医疗行业安全交流精选

1、南通医疗行业安全交流刘迪绿盟科技liud司概况绿盟科技是中国最早从事网络安全业务的企业之一，成立于2000年4月，2014年1月上市总部位于北京，在国内设立7个分公司，共30多个分支，在硅谷、东京设有分支机构成立安全研究院：威胁研究部、安全研究部、战略发展部四大研发中心：北京、武汉、成都、西安公司发展近五年营业收入年均复合增长率为31%近五年净利润年均复合增长率为46%截止到目前绿盟科技拥有员工近1800人公司服务资质 （应有尽有）国家安全服务资质（二级）（最高）计算机信息系统集成资质（二级）ISO9001质量管理体系国际国内双认证一级应急处理服务资质（最高级）一级风

2、险评估资质（最高级）ISO27001安全认证（国内安全公司唯一）微软MAPP合作伙伴（中国第一家）北京市高新技术企业国家网络与信息安全信息通报技术支持单位国家级应急服务支撑单位公司产品资质（一应俱全）中国国家信息安全测评中心认证中国国家公安部认证中国人民解放军安全产品测评中心认证国家保密局认证资质情况公司资质公司荣誉ISO27001认证ISO9001认证国家二级安全服务资质国家级应急服务支撑单位国家级863火炬计划国庆60周年网络与信息安全保障先进单位第29界奥运会技术保障单位NO.1NO.1NO.1核心竞争力：安全技术能力安全研究能力依靠自身安全漏洞研究能力，独立发现包括Microsoft、

3、HP、CISCO、SUN、Juniper等多家厂商的40多个严重安全漏洞十年来一直维护全球最大、最权威的安全漏洞库NSBL，数目超过23900多条自主研发的入侵检测规则库从2002年起出口美国市场产品研发能力自主研发 ESD（IDSIPS安全审计系统等）、RCM（远程安全评估基线配置核查Web漏洞扫描等）、IIS（WAF抗DDOS异常流量检测系统等）、BSG(下一代防火墙等)、PA（网站安全监测服务、PAMADS等）五大系列，18余款安全产品达到了国内、国际先进水平2008年，绿盟远程安全评估系统一举获得英国西海岸实验室（West Coast Labs）的权威认证，成为全“球六强、亚太唯一”2

4、010年，绿盟入侵防护系统通过了NSS Labs测试，获得NSS Approved认证，成为“全球四强，亚太唯一”专业的安全服务能力安全服务能力完善的服务方法论：经过10年专业安全服务的执着实践，形成了国内最完善的专业安全服务体系NSPS和完善的专业安全服务方法论。连续多年获得最值得信赖的安全服务品牌专业的服务团队：拥有诸多PMP、CISA、BS7799 LA、ISO 27001 LA、CISSP、CISP、CCIE、CIW、COBIT、ITIL 等国际/国内认证专家；国内顶尖安全研究小组做后台支撑严谨的项目组织：DIEM工程实施模型；丰富的项目经验、行业背景与实践经验。绿盟科技应急响应小组

5、( NSFIRST ) 多次为用户解决不同层次的安全问题绿盟科技安全研究绿盟科技研究院拥有一流的研发实力漏洞分析和挖掘威胁感知安全智能云及虚拟化安全合规性绿盟科技研究院工业控制系统安全新威胁-新防护架构云安全虚拟化-SDN和SDS安全攻防研究漏洞-威胁-态势-智能-APT绿盟科技研究院有威胁响应中心、安全研究部和战略研究部三个部门，共有三十多位专职安全研究员。研究院是中关村科技园区博士后工作站分站，与清华大学联合培养，目前有两位博士后在站研究。绿盟科技安全研究漏洞分析和挖掘是绿盟科技研究团队的核心能力漏洞分析和挖掘威胁感知安全智能云及虚拟化安全合规性绿盟科技研究院关注软件生命周期，包括系统级、

6、应用级、业务级多家厂商的40余个严重安全漏洞，是微软MAPP计划成员自动化工具，SQL注入和XSS攻击检测利用工具； Fuzz Testing等多种逆向分析工具分析挖掘Analysis方法Method人People工具Tool绿盟科技安全研究维护着国内最大的中文漏洞库漏洞分析和挖掘威胁感知安全智能云及虚拟化安全合规性绿盟科技研究院公司成立13年来，协助Microsoft、Sun、Cisco 等业界主流设备提供商解决了大量系统安全漏洞问题；维护着国内领先的商业漏洞库，漏洞数量达到25209条（截止到2013年11月）；累计发布安全漏洞研究报告51个（截止到2013年11月） ；累计发布安全紧急通

