医疗行业安全交流

南通医疗行业安全交流刘迪\绿盟科技liudi司概况绿盟科技是中国最早从事网络安全业务的企业之一，成立于2000年4月，2014年1月上市总部位于北京，在国内设立7个分公司，共30多个分支，在硅谷、东京设有分支机构成立安全研究院：威胁研究部、安全研究部、战略发展部四大研发中心：北京、武汉、成都、西安公司发展近五年营业收入

年均复合增长率为31%近五年净利润

年均复合增长率为46%截止到目前绿盟科技拥有员工近

1800人公司服务资质（应有尽有）国家安全服务资质（二级）（最高）计算机信息系统集成资质（二级）ISO9001质量管理体系国际国内双认证一级应急处理服务资质（最高级）一级风险评估资质（最高级）ISO27001安全认证（国内安全公司唯一）微软MAPP合作伙伴（中国第一家）北京市高新技术企业国家网络与信息安全信息通报技术支持单位国家级应急服务支撑单位公司产品资质（一应俱全）中国国家信息安全测评中心认证中国国家公安部认证中国人民解放军安全产品测评中心认证国家保密局认证资质情况公司资质公司荣誉ISO27001认证ISO9001认证国家二级安全服务资质国家级应急服务支撑单位国家级863火炬计划国庆60周年网络与信息安全保障先进单位第29界奥运会技术保障单位NO.1NO.1NO.1核心竞争力：安全技术能力安全研究能力依靠自身安全漏洞研究能力，独立发现包括Microsoft、HP、CISCO、SUN、Juniper等多家厂商的40多个严重安全漏洞十年来一直维护全球最大、最权威的安全漏洞库NSBL，数目超过23900多条自主研发的入侵检测规则库从2002年起出口美国市场产品研发能力自主研发ESD（IDS\IPS\安全审计系统等）、RCM（远程安全评估\基线配置核查\Web漏洞扫描等）、IIS（WAF\抗DDOS\异常流量检测系统等）、BSG(下一代防火墙等)、PA（网站安全监测服务、PAMADS等）五大系列，18余款安全产品达到了国内、国际先进水平2008年，绿盟远程安全评估系统一举获得英国西海岸实验室（WestCoastLabs）的权威认证，成为全“球六强、亚太唯一”2010年，绿盟入侵防护系统通过了NSSLabs测试，获得NSSApproved认证，成为“全球四强，亚太唯一”专业的安全服务能力安全服务能力完善的服务方法论：经过10年专业安全服务的执着实践，形成了国内最完善的专业安全服务体系NSPS和完善的专业安全服务方法论。连续多年获得最值得信赖的安全服务品牌专业的服务团队：拥有诸多PMP、CISA、BS7799LA、ISO27001LA、CISSP、CISP、CCIE、CIW、COBIT、ITIL等国际/国内认证专家；国内顶尖安全研究小组做后台支撑严谨的项目组织：DIEM工程实施模型；丰富的项目经验、行业背景与实践经验。绿盟科技应急响应小组(NSFIRST)多次为用户解决不同层次的安全问题绿盟科技安全研究绿盟科技研究院拥有一流的研发实力漏洞分析和挖掘威胁感知安全智能云及虚拟化安全合规性绿盟科技研究院工业控制系统安全新威胁-新防护架构云安全虚拟化-SDN和SDS安全攻防研究漏洞-威胁-态势-智能-APT绿盟科技研究院有威胁响应中心、安全研究部和战略研究部三个部门，共有三十多位专职安全研究员。研究院是中关村科技园区博士后工作站分站，与清华大学联合培养，目前有两位博士后在站研究。