构建医疗行业信息安全防护体系

融合应变，按需安全方正信息安全技术有限公司首席安全咨询顾问沈传宝CISSP/CISP/OCPMSN/GTalk:shencb@Gmail.com构建医疗行业安全防护体系目录•驱动力信息安全应变之难•方法论信息安全建设之道•构建和谐方正信息安全解决方案融合创造价值，应变构建和谐美国联邦调查局对2066家公司和组织进行了调查，发生概率排在前四位的是：1）病毒；2）笔记本电脑或移动设备被窃；3）内部网络资源滥用；4）未授权访问。安全事件分布病毒感染导致最大损失，未授权的访问排名第二，笔记本电脑等移动设备失窃和重要数据被窃取则列居三四位。这四种类型的损失占了所有损失总数的80%左右。安全事件的损失安全威胁方的分布信息技术与互联网的发展互联网的变迁：过去TCP/IPFTPEmailTelnet现在TCP/IPP2PBBShttp互联网应用的改变，导致了各种混合型威胁的出现，应用的扩展给应对这种混合型威胁带来巨大困难.恶意软件已经成为一种产业惊心动魄的数字截止到目前为止，全球最大的僵尸网络中有28,000,000台PC2007年上半年，全国计算机感染台数760万台，与去年同期相比增长了12.2%。其中有50万受木马控制。网络攻击手段的融合当前威胁不可避免另一方面：国家政策、行业规范信息系统等级保护是国家信息安全的基本制度：2003年，中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）2007年6月22日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室等四部委发布的《信息安全等级保护管理办法》（公通字[2007]43号）2007年，等级保护的推广实施之年7月16日，发布“关于开展全国重要信息系统安全等级保护定级工作的通知”（公信安[2007]861号）7月20日，召开“全国重要信息系统安全等级保护定级工作电视电话会议”，部署在全国范围内开展重要信息系统安全等级保护定级工作。7月31日，中央部委定级工作培训会议各行各业政策和规范党政机关：《党政机关信息系统安全指南》、《电子政务信息安全等级保护实施指南》、《党政机关信息系统安全测评规范》、《电子政务信息安全保障技术框架》中国移动：《中国移动网络安全评估规范》、《中国移动支撑系统安全域划分与边界整合技术要求》税务：《税务系统信息安全风险评估指南》、《税务系统网络信息安全管理规范》电监会：《电力二次系统安全防护规定》证监会：《证券期货业信息安全保障管理暂行办法》保监会：保险公司内部控制制度建设指导方针（1999年131号文）美国医疗行业的安全法案HealthInsurancePortabilityandAccountabilityAct(HIPAA)WhitePaper:HealthInformationSecurityEnactedbytheU.S.Congressin1996,andbecameeffectiveJuly1,1997RequirementImplementationAccessControlRole-basedaccessUser-basedaccessEncryptionAuditcontrolsDataauthenticationEntityauthenticationUniqueuseridentificationAutomaticlogoffPasswordTokenCommunications/NetworkcontrolsAccesscontrolsAlarmAudittrailEncryptionEntityauthenticationEventreportingIntegritycontrolsMessageauthentication总结：信息安全建设的驱动力来自ISO/IEC17799….法律、法规和合同约束的要求组织的原则、目标和规定组织风险评估的结果信息安全建设的驱动力“政策”驱动力：法律、法规、规范、标准、合同、策略…医疗领域的安全标准要求、国家等级保护的要求等“风险”驱动力：技术的变迁带来风险内容和程度的变化医院信息化网络中的安全问题如病毒、蠕虫、木马、内部资源滥用（P2P）等目录•驱动力信息安全应变之难•方法论信息安全建设之道•构建和谐方正信息安全解决方案融合创造价值，应变构建和谐医疗行业安全建设的基本需求医疗行业的主要信息系统应用：医院信息管理系统、远程医疗诊断、网上就医、急救调度响应、疫情监控系统、医疗保险系统…………安全防护目标：避免医疗信息被偷窃和修改和未授权的访问；保护患者的隐私；遵守政府法规的要求；避免病毒或攻击造成网络瘫痪而影响医院业务运行；…………如何有效的管理终端的安全？如何保护正常的业务活动不致因为内网网络与资源受到不当或非法使用而遭受损害如何保证内部终端用户的补丁和病毒库始终处于最新状态如何快速有效隔离不符合本企业安全策略的用户，防止因为安全隐患机器接入而导致全网处于崩溃状态如何保护核心机密、技术不受到内部的恶意威胁，例如违规泄露、拷贝等等内网安全的重要性美国FBI统计：83%的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势公安部统计：70％的泄密犯罪来自于内部；电脑应用单位80％未设立相应的安全管理系统、技术措施和制度。