学习
实践
活动
工具
TVP
写文章

从一份安全评测报告说起

做有料且有趣的医疗信息化公众号

《愚人老黄》

传播:项目管理 | 网络安全 | 数据治理 | 瞎扯淡

背 景

承蒙朋友们抬举,经常会接到一些帮忙的“小事”,这不,事又来了。

本次是一家机构痛定思痛、决心花大力气做好网络安全工作。前期就计划着让我前往“指导”,一直未能成行。由于是安全建设规划,于是我建议他们能从网络安全三级等保测评开始。现在测评已经完成了,评测方也提供了几百页厚厚的测评报告,从网络安全三级等保要求的各方面进行了评估,不可谓不完整。医院也根据测评发现的问题,找出了差距,拿出了网络安全建设方案。需要花的钱不少,为慎重期间,希望我给看看,提提意见。

安全测评报告的局限性

从报告的形式和内容看,中规中矩,完全标准化的产物,这就意味着给了机构一张“老板凳”。本次选择的测评机构熟悉标准,熟悉评测流程,对申请评测单位的安全现状分析也很到位,指出了100多个问题,并给予了评测“不达标”的结论。但是,对于用户来说,大多数的安全评测报告都一个套路,什么都说了,也什么都没说。

如果仅从技术层面评估安全,缺少业务评估,对业务安全的评估竟是寥寥数语,隔靴搔痒,没有找到真正的痛处。甚至对于严重影响业务安全的缺陷,也被定义为低风险,这样可能造成用户对该风险的忽略,从而造成安全风险管控不到位。报告沿用的是划分系统、分等级保护的传统思路,将安全保护的重点放在每个系统的合规上,分别从HIS、LIS、PACS进行了评估评测,完全无视现在这些个系统都已经是有机的整体,实时在进行着业务的协同,这样就忽略了安全的整体性;忽视了网络安全与业务安全的联系。

等保2.0,开启等级保护新纪元

从政策层面看,等保2.0版相关标准已经开始征求意见,管理策略已由之前1.0版的“自主定级、自主保护、监督指导”转向为“明确等级、增强保护、常态监督”。其核心内容也发生改变:

将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施。

将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等级保护监管。

将互联网企业纳入等级保护管理,保护互联网企业健康发展。

构建完善的安全体系

每一个院领导都会问到信息科一个问题,投入多少才能保证安全?安全上的投入一定是必要的,但如何才能更安全,如下图所示,应该由知识体系、技术体系、管理体系共同构成网络安全体系。三架马车,不应偏废。

管理体系是政令畅通的组织保证,安全体系中最活跃、最不稳定的因素是人,制度管人,完整的制度才能让安全建设具有权威性,也才能确保安全措施可落地。曾经在CHIMA会上,有听众问,”有什么好办法,能让临床科室听从信息科的管理“。我回答是,”在安全建设上必须有权威力,话语权“。

这个话语权应该是医院的安全委员会(由院领导和医院代表组成,是医院安全的最高决策组织)赋予的,安全委员会代表医院发布安全制度,制订安全措施,信息科作为网络安全管理执行部门负责日常网络安全管理,具有奖惩的权利。同时“立威”是必须的,可以用案例教育人、用案例警示大家去遵守安全制度。

技术体系是网络安全的技术实现,通常是使用安全设备去完善安全措施,确保所保护的资产安全,业务正常运行。这些工具既有杀毒软件、也包括终端管理、网络管理、行为管理、漏洞扫描、审计类产品、防火墙、网闸等等。种类繁多,每一种产品都有其适用范围,也都有技术门槛。

因此在选择安全设备时,也应该量体裁衣,根据安全风险等级和紧迫性进行分步骤建设。但也要考虑到是否有技术人员懂得使用工具,并将安全管理纳入常规运维,了解安全动态、感知安全威胁。

知识体系是网络安全的内涵保证,掌握必要知识的人决定网络安全的重要因素。无论是制度还是设备,都需要人去执行,去管理,而如何制定适宜的制度,如何管理安全设备,这些都需要我们具有网络安全的相关知识。这些知识包括规范、法律、标准,也包括专业知识,操作知识,以及安全动态等等。

随着国家、行业、单位对网络安全越发重视,作为网络安全的责任部门信息科,就目前来说,网络安全的专门人才和专门岗位普遍较为缺乏,这也是应该引起各级部门重视的现状,同时打铁还需自身硬,信息科的小伙伴们抓紧学习哟,这个岗位缺人就是机会。可以扫描关注屏幕下方二维码,本公众号长期致力于网络安全、数据价值发现、知识传播。大家一起学习吧。

做有料且有趣的医疗信息化公众号

愚人老黄

项目管理 | 网络安全 | 数据治理 | 瞎扯淡

欢迎关注、欢迎分享、一起学习、等你打赏

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180721G0NP1P00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

同媒体快讯

扫码关注腾讯云开发者

领取腾讯云代金券