绿盟科技安全研究漏洞分析和挖掘是绿盟科技研究团队的核心能力漏洞分析和挖掘威胁感知安全智能云及虚拟化安全合规性绿盟科技研究院关注软件生命周期，包括系统级、应用级、业务级多家厂商的40余个严重安全漏洞，是微软MAPP计划成员自动化工具，SQL注入和XSS攻击检测利用工具；FuzzTesting等多种逆向分析工具分析挖掘Analysis方法Method人People工具Tool绿盟科技安全研究维护着国内最大的中文漏洞库漏洞分析和挖掘威胁感知安全智能云及虚拟化安全合规性绿盟科技研究院公司成立13年来，协助Microsoft、Sun、Cisco等业界主流设备提供商解决了大量系统安全漏洞问题；维护着国内领先的商业漏洞库，漏洞数量达到25209条（截止到2013年11月）；累计发布安全漏洞研究报告51个（截止到2013年11月）；累计发布安全紧急通告117个（截止到2013年11月）；绿盟科技产品线3大产品领域：安全评估类检测防御类安全监管类NO.1NO.1NO.1NO.1NO.1绿盟科技服务体系安全技术服务向客户提供贯穿信息系统完整生命周期的安全技术服务。在信息系统需求分析和设计阶段，通过安全技术体系规划、安全架构设计等服务，协助客户从根本上提高信息系统安全性。在开发和实施阶段，通过安全编码培训、源代码安全审计、安全性测试等服务，协助客户在系统上线投产前弥补安全缺陷。在系统运行维护阶段，通过渗透测试、脆弱性扫描分析、安全配置核查、审计日志分析、安全事件应急处理、驻场值守安全保障等服务，协助客户优化资源配置，更加专注于自身业务运营和发展。安全咨询服务安全培训服务三大服务体系安全技术规划系统安全架构设计源代码安全性审计软件安全测试安全运维技术评估应急响应渗透测试绿盟科技服务体系安全技术服务安全咨询服务依据国际/国内标准和行业监管规范，协助行业客户立足于现状，面向信息安全风险，采取适当的管理过程和控制措施，建立和维护全面、有效、合规的信息安全管理体系，保障客户业务运营和战略达成。绿盟科技的资深行业咨询顾问向客户提供信息系统安全风险评估、信息安全保障体系设计规划、信息安全管理体系建设、重要信息系统安全等级保护合规设计与建设、信息科技风险管理体系建设等专业咨询服务。安全培训服务三大服务体系信息安全保障体系设计规划咨询行业合规性咨询信息安全风险评估信息安全管理体系建设&认证咨询信息系统等级保护咨询绿盟科技服务体系安全技术服务安全咨询服务安全培训服务从最佳安全实践出发，针对不同行业不同岗位客户所需要掌握的安全知识和专业技能来设计培训课程，包含安全意识、安全技术专项、安全管理、特定行业热点、安全认证等多种类型，力求贴合信息安全技术的最新发展趋势，满足客户不断涌现的知识和技能提升需求。三大服务体系初级安全意识专业技术最佳实践管理体系安全认证中级高级运营商行业金融行业政府行业参与国标的编写《等级保护》《信息安全风险评估指南框架》《信息安全风险管理指南框架》《网上证券交易系统安全保障要求》《证券期货业安全保障体系》《网络安全事件处理服务规范》《党政机关计算机配置使用指南》2009年绿盟科技发起成立国际云安全联盟CSA（CloudSecurityAlliance）中国区分会，是CSA在亚太地区的第一个企业成员。2010年绿盟科技与国际网络安全权威组织StopBadware达成战略合作，绿盟科技成为中国唯一一家与StopBadware形成合作的安全厂商。2008年绿盟科技成为微软主动防御计划MicrosoftActiveProtectionsProgram(MAPP)在中国的第一个合作伙伴。国际同行互动福兮，祸所伏…医疗信息化的成就与风险高速发展的医院信息化自助挂号终端诊断决策支持电子病历系统医护工作站医学影像系统信息化带来的收获医院信息化的重要意义就医流程优化工作效率优化运营成本降低诊断决策科学化自助挂号、远程预约病历无纸化磁卡、条形码技术无线、移动终端应用检验自动化划价、摆药自动化办公无纸化医学影像无胶片化电子病历的信息共享诊疗数据仓库技术各类数据挖掘然而…水能载舟亦能覆舟！医疗信息币安全事件替频出病患信息茂肆意兜售HIS系统宕机称导致门诊竭被挤爆医药统方慨事件屡见可不鲜威胁生命厌的“一击淡“到了应该帐重视的时成候吾日，三唱省吾身….