内网安全挑战法律法规的符合性问题金融政府电信电力新巴塞尔资本协议BaselII银监会[2006]63号文国资发改革[2006]108号文中办发27号令等级保护公通字[2006]7号文Sarbanes-Oxley萨班斯法案SOX404/302中移动《安全域划分与边界整合技术要求》QB-J-003-2005电力二次系统安全防护规定（电监会5号令）《关于信息安全等级保护工作的实施意见》公通字[2004]66号）《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）ISO/IEC13335/AS/NZS4360风险评估规范ISO/IEC27001:2005信息安全管理体系规范（ISMS）ISO/IEC17799:2005信息安全标准《涉及国家秘密的信息系统分级保护技术要求》《信息安全风险评估/信息安全风险管理指南》（GB/TXXXXX）医疗HIPAAFDA21CFR11FDADrugBarcoderegulation等级保护公通字[2007]43号文《信息安全等级保护管理办法》公通字[2007]43号）安全建设的四个发展阶段安全技术的投入安全流程的关注流程导向事件导向工具导向风险导向被动型企业技术型企业成熟型企业发展型企业•强调IT的安全管理•每年信息安全经费预算介于整个IT预算的1%和10%之间•信息资产分类•正式的安全组织•完善的安全策略、标准和流程•部署了基本的安全工具•事件、故障发生以后再采取相应补救措施•不注重IT的安全管理•无计划中的信息安全预算•使用基本的用户名密码管理•部署了基本的安全工具•强调并依赖IT的安全技术•部署了各种领先的安全工具•每年安全经费预算10%•没有正式的安全组织，安全策略、标准和流程•员工安全意识普遍薄弱•强调IT的安全管理和安全技术的平衡•每年安全经费预算基于风险评估结果•集成且统一的安全体系管理架构、技术架构•基于国际标准的完善的安全策略、标准和流程•部署了必要的安全工具•应急响应机制完善且定期演练•预防为主、防治结合安全建设的可参考过程流程导向发展型风险导向成熟型事件导向被动型技术导向技术型安全技术安全流程完整的安全解决方案的组成物理安全建设完善信息安全技术体系完善信息安全管理体系信息与网络安全的主要内容网络安全建设主机安全建设应用安全建设数据安全建设安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理安全方案的设计原则之一：PDR模型时间Pt-防护时间Pt-防护时间Dt-检测时间+Rt-响应时间InternetVPN/专线网络业务服务器区域分支机构安全方案的设计原则之二：安全域划分分支机构分支机构支撑服务器区域内部网区域办公网区域对外业务区域分支机构安全方案的设计原则之三：安全标准遵从技术体系建设基本要求类型等级保护的标准要求对应手段保护1、访问控制•应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级•应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制1）防火墙2）VLAN3）VPN/安全路由2、恶意代码防护•应在网络边界处对恶意代码进行检测和清除•主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库1）硬件安全网关2）网络防病毒软件3、带宽保证•应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机1）网络QoS措施2）专业流量控制设备4、身份认证•应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别1）SSO2）UAC检测1、入侵防护•应能够检测到对网络设备、重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警1）IDS2）IPS2、安全审计•应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录•审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户1）网络审计2）主机审计3）日志审计4）操作审计3、终端控制•应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断•能够对内部网络用户私自联到外部网络的行为进行检查„„1）终端安全管理2）终端准入控制数据1、剩余数据•应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全清除1）数据清除系统2）文档加密DRM2、数据安全•应能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施•应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地1）备份/存储/恢复2）异地容灾安全方案的设计原则之四：建设服务体系管理体系建设服务类型服务项目服务编号服务说明安全咨询服务安全需求评估服务FSS-CS01了解组织的安全需求，定义安全需求说明安全风险评估服务FSS-CS02通过资产、威胁、弱点的识别分析来评估风险安全策略评估服务FSS-CS03评估组织当前安全策略的完整性和有效性安全策略规划服务FSS-CS04为组织制订完整的信息安全策略体系安全体系评估服务FSS-CS05对组织当前的信息安全体系进行审查和评估安全架构设计服务FSS-CS06制订安全方案，建立完善信息安全架构体系安全工程服务安全方案集成服务FSS-ES01为组织提供安全解决方案的集成与实施安全产品实施服务FSS-ES02为组织提供安全产品的安装与实施服务安全工程监理服务FSS-ES03对工程实施过程和结果进行监督、检查和评估安全运维服务安全扫描服务FSS-OP01对组织信息系统的安全弱点进行工具性评估安全检查服务FSS-OP02对组织信息系统进行人工的安全功能检查渗透测试服务FSS-OP03模拟攻击行为对信息系统进行安全测试安全加固服务FSS-OP04增强组织信息系统的安全配置，进行漏洞修补安全审计服务FSS-OP05对组织的安全实施进行日志记录审查紧急响应服务FSS-OP06对组织的安全事件做出紧急响应安全通告服务FSS-OP07及时通报最新安全事情、安全漏洞和预警警告安全培训服务安全产品培训服务FSS-TR01针对某类安全产品进行安装、实施及运维培训安全技术培训服务FSS-TR02针对技术人员进行专业的安全技术培训安全管理培训服务FSS-TR03针对管理人员或使用人员进行的安全培训安全认证服务培训FSS-TR04针对技术人员进行某类型专业认证的培训目录•驱动力信息安全应变之难•方法论信息安全建设之道•构建和谐方正信息安全解决方案融合创造价值，应变构建和谐信息安全解决方案的实际应用安全现状如何?