1、Xx医院信息安全内部培训材料医院信息安全内部培训材料政策背景政策背景政策背景政策背景政策背景政策背景要要运用运用大大数据数据促促进进保障保障和和改善改善民民生生。坚坚持以持以人人民为民为中中心心的发的发展展思想思想,推进推进“互互联联网网+医医疗疗”、“互联互联网网+教教育育”等,等,让让百姓百姓少少跑腿、跑腿、数数据多据多跑跑路路。就是利用互联网、云计 算、大数据、物联网和人工智能等新 兴信息技术,深度融入医疗和全生命 周期的健康管理,“以患者数据为中 心”,提供更加安全、高效和便捷的医 疗服务和健康管理。THE FIRST AFFILIATED HOSPITAL OF ANHUI MEDI
2、CAL UNIVERSITY对数据掌控能力决定 智慧医院的高度!THE FIRST AFFILIATED HOSPITAL OF ANHUI MEDICAL UNIVERSITY数据驱动智慧医院建设卫生计生行业网络信息安全态势不容乐观“医疗行业所掌握的数据与其所能采取的防护手段不匹配”远程会诊、互联远程会诊、互联网网医院医院等等新新型型诊诊疗疗 模式要求内外网模式要求内外网数数据交据交换换,传传统的统的 内外网物理隔离内外网物理隔离方方式无式无法法继继续续数字化健康数据数字化健康数据的的统一统一管管理理,引引入入 了云计算技术、了云计算技术、大大数据数据的的应应用用,会会 使患者的个人信使患者
3、的个人信息息更集更集中中、更更易易得得自助设备和新型自助设备和新型支支付方付方式式给给医医院院和和 患者的资金带来患者的资金带来新新的安的安全全挑战挑战黑客入侵医院系统黑客入侵医院系统 盗取药品数盗取药品数据据4年获利年获利740万万2013年温州鹿城区法院判决的一起案子,黑客团伙就利用技术手段,窃取省内多家医院“统方”,短短四年便获利700多万元。黑客偷取医院的“统方”,说起来很简单。带着设备来到医院后,曹某等人 找到医院用于查询的公用电脑,悄悄拔下网线,连到自己携带的路由器上。然后,使用自己的电脑,连入医院的内网。黑客程序启动,侵入医院计算机系统。获得的数据是加密的,曹某将这些数据交给章某
4、,由章某解密后再发还给曹某,出售给“买家”。两月三起!深圳上万条医院产妇信息遭泄露!两月三起!深圳上万条医院产妇信息遭泄露!2015年3月15日南都报 道:数千名孕妇产检信息 流入母婴护理市场,一条 叫价高达300元。贩卖者 称从市妇幼保健院电脑上 下载。两名犯罪嫌疑人被 依法刑事拘留。商学商学院院杂杂志志20052005年第年第七七期刊期刊登登了了一一个小个小故故事叫事叫做做别忘别忘了了关关门门故事说动物园的管理员突然发现袋鼠从围栏里跳了出来,经过分析,大家一致认为:袋鼠之所 以能跳出来完全是因为围栏太低。所以决定将围栏加高。没想到,第二天袋鼠还能跳出来,于 是,围栏被继续加高。但是,令这些
5、管理员们惊恐万分的是,无论围栏加高多少,袋鼠们都会 在第二天跳出来。领导们一不做二不休,安装了最先进的监控设备,轮流值班,24小时守着这 些白天看起来特别听话的袋鼠。终于,他们发现了问题所在,真正的“罪魁祸首”是管理员忘 记锁上的门,袋鼠们晚上居然是通过大门“堂堂正正”跳出来的,真是让人哭笑不得。信息安全不信息安全不紧紧是是那那道道千万千万别别忘记忘记关关的门,的门,还有还有那那颗别颗别忘了关忘了关门门的的心心安全意识安全意识“人是最薄人是最薄弱的环弱的环 节。你可能节。你可能拥有最拥有最好好的的 技术、防火技术、防火墙、入墙、入侵侵检检 测测系统系统、生物鉴生物鉴别别设备,设备,可只要有人可
6、只要有人给毫无给毫无戒戒心心 的员工打个的员工打个电电话话”Kevin David Mitnick凯文米特尼克(Kevin David Mitnick),1963年8月6日出生 于美国洛杉矶,第一个被美国联邦调查局通缉的黑客。有 评论称他为世界上“头号电脑黑客”,其传奇的黑客经历 足以令全世界为之震惊。现职业是网络安全咨询师,出版 过反欺骗的艺术、反入侵的艺术、线上幽灵:世界头号黑客米特尼克自传。安全意识安全意识(Security awareness)就是能够认知可能存在的就是能够认知可能存在的安安全问题,明白安全事故对全问题,明白安全事故对 组织的危害,恪守正确的行为方式,并且清楚在安组织的
