爆发时定位与处置缺乏辅助手段;缺乏行业及时有效的技术资讯获取渠道和平台。目前医疗行业主要存在的安全困惑©2007-2013圣格灵科技医疗行业信息安全治理方法论综合治理打好基础,应对威胁,推动全面信息化建设©2007-2013圣格灵科技医疗行业信息安全治理方法论很少有机构去假设:安全事件是必然的。安全建设不是简单堆砌必须具有目的性适应性,安全设备不是万能的©2007-2013圣格灵科技医疗行业信息安全治理方法论基础安全体系构架安全运维安全管理安全技术基础安全体系安全组织关乎安全的管理制度-执行的有效度-执行的完善度关乎安全的决策-主管领导挂帅-设立专门职务关乎安全的技术-安全设备的运用-安全技术的策略关乎安全体系有效运行-是否体系持续健康-发现了什么抵抗了什么-还存在哪些问题©2007-2013圣格灵科技医疗行业信息安全治理方法论安全组织1、医院应成立信息化领导小组和安全事件应急处置办公室,负责领导、组织、协调各个科室的网络与信息安全各方面工作;2、领导小组应由主管院长挂帅,信息部门主导实施;3、信息化发展到一定程度时,应建立稽核部门,负责对各项信息化管理体系执行力的核查。©2007-2013圣格灵科技医疗行业信息安全治理方法论安全管理1、制定适合自身的安全管理体系;2、要定期评审安全政策和制度,尤其当发生重大安全事故以及技术基础结构发生变更时。3、安全管理制度主要包括:管理制度、制定和发布、评审和修订三个控制点。并且由信息化领导小组发布。4、以周、月、季、年为节点,各个环节采用报表形式,全面核查和监督信息安全工作。©2007-2013圣格灵科技医疗行业信息安全治理方法论安全技术1、传统三大样在行业应形成基本的安全标配标准;2、以应用为主导,定期对全网进行业务数据流的梳理工作和网络健康度分析,避免无关数据对业务的感染;3、建立虚拟IT资产管理机制,采用安全基线措施,保障单位最低安全准则不被破坏;4、建立较为全面的技术监控和预警应急机制,根据自身情况设定最低预警阀值,并与专业机构建立安全资讯获取渠道。©2007-2013圣格灵科技医疗行业信息安全治理方法论安全技术:业务数据流梳理与分析应用优化通过网络分析系统采集网络内的数据,针对业务系统的响应质量进行分析,并依此持续性的对网络优化提出方法,设立应用流量排名。健康检查通过网络分析系统评估网段的运行健康状况,了解关键网段的运行性能,发现影响网络性能和潜在影响网络性能的因素。网络分析通过网络流量采集、汇总、分析,列出各个科室流量分布、占用的带宽情况,依此可进行流量控制或进行网络的升级改造。业务拓扑通过梳理整理出当前业务拓扑图,列出各个业务应用之间的访问关系图。依此建立可信的网络访问关系和区域。©2007-2013圣格灵科技医疗行业信息安全治理方法论安全技术:最低安全准则的安全基线没有安全基线体系的网络准入是苍白无力的解决方案接入的系统必须要安全,这是共识。但如何界定?应强调接入的所有服务器均需符合安全基线,全面提升系统的安全性和合规性。并以此作为最低的安全准则!!!©2007-2013圣格灵科技医疗行业信息安全治理方法论安全技术:建立监控应急预警机制通告比对验证审计归档•将所有的过程整理归档,记录在案,形成组织自身的运维知识库。•运维知识库随着积累丰富之后,安全事件的处置可以更好的找到对应点。•除了设备本身之外,也要确认带有事件库的安全设备是否已经更新了该通告特征。•通过审计去弥补安全设备的缺失性。•验证该通告的危害是组织进行内部评估的最根本形式,•也是对该通告进行内部定级的技术依据。•分发下来的通告归口人必须根据自己的资产标识库进行比对;•首先要确立该通告所危害的目标资产标识库内是否有对应的受害体。•安全通告可以来自第三方,包含漏洞、病毒、新型攻击等;•组织内部必须有专人定期负责接收和分发这些通告。©2007-2013圣格灵科技医疗行业信息安全治理方法论安全运维□业务系统都是处于正常工作状态吗?□他们日志里面都记录了些什么?□安全制度是否被有效执行?□是否有攻击者在关注我们?□攻击者关注我们的具体目标?□这个目标真的有弱点吗?□安全设备能主动防范或阻断吗?□病毒查杀日志里面记录什么病毒?□这些病毒什么机理如何感染的?□……被谁关注如何应对关注什么外部哪些人正在持续关注我们?并对我们进行试探性攻击或检测!告警一般都会揭示关注者所关注的位置,而这个位置多半会存在攻击者所能利用的缺陷。被谁关注?关注什么都已知晓,需要做的就是如何应对它们……©2007-2013圣格灵科技医疗行业信息安全治理方法论设备运维全面掌握风险状态,安全防护设备发挥价值定期启动功能校验状态检查日志审计输出报表保障节奏性,定期进行利用录制的事件包向设备发送,校验保护模块是否告警!检查配置是否异常或者规定配置是否移位。驱动引擎调用是否正常等。对设备告警日志进行审计,判断关注对象和关注位置,核算关注度较高的Top排名!制作报表,包含调整方案、下一阶段设备策略等。©2007-2013圣格灵科技医疗行业信息安全治理方法论©2007-2013圣格灵科技医疗行业信息安全治理方法论©2007-2013圣格灵科技谢谢医疗行业信息安全治理方法论Q&A?