7、告117个（截止到2013年11月） ；绿盟科技产品线3大产品领域：安全评估类检测防御类安全监管类NO.1NO.1NO.1NO.1NO.1绿盟科技服务体系安全技术服务 向客户提供贯穿信息系统完整生命周期的安全技术服务。在信息系统需求分析和设计阶段，通过安全技术体系规划、安全架构设计等服务，协助客户从根本上提高信息系统安全性。在开发和实施阶段，通过安全编码培训、源代码安全审计、安全性测试等服务，协助客户在系统上线投产前弥补安全缺陷。在系统运行维护阶段，通过渗透测试、脆弱性扫描分析、安全配置核查、审计日志分析、安全事件应急处理、驻场值守安全保障等服务，协助客户优化资源配置，更加专注于自身业务运营和

8、发展。安全咨询服务 安全培训服务三大服务体系安全技术规划系统安全架构设计源代码安全性审计软件安全测试安全运维技术评估应急响应渗透测试绿盟科技服务体系安全技术服务 安全咨询服务依据国际/国内标准和行业监管规范，协助行业客户立足于现状，面向信息安全风险，采取适当的管理过程和控制措施，建立和维护全面、有效、合规的信息安全管理体系，保障客户业务运营和战略达成。绿盟科技的资深行业咨询顾问向客户提供信息系统安全风险评估、信息安全保障体系设计规划、信息安全管理体系建设、重要信息系统安全等级保护合规设计与建设、信息科技风险管理体系建设等专业咨询服务。安全培训服务三大服务体系信息安全保障体系设计规划咨询行业合规

9、性咨询信息安全风险评估信息安全管理体系建设&认证咨询信息系统等级保护咨询绿盟科技服务体系安全技术服务 安全咨询服务 安全培训服务从最佳安全实践出发，针对不同行业不同岗位客户所需要掌握的安全知识和专业技能来设计培训课程，包含安全意识、安全技术专项、安全管理、特定行业热点、安全认证等多种类型，力求贴合信息安全技术的最新发展趋势，满足客户不断涌现的知识和技能提升需求。 三大服务体系初级安全意识专业技术最佳实践管理体系安全认证中级高级运营商行业金融行业政府行业参与国标的编写等级保护信息安全风险评估指南框架信息安全风险管理指南框架网上证券交易系统安全保障要求证券期货业安全保障体系网络安全事件处理服务规范

10、党政机关计算机配置使用指南2009年 绿盟科技发起成立国际云安全联盟CSA（Cloud Security Alliance）中国区分会，是CSA在亚太地区的第一个企业成员。2010年 绿盟科技与国际网络安全权威组织StopBadware达成战略合作，绿盟科技成为中国唯一 一家与StopBadware形成合作的安全厂商。2008年 绿盟科技成为微软主动防御计划Microsoft Active Protections Program (MAPP)在中国的第一个合作伙伴。国际同行互动福兮，祸所伏医疗信息化的成就与风险高速发展的医院信息化自助挂号终端诊断决策支持电子病历系统医护工作站医学影像系统信息化

11、带来的收获医院信息化的重要意义就医流程优化工作效率优化运营成本降低诊断决策科学化自助挂号、远程预约病历无纸化磁卡、条形码技术无线、移动终端应用检验自动化划价、摆药自动化办公无纸化医学影像无胶片化电子病历的信息共享诊疗数据仓库技术各类数据挖掘然而水能载舟亦能覆舟！医疗信息安全事件频出病患信息肆意兜售HIS系统宕机导致门诊被挤爆医药统方事件屡见不鲜威胁生命的“一击“到了应该重视的时候吾日，三省吾身.业务分析，威胁分析医院业务系统病历信息信息量大，潜在价值极高！用药信息医药代表趋之若鹜研究成果信息创新乃竞争之本财务、医保相关信息个人利益直接相关医疗检验信息涉及隐私完整性要求高！医院业务系统特点一：敏