7、危害,恪守正确的行为方式,并且清楚在安全全 事故发生时所应采取的措施。事故发生时所应采取的措施。你意识到了你意识到了吗?吗?社会工程社会工程和网和网络络钓鱼钓鱼等等等攻等攻击击手段手段是是当前当前普普遍存遍存在在的攻击的攻击方方式式钓钓鱼鱼(Phishing)社会工程的一种类型利用电子邮件或恶意网站吸引受害者伪装成有名的、可信的网站通常为了金钱或个人信息网站要求用户填入账户或个人信息社会工程社会工程利用人际交往伪装为可信的人士新进员工、维修工、研究员等持有个人身份证明通过询问获得信息。可能从多个来源获取足够信息获得医院或个人的计算机或私人信息社会工程学:一种通过对受害者心里弱电、本 能反应、好
8、奇心、信任、贪婪等心理陷阱进行 诸如欺骗、伤害等危害手段取得自身利益的手 段什么是信息什么是信息?什什么是么是信信息息?数据数据01101001011110110010101010010011010010111110100101符号符号图片图片语音语音什什么是么是信信息安息安全全?C保密性保密性(Confidentiality)确保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体。完整性完整性(Integrity)确保信息在存储、使用、传输过程中不会 被非授权篡改,防止授权用户或实体不恰当地修改信息,保持信息 内部和外部的一致性。可用性可用性(Availability)确保授权用户或实体
9、对信息及资源的正 常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。CIA三元组是信息安全的目标,也是基本原则,与之相反的是DAD三元组:IA破破漏漏D isclosure改改A lterationD estruction泄泄篡篡坏坏信息安全的信息安全的三要三要素素CIA什么是信息什么是信息安安全全?信信息安息安全全的实质的实质采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏、更改及泄露,保证信息系统能够连续、可靠、正常地运行,使安全事件对业务造成的影响减到最 小,确保组织业确保组织业务运务运行行的的连续连续性性。嘿嘿,这顿美餐 唾手可得呜呜,可怜我手无缚鸡之力威胁就像这威胁就像
10、这只贪婪只贪婪的的猫猫如果盘中美如果盘中美食暴露食暴露在在外外遭受损失也遭受损失也就难免了就难免了以下安全事以下安全事件是否件是否曾曾经发经发生生?办公环境中曾经发生过丢失笔记本电脑的情况。曾经有外来人员,直接进入办公环境,在无人随同的情况下,自己找到空位,将笔记本电脑随意接入到医院网络,致使网络感染 病毒。曾经有IT公司人员,不小心将医院信息通过电子邮件发送给不 应接收的人员。医院信息中心所有人都去吃午饭,但门窗却大开。犯过以下的犯过以下的错误吗?错误吗?开着电脑离开,就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件,好奇打开邮件附件 使用容易猜测的口令,或者根本不设口令 不能保守秘密,口
11、无遮拦,上当受骗,泄漏敏感信息 随便上网,或者随意将无关设备连入医院网络 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁,忽视医院内部人员的问题想想这些错误存在哪想想这些错误存在哪些些潜潜 在问题?您会如何应在问题?您会如何应对对?良好良好的安全的安全习惯习惯从从自身自身做起做起技术要求管理要求信息安全建设安安人系系物网主应数全全员统统理络机用据管管安建运安安安安安理理全设维全全全全全机制管管管构度理理理防盗窃和防破坏防盗窃和防破坏物理访问控制物理访问控制物理位置选择物理位置选择防雷击、防火、防水和防潮、防静电、温湿度控防雷击、防火、防水和防潮、防静电、温湿度控制制电力供应电力供应电磁防
