构建医疗行业信息安全防护体系【荐】.pdfVIP

融合应变，按需安全 构建医疗行业安全防护体系 方正信息安全技术有限公司 首席安全咨询顾问沈传宝 CISSP/CISP/OCP MSN/GTalk: shencb@G 目录 ?驱动力 信息安全应变之难 ?方法论 信息安全建设之道 ?构建和谐 方正信息安全解决方案 融合创造价值，应变构建和谐 安全事件分布 美国联邦调查局对2066家公司和 组织进行了调查，发生概率排在 前四位的是： 1）病毒； 2）笔记本电脑或移动设备被窃； 3）内部网络资源滥用； 4）未授权访问。 安全事件的损失 病毒感染导致最大损失， 未授权的访问排名第二， 笔记本电脑等移动设备失窃 和重要数据被窃取则列居三 四位。 这四种类型的损失占了所有 损失总数的80%左右。 安全威胁方的分布 信息技术与互联网的发展 ? 互联网的变迁： 过去 TCP / IP FTP Email Telnet 现在 TCP / IP P2P BBS http 互联网应用的改变，导致了各种混合型威胁的出现，应用的扩展给应对这 种混合型威胁带来巨大困难. 恶意软件已经成为一种产业 惊心动魄的数字 ? 截止到目前为止，全球最大的僵尸网络中有28,000,000台PC ? 2007年上半年，全国计算机感染台数760万台，与去年同期相比增长 了12.2%。其中有50万受木马控制。 网络攻击手段的融合 当前 威胁不可避免 另一方面：国家政策、行业规范 ? 信息系统等级保护是国家信息安全的基本制度： ? 2003年，中央办公厅、国务院办公厅转发 《国家信息化领导小组关于加强信息安全保障工作 的意见》 （中办发[2003]27号） ? 2007年6月22 日，公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办 公室等四部委发布的 《信息安全等级保护管理办法》 （公通字[2007]43号） ? 2007年，等级保护的推广实施之年 ? 7月16 日，发布 “关于开展全国重要信息系统安全等级保护定级工作的通知” （公信 安[2007]861号） ? 7月20 日，召开 “全国重要信息系统安全等级保护定级工作电视电话会议”，部署在 全国范围内开展重要信息系统安全等级保护定级工作。 ? 7月31 日，中央部委定级工作培训会议 ? 各行各业政策和规范 ? 党政机关： 《党政机关信息系统安全指南》、 《电子政务信息安全等级保护实施指南》 、 《党政机关信息系统安全测评规范》、 《电子政务信息安全保障技术框架》 ? 中国移动： 《中国移动网络安全评估规范》、 《中国移动支撑系统安全域划分与边界整合技 术要求 》 ? 税务： 《税务系统信息安全风险评估指南》、 《税务系统网络信息安全管理规范》 ? 电监会： 《电力二次系统安全防护规定》 ? 证监会： 《证券期货业信息安全保障管理暂行办法》 ? 保监会：保险公司内部控制制度建设指导方针（1999年131号文） 美国医疗行业的安全法案 ? Health Insurance Portability and Accountability Act HIPAA ? White Paper: Health Information Security ? Enacted by the U.S. Congress in 1996, and became effective July 1, 1997 Requirement Implementation Access Control Role-based access User-based access Encryption Audit controls Data authentication Entity authentication Unique user identification Automatic logoff Password Token Communications Access controls /Network controls Alarm Audit trail Encryption Entity authentication Event reporting Integrity controls Message authentication 总结：信息安全建设的驱动力 ? 来自ISO/IEC 17799…. ? 法律、法规和合同约束的要求 ? 组织的原则、目标和规定 ? 组织风险评估的结果 ? 信息安全建设的驱动力 ? “政策”驱动力： ? 法律、法规、规范、标准、合同、策略… ? 医疗领域的安全标准要求、国家等级保护的要求等 ? “风险”驱动力： ? 技术的变迁带来风险内容和程度的变化 ? 医院信息化网络中的安全问题如病毒