12、感信息多各分系统、子系统之间，千丝万缕的联系容易产生“信息烟囱”事件难以定位医院业务系统特点二：复杂基于Web2.0的社区协作医疗功能架构医院业务系统特点三：协同与共享医院安全关注点 数据安全关键数据私密性：电子病历数据用药数据财务数据医保相关数据检验数据 系统安全业务系统可用性：门诊系统PACSLISRIS疫情上报系统医院系统安全如何解决安全需要循序渐进内外兼治，技管双修论医疗信息安全等级保护的建设技术防护安全管理卫生部公文2011年11月，卫生部下发了“关于印发卫生行业信息安全等级保护工作的指导意见的通知”（卫办发201185号），是卫生行业开展等级保护工作的指导性文件。工作目标工作原则工

13、作机制工作任务工作要求目标与原则工作目标依据国家信息安全等级保护制度，遵循相关标准规范，在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力，为卫生行业信息化健康发展提供可靠保障，全面维护公共利益、社会秩序和国家安全。工作原则遵循标准，重点保护行业指导，属地管理同步建设，动态完善工作机制卫生部信息化工作领导小组信息安全技术专家委员会信息系统等级保护工作联络员省级卫生行政部门信息化工作领导小组省级信息安全技术专家委员会信息系统等级保护工作联络员地

14、市级卫生行政部门信息化工作领导小组（一）定级备案定级（原则上不低于第三级的卫生重要信息系统）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行系统；国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；三级甲等医院的核心业务信息系统；卫生部网站系统；其它经过信息安全技术专家委员会评为为第三级（含）以上系统工作任务论证评审拟定为第三级（含）以上的卫生信息系统，应当经信息安全技术专家委员会论证、评审。备案第二级（含）以上信息系统应当报属地公安机关及卫生行政部门备案；跨省全国联网运行并由卫生部定级的信息系统，由卫生

15、部报公安部备案；在各地运行、应用的分支系统，应当报属地公安机关备案。工作任务（二）建设与整改差距分析与安全需求制定信息系统安全等级保护建设整改方案第三级（含）以上卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。形成信息安全技术防护体系和信息安全管理体系完善安全保护措施建立安全管理制度落实安全管理措施工作任务（三）等级测评第三级（含）以上信息系统建设整改工作完成后，选择等级测评机构进行等级测评。测评合格后，将测评报告报属地公安机关及卫生行政部门备案。第三级（含）以上信息系统应当每年进行一次测评。重要部门的第二级信息系统，可参照上述要求进行等级测评。工作任务（四）宣传培训各级卫生行政

16、部门信息化工作领导小组应当开展政策和标准规范培训；卫生行业各单位应当开展内部信息安全培训。（五）监督检查卫生部信息化工作领导小组督导检查等保工作落实情况，督促开展等保工作。省级卫生行政部门信息化工作领导小组督导检查等保工作落实情况，督促开展等保工作；向卫生部报送等保工作相关情况。工作任务等级测评的内容十个方面建设纲领三级等保一：定级（首要环节）二：备案（核心）三：建设、整改（关键）四：等级测评（方法）五：定期监督检查（保障）等级保护-技术与管理物理安全技术要求管理要求基本要求网络安全主机安全应用安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理系统定级备案等级保护差距分析

17、安全规划与设计系统建设与运维等级保护解决方案的三大步骤基本要求实施指南测评准则第一步：等级保护差距分析差距分析的目的现状梳理确定不符合安全项明确安全建设需求确定信息系统的基本安全要求根据系统所确定的安全等级从基本要求中选择相应等级的基本安全要求选择调整基本安全要求 根据系统所面临的威胁特点调整安全要求，去掉不适用项明确系统特殊安全需求基本要求中某些方面的安全措施不能满足本单位信息系统的保护需求 基本要求没有提供所需要的保护措施（例如无线接入和防护）根据各项安全要求进行逐项分析对比信息系统现状和安全要求之间的差距，确定不满足要求的安全项等级保护差距分析安全管理分析制度组织人员建设运维安全技术分析

18、物理网络主机应用数据差距分析要素物理安全物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护网络安全结构安全访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护主机安全身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制应用安全身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据安全及备份恢复数据完整性数据保密性备份和恢复技术安全要求安全管理制度管理制度制定和发布评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查人员安全管理人员录用人员离岗人员考核安全意识教育和培训外部人员访问管理系统

