医疗行业安全交流

©2015绿盟科技南通医疗行业安全交流刘迪\绿盟科技liudi@nsfocus.com18094211011公司概况绿盟科技是中国最早从事网络安全业务的企业之一，成立于2000年4月，2014年1月上市总部位于北京，在国内设立7个分公司，共30多个分支，在硅谷、东京设有分支机构成立安全研究院：威胁研究部、安全研究部、战略发展部四大研发中心：北京、武汉、成都、西安公司发展近五年营业收入年均复合增长率为31%近五年净利润年均复合增长率为46%截止到目前绿盟科技拥有员工近1800人公司服务资质（应有尽有）•国家安全服务资质（二级）（最高）•计算机信息系统集成资质（二级）•ISO9001质量管理体系国际国内双认证•一级应急处理服务资质（最高级）•一级风险评估资质（最高级）•ISO27001安全认证（国内安全公司唯一）•微软MAPP合作伙伴（中国第一家）•北京市高新技术企业•国家网络与信息安全信息通报技术支持单位•国家级应急服务支撑单位公司产品资质（一应俱全）•中国国家信息安全测评中心认证•中国国家公安部认证•中国人民解放军安全产品测评中心认证•国家保密局认证资质情况公司资质公司荣誉ISO27001认证ISO9001认证国家二级安全服务资质国家级应急服务支撑单位国家级863火炬计划国庆60周年网络与信息安全保障先进单位第29界奥运会技术保障单位核心竞争力：安全技术能力安全研究能力•依靠自身安全漏洞研究能力，独立发现包括Microsoft、HP、CISCO、SUN、Juniper等多家厂商的40多个严重安全漏洞•十年来一直维护全球最大、最权威的安全漏洞库NSBL，数目超过23900多条•自主研发的入侵检测规则库从2002年起出口美国市场产品研发能力•自主研发ESD（IDS\IPS\安全审计系统等）、RCM（远程安全评估\基线配置核查\Web漏洞扫描等）、IIS（WAF\抗DDOS\异常流量检测系统等）、BSG(下一代防火墙等)、PA（网站安全监测服务、PAMADS等）五大系列，18余款安全产品达到了国内、国际先进水平•2008年，绿盟远程安全评估系统一举获得英国西海岸实验室（WestCoastLabs）的权威认证，成为全“球六强、亚太唯一”•2010年，绿盟入侵防护系统通过了NSSLabs测试，获得NSSApproved认证，成为“全球四强，亚太唯一”专业的安全服务能力安全服务能力•完善的服务方法论：经过10年专业安全服务的执着实践，形成了国内最完善的专业安全服务体系NSPS和完善的专业安全服务方法论。连续多年获得最值得信赖的安全服务品牌•专业的服务团队：拥有诸多PMP、CISA、BS7799LA、ISO27001LA、CISSP、CISP、CCIE、CIW、COBIT、ITIL等国际/国内认证专家；国内顶尖安全研究小组做后台支撑•严谨的项目组织：DIEM工程实施模型；丰富的项目经验、行业背景与实践经验。绿盟科技应急响应小组(NSFIRST)多次为用户解决不同层次的安全问题绿盟科技安全研究绿盟科技研究院拥有一流的研发实力漏洞分析和挖掘威胁感知安全智能云及虚拟化安全合规性绿盟科技研究院工业控制系统安全新威胁-新防护架构云安全虚拟化-SDN和SDS安全攻防研究漏洞-威胁-态势-智能-APT绿盟科技研究院有威胁响应中心、安全研究部和战略研究部三个部门，共有三十多位专职安全研究员。研究院是中关村科技园区博士后工作站分站，与清华大学联合培养，目前有两位博士后在站研究。