公安部第三研究所張艷:等保2.0如何在醫(yī)療行業(yè)落地?
2019年8月17日, 2019年深信服創(chuàng)新大會分論壇—智慧醫(yī)療專場在深圳華僑城召開。公安部第三研究所檢測中心智能互聯(lián)安全測評實驗室主任張艷博士在專場上以《等保2.0在醫(yī)療行業(yè)的落地分析》進行演講,動脈網(wǎng)對其精彩內(nèi)容進行了整編。
公安部第三研究所張艷
張艷博士具有豐富的信息安全相關(guān)科研和標準化工作經(jīng)驗,曾獲得多項省部級科技獎勵,并作為主編出版了《下一代安全隔離與信息交換產(chǎn)品原理及應(yīng)用》《防火墻產(chǎn)品原理及應(yīng)用》《網(wǎng)絡(luò)入侵檢測系統(tǒng)原理及應(yīng)用》等6本著作,共發(fā)布GB∕T 36627-2018《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測試評估技術(shù)指南》等信息安全國家標準、公安行業(yè)標準十余項。
2019年5月,國家市場監(jiān)督管理總局、國家標準化管理委員會正式發(fā)布了網(wǎng)絡(luò)安全等級保護系列國家標準。該系列標準的發(fā)布對保障和促進醫(yī)療行業(yè)信息化發(fā)展,提升各醫(yī)療機構(gòu)網(wǎng)絡(luò)安全保護能力具有重要的指導(dǎo)意義。
提高業(yè)務(wù)系統(tǒng)能力是保證網(wǎng)絡(luò)安全的關(guān)鍵
醫(yī)療行業(yè)的健康發(fā)展,與民生問題有著直接的關(guān)系。十三五期間,不斷發(fā)展和推廣的醫(yī)療信息技術(shù),使得網(wǎng)絡(luò)系統(tǒng)逐漸成為了醫(yī)療行業(yè)的業(yè)務(wù)服務(wù)支撐體系。
一旦網(wǎng)絡(luò)系統(tǒng)發(fā)生了故障或是網(wǎng)絡(luò)癱瘓,對整個醫(yī)療服務(wù)體系也會產(chǎn)生致命影響。網(wǎng)絡(luò)系統(tǒng)中存儲的重要業(yè)務(wù)數(shù)據(jù)、診療數(shù)據(jù),甚至是1.6億診療庫中的患者隱私信息若遭到泄露,將會對患者造成不可估量的損害。
數(shù)字化、網(wǎng)絡(luò)化引領(lǐng)著著行業(yè)發(fā)展的方向,但同時也引發(fā)了一些可能會出現(xiàn)的安全問題和風(fēng)險,例如惡意遠程控制設(shè)備的風(fēng)險、比特幣勒索的風(fēng)險、個人信息泄露的風(fēng)險等。而這些安全問題也對行業(yè)提出了新的挑戰(zhàn)和要求。
網(wǎng)絡(luò)安全事件數(shù)量不斷增加,政府對醫(yī)療行業(yè)網(wǎng)絡(luò)安全方面的重視程度也在不斷提高。如中國信息通信研究院等機構(gòu)發(fā)布的《2019年健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全觀測報告》,也同樣披露了目前網(wǎng)絡(luò)安全風(fēng)險集中的幾個表現(xiàn):
第一是僵木蠕等問題嚴峻,勒索病毒嚴重威脅醫(yī)療業(yè)務(wù)正常運行;
第二是數(shù)據(jù)泄露事件高發(fā),應(yīng)用服務(wù)軟件存在較多安全隱患;
第三是醫(yī)療行業(yè)的網(wǎng)站同政府網(wǎng)站、教育機構(gòu)網(wǎng)站等都是境外機構(gòu)的重點攻擊對象,且網(wǎng)站篡改手法多變。
張艷認為,擁有較高數(shù)據(jù)價值是醫(yī)療行業(yè)成為網(wǎng)絡(luò)安全重災(zāi)區(qū)的原因之一,而最主要的原因是,在大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的驅(qū)動下,傳統(tǒng)的IT系統(tǒng)安全管理體系已無法覆蓋實際應(yīng)用場景和范圍。
