醫(yī)學(xué)信息學(xué)論文-醫(yī)療行業(yè)信息安全治理方法論課件

醫(yī)療行業(yè)信息安全治理方法論深圳市圣格靈科技有限公司安全量化與貼身服務(wù)倡導(dǎo)者2019?2019醫(yī)療行業(yè)信息安全治理方法論安全量化與貼身服務(wù)倡導(dǎo)者開篇引言開篇引言醫(yī)療行業(yè)信息安全治理方法論醫(yī)療行業(yè)信息安全治理方法論有人的地方，就會產(chǎn)生：概率醫(yī)療行業(yè)信息安全治理方法論有人的地方，就會產(chǎn)生：概率醫(yī)療行業(yè)信息安全治理方法論信賴的短信發(fā)送人面對上述短信，我們會做出什么抉擇？醫(yī)療行業(yè)信息安全治理方法論信賴的短信發(fā)送人面對上述短信，我們會做出什么抉擇？醫(yī)療行業(yè)信醫(yī)療行業(yè)信息安全治理方法論傳統(tǒng)電話通訊流程網(wǎng)絡(luò)電話通訊流程醫(yī)療行業(yè)信息安全治理方法論傳統(tǒng)電話通訊流程網(wǎng)絡(luò)電話通訊流程醫(yī)療行業(yè)信息安全治理方法論上述與信息安全有什么關(guān)系？假設(shè)擁有最完美的系統(tǒng)與網(wǎng)絡(luò)都有可能潰于概率or身份這是對信息安全的一種最簡單的詮釋－計算機(jī)及其網(wǎng)絡(luò)對信任的界定:

從技術(shù)上，界定信任關(guān)系總是基于這樣一個假設(shè)：

手機(jī)的使用者一定是手機(jī)的主人醫(yī)療行業(yè)信息安全治理方法論上述與信息安全有什么關(guān)系？－計算機(jī)醫(yī)療行業(yè)信息安全治理方法論安全與威脅信息安全是個立體化構(gòu)成體，理解才能做到醫(yī)療行業(yè)信息安全治理方法論安全與威脅信息安全是個立體化構(gòu)成體威脅樣例一醫(yī)療行業(yè)信息安全治理方法論威脅樣例一醫(yī)療行業(yè)信息安全治理方法論威脅樣例二醫(yī)療行業(yè)信息安全治理方法論威脅樣例二醫(yī)療行業(yè)信息安全治理方法論某虛擬貨幣數(shù)據(jù)被盜攻擊者IT管理員IT管理員電腦數(shù)據(jù)被篡改威脅樣例三醫(yī)療行業(yè)信息安全治理方法論某虛擬貨幣數(shù)據(jù)被盜攻擊者IT管理員IT管理員電腦數(shù)據(jù)被篡改威威脅樣例四醫(yī)療行業(yè)信息安全治理方法論威脅樣例四醫(yī)療行業(yè)信息安全治理方法論醫(yī)療行業(yè)信息安全治理方法論何謂免殺？免殺技術(shù)其實(shí)就是木馬如何逃避殺毒軟件查殺的技術(shù)。免殺技術(shù)現(xiàn)狀早期免殺技術(shù)沒有普及的時候，只掌握在一小部分人手上，而現(xiàn)在互聯(lián)網(wǎng)上免殺工作室的普及，則開始完全利益化、產(chǎn)業(yè)化。免殺技術(shù)帶來的威脅