绿盟科技安全研究漏洞分析和挖掘是绿盟科技研究团队的核心能力漏洞分析和挖掘威胁感知安全智能云及虚拟化安全合规性绿盟科技研究院关注软件生命周期，包括系统级、应用级、业务级多家厂商的40余个严重安全漏洞，是微软MAPP计划成员自动化工具，SQL注入和XSS攻击检测利用工具；FuzzTesting等多种逆向分析工具分析挖掘Analysis方法Method人People工具Tool绿盟科技安全研究维护着国内最大的中文漏洞库漏洞分析和挖掘威胁感知安全智能云及虚拟化安全合规性绿盟科技研究院公司成立13年来，协助Microsoft、Sun、Cisco等业界主流设备提供商解决了大量系统安全漏洞问题；维护着国内领先的商业漏洞库，漏洞数量达到25209条（截止到2013年11月）；累计发布安全漏洞研究报告51个（截止到2013年11月）；累计发布安全紧急通告117个（截止到2013年11月）；绿盟科技产品线3大产品领域：安全评估类检测防御类安全监管类绿盟科技服务体系安全技术服务向客户提供贯穿信息系统完整生命周期的安全技术服务。在信息系统需求分析和设计阶段，通过安全技术体系规划、安全架构设计等服务，协助客户从根本上提高信息系统安全性。在开发和实施阶段，通过安全编码培训、源代码安全审计、安全性测试等服务，协助客户在系统上线投产前弥补安全缺陷。在系统运行维护阶段，通过渗透测试、脆弱性扫描分析、安全配置核查、审计日志分析、安全事件应急处理、驻场值守安全保障等服务，协助客户优化资源配置，更加专注于自身业务运营和发展。安全咨询服务安全培训服务三大服务体系安全技术规划系统安全架构设计源代码安全性审计软件安全测试安全运维技术评估应急响应渗透测试绿盟科技服务体系安全技术服务安全咨询服务依据国际/国内标准和行业监管规范，协助行业客户立足于现状，面向信息安全风险，采取适当的管理过程和控制措施，建立和维护全面、有效、合规的信息安全管理体系，保障客户业务运营和战略达成。绿盟科技的资深行业咨询顾问向客户提供信息系统安全风险评估、信息安全保障体系设计规划、信息安全管理体系建设、重要信息系统安全等级保护合规设计与建设、信息科技风险管理体系建设等专业咨询服务。安全培训服务三大服务体系信息安全保障体系设计规划咨询行业合规性咨询信息安全风险评估信息安全管理体系建设&认证咨询信息系统等级保护咨询绿盟科技服务体系安全技术服务安全咨询服务安全培训服务从最佳安全实践出发，针对不同行业不同岗位客户所需要掌握的安全知识和专业技能来设计培训课程，包含安全意识、安全技术专项、安全管理、特定行业热点、安全认证等多种类型，力求贴合信息安全技术的最新发展趋势，满足客户不断涌现的知识和技能提升需求。三大服务体系初级安全意识专业技术最佳实践管理体系安全认证中级高级运营商行业金融行业政府行业福兮，祸所伏…医疗信息化的成就与风险高速发展的医院信息化自助挂号终端诊断决策支持电子病历系统医护工作站医学影像系统信息化带来的收获医院信息化的重要意义就医流程优化工作效率优化运营成本降低诊断决策科学化自助挂号、远程预约病历无纸化磁卡、条形码技术无线、移动终端应用检验自动化划价、摆药自动化办公无纸化医学影像无胶片化电子病历的信息共享诊疗数据仓库技术各类数据挖掘然而…医疗信息安全事件频出到了应该重视的时候吾日，三省吾身….业务分析，威胁分析医院业务系统•病历信息-信息量大，潜在价值极高！•用药信息-医药代表趋之若鹜•研究成果信息-创新乃竞争之本•财务、医保相关信息-个人利益直接相关•医疗检验信息-涉及隐私-完整性要求高！•…医院业务系统特点一：敏感信息多•各分系统、子系统之间，千丝万缕的联系容易产生“信息烟囱”•事件难以定位医院业务系统特点二：复杂•基于Web2.0的社区协作医疗功能架构医院业务系统特点三：协同与共享医院安全关注点数据安全关键数据私密性：电子病历数据用药数据财务数据医保相关数据检验数据系统安全业务系统可用性：门诊系统PACSLISRIS疫情上报系统医院系统安全内外兼治，技管双修…论医疗信息安全等级保护的建设技术防护安全管理卫生部公文2011年11月，卫生部下发了“关于印发《卫生行业信息安全等级保护工作的指导意见》的通知”（卫办发〔2011〕85号），是卫生行业开展等级保护工作的指导性文件。