医疗行业等级保护测评解读.pptVIP

等级测评的方法-测试验证 测试验证须由测试人员自己动手，操作工具设备开展工作 测试验证主要分有：功能、性能测试、攻击测试、渗透测试等类型 测评对象主要包括：安全机制，设备等 测试借助的设备主要有：扫描检测工具，网络协议分析仪，攻击工具，渗透工具集等 对技术要求来讲，测试的目的是验证信息系统当前安全机制运行的有效性和安全强度等 医疗行业安全现状和测评重点 医疗机构信息化建设特点： 1、系统承载业务具有高度的相似性 2、同类系统的安全需求特性和强度趋同 3、网络结构类似 4、系统建设互相借鉴，应用系统类型较少，很多单位使用同一厂商开发的相同应用系统 5、技术力量，尤其是安全技术力量缺乏，对相关技术要求和标准不熟悉 6、存在的问题和困难具有相通性 医疗行业安全现状和测评重点 物理环境 未注意保留防盗窃、监控报警系统的运行维护检查记录 缺乏各种设备的安全资质和验收报告 网络安全 未合理划分vlan 网络边界未设置合理的访问控制措施 未配备入侵防范和网络层恶意代码防范设备 主机安全 主机数据库的补丁未完全更新 主机和数据库管理员权限未分离 未关闭多余的服务，未配置合理的口令等措施 * 医疗行业容易出现的安全现象： 医疗行业安全现状和测评重点 应用安全 用户名和密码以明文形式传输 未设置双因素认证方式 无抗抵赖功能 数据安全 无完整性机制 无保密性机制 关键设备无冗余，未异地备份 安全管理 未建立体系化的安全管理，无详细运行记录 * 医疗行业容易出现的安全现象： ： 医疗行业安全现状和测评重点 重视局部安全，对总体安全认识不足，对IT规划、安全规划在信息安全中的重要性认识不足；建设过程中，在物理环境、网络、主机、应用、数据及管理各层面均采用了部分安全措施；但往往忽视整体的安全规划，在安全运维中经常陷于 “头痛医头，脚痛医脚”疲于奔命的局面； 对安全运维、安全服务认识不足，自身技术条件不足情况下，安全运维长期缺位而不注意引入安全服务； 认为信息安全只是技术问题，对安全管理认识不足，未能运行有效的安全管理体系，造成制度不到位、责任不明确，出现问题难以查找原因； 认为信息安全即网络安全，对物理、主机、应用、数据安全认识不足，尤其对应用安全认识不足； 重视安全产品的采购，忽视安全机制的建立；认为要达到等级保护要求，把该买的设备买够就行，结果不但造成浪费，而且事与愿违。 * 医疗行业容易出现安全认识方面的误区： 关于测评机构-对测评机构的要求 一、目前的基本要求： 达到省级公安网络监察部门备案条件并备案； 二、公安部2009年7月开始安排测评机构试点，提出未来规范测评机构的较高要求： 不得从事信息系统安全建设整改，产品开发、营销和信息系统集成等可能影响测评“客观、公正、安全”的经营活动； 应依据相关质量体系标准建立、实施和保持适应等级测评工作开展的管理制度体系。 具备满足等级测评工作需要的工具，如漏洞扫描器、协议分析仪、性能测试仪和渗透测试工具等。 等级测评机构应具备文档化的测评方法（如测评指导书） 具有安全保管记录的能力，所有的测评记录应保存一定时间。 * 关于测评机构深圳市信息安全测评中心 单位性质和资质： 深圳市信息安全测评中心(软件评测中心）是深圳市政府批准成立的事业单位，是独立第三方测评机构，是非经营性单位。中心长期以来坚持不参与任何被测系统的建设，以保证测评的客观性和公正性 ； 中心2002年成立，现在已经成功运行了 17020、17025两套质量体系，长期坚持“客观、公正、科学、规范”的 质量目标。经中国合格评定国家认可委员会认可，信息安全测评和信息安全检查技术能力得到国家认可，测评报告国际通用； 取得了中国信息安全测评中心授权，可以代表国家开展信息安全测评工作； 取得了公安网监部门的备案授权，在深圳市范围 内开展信息安全等级测评工作，今年开展了深圳市第一家等级测评试点工作“北大医院”，目前又被邀请列为全国等级测评试点单位。 * 关于测评机构深圳市信息安全测评中心 技术体系和技术能力 2002年构建了信息安全技术、信息安全管理、信息工程控制3维立体测评技术体系；安全技术和管理2个维度上的安全能力完全覆盖了等级保护10个方面的全部内容； 政府投资数千万元在中心建设有市信息安全测评实验室、市软件测评实验室，运行中的市信息安全测评技术平台具备等保测评要求的全部工具，可以满足等级测评的各项技术需要； 中心具备一支包含多名博士、硕士、高级工程师、CCIE 、CISP 、ISO27001主任审核员等人才的技术队伍。 * 关于测评机构深圳市信息安全测评中心 项目经验 2002-2006年为全市30多家电子政务单位的80多个信息系统进行了专项测试评估； 2007年，受市信