医院信息安全框架规划与设计课件

医院信息安全框架规划与设计推进互联网+智慧医疗医院信息安全框架规划与设计推进互联网+智慧医疗12背景01目录

CONTENTS安全整体框架规划信息安全管理要求信息安全技术要求0203042背景01目录CONTENTS安全整体框架规划02201背景30133作为总体国家安全观的重要组成部分，网络安全与政治安全、经济安全、国土安全、社会安全并列作为当前国家安全工作的五个重点领域。2016年11月7日第十二届人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》于2017年6月1日正式开始施行。网络安全已上升到国家安全战略高度4作为总体国家安全观的重要组成部分，2016年11月7日网络安45医疗行业安全需求01合规性要求满足国家、相关行业的建设标准（网络安全法、等级保护、数字化医院）02基本性要求业务系统安全性对医院的工作开展至关重要，是医院运行最基本的要求。0304医院发展建设与信息安全密不可分大环境要求医疗掌握了大部分人的隐私数据，吸引了黑色产业链的关注，遭受越来越多的攻击。发展性需求互联网+医疗下，医院开展了很多特色应用，给安全带来了更多隐患。5医疗行业安全需求01合规性要求02基本性要求0304医院发5医院信息安全框架规划与设计课件6网络安全法概述角色监管机构工作要点一个主题1、网信部门：统一协调2、监管部门：公安、保密局、密码管理局、通信管理（工信部）3、行业主管：（卫计委等）运行安全、数据安全、应急预案和应急响应两类系统一般信息系统关键信息基础设施安全可信网络安全等级保护关键基础设施检查个人隐私保护与数据出境安全评估网络安全产品审查安全预警与应急通报监管途径7网络安全法概述角色监管机构工作要点一个主题1、网信部门：统一7网络安全等级保护制度（第二十一条）网络产品和服务的合规性（第二十二条）网络实名制（第二十四条）网络安全事件应急预案（第二十五条）网络安全认证、检测、风险评估（第二十六条）关键信息基础设施重点保护（第三十一条）用户信息保护制度（第四十二条）用户发布信息管理（第四十七条）相关条款（医疗机构）8网络安全等级保护制度（第二十一条）相关条款（医疗机构）8802安全整体框架规划9029910医院信息安全常见问题10医院信息安全常见问题1011安全框架模型医院信息安全整体框架三维模型：分层次、分阶段、分区域构建系统纵深防御体系；基于风险评估，统一安全策略，建设信息系统事前、事中、事后的安全防护措施；建立防御、检测、响应、恢复的PPDR循环。解决医院信息安全的基本思路要做到：统一规划建设、全面综合防御、技术管理并重、保障运行安全。物理安全边界保护信息安全服务支持体系信息安全管理体系信息安全应急响应体系等级保护政策法规基于分域保护框架--结构体系安全审计身份鉴别访问控制数据本地存储保护通信安全资源控制边界保护应用安全保护应用系统安全应用平台安全设备安全操作系统安全数据库安全计算环境安全保护 ...检测措施响应措施复措施信息安全管理...关键信息基础设施保护条例

信息安全标准规范中华人民共和国网络安全法卫生行业规范数据安全数据安全保护个人信息安全系统规划系统建设系统运维系统废弃IPS风险评估态势

系统感知

加固防火墙数据库区 内网应用区 管理区 DMZ区 外网应用区

......