工作目标工作原则工作机制工作任务工作要求目标与原则•依据国家信息安全等级保护制度，遵循相关标准规范，在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力，为卫生行业信息化健康发展提供可靠保障，全面维护公共利益、社会秩序和国家安全。工作目标•遵循标准，重点保护•行业指导，属地管理•同步建设，动态完善工作原则工作机制•信息安全技术专家委员会•信息系统等级保护工作联络员卫生部信息化工作领导小组•省级信息安全技术专家委员会•信息系统等级保护工作联络员省级卫生行政部门信息化工作领导小组地市级卫生行政部门信息化工作领导小组（一）定级备案•定级（原则上不低于第三级的卫生重要信息系统）−卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行系统；−国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；−三级甲等医院的核心业务信息系统；−卫生部网站系统；−其它经过信息安全技术专家委员会评为为第三级（含）以上系统工作任务•论证评审−拟定为第三级（含）以上的卫生信息系统，应当经信息安全技术专家委员会论证、评审。•备案−第二级（含）以上信息系统应当报属地公安机关及卫生行政部门备案；−跨省全国联网运行并由卫生部定级的信息系统，由卫生部报公安部备案；−在各地运行、应用的分支系统，应当报属地公安机关备案。工作任务（二）建设与整改•差距分析与安全需求•制定信息系统安全等级保护建设整改方案−第三级（含）以上卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。•形成信息安全技术防护体系和信息安全管理体系−完善安全保护措施−建立安全管理制度−落实安全管理措施工作任务（三）等级测评•第三级（含）以上信息系统建设整改工作完成后，选择等级测评机构进行等级测评。•测评合格后，将测评报告报属地公安机关及卫生行政部门备案。•第三级（含）以上信息系统应当每年进行一次测评。•重要部门的第二级信息系统，可参照上述要求进行等级测评。工作任务（四）宣传培训•各级卫生行政部门信息化工作领导小组应当开展政策和标准规范培训；•卫生行业各单位应当开展内部信息安全培训。（五）监督检查•卫生部信息化工作领导小组−督导检查等保工作落实情况，督促开展等保工作。•省级卫生行政部门信息化工作领导小组−督导检查等保工作落实情况，督促开展等保工作；−向卫生部报送等保工作相关情况。工作任务等级测评的内容－十个方面建设纲领——三级等保一：定级（首要环节）二：备案（核心）三：建设、整改（关键）四：等级测评（方法）五：定期监督检查（保障）等级保护-技术与管理物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理等级保护解决方案的三大步骤基本要求实施指南测评准则第一步：等级保护差距分析差距分析的目的现状梳理确定不符合安全项明确安全建设需求•根据系统所确定的安全等级从《基本要求》中选择相应等级的基本安全要求确定信息系统的基本安全要求•根据系统所面临的威胁特点调整安全要求，去掉不适用项选择调整基本安全要求•基本要求中某些方面的安全措施不能满足本单位信息系统的保护需求•基本要求没有提供所需要的保护措施（例如无线接入和防护）明确系统特殊安全需求•对比信息系统现状和安全要求之间的差距，确定不满足要求的安全项根据各项安全要求进行逐项分析等级保护差距分析差距分析要素物理安全•物理位置的选择•物理访问控制•防盗窃和防破坏•防雷击•防火•防水和防潮•防静电•温湿度控制•电力供应•电磁防护网络安全•结构安全•访问控制•安全审计•边界完整性检查•入侵防范•恶意代码防范•网络设备防护主机安全•身份鉴别•访问控制•安全审计•剩余信息保护•入侵防范•恶意代码防范•资源控制应用安全•身份鉴别•访问控制•安全审计•剩余信息保护•通信完整性•通信保密性•抗抵赖•软件容错•