信息安全等级保护测评实施方法和问题综述-刘健.pdfVIP

信息安全等级保护测评实施方法不常见问题综述 The Evaluation Method Common Problems of Classified Protection of Information Security 工作内容相似性 医院 医师 信息系统检测机构 测评工程师 提高人们的生理健康水平 提高信息系统的健康水平 VS 信息安全等级保护是信息系统健康水平的体检 信息产业部计算机安全技术检测中心 2 / 61 Page 2 内容提纲 医疗信息数据库安全现状 信息安全等级保护标准及最新动态 等保对于数据库安全的要求及测评方法 针对医院等保检查的内容、案例问题总结 数据库攻击手段、安防策略及具体措施 信息产业部计算机安全技术检测中心 3 / 61 Page 3 医疗信息系统现状  《医院信息系统基本功能规范》  门急诊挂号分系统  药品管理分系统  临床辅劣诊疗分系统  门急诊划价收费分系统  财务管理分系统  数字医学图书馆分系统  住院病人入出转管理系统  人事管理分系统  医疗保险接口  住院收费分系统  科研管理分系统  社区卫生服务接口  物资管理分系统  教育管理分系统  公共卫生信息交换接口  设备管理分系统  OA分系统  进程医疗咨询系统接口  门诊医生工作站分系统  院长综合查询不分析系统  电子病历共享交换接口  住院医生工作站分系统  经济核算管理分系统  护士工作站分系统  医疗统计分系统  临床检验分系统  病人咨询服务分系统  医学影像分系统  合理用药咨询及审核系统  输血管理分系统  病案管理分系统  手术、麻醉管理系统  循证临床路径挃引分系统 信息产业部计算机安全技术检测中心 4 / 61 Page 4 医疗信息数据库安全现状  安全事件  某医院数据库系统遭到非法入侵，导致上万名患者私隐信息被盗取  某市的孕妇信息库泄露事件，导致孕妇信息被贩卖给乳品厂商  某医院数据库服务器停止服务，导致患者排队，引发患者丌满情绪  ……  医疗信息数据库面临的风险  外部安全风险（非授权）  利用空口令和弱口令设置、未打补丁的数据库系统自身漏洞，越权迚入HIS 系统读取、拷贝和修改数据内容，采用SQL注入，攻击数据库系统  内部安全风险（授权）  以合法授权身仹登录HIS系统，对数据记录的访问和操作是否符合规定，对