业务分抛析，威椅胁分析医院业务伴系统病历信剧息信息量大深，潜在价篇值极高！用药信息医药代表绒趋之若鹜研究成猪果信息创新乃评竞争之卫本财务、险医保相叫关信息个人利凳益直接陷相关医疗检备验信息涉及隐痒私完整性要极求高！…医院业务槐系统特点冻一：敏感乡丰信息多各分系统模、子系统谅之间，千安丝万缕的跟联系容易胸产生“信息烟侨囱”事件难程以定位医院业务匀系统特点喇二：复杂基于Web2暮.0的社区正协作医防疗功能化架构医院业络务系统恐特点三慨：协同秃与共享医院安熔全关注伸点数据安尖全关键数要据私密骆性：电子病轧历数据用药数据财务数据医保相关数羊据检验数渠据系统安等全业务系腰统可用我性：门诊系悉统PAC丝式SLISRIS疫情上报燃系统医院系统绵安全如何解决安全需要弹循序渐进内外兼耍治，技伶管双修…论医疗意信息安诊全等级类保护的栋建设技术防伟护安全管理卫生部公兆文201御1年11月，卫生匆部下发了荣“关于印乡丰发《卫生行特业信息滤安全等唉级保护举工作的斧指导意口见》的通知蜓”（卫剃办发〔201卧1〕85号），是教卫生行业贺开展等级左保护工作门的指导性宴文件。工作目标工作原则工作机制工作任务工作要求目标与原莲则工作目标依据国家信息安全等级保护制度，遵循相关标准规范，在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力，为卫生行业信息化健康发展提供可靠保障，全面维护公共利益、社会秩序和国家安全。工作原则遵循标准，重点保护行业指导，属地管理同步建设，动态完善工作机工制卫生部信息化工作领导小组信息安全技术专家委员会信息系统等级保护工作联络员省级卫生行政部门信息化工作领导小组省级信息安全技术专家委员会信息系统等级保护工作联络员地市级卫生行政部门信息化工作领导小组（一）洁定级备醉案定级（原旺则上不低瓣于第三级循的卫生重立要信息系舅统）卫生统计旧网络直报裳系统、传姿染性疾病处报告系统间、卫生监航督信息报蕉告系统、激突发公共凝卫生事件踏应急指挥梅信息系统荡等跨省全铁国联网运愁行系统；国家、省布、地市三张级卫生信才息平台，罢新农合、虽卫生监督碎、妇幼保还健等国家抵级数据中惭心；三级甲等醒医院的核狸心业务信宵息系统；卫生部网达站系统；其它经中过信息根安全技炎术专家衫委员会锈评为为欺第三级漫（含）煌以上系姜统工作任御务论证评霉审拟定为第呈三级（含呜）以上的纱卫生信息宅系统，应汁当经信息川安全技术宇专家委员苍会论证、拾评审。备案第二级提（含）矿以上信斗息系统认应当报钟属地公喂安机关获及卫生文行政部枕门备案甘；跨省全闻国联网买运行并绑由卫生处部定级扯的信息巨系统，拖由卫生幸部报公荷安部备逐案；在各地运咐行、应用孟的分支系条统，应当盈报属地公关安机关备充案。工作任蓬务（二）建远设与整改差距分析页与安全需华求制定信息靠系统安全治等级保护蚂建设整改匪方案第三级（者含）以上塞卫生信息刷系统安全的建设整改驴方案应当阶经信息安旷全技术专啦家委员会似论证。形成信息详安全技术牺防护体系浓和信息安窗全管理体误系完善安偷全保护霸措施建立安全到管理制度落实安终全管理红措施工作任务（三）等材级测评第三级洞（含）骗以上信贤息系统慎建设整掘改工作丑完成后怒，选择悟等级测邮评机构耐进行等嘉级测评翠。测评合尸格后，很将测评方报告报彩属地公厌安机关狱及卫生段行政部这门备案曾。第三级坏（含）塞以上信裁息系统么应当每签年进行鞭一次测蛇评。重要部门睁的第二级寒信息系统悬，可参照纹上述要求认进行等级点测评。工作任近务（四）宣劈燕传培训各级卫创生行政残部门信封息化工嫂作领导糖小组应撇当开展禾政策和奔标准规泪范培训菊；卫生行业虫各单位应阀当开展内价部信息安生全培训。（五）监谎督检查卫生部信桑息化工作来领导小组督导检查棉等保工作威落实情况最，督促开伴展等保工隙作。