后等保時代����,醫(yī)院的網(wǎng)絡(luò)安全建設(shè)已經(jīng)逐步走向精細化、場景化���,開始從“合規(guī)”到“有效”���,從“大而全”到“細而精”,與傳統(tǒng)產(chǎn)品化的建設(shè)思路最大的不同是���,網(wǎng)絡(luò)安全開始真正與醫(yī)院業(yè)務(wù)進行緊密結(jié)合。醫(yī)院更加關(guān)注對具體業(yè)務(wù)的保護���,更加關(guān)注安全建設(shè)帶來的實際效果��,開始真正的落到實處����。
8月25日,由深信服與CHIMA聯(lián)合舉辦的“后等保時代的醫(yī)院安全建設(shè)”線上研討會圓滿結(jié)束���。本次會議特邀CHIMA副秘書長����、上海交通大學(xué)醫(yī)學(xué)院附屬瑞金醫(yī)院信息中心主任趙艷擔(dān)任主持���,華中科技大學(xué)同濟醫(yī)學(xué)院附屬協(xié)和醫(yī)院信息與數(shù)據(jù)中心主任郜勇�、云南省腫瘤醫(yī)院信息中心主任路健����、深信服醫(yī)療事業(yè)部網(wǎng)絡(luò)安全運營總監(jiān)王成雨等專家,聚焦在“后等保時代”的安全建設(shè)話題����,包括醫(yī)院如何進行合理的安全規(guī)劃、持續(xù)性的安全運營�,如何讓安全建設(shè)帶來實際性的效果和價值,進行了深度探討和經(jīng)驗分享���。
后等保時代:通過制度強化管理����,通過管理深入安全
華中科技大學(xué)同濟醫(yī)學(xué)院附屬協(xié)和醫(yī)院信息與數(shù)據(jù)中心主任郜勇,分享了《后等保時代的醫(yī)院信息安全建設(shè)實踐與探索》的主題演講���。郜主任提到��,協(xié)和醫(yī)院通過建立規(guī)章制度�����,開展日常巡查工作����,嚴(yán)格把控醫(yī)院終端��、技術(shù)���、數(shù)據(jù)���、網(wǎng)絡(luò)等各個環(huán)節(jié)的安全風(fēng)險點��,不斷強化安全管理。通過制度對醫(yī)院自身安全防護能力進行持續(xù)性的檢測和提升���,讓管理深入安全�。
對于“后等保時代”在未來的安全建設(shè)方向探索等保3.0?互聯(lián)網(wǎng)醫(yī)院��,郜主任建議圍繞以下幾個方面重點做好安全建設(shè)工作:
1.堅持預(yù)防為主����、加強重點環(huán)節(jié)安全防護、落實及時響應(yīng)與處置�,做好持續(xù)的安全運營。
2.基于實際業(yè)務(wù)場景和數(shù)據(jù)全生命周期���,構(gòu)建數(shù)據(jù)安全體系��。
3.從數(shù)據(jù)安全評估����、檢查�����、咨詢�,以及專項安全演練���,來構(gòu)建數(shù)據(jù)安全治理服務(wù)支撐體系。
4.混合云環(huán)境下安全思路:傳統(tǒng)數(shù)據(jù)中心+私有云平臺長期并存
?安全管理中心統(tǒng)一負(fù)責(zé)混合云安全
?云平臺的安全防護級別應(yīng)不低于傳統(tǒng)數(shù)據(jù)中心
?云平臺與傳統(tǒng)數(shù)據(jù)中心之間應(yīng)部署邊界隔離與管控系統(tǒng)
?云平臺集成安全產(chǎn)品應(yīng)符合傳統(tǒng)數(shù)據(jù)中心要求�����,盡量兼顧運維習(xí)慣
后等保時代:安全建設(shè)是持續(xù)的��、深入的����、可反擊的
云南省腫瘤醫(yī)院信息中心主任路健,進行了《醫(yī)院網(wǎng)絡(luò)安全建設(shè)實踐》的主題分享�����。路主任指出網(wǎng)絡(luò)安全建設(shè)的三個重要原則:
1. 醫(yī)院安全建設(shè)一定是持續(xù)改進的過程����,不是一蹴而就的。雖然沒有絕對的安全�����,但醫(yī)院在整個安全建設(shè)過程中,要持續(xù)保持高度的安全防范意識和風(fēng)險意識����,不斷跟隨外部攻擊手段的發(fā)展而升級自身安全防范機制���,保持持續(xù)改進����,螺旋式上升����。
2. 安全建設(shè)不能只停留在基礎(chǔ)表面工作,要從網(wǎng)絡(luò)層���、虛擬層�����、系統(tǒng)層�����、應(yīng)用層到數(shù)據(jù)層����、用戶層、業(yè)務(wù)層���、總控層���,進行層層防御,共同組成整體縱深防御體系���。
3. 對于攻擊者而言��,只要找到一個醫(yī)院的漏洞就能達到入侵目的��;對于醫(yī)院信息安全人員而言���,必須找到系統(tǒng)所有弱點,才能做到百分百防御�。這種非對稱性導(dǎo)致攻擊者和防御者的思維方式不同,而信息安全人員應(yīng)該學(xué)習(xí)和利用這種非對稱思維�。在醫(yī)院面對攻擊時,通過蜜罐誘捕等方式����,學(xué)會進行安全反制,讓惡意攻擊者難以全身而退,扭轉(zhuǎn)局勢�����。
“圖與司南”—后等保時代醫(yī)院安全差距評估與建設(shè)指引
在本次直播中��,深信服醫(yī)療事業(yè)部網(wǎng)絡(luò)安全運營總監(jiān)王成雨指出:在“十四五”國家信息化規(guī)劃�����、外部攻防壓力���、合規(guī)建設(shè)要求的種種因素下,當(dāng)前醫(yī)療行業(yè)的安全建設(shè)已進入“后等保時代”?�,F(xiàn)階段很多醫(yī)院通過等級保護2.0測評之后���,依舊面臨著種種安全風(fēng)險和威脅�,安全建設(shè)不是設(shè)備堆疊就能實現(xiàn)防護效果�。
基于此,深信服經(jīng)過對全國各地醫(yī)療行業(yè)用戶的深入調(diào)研���,梳理了后等保時代的“十大安全建設(shè)重點場景”����,并且提出了“圖與司南”方法論?��!皥D”是指醫(yī)院網(wǎng)絡(luò)安全建設(shè)全景圖��,“司南”是指醫(yī)院安全加固建設(shè)指引�����。這是深信服為醫(yī)院安全建設(shè)量身打造�����、符合行業(yè)實際情況��、可執(zhí)行���、可分批落地的安全差距評估及建設(shè)方法,能夠滿足智慧醫(yī)療多場景的安全發(fā)展需求���。
會上��,王成雨對“圖與司南”中涉及的勒索病毒專項防護����、醫(yī)療設(shè)備安全管控防護、服務(wù)器側(cè)安全加固��、醫(yī)療軟件供應(yīng)鏈安全���、醫(yī)療安全運營中心五個關(guān)鍵場景進行了深度解析���,為醫(yī)療用戶在后等保時代的重點安全場景提供建設(shè)參考。