12、护电磁防护物理安全物理安全路由器Cisco Catalyst 4507R内网 服务器群备份 服务器防病毒和网管 服务群Catalyst 3524Catalyst 3524.千兆防火墙Catalyst 3550-24Catalyst 3550-48Catalyst 3550-48上级单位Si百兆防火墙市政务外网分行Cisco 2611XM分行Cisco 2611XM.下 联 单 位 .新大楼 交换机 新 大 楼数据库 服务器Catalyst 3550-24Catalyst 3550-24Catalyst 3550-24Catalyst 3550-24Cisco 2611XM.Si千兆IDS主机安
13、全审计访问控制访问控制结构安全结构安全安全审计安全审计入侵防范入侵防范边界完整性检查边界完整性检查XXX单位业务网安全拓扑图恶意代恶意代码码200防防9年7范范月8日网络设备防护网络设备防护网络安全网络安全XXX单位业务网安全拓扑图路由器Cisco Catalyst 4507R内网 服务器群备份 服务器防病毒和网管 服务群Catalyst 3524Catalyst 3524.千兆防火墙Catalyst 3550-24Catalyst 3550-48Catalyst 3550-48上级单位Si百兆防火墙市政务外网分行Cisco 2611XM分行Cisco 2611XM.下 联 单 位 .新大楼
14、交换机 新 大 楼数据库 服务器Catalyst 3550-24Catalyst 3550-24Catalyst 3550-24Catalyst 3550-24Cisco 2611XM.Si千兆IDS主机安全审计访问控制访问控制身份鉴别身份鉴别安全审计安全审计入侵防范入侵防范恶意代恶意代码码2009防防年7月范范8日资源控制资源控制主机安全主机安全XXX单位业务网安全拓扑图路由器Cisco Catalyst 4507R内网 服务器群备份 服务器防病毒和网管 服务群Catalyst 3524Catalyst 3524.千兆防火墙Catalyst 3550-24Catalyst 3550-48Ca
15、talyst 3550-48上级单位Si百兆防火墙市政务外网分行Cisco 2611XM分行Cisco 2611XM.下 联 单 位 .新大楼 交换机 新 大 楼数据库 服务器Catalyst 3550-24Catalyst 3550-24Catalyst 3550-24Catalyst 3550-24Cisco 2611XM.Si千兆IDS主机安全审计身份鉴别身份鉴别访问控制访问控制安全审计安全审计通信完整性通信完整性通信保密性通信保密性抗抗20抵抵09年赖赖7月8日软件容错软件容错资源控制资源控制应用安全应用安全2009年7月8日XXX单位业务网安全拓扑图路由器Cisco Catalyst
16、 4507R内网 服务器群备份 服务器防病毒和网管 服务群Catalyst 3524Catalyst 3524.千兆防火墙Catalyst 3550-24Catalyst 3550-48Catalyst 3550-48上级单位Si百兆防火墙市政务外网分行Cisco 2611XM分行Cisco 2611XM.下 联 单 位 .新大楼 交换机 新 大 楼数据库 服务器Catalyst 3550-24Catalyst 3550-24Catalyst 3550-24Catalyst 3550-24Cisco 2611XM.Si千兆IDS主机安全审计数据完整性数据完整性备份与恢复备份与恢复数据保密性数据
17、保密性仅世博相仅世博相关单位关单位数据安全与数据安全与备份恢复备份恢复50管理要求方面的整改管理制度管理制度管理机构管理机构人员管理人员管理系统建设管理系统建设管理系统运维管理系统运维管理环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理安全管理制度 安全管理制度包括信息安全工作的总体方针、总体方针、策略策略、规规范范各种 安全管理活动的管理制管理制度度以及管理人员或操作人员日常操作的 操作规操作规程程。安全管理制度具体包括:3个控制点个控制点 管理制度、制定和发布、评审和