省级卫踪蝶生行政内部门信身息化工听作领导浪小组督导检狗查等保哀工作落毕实情况规，督促打开展等途保工作速；向卫生膛部报送蝴等保工棍作相关览情况。工作任础务等级测续评的内酿容－十个方课面建设纲荣领——三级等保一：定级追（首要环秒节）二：备居案（核心）三：建营设、整改（关键）四：等哈级测评呜（方法）五：定锈期监督执检查（保障）等级保届护-技术与管仍理物理安掩全技术要短求管理要求基本要求网络安却全主机安全应用安全数据安豪全安全管蔬理机构安全管辟理制度人员安瓶全管理系统建尝设管理系统运维恰管理系统定级备案等级保护差距分析安全规划与设计系统建设与运维等级保护麦解决方案谊的三大步追骤基本要求实施指南测评准则第一步：浑等级保护蚂差距分析差距分析岸的目的现状梳理确定不符合安全项明确安全建设需求确定信息系统的基本安全要求根据系统所确定的安全等级从《基本要求》中选择相应等级的基本安全要求选择调整基本安全要求根据系统所面临的威胁特点调整安全要求，去掉不适用项明确系统特殊安全需求基本要求中某些方面的安全措施不能满足本单位信息系统的保护需求基本要求没有提供所需要的保护措施（例如无线接入和防护）根据各项安全要求进行逐项分析对比信息系统现状和安全要求之间的差距，确定不满足要求的安全项等级保溪护差距短分析安全管理分析制度组织人员建设运维安全技术分析物理网络主机应用数据差距分赚析要素物理安全物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护网络安全结构安全访问控制安全审计边界完整性检查入侵防范恶意代码防范网络设备防护主机安全身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制应用安全身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据安全及备份恢复数据完整性数据保密性备份和恢复技术安俘全要求安全管理制度管理制度制定和发布评审和修订安全管理机构岗位设置人员配备授权和审批沟通和合作审核和检查人员安全管理人员录用人员离岗人员考核安全意识教育和培训外部人员访问管理系统建设管理系统定级安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付系统备案等级测评安全服务商选择系统运维管理环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理管理安全判要求安全要辅求项级赵差安全要求类层面一级二级三级四级技术要求物理安全9193233网络安全9183332主机安全6193236应用安全7193136数据安全及备份恢复24811管理要求安全管理制度371114安全管理机构492020人员安全管理7111618系统建设管理20284548系统运维管理18416270合计/85175290318级差//9011528采用的促方式顾问访谈管理访谈技术访谈实地查看查看配置、策略查看制度和记录文档手工测试漏洞扫描渗透测试第三级丑基本要跑求—管理要求—安全管理次制度—管理制度d)应形成由秋安全策略课、管理制业度、操作姨规程等构爆成的全面挑的信息安片全管理制乌度体系。差距分析屡实施：访谈安励全主管凑查勾看安全管理怒要求落地霸举例安全策略管理制度操作规程总体方针政策文件安全策略操作手册第三级基斥本要求—技术要求—主机安叠全—身份鉴别f)应采用两商种或两种今以上组合众的鉴别技烦术对管理竟用户进行仍身份鉴别舞。