医学信息学-医疗行业信息安全治理方法论

医疗行业信息安全治理方法论深圳市圣格灵科技有限公司安全量化与贴身服务倡导者2007©2013开篇引言医疗行业信息安全治理方法论有人的地方，就会产生：概率医疗行业信息安全治理方法论信赖的短信发送人面对上述短信，我们会做出什么抉择？医疗行业信息安全治理方法论医疗行业信息安全治理方法论传统电话通讯流程网络电话通讯流程医疗行业信息安全治理方法论上述与信息安全有什么关系？假设拥有最完美的系统与网络都有可能溃于概率or身份这是对信息安全的一种最简单的诠释－计算机及其网络对信任的界定:

从技术上，界定信任关系总是基于这样一个假设：

手机的使用者一定是手机的主人医疗行业信息安全治理方法论安全与威胁信息安全是个立体化构成体，理解才能做到威胁样例一医疗行业信息安全治理方法论威胁样例二医疗行业信息安全治理方法论某虚拟货币数数据被盗攻击者IT管理员IT管理员电脑数据被篡改威胁样例三医疗行业信息息安全治理方方法论威胁样例四医疗行业信息息安全治理方方法论医疗行业信息息安全治理方方法论何谓免杀？免杀技术其实实就是木马如如何逃避杀毒毒软件查杀的的技术。免杀技术现状状早期免杀技术术没有普及的的时候，只掌掌握在一小部部分人手上，，而现在互联联网上免杀工工作室的普及及，则开始完完全利益化、、产业化。免杀技术带来来的威胁杀毒软件特征征库庞大臃肿肿主动防御假阳阳性导致用户户提心吊胆医疗行业信息息安全治理方方法论信息安全管理理与社会工程程学信息外泄不一一定只发生在在内部，大部部分信息外泄泄是第三方导导致的！其途径径一般般包含含但不不限于于：航班、、社保保、违违章、、通信信电话话、住住宿、、从业业资质质、房房产……威胁样样例：：信息息泄露露医疗行行业信信息安安全治治理方方法论论威胁样例：：恶意篡改改一个典型的的实例Microsoft安全公告MS08-067-严重服务器服务务中的漏洞洞可能允许许远程执行行代码(958644)发布时间：：发布日期期：十月月23,2008利用该漏洞洞的蠕虫：：conficker（又名Downup，Downadup或Kido）发现时间：：2008年11月（最早捕捕获样本日日期）爆发时间：：2009年4月漏洞被黑客客组织发现的的实际时间为为2008年6月份利用该漏洞洞进行攻击的蠕蠕虫Conficker开始传播2008年10月微软发布编编号为KB958644的补丁。08年10月23日Conficker第一个病毒样样本被截获并反反编译完成。08年11月7日时至今日，，Conficker依然在肆虐我们们的信息系统！！…几年的时间间跨度，杀杀毒软件也也都加入了了特征库，，为什么还还会出现这这样的问题题？除非组织没没有任何安安全设备、、没有任何何安全制度度，甚至连连杀毒软件件都没有！！如果都不是是，那么不不言而喻！！我们的安安全体系缺缺乏运维！！！！医疗行业信信息安全治治理方法论论医疗行业信信息安全治治理方法论论医疗信息化医疗信息化化是国际发发展趋势。。10月14日，国国务院印发发《关于促促进健康服服务业发展展的若干意意见》，再再次将医疗疗信息化提提上了时间间表。十二二五规划中中，卫生信信息化建设设也是医改改中主要部部分。大力推进医医药卫生信信息化建设设，逐步实实现高效统统一、互联联互通的区区域性医疗疗卫生信息息共享也已已迫在眉梢梢。医疗行业信信息安全治治理方法论论预约挂号信息共享在线支付智能医疗移动医疗在线问医不久的将来来，医疗业业将不再是是互联网的的一道鸿沟沟。互联网网能够帮助助解决现在在医疗行业业的问题。。与互联网网结合，为为解决“看看病难，看看病贵”问问题这类问问题开辟新新途径和新新方式。预预约挂号、、信息共享享、居民健健康卡、智智慧医疗等等等，正是是基于此！！医疗行业信信息安全治治理方法论论现在，我们准备好好了吗？医疗行业信信息安全治治理方法论论安全现状不与互联网网接驳、信信息孤岛是是目前医疗疗行业面对对威胁的唯唯一点医疗行业信信息安全治治理方法论论缺乏有效设计和标准准，简单的应用用及产品堆堆砌；专业技术人人员匮乏。很多机构构几乎没有有专职的安安全运维人人员；缺乏资金的的保障和激激励机制。重业务轻轻信息支撑撑；信息化建设设不平衡。。同样三甲甲，但信息息化建设参参差不齐；；医疗信息化化建设、指指导、监管管相对滞后。目前医疗信信息化主要要存在的问问题医疗行业信信息安全治治理方法论论应用复杂；；业务数据据缺乏清晰晰的梳理；；厂商繁多多，交叉叉问题严严重，缺缺乏有效效的安全全协调机机制；基础安全全建设良良莠不齐齐，信息息资产缺缺乏有效效管理和和运维；；网络故障障或蠕虫虫爆发时时定位与与处置缺缺乏辅助助手段；；缺乏行业业及时有有效的技技术资讯讯获取渠渠道和平平台。目前医疗疗行业主主要存在在的安全全困惑医疗行业业信息安安全治理理方法论论综合治理打好基础础，应对对威胁，，推动全全面信息息化建设设医疗行业业信息安安全治理理方法论论很少有机机构去假设：安全事件件是必然的的。