常见的医疗行业云安全解决方案.ppt

医疗行业数据中心的安全解决方案 黎晓红 4 May 2018 2 3 4 全球信息安全调查报告 2017年全国医疗行业信息安全调查报告 在4663个全国医疗执业单位互联网资产样本的风险检测中，风险排名前五位的依次是：域名信息 泄露、恶意代码、异常流量、僵尸网络、IP被封。 从外部威胁来看，65%的医疗执业单位认为网络被攻击，对外通信中断为最重大的安全风险；其 次窃取患者身份、病例或治疗信息排名第2位。从内部威胁来看，68%的单位认为员工安全意识 薄弱是目前最大的挑战，系统以及数据管理存在漏洞排名第2位，内容人员系统访问权限混乱位 居第3位。 面对新技术发展趋势，医疗机构将面临新的挑战，受访单位的安全期望前三位依次是：76%的受 访单位认为保证复杂的医疗事务大数据安全，60%认为保证智慧化医疗流程、结果、“物-物交 互”的安全，57%认为需要标准化的安全控制指南 5 数据来源：东软对外发布《数据至上，业务安全--2017年医疗行业信息安全调查报告》 医疗行业相关信息安全规范管理 6 《中华人民共和国网络安全法》 《信息安全技术 网络安全等级保护基本要求》 新版《互联网医疗保健信息服务管理办法》 国际标准化组织（ISO）发布的ISO17090：2008《卫生信息-公共要素信息结构》 安全合规是虚拟化云计算场景首要考虑因素 应允许云服务客户设置不同虚拟机之间的访问控制策略； 应保证当虚拟机迁移时，访问控制策略随其迁移； 应提供开放接口或开放性安全服务，允许云服务客户接入第三方安全产品或在云平台选择第三方安全服务。 应实现不同云服务客户虚拟网络之间的隔离 应具有根据云服务客户业务需求自主设置安全策略集的能力，包括定义访问路径、选择安全组件、配置安全策略； 应能检测到云客户虚拟机发起的网络攻击行为 GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》 GB/T 22239-XXXX 《信息安全技术 网络安全等级保护基本要求》 适用范围：凡是承载等保业务的云平台均受约束 上升为法律: 网络安全法 网络安全法将网络安全等级保护变更为基本制度，基本国策，上升为法律。 第二十一条 国家实行网络安全等级保护制度，网络运营者应当按照网络安全等级保护制度要求，履行安全保护义务。 第三十一条，国家对关键基础设施，在网络安全等级保护基础上，实行重点保护。 如何防御？ 8 黑客发现漏洞 利用漏洞制作 病毒，勒索软 件 发起零日 攻击 大规模感染，公 众发现 安全厂家研制补 丁和识别码 厂家发放布丁 用户安装 补丁，识 别码 Day Zero 典型黑客攻击与防御 Window of Vulnerability 安全真空期 9 9 Source from Hong Kong Hospital Authority 攻击如何发生的？ Unconstrained communication Little or no lateral controls inside perimeter Low priority systems are targeted first. Attackers can move freely around the data center. 10110100110 101001010000010 1001110010100 Attackers then gather and exfiltrate data over weeks or even months. Internet Data Center Perimeter 11 INTERNET DATA CENTER DATA CENTER PERIMETER 数据中心的安全威胁 Proliferation of devices accessing the data center, yet not all are secured 移动用户 桌面工作站 虚拟桌面／远程登录用户 MOBILE WORKERS HAVE BROAD ACCESS TO DATA CENTER RESOURCES SECURE END USER 12 NSX实现软件定义数据中心云安全虚拟化平台 – Cloud Security INTERNET DATA CENTER DATA CENTER PERIMETER 虚拟机之间的“零信任”信息安全隔离 Extend micro-segmentation out to secure the end user device Mobile device in the field or at home Laptop or desktop at work or home VDI at a branch o