差距分沃析实施多：安全技术稼要求落地用举例访谈系统管理员上机实地查看第二步：温安全规强划与设计结合现状逐步实现统筹规划全盘考虑安全规划安全设丘计安全设计总体安全设计详细安全设计结构框架设计功能要求设计性能要求设计部署方案设计安全策略实现计划管理措施实现内容设计系统建设的安全实施方案详细安添全设计第三步吼：安前全建设贝与运维配套的安全管理建设内容管理定制安全策略和配置策略定制信息安全产品选型及部署技术支持安全建设系统自查应急响应安全巡检咨询培训可管理安全服务……安全运维技术防份护部分医院安涛全技术件解决方般案的设济计有的放佛矢：通仗过对业浙务系统伏范围的捉理解，喷针对实给际威胁送源于威暗胁途径追，确定林安全目拥标。因地制赏宜：通猎过对实捏际网络雹现状和回威胁现霸状的分士析，确六定风险旋节点，萝参照标莲准进行神建设医院网络锦典型拓扑一、外网用区域安全庭建设外网区米域安全圾威胁资产：出口带谎宽网站邮件信素息会诊数据后台数据简库…威胁：可用性叮威胁：DDO误S攻击、带工宽滥用、蠕虫完整性威尖胁：数据费篡改、网竞页篡改私密性威粗胁：后台怠数据库被究“拖库”胜、领导邮胜件信息泄缎露…这些问屡题是如卸何产生堪的？网络(物理/链路/网络)操作系统(windows/unix)应用软件(Iis/apache/sqlserver)Web程序(第三方/自开发)脆弱性(漏洞)明文传输arp认证……威胁(攻击)缓冲区溢出密码猜测Sql注入攻击资产对象内因外因拒绝服务攻击(syn/ack/icmpfloodhttpgetflood……)TCP/IP协议的漏洞系统级别的漏洞Sniffer/arpspoof/……程序漏洞跨站脚本攻击目录遍历攻击密码窃取/突破授权/……信息探测文件操控安全架构不合理安全功能不足Tcp三次握手http无连接控制……弱口令缓冲区溢出未经验证的输入风险(损害)结果拒绝服务恶意代码跨站脚本非法入侵分项解决网络(物理/链路/网络)操作系统(windows/unix)应用软件(Iis/apache/sqlserver)Web程序(第三方/自开发)脆弱性(漏洞)明文传输arp认证……威胁(攻击)缓冲区溢出密码猜测Sql注入攻击资产对象内因外因拒绝服务攻击(syn/ack/icmpfloodhttpgetflood……)TCP/IP协议的漏洞系统级别的漏洞Sniffer/arpspoof/……程序漏洞跨站脚本攻击目录遍历攻击密码窃取/突破授权/……信息探测文件操控安全架构不合理安全功能不足Tcp三次握手http无连接控制……弱口令缓冲区溢出未经验证的输入DDO有S防护入侵防护WEB应用防扎护漏洞扫描冬与管理绿盟外网雾安全解决宜方案WEB应用防融护：SQL注入、XSS等攻击山防护，沃保护网成站不被业入侵网页篡改骆防护爬虫、灰盗链防稼护通用入侵劈燕防护：漏洞虚忧拟补丁蠕虫防坦护黑客扫徒描、渗狭透防护DDO完S防护：防护各类DDO兄S攻击，需保护出治口可用怖性防护针对任应用系统盆的CC攻击，折保护服饰务器和君应用的后可用性漏洞管背理：系统漏洞绩扫描，感叼知系统脆抵弱性补丁修叶复，漏服洞管理咸，保障才系统的个基线安摩全WEB漏洞扫描彩，感知网克站脆弱性毛，调整WAF进行漏洞湿屏蔽二、内网青区域安全河建设家属区门诊楼医技楼医保中心、卫生局住院部行政楼HISCISPACS网络管理OA病毒服务庭器SAN存储NID信息楼运维管理因终端内网网络可状况重点保护喊对象：电子病舰历数据用药信壤息诊断决策至信息检验信息…外网具体的威鹅胁核心信息安资产.外网区域黑客入默侵攻击嗅探行为蠕虫、宁木马.可能的始黑客跳畏板木马程序触发起的恶席意连接蠕虫网醋内爆发越权的恩数据库毫操作非法外去联事件U盘导致的APT不安全终端.内网终端内部运轿维人员昂的监守枯自盗第三方代维旧人员的含不安全宫操作设备厂商铃人员的临东时运维权第限问题.运维人员威胁威胁威胁绿盟内型网安全呢解决方斥案AGENT

AGENT

AGENT

AGENT

AGENT

安全审配计：识别网摸络应用记录网络骄访问行为数据库转访问、闻操作审痛计边界入侵泳防护：抵御来自貌外网的入属侵威胁