除了上述的內(nèi)部原因之外,一些恐怖組織、黑客組織、黑產(chǎn)等經(jīng)濟犯罪團伙、極端個人,出于一些個人或利益原因也可能會實施網(wǎng)絡(luò)攻擊。
其實,究其根源,重要業(yè)務(wù)系統(tǒng)在網(wǎng)絡(luò)安全建設(shè)、安全運維方面存在不足,才是導(dǎo)致這些內(nèi)外部因素發(fā)揮效力的關(guān)鍵。
等保2.0不僅僅是一個標準版本更新的概念
現(xiàn)階段,網(wǎng)絡(luò)安全態(tài)勢嚴峻,國家在網(wǎng)絡(luò)安全方面也在不斷地完善相關(guān)法律法規(guī)和政策體系標準。網(wǎng)絡(luò)安全法除了確認網(wǎng)絡(luò)安全各個相關(guān)方的保護義務(wù)和職責,還明確了國家網(wǎng)絡(luò)安全相關(guān)的一些基本制度。
網(wǎng)絡(luò)安全等級保護制度是國家在網(wǎng)絡(luò)安全法中明確且強調(diào)以等級保護為基礎(chǔ),對關(guān)鍵基礎(chǔ)信息建設(shè)進行重點保護的制度。國家實行網(wǎng)絡(luò)安全等級保護遵照了對網(wǎng)絡(luò)(信息網(wǎng)絡(luò)、信息系統(tǒng)以及數(shù)據(jù)資源等)實行分等級保護、分等級監(jiān)管的核心思想。
事實上,等級保護制度自1994年通過國務(wù)院147號令便被確認。隨著網(wǎng)絡(luò)安全法出臺后,等級保護制度進入了2.0的階段。
等保2.0階段是主管部門根據(jù)當前國家或全球的網(wǎng)絡(luò)安全態(tài)勢發(fā)展、網(wǎng)絡(luò)安全保衛(wèi)任務(wù)要求和技術(shù)發(fā)展而重新審視并提出了新的要求。
需要明確的是,等保2.0不僅僅是一個標準版本更新的概念,而是整個體系、整個核心的提升。
五變?nèi)蛔?/strong>
內(nèi)涵措施更豐富。進一步明確了網(wǎng)絡(luò)定級及評審、備案及審核、等級測評、安全建設(shè)整改、自查等工作要求,并將風(fēng)險評估、安全監(jiān)測等與網(wǎng)絡(luò)安全密切相關(guān)的措施納入了等級保護制度。
定級流程更規(guī)范。2.0階段以明確等級、增強保護、常態(tài)監(jiān)督為定級原則,將定級流程明確為確定定級對象、初步確定定級、專家評審、主管部門審批和公安機關(guān)備案審查。
等級保護體系升級。主管部門在現(xiàn)有的技術(shù)規(guī)范基礎(chǔ)上,通過陸續(xù)出臺一系列的政策法規(guī)和更新的標準規(guī)范,進一步完善包括政策、標準、測評、技術(shù)、服務(wù)、關(guān)鍵技術(shù)研究和教育的等級保護體系。主管部門圍繞等級保護體系構(gòu)建起安全監(jiān)測、通報預(yù)警、快速處置、態(tài)勢感知、安全防范和精確打擊等為一體的國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保衛(wèi)體系。
擴展等級保護對象。將基礎(chǔ)信息網(wǎng)絡(luò)、重要信息系統(tǒng)、網(wǎng)站、大數(shù)據(jù)中心、云計算平臺、物聯(lián)網(wǎng)、工控系統(tǒng)以及公眾服務(wù)平臺等全部納入等級保護范圍中。
將被動防護轉(zhuǎn)變?yōu)橹鲃臃雷o。在技術(shù)要求上,等保在安全管理中心、物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計算環(huán)境共五個安全層面設(shè)置了控制點,并將可信驗證應(yīng)用納入了等級保護,以進行更精準化地防護。
在管理要求方面,等保2.0對部分控制點進行了調(diào)整、合并,并特地強調(diào)了外部人員訪問管理、漏洞風(fēng)險管理等要求。主管部門在后續(xù)執(zhí)行中,會采用細粒度測評結(jié)論分級的概念,體現(xiàn)不同系統(tǒng)的安全防護水平。
除了上述變化,等保2.0在以下方面未進行改變。