殺毒軟件特征庫龐大臃腫主動防御假陽性導(dǎo)致用戶提心吊膽

醫(yī)療行業(yè)信息安全治理方法論何謂免殺？醫(yī)療行業(yè)信息安全治理方法論醫(yī)療行業(yè)信息安全治理方法論信息安全管理與社會工程學(xué)信息外泄不一定只發(fā)生在內(nèi)部，大部分信息外泄是第三方導(dǎo)致的！其途徑一般包含但不限于：航班、社保、違章、通信電話、住宿、從業(yè)資質(zhì)、房產(chǎn)……威脅樣例：信息泄露信息安全管理與社會工程學(xué)信息外泄不一定只發(fā)生在內(nèi)部，大部分信醫(yī)療行業(yè)信息安全治理方法論威脅樣例：惡意篡改醫(yī)療行業(yè)信息安全治理方法論威脅樣例：惡意篡改一個典型的實(shí)例Microsoft安全公告MS08-067-嚴(yán)重服務(wù)器服務(wù)中的漏洞可能允許遠(yuǎn)程執(zhí)行代碼(958644)發(fā)布時間：發(fā)布日期：十月23,2019利用該漏洞的蠕蟲：conficker（又名Downup，Downadup或Kido）發(fā)現(xiàn)時間：2019年11月（最早捕獲樣本日期）爆發(fā)時間：2009年4月漏洞被黑客組織發(fā)現(xiàn)的實(shí)際時間為2019年6月份利用該漏洞進(jìn)行攻擊的蠕蟲Conficker開始傳播2019年10月微軟發(fā)布編號為KB958644的補(bǔ)丁。08年10月23日Conficker第一個病毒樣本被截獲并反編譯完成。08年11月7日時至今日，Conficker依然在肆虐我們的信息系統(tǒng)！…幾年的時間跨度，殺毒軟件也都加入了特征庫，為什么還會出現(xiàn)這樣的問題？除非組織沒有任何安全設(shè)備、沒有任何安全制度，甚至連殺毒軟件都沒有！如果都不是，那么不言而喻！我們的安全體系缺乏運(yùn)維?。?！醫(yī)療行業(yè)信息安全治理方法論一個典型的實(shí)例Microsoft安全公告MS08-067醫(yī)療行業(yè)信息安全治理方法論醫(yī)療信息化醫(yī)療信息化是國際發(fā)展趨勢。10月14日，國務(wù)院印發(fā)《關(guān)于促進(jìn)健康服務(wù)業(yè)發(fā)展的若干意見》，再次將醫(yī)療信息化提上了時間表。十二五規(guī)劃中，衛(wèi)生信息化建設(shè)也是醫(yī)改中主要部分。大力推進(jìn)醫(yī)藥衛(wèi)生信息化建設(shè)，逐步實(shí)現(xiàn)高效統(tǒng)一、互聯(lián)互通的區(qū)域性醫(yī)療衛(wèi)生信息共享也已迫在眉梢。醫(yī)療行業(yè)信息安全治理方法論醫(yī)療信息化醫(yī)療信息醫(yī)療行業(yè)信息安全治理方法論預(yù)約掛號信息共享在線支付智能醫(yī)療移動醫(yī)療在線問醫(yī)不久的將來，醫(yī)療業(yè)將不再是互聯(lián)網(wǎng)的一道鴻溝?；ヂ?lián)網(wǎng)能夠幫助解決現(xiàn)在醫(yī)療行業(yè)的問題。與互聯(lián)網(wǎng)結(jié)合，為解決“看病難，看病貴”問題這類問題開辟新途徑和新方式。預(yù)約掛號、信息共享、居民健康卡、智慧醫(yī)療等等，正是基于此！醫(yī)療行業(yè)信息安全治理方法論預(yù)約掛號信息共享在線支付智能醫(yī)療移醫(yī)療行業(yè)信息安全治理方法論現(xiàn)在，我們準(zhǔn)備好了嗎？醫(yī)療行業(yè)信息安全治理方法論現(xiàn)在，我們準(zhǔn)備好了嗎？醫(yī)療行業(yè)信息安全治理方法論安全現(xiàn)狀不與互聯(lián)網(wǎng)接駁、信息孤島是目前醫(yī)療行業(yè)面對威脅的唯一點(diǎn)醫(yī)療行業(yè)信息安全治理方法論安全現(xiàn)狀不與互聯(lián)網(wǎng)接駁、信息孤島是醫(yī)療行業(yè)信息安全治理方法論缺乏有效設(shè)計和標(biāo)準(zhǔn)，簡單的應(yīng)用及產(chǎn)品堆砌；專業(yè)技術(shù)人員匱乏。很多機(jī)構(gòu)幾乎沒有專職的安全運(yùn)維人員；缺乏資金的保障和激勵機(jī)制。重業(yè)務(wù)輕信息支撐；信息化建設(shè)不平衡。同樣三甲，但信息化建設(shè)參差不齊；醫(yī)療信息化建設(shè)、指導(dǎo)、監(jiān)管相對滯后。目前醫(yī)療信息化主要存在的問題醫(yī)療行業(yè)信息安全治理方法論缺乏有效設(shè)計和標(biāo)準(zhǔn)，簡單的應(yīng)用及產(chǎn)醫(yī)療行業(yè)信息安全治理方法論應(yīng)用復(fù)雜；業(yè)務(wù)數(shù)據(jù)缺乏清晰的梳理；廠商繁多，交叉問題嚴(yán)重，缺乏有效的安全協(xié)調(diào)機(jī)制；基礎(chǔ)安全建設(shè)良莠不齊，信息資產(chǎn)缺乏有效管理和運(yùn)維；網(wǎng)絡(luò)故障或蠕蟲爆發(fā)時定位與處置缺乏輔助手段；缺乏行業(yè)及時有效的技術(shù)資訊獲取渠道和平臺。目前醫(yī)療行業(yè)主要存在的安全困惑醫(yī)療行業(yè)信息安全治理方法論應(yīng)用復(fù)雜；業(yè)務(wù)數(shù)據(jù)缺乏清晰的梳理；醫(yī)療行業(yè)信息安全治理方法論綜合治理打好基礎(chǔ)，應(yīng)對威脅，推動全面信息化建設(shè)醫(yī)療行業(yè)信息安全治理方法論綜合治理打好基礎(chǔ)，應(yīng)對威脅，推動全醫(yī)療行業(yè)信息安全治理方法論很少有機(jī)構(gòu)去假設(shè)：安全事件是必然的。