防护措施事前行为事中

管理事后安全审计备份恢复恢防病...毒主动防御统一安全策略网络结构安全 设备安全入侵防范 防病毒备份、恢复软件容错...11安全框架模型医院信息安全整体框架三维模型：解决医院信息安1112某医院网络架构示例12某医院网络架构示例12医院信息安全应对措施设计按需分类合理防护自查自纠合规监管迭代优化13医院信息安全应对措施设计按需分类1303信息安全管理要求140314安全管理体系结构医院应建立安全管理体系结构：建立方式：业务安全需求出发，遵从风险管理，注重过程管理，依据标准，建立和实施信息安全管理体系；管理体系要求：确保与信息安全相关的人员、资源、技术、管理等因素处于受控状态，形成文件并加以实施、保持和持续改进，有效防范各类安全事故或人为有意的破坏事件；15安全管理体系结构医院应建立安全管理体系结构：15医院安全管理防护体系建设信息安全管理采用过程方法，把与信息安全相关的资源和活动作为过程来管理，即应用PDCA过程方法，持续改进信息安全管理体系。保障信息安全管理体系的有效实施16医院安全管理防护体系建设信息安全管理采用过程方法，16安全管理体系（示例）-外包管理流程17安全管理体系（示例）-外包管理流程17安全管理体系（示例）-应急处置依据国家相关规定，网络与信息安全事件分类包括：有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件六类；医院网络与信息安全事件分为四级：特别重大网络与信息安全事件（一级事件）、重大网络与信息安全事件（二级事件）、较大网络与信息安全事件（三级事件）、一般网络与信息安全事件（四级事件）示例如下：— 特别重大网络与信息安全事件，例如：重要网络和信息系统中断运行2小时以上、影响公共用户数100万人以上。国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，导致10亿元以上的经济损失。— 重大网络与信息安全事件（未达到特别重大网络与信息安全事件），例如：关键信息基础设施或其他重要网络和信息系统中断运行30分钟以上、影响公共用户数10万人以上。国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，导致1亿元以上的经济损失。— 较大网络与信息安全事件（未达到重大网络与信息安全事件），例如：重要网络和信息系统造成系统中断，明显影响系统效率，业务处理能力受到影响。国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，导致1000万元以上的经济损失。— 除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威胁，造成一定影响的网络与信息安全事件，为一般网络与信息安全事件。18安全管理体系（示例）-应急处置依据国家相关规定，网络与信息安信息安全应急处置流程设备及系统日常监测、巡检用户事件受理是否存在故障事件分析是否需要启动应急预案申请启动应急预案申请是否通过执行应急预案执行后监测分析解决措施是否有效系统恢复重建更新预防措施和应提交事件处理报告加入历史应急事件YNNN执行解决措施监测预警医院网络与信息安全事件应急处置流程准备阶段明确医院应急处置的机构、人员应急响应后置处置系统运行恢复N编制应急响应预案确定事件分类与分级制定应急保障措施预案培训与演练医院网络与信息安全事件应急处置工作内容包括：监测预警：对网络和信息安全事件预警，及早发现事件隐患，及时采取有效措施，尽量避免网络与信息安全事件的发生应急响应：事件发现和汇报、并依据应急预案进行分级响应；后期处置：恢复重建系统，对发生的安全事件进行总结回顾；预防工作：完善应急响应预案、并进行培训、宣传、演练，重要活动预防措施；保障措施：从机构人员、专家队伍、技术支撑、基础平台、物资经费等方面提出应急保障措施。19急预案响应库信息安全应急处置流程设备及系统日常监测、巡检用户事件受理是1904信息安全技术要求2004202021信息安全技术体系— 基础设施安全：机房安全身份标识与鉴别边界防护防病毒入侵检测移动安全管理网络、系统漏洞扫描网络、系统安全审计日志审计系统上网行为管理备份与恢复运维审计集中管控文档安全管理— 信息资源安全：个人信息安全保护个人隐私保护数据库加密数据传输加密数据库审计数据防泄漏数据交互脱敏— 业务应用安全

：统一身份管理WEB防火墙WEB漏洞扫描应用系统容错应用操作审计数字签名服务移动支付安全内容发布安全邮件加密21信息安全技术体系— 基础设施安全：— 信息资源安全：21医院信息基础设施层安全22医院信息基础设施层安全222223医院信息资源层安全23医院信息资源层安全2324医院数据安全现状数据安全将会成为新的挑战！24医院数据安全现状数据安全将会成为新的挑战！24医院数据防护模型25医院数据防护模型25医院数据防护体系与防护措施26医院数据防护体系与防护措施26医院数据防护预期关键数据知悉掌握防范监察关键数据在哪些内部设备上谁是关键数据的操作者关键数据是否处于风险环境总共有多少关键数据关键数据的内部分布状况风险数据有多少风险数据分布状况内部关键关键数据内部流动数据风险变化数据风险与组织体系的关联关键数据加密