等保五個級別不變。包括用戶自主保護級、系統(tǒng)保護審計級、安全標記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級。
等保五個重要環(huán)節(jié)不變。依舊圍繞定級、系統(tǒng)備案、建設(shè)整改、等級測評和監(jiān)督檢查這五個環(huán)節(jié)開展工作。
等保主體職責不變。運營單位的等級保護職責、上級主管單位的安全管理職責、第三方測評機構(gòu)的安全評估職責,以及網(wǎng)安對定級對象的備案受理及監(jiān)督檢查職責都沒有變化。
網(wǎng)絡(luò)安全等級保護是關(guān)鍵信息基礎(chǔ)設(shè)施保護的基礎(chǔ)。關(guān)鍵信息基礎(chǔ)設(shè)施是等級保護制定的保護重點。網(wǎng)絡(luò)運營者應(yīng)當在第三級(含)以上保護對象中確定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍。
張艷表示,除此以外,關(guān)鍵信息基礎(chǔ)設(shè)施須按照網(wǎng)絡(luò)安全等級保護制度要求,開展定級備案、等級測評、安全建設(shè)整改以及安全檢查等工作。
不符合控制點要求的四大安全問題
基于安全事件的分析,張艷結(jié)合等保2.0的要求,詳解了目前醫(yī)療行業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀,以及存在哪些不合規(guī)的控制點安全問題。
一是計算環(huán)境安全措施缺失。訪問控制、入侵防范、惡意代碼防范、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、個人信息保護等方面都存在諸多不合規(guī)的問題。
其中,等保2.0新增了個人信息保護的要求,醫(yī)療行業(yè)系統(tǒng)同樣僅允許采集和保存業(yè)務(wù)必需的用戶個人信息。
二是網(wǎng)絡(luò)通信安全措施缺失。網(wǎng)絡(luò)架構(gòu)方面,存在關(guān)鍵設(shè)備的業(yè)務(wù)處理能力不足、網(wǎng)絡(luò)區(qū)域未劃分和網(wǎng)絡(luò)單鏈路設(shè)計的問題;在通信傳輸方面,缺少通信數(shù)據(jù)完整性保護措施。
三是區(qū)域邊界安全措施缺失。區(qū)域邊界強調(diào)的是邊界防護、訪問控制等要求,包括關(guān)鍵網(wǎng)絡(luò)節(jié)點如何防止來自互聯(lián)網(wǎng)或從內(nèi)部網(wǎng)絡(luò)的攻擊行為。惡意代碼檢測缺失和審計機制缺失也是比較常見的。
最后是安全管理中心安全措施缺失。這一方面集中表現(xiàn)在系統(tǒng)管理的運行監(jiān)控措施缺失、審計日志存儲不滿足要求,以及網(wǎng)絡(luò)中安全事件發(fā)現(xiàn)處置措施缺失等。
安全防范的兩點建議
有困難就要及時解決。在醫(yī)療行業(yè)系統(tǒng),結(jié)合等保2.0,我們又該如何進行安全防范呢?對此,張艷提出了兩點建議。
第一,加強技術(shù)和管理的融合。由于安全事件多發(fā)生在管理安全或數(shù)據(jù)交互場景中,所以需要通過技術(shù)方式來填補管理方面的缺失。另外,管理制度也能為技術(shù)設(shè)施提供多重保障。
第二,參照等保2.0“一個中心、三重保護”的要求,落實網(wǎng)絡(luò)安全部等級保護各方面的安全要求,最大程度地發(fā)揮系統(tǒng)安全措施的保護能力。
此外,加強防范木馬、新型網(wǎng)絡(luò)的攻擊,以及日常運維建設(shè),滿足包括雙重鑒別、安全接入、統(tǒng)一集中管理,以及日志審計等多方面控制點的要求。通過加強主動防御、采用安全廠商的安全服務(wù)等來提升醫(yī)療行業(yè)的整體安全防護能力。
*文中圖片由受訪企業(yè)提供。
文 | 李成平
網(wǎng)站、公眾號等轉(zhuǎn)載請聯(lián)系授權(quán)
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市