安全建設(shè)不是簡單堆砌必須具有目的性適應(yīng)性，安全設(shè)備不是萬能的醫(yī)療行業(yè)信息安全治理方法論很少有機(jī)構(gòu)去假設(shè)：安全事件是必然的醫(yī)療行業(yè)信息安全治理方法論基礎(chǔ)安全體系構(gòu)架安全運(yùn)維安全管理安全技術(shù)基礎(chǔ)安全體系安全組織關(guān)乎安全的管理制度-執(zhí)行的有效度-執(zhí)行的完善度關(guān)乎安全的決策-主管領(lǐng)導(dǎo)掛帥-設(shè)立專門職務(wù)關(guān)乎安全的技術(shù)-安全設(shè)備的運(yùn)用-安全技術(shù)的策略關(guān)乎安全體系有效運(yùn)行-是否體系持續(xù)健康-發(fā)現(xiàn)了什么抵抗了什么-還存在哪些問題醫(yī)療行業(yè)信息安全治理方法論基礎(chǔ)安全體系構(gòu)架安全運(yùn)維安全管理安醫(yī)療行業(yè)信息安全治理方法論安全組織1、醫(yī)院應(yīng)成立信息化領(lǐng)導(dǎo)小組和安全事件應(yīng)急處置辦公室，負(fù)責(zé)領(lǐng)導(dǎo)、組織、協(xié)調(diào)各個科室的網(wǎng)絡(luò)與信息安全各方面工作；2、領(lǐng)導(dǎo)小組應(yīng)由主管院長掛帥，信息部門主導(dǎo)實(shí)施；3、信息化發(fā)展到一定程度時，應(yīng)建立稽核部門，負(fù)責(zé)對各項(xiàng)信息化管理體系執(zhí)行力的核查。醫(yī)療行業(yè)信息安全治理方法論安全組織1、醫(yī)院應(yīng)成立信息化領(lǐng)導(dǎo)醫(yī)療行業(yè)信息安全治理方法論安全管理1、制定適合自身的安全管理體系；2、要定期評審安全政策和制度，尤其當(dāng)發(fā)生重大安全事故以及技術(shù)基礎(chǔ)結(jié)構(gòu)發(fā)生變更時。3、安全管理制度主要包括：管理制度、制定和發(fā)布、評審和修訂三個控制點(diǎn)。并且由信息化領(lǐng)導(dǎo)小組發(fā)布。4、以周、月、季、年為節(jié)點(diǎn)，各個環(huán)節(jié)采用報表形式，全面核查和監(jiān)督信息安全工作。醫(yī)療行業(yè)信息安全治理方法論安全管理1、制定適合自身的安全管醫(yī)療行業(yè)信息安全治理方法論安全技術(shù)1、傳統(tǒng)三大樣在行業(yè)應(yīng)形成基本的安全標(biāo)配標(biāo)準(zhǔn)；2、以應(yīng)用為主導(dǎo)，定期對全網(wǎng)進(jìn)行業(yè)務(wù)數(shù)據(jù)流的梳理工作和網(wǎng)絡(luò)健康度分析，避免無關(guān)數(shù)據(jù)對業(yè)務(wù)的感染；3、建立虛擬IT資產(chǎn)管理機(jī)制，采用安全基線措施，保障單位最低安全準(zhǔn)則不被破壞；4、建立較為全面的技術(shù)監(jiān)控和預(yù)警應(yīng)急機(jī)制，根據(jù)自身情況設(shè)定最低預(yù)警閥值，并與專業(yè)機(jī)構(gòu)建立安全資訊獲取渠道。醫(yī)療行業(yè)信息安全治理方法論安全技術(shù)1、傳統(tǒng)三大樣在行業(yè)應(yīng)形醫(yī)療行業(yè)信息安全治理方法論安全技術(shù)：業(yè)務(wù)數(shù)據(jù)流梳理與分析應(yīng)用優(yōu)化通過網(wǎng)絡(luò)分析系統(tǒng)采集網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)，針對業(yè)務(wù)系統(tǒng)的響應(yīng)質(zhì)量進(jìn)行分析，并依此持續(xù)性的對網(wǎng)絡(luò)優(yōu)化提出方法，設(shè)立應(yīng)用流量排名。健康檢查通過網(wǎng)絡(luò)分析系統(tǒng)評估網(wǎng)段的運(yùn)行健康狀況，了解關(guān)鍵網(wǎng)段的運(yùn)行性能，發(fā)現(xiàn)影響網(wǎng)絡(luò)性能和潛在影響網(wǎng)絡(luò)性能的因素。網(wǎng)絡(luò)分析通過網(wǎng)絡(luò)流量采集、匯總、分析，列出各個科室流量分布、占用的帶寬情況，依此可進(jìn)行流量控制或進(jìn)行網(wǎng)絡(luò)的升級改造。業(yè)務(wù)拓?fù)渫ㄟ^梳理整理出當(dāng)前業(yè)務(wù)拓?fù)鋱D，列出各個業(yè)務(wù)應(yīng)用之間的訪問關(guān)系圖。依此建立可信的網(wǎng)絡(luò)訪問關(guān)系和區(qū)域。醫(yī)療行業(yè)信息安全治理方法論安全技術(shù)：業(yè)務(wù)數(shù)據(jù)流梳理與分析應(yīng)用醫(yī)療行業(yè)信息安全治理方法論安全技術(shù)：最低安全準(zhǔn)則的安全基線沒有安全基線體系的網(wǎng)絡(luò)準(zhǔn)入是蒼白無力的解決方案接入的系統(tǒng)必須要安全，這是共識。但如何界定？應(yīng)強(qiáng)調(diào)接入的所有服務(wù)器均需符合安全基線，全面提升系統(tǒng)的安全性和合規(guī)性。并以此作為最低的安全準(zhǔn)則?。?！醫(yī)療行業(yè)信息安全治理方法論安全技術(shù)：最低安全準(zhǔn)則的安全基線沒醫(yī)療行業(yè)信息安全治理方法論安全技術(shù)：建立監(jiān)控應(yīng)急預(yù)警機(jī)制通告比對驗(yàn)證審計歸檔