18、修订 整改要点整改要点:形成信息安全管理制度体系、统一发布、定期修订等安全管理机构 安全管理机构主要是在单位的内部结构上建立一整套从单位最最 高管理高管理层层到执执行管理行管理层层以及业务业务运运营营层层的管理结构来约束和保 证各项安全管理措施的执行。安全管理机构具体包括:5个控制点个控制点 岗位设置、人员配备、授权和审批、沟通和合作、审核和检查 整改要点整改要点:信息安全领导小组与职能部门、专职安全员、定期全面安全检查、定期协调会议、外部沟通与合作等人员安全管理 对人员安全的管理,主要涉及两方面:对内部人内部人员员的安全管理和对外外部人部人员员的安全管理。人员安全管理具体包括:5个控制点个控
19、制点 人员录用、人员离岗、人员考核、安全意识教育及培训、外部人员访问管理 整整改要改要点点:全员保密协议、关键岗位人员管理、针对不同岗位的培训计划、外部人员访问管理系统建设管理 系统建设管理分别从定级、设计定级、设计建设实建设实施施、验、验收收交付交付、测测评评等方面考虑,关注各项安全管理活动。系统建设管理具体包括:11个控制点个控制点系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择 整改要点整改要点:系统定级的论证、总体规划、产品选型测试、开发过程的人员 控制、工程实施制度化、第三方委托测试、运行起30 天内
20、备案、每年进行1 次等级测评、安全服务商的选择系统运维管理 系统运维管理涉及日常管理、日常管理、变更变更管管理理、制、制度度化管化管理理、安、安全全事件事件处处置、置、应应急急预案管理和预案管理和安管中安管中心心等。系统运维管理具体包括:13个控制点个控制点环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理 整改要点整改要点:办公环境保密性、资产的标识和分类管理、介质/设备/系统/网络/密码/备份与恢复的制度化管理、建立安全管理中心、安全事件分类分级响应、应急预案的演练和审
21、查总结!总结!人们经常会误误认为信息安全就信息安全就是防泄露是防泄露信息安全就信息安全就是网是网络络安安全全信息安全就信息安全就是防黑客是防黑客信息安全就信息安全就是技术是技术问问题题信息安全就信息安全就是一是一场场运运动动信息安全就信息安全就是麻烦是麻烦仅仅通过技仅仅通过技术手段术手段就就可以可以解解决安决安全全问题问题 北京移动充值卡泄漏事件信息安全理信息安全理念上的念上的误误区区北京移动冲北京移动冲值值卡卡泄漏泄漏事事件之前件之前 在信息安全在信息安全技术技术设设备备上的上的投投入达到入达到 了了1.2亿亿信息安全就信息安全就是网络是网络安安全全 只要防止黑客入侵和病毒就可以了 信息安全
22、只要保证公司的机密信息不被泄露,即保证信息的保密性信息安全理信息安全理念上的念上的误误区区Confidentiality机机密性密性Availability可用性可用性Integrity完整性完整性解决安全问解决安全问题搞运动题搞运动 问题严重了,搞个运动 运动过了,可以歇歇信息安全理信息安全理念上的念上的误误区区信息安全与信息安全与业务无关业务无关 信息安全事务上的投入是没有价值的,只会给工作带来 麻烦 信息安全是业务之外多余的工作,日常的业务流程无须 考虑信息安全 系统或者网络安全失效,不会造成业务上的财务损失信息安全理信息安全理念上的念上的误误区区正正确确的认识的认识七分管理、七分管理、
23、三分技三分技术术,技,技术术是基是基础础,管,管理理才是才是关关键键网络安全是网络安全是信息安信息安全全的一的一部部分分信息安全是信息安全是一项长一项长期期的工的工作作,贯,贯穿穿在日在日常常的工的工作作中中信息安全的信息安全的任务就任务就是是保障保障业业务的务的持持续性续性,信息信息安安全全 是业务持续是业务持续的必要的必要条条件件1.1.方方便信便信息息安全是安全是信信息化息化建建设的基设的基础础工程工程,做的好做的好不不显,显,做做不好不好遭殃遭殃2.2.安安全不全不看看你做了你做了什什么,么,关关键看没键看没有有做什么做什么3.3.安安全工全工作作要平衡要平衡,投人投人产产出要平出要平衡衡,安,安全全方便平衡方便平衡4.4.安安全是全是1 1,其他其他都都是是0 05.5.人人人都人都是是安全员安全员6.6.未未来的来的几几年如果年如果安安全不全不做做重点,重点,其其他重他重点点都将成都将成为为痛点!痛点!谨记您的安谨记您的安全责任全责任信息信息永永远远在在路上路上信息安全刚上路