安全建设设不是简单单堆砌必须具有有目的性性适应性性，安全设备备不是万能能的医疗行业业信息安安全治理理方法论论基础安全全体系构构架安全运维安全管理安全技术基础安全体系安全组织关乎安全的管理制度-执行的有效度-执行的完善度关乎安全的决策-主管领导挂帅-设立专门职务关乎安全的技术-安全设备的运用-安全技术的策略关乎安全体系有效运行-是否体系持续健康-发现了什么抵抗了什么-还存在哪些问题医疗行业业信息安安全治理理方法论论安全组织1、医院院应成立信息化领导小组和安安全事件应急急处置办公室室，负责领导导、组织、协协调各个科室的网络与信息息安全各方面面工作；2、领导小组组应由主管院院长挂帅，信信息部门主导导实施；3、信息化发发展到一定程程度时，应建建立稽核部门门，负责对各各项信息化管管理体系执行行力的核查。。医疗行业信息息安全治理方方法论安全管理1、制定适合合自身的安全全管理体系；；2、要定期评评审安全政策策和制度，尤尤其当发生重重大安全事故故以及技术基基础结构发生生变更时。3、安全管理理制度主要包包括：管理制制度、制定和和发布、评审审和修订三个个控制点。并并且由信息化化领导小组发发布。4、以周、月月、季、年为为节点，各个个环节采用报报表形式，全全面核查和监监督信息安全全工作。医疗行行业信信息安安全治治理方方法论论安全技术1、传传统三三大样样在行行业应应形成成基本本的安安全标标配标标准；；2、以以应用用为主主导，，定期期对全全网进进行业业务数数据流流的梳梳理工工作和和网络络健康康度分分析，，避免免无关关数据据对业业务的的感染染；3、建建立虚虚拟IT资资产管管理机机制，，采用用安全全基线线措施施，保保障单单位最最低安安全准准则不不被破破坏；；4、建建立较较为全全面的的技术术监控控和预预警应应急机机制，，根据据自身身情况况设定定最低低预警警阀值值，并并与专专业机机构建建立安安全资资讯获获取渠渠道。。医疗行行业信信息安安全治治理方方法论论安全技技术：：业务务数据据流梳梳理与与分析析应用优化通过网网络分分析系系统采采集网网络内内的数数据，，针对对业务务系统统的响响应质质量进进行分分析，，并依依此持持续性性的对对网络络优化化提出出方法法，设设立应应用流流量排排名。。健康检查通过网网络分分析系系统评评估网网段的的运行行健康康状况况，了了解关关键网网段的的运行行性能能，发发现影影响网网络性性能和和潜在在影响响网络络性能能的因因素。。网络络分析析通过过网网络络流流量量采采集集、、汇汇总总、、分分析析，，列列出出各各个个科科室室流流量量分分布布、、占占用用的的带带宽宽情情况况，，依依此此可可进进行行流流量量控控制制或或进进行行网网络络的的升升级级改改造造。。业务务拓扑扑通过过梳梳理理整整理理出出当当前前业业务务拓拓扑扑图图，，列列出出各各个个业业务务应应用用之之间间的的访访问问关关系系图图。。依依此此建建立立可可信信的的网网络络访访问问关关系系和和区区域域。。医疗疗行行业业信信息息安安全全治治理理方方法法论论安全全技技术术：：最最低低安安全全准准则则的的安安全全基基线线没有有安安全全基基线线体体系系的的网网络络准准入入是苍苍白白无无力力的的解解决决方方案案接入入的的系系统统必必须须要要安安全全，，这这是是共共识识。。但但如如何何界界定定？？应强调调接接入入的的所所有有服服务务器器均均需需符符合合安安全全基基线线，，全全面面提提升升系系统统的的安安全全性性和和合合规规性性。。并以以此此作作为为最最低低的的安安全全准准则则！！！！！！医疗行行业信信息安安全治治理方方法论论安全技技术：：建立立监控控应急急预警警机制制通告比对验证审计归档将所有有的过过程整整理归归档，，记录录在案案，形形成组组织自自身的的运维维知识识库。。运维知知识库库随着着积累累丰富富之后后，安安全事事件的的处置置可以以更好好的找找到对对应点点。除了设设备本本身之之外，，也要要确认认带有有事件件库的的安全全设备备是否否已经经更新新了该该通告告特征征。通过审审计去去弥补补安全全设备备的缺缺失性性。验证该该通告告的危危害是是组织织进行行内部部评估估的最最根本本形式式，也是对对该通通告进进行内内部定定级的的技术术依据据。分发下下来的的通告告归口口人必必须根根据自自己的的资产产标识识库进进行比比对；；首先要要确立立该通通告所所危害害的目目标资资产标标识库库内是是否有有对应应的受受害体体。安全通告可可以来自第第三方，包包含漏洞、、病毒、新新型攻击等等；组织内部必必须有专人人定期负责责接收和分分发这些通通告。医疗行业信信息安全治治理方法论论安全运维□业务系统都都是处于正正常工作状状态吗？□他们日志里里面都记录录了些什么么？□安全制度是是否被有效效执行？□是否有攻击击者在关注注我们？□攻击者关注注我们的具具体目标？？□这个目标真真的有弱点点吗？□安全设备能能主动防范范或阻断吗吗？□病毒查杀日日志里面记记录什么病病毒？□这些病毒什什么机理如如何感染的的？□……被谁关注如何应对关注什么外部哪些人人正在持续续关注我们们？并对我我们进行试试探性攻击击或检测！