將所有的過程整理歸檔，記錄在案，形成組織自身的運(yùn)維知識庫。運(yùn)維知識庫隨著積累豐富之后，安全事件的處置可以更好的找到對應(yīng)點(diǎn)。除了設(shè)備本身之外，也要確認(rèn)帶有事件庫的安全設(shè)備是否已經(jīng)更新了該通告特征。通過審計去彌補(bǔ)安全設(shè)備的缺失性。

驗(yàn)證該通告的危害是組織進(jìn)行內(nèi)部評估的最根本形式，也是對該通告進(jìn)行內(nèi)部定級的技術(shù)依據(jù)。

分發(fā)下來的通告歸口人必須根據(jù)自己的資產(chǎn)標(biāo)識庫進(jìn)行比對；首先要確立該通告所危害的目標(biāo)資產(chǎn)標(biāo)識庫內(nèi)是否有對應(yīng)的受害體。

安全通告可以來自第三方，包含漏洞、病毒、新型攻擊等；組織內(nèi)部必須有專人定期負(fù)責(zé)接收和分發(fā)這些通告。醫(yī)療行業(yè)信息安全治理方法論安全技術(shù)：建立監(jiān)控應(yīng)急預(yù)警機(jī)制通告醫(yī)療行業(yè)信息安全治理方法論安全運(yùn)維□

業(yè)務(wù)系統(tǒng)都是處于正常工作狀態(tài)嗎？□他們?nèi)罩纠锩娑加涗浟诵┦裁矗俊醢踩贫仁欠癖挥行?zhí)行？□是否有攻擊者在關(guān)注我們？□攻擊者關(guān)注我們的具體目標(biāo)？□這個目標(biāo)真的有弱點(diǎn)嗎？□安全設(shè)備能主動防范或阻斷嗎？□病毒查殺日志里面記錄什么病毒？□這些病毒什么機(jī)理如何感染的？□……被誰關(guān)注如何應(yīng)對關(guān)注什么外部哪些人正在持續(xù)關(guān)注我們？并對我們進(jìn)行試探性攻擊或檢測！告警一般都會揭示關(guān)注者所關(guān)注的位置，而這個位置多半會存在攻擊者所能利用的缺陷。被誰關(guān)注？關(guān)注什么都已知曉，需要做的就是如何應(yīng)對它們……醫(yī)療行業(yè)信息安全治理方法論安全運(yùn)維被誰關(guān)注如何應(yīng)對關(guān)注什么醫(yī)療行業(yè)信息安全治理方法論設(shè)備運(yùn)維全面掌握風(fēng)險狀態(tài)，安全防護(hù)設(shè)備發(fā)揮價值定期啟動功能校驗(yàn)狀態(tài)檢查日志審計輸出報表

保障節(jié)奏性，定期進(jìn)行利用錄制的事件包向設(shè)備發(fā)送，校驗(yàn)保護(hù)模