19、建设管理系统定级安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付系统备案等级测评安全服务商选择系统运维管理环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理管理安全要求安全要求项级差安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合

20、计/85175290318级差/9011528采用的方式顾问访谈管理访谈技术访谈实地查看查看配置、策略查看制度和记录文档手工测试漏洞扫描渗透测试第三级基本要求管理要求安全管理制度管理制度d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。差距分析实施：访谈 安全主管 查看安全管理要求落地举例安全策略管理制度操作规程总体方针政策文件安全策略操作手册第三级基本要求技术要求主机安全身份鉴别f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。差距分析实施：安全技术要求落地举例访谈系统管理员上机实地查看第二步： 安全规划与设计结合现状逐步实现统筹规划全盘考虑安全规划安

21、全设计安全设计总体安全设计详细安全设计结构框架设计功能要求设计性能要求设计部署方案设计安全策略实现计划管理措施实现内容设计系统建设的安全实施方案详细安全设计第三步： 安全建设与运维配套的安全管理建设内容管理定制安全策略和配置策略定制信息安全产品选型及部署技术支持安全建设系统自查应急响应安全巡检咨询培训可管理安全服务安全运维技术防护部分医院安全技术解决方案的设计有的放矢：通过对业务系统范围的理解，针对实际威胁源于威胁途径，确定安全目标。因地制宜：通过对实际网络现状和威胁现状的分析，确定风险节点，参照标准进行建设医院网络典型拓扑一、外网区域安全建设外网区域安全威胁资产：出口带宽网站邮件信息会诊数据

22、后台数据库威胁：可用性威胁：DDOS攻击、带宽滥用、蠕虫完整性威胁：数据篡改、网页篡改私密性威胁：后台数据库被“拖库”、领导邮件信息泄露这些问题是如何产生的？网络(物理/链路/网络)操作系统(windows/unix)应用软件(Iis/apache/sqlserver)Web程序(第三方/自开发)脆弱性(漏洞)明文传输arp认证威胁(攻击)缓冲区溢出密码猜测Sql注入攻击资产对象内因外因拒绝服务攻击(syn/ack/icmp floodhttp get flood)TCP/IP协议的漏洞系统级别的漏洞Sniffer/arpspoof/程序漏洞跨站脚本攻击目录遍历攻击密码窃取/突破授权/信息探测

23、文件操控安全架构不合理安全功能不足Tcp三次握手http无连接控制弱口令缓冲区溢出未经验证的输入风险(损害)结果拒绝服务恶意代码跨站脚本非法入侵分项解决网络(物理/链路/网络)操作系统(windows/unix)应用软件(Iis/apache/sqlserver)Web程序(第三方/自开发)脆弱性(漏洞)明文传输arp认证威胁(攻击)缓冲区溢出密码猜测Sql注入攻击资产对象内因外因拒绝服务攻击(syn/ack/icmp floodhttp get flood)TCP/IP协议的漏洞系统级别的漏洞Sniffer/arpspoof/程序漏洞跨站脚本攻击目录遍历攻击密码窃取/突破授权/信息探测文件操

24、控安全架构不合理安全功能不足Tcp三次握手http无连接控制弱口令缓冲区溢出未经验证的输入DDOS防护入侵防护WEB应用防护漏洞扫描与管理绿盟外网安全解决方案WEB应用防护：SQL注入、XSS等攻击防护，保护网站不被入侵网页篡改防护爬虫、盗链防护通用入侵防护：漏洞虚拟补丁蠕虫防护黑客扫描、渗透防护DDOS防护：防护各类DDOS攻击，保护出口可用性防护针对应用系统的CC攻击，保护服务器和应用的可用性漏洞管理：系统漏洞扫描，感知系统脆弱性补丁修复，漏洞管理，保障系统的基线安全WEB漏洞扫描，感知网站脆弱性，调整WAF进行漏洞屏蔽二、内网区域安全建设家属区门诊楼医技楼医保中心、卫生局住院部行政楼HISCISPACS网络管理OA病毒服务器SAN存储NID 信息楼运维管理终端内网网络状况重点保护对象：电子病历数据用药信息诊断决策信息检验信息外网具体的威胁核心信息资产.外网区域黑客入侵攻击嗅探行为蠕虫、木马.可能的黑客跳板木马程序发起