亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        構建醫(yī)院信息安全體系的思路和實施建議

        2021-11-30 15:55:37林榮寶
        科技經(jīng)濟導刊 2021年24期
        關鍵詞:防火墻端口信息安全

        林榮寶

        (福建省老年醫(yī)院,福建 福州 350003)

        1.醫(yī)院信息安全現(xiàn)狀分析

        近些年,我國互聯(lián)網(wǎng)經(jīng)濟發(fā)展和國家對信息安全的高度重視,以及信息系統(tǒng)等級保護測評的實施,這些都促進了醫(yī)院信息安全建設進程,提高了整個安全體系的水平。醫(yī)院對信息化的投入也在不斷加強,無論是軟件、硬件、安全設備等都在不斷增加和迭代,新產(chǎn)品、新技術、新方案也都應運而生,但是安全產(chǎn)品的增加并不一定會產(chǎn)生質的飛躍,相反,如果沒有合理的安全架構和健全的安全策略,不但無法提高安全等級,反而會帶來更多的安全隱患和故障點[1]。筆者從事醫(yī)院信息安全工作多年,在醫(yī)院信息化多年的建設過程中,整理總結了一些經(jīng)驗,對醫(yī)院安全的現(xiàn)狀和可能存在的問題進行分析。

        1.1 醫(yī)院網(wǎng)絡拓撲結構復雜

        由于醫(yī)院的不斷發(fā)展,業(yè)務應用需求的不斷增加,服務內(nèi)容不斷擴展,醫(yī)院網(wǎng)絡由封閉式的隔離網(wǎng)逐步開放,連接醫(yī)保網(wǎng)、政務外網(wǎng)、政務內(nèi)網(wǎng)、財政專網(wǎng)、互聯(lián)網(wǎng),這就導致眾多網(wǎng)絡交融在一起,形成一個多出入口、多區(qū)域、交互復雜的網(wǎng)絡環(huán)境,這其中包括有線網(wǎng)絡、無線網(wǎng)絡、物聯(lián)網(wǎng)絡、5G 網(wǎng)絡等,不同的網(wǎng)絡之間的通信也極為頻繁[2],接入設備也多種多樣,包括PC 機、打印機、自助機、智能設備、移動PDA、智慧屏、物聯(lián)設備等。另外,醫(yī)院信息系統(tǒng)數(shù)量眾多,大型三甲醫(yī)院的系統(tǒng)數(shù)量甚至百余個,加上業(yè)務系統(tǒng)的復雜性,數(shù)據(jù)跨多區(qū)域傳輸,而其中系統(tǒng)間數(shù)據(jù)交互和共享也是錯綜復雜,操作系統(tǒng)、數(shù)據(jù)庫、中間件、開發(fā)語言也各不相同,數(shù)據(jù)庫之間的數(shù)據(jù)交互類型也多種多樣,這些都使醫(yī)院整體的信息安全龐大而復雜。

        1.2 缺乏安全管理機制和統(tǒng)一的處置流程,整體安全意識不足

        信息部門工作雜多,軟件實施和維護、網(wǎng)絡維護、日常維護、系統(tǒng)集成、數(shù)據(jù)統(tǒng)計上報等等,這就致使信息部門要分不同的功能組,各司其職。而安全問題幾乎涉及每一個類別,包括終端安全、管理安全、網(wǎng)絡安全、服務器安全、數(shù)據(jù)庫安全、數(shù)據(jù)安全、設備安全、物理安全、策略安全、主動防御等等,安全管理員無法獨立完成所有安全工作,甚至沒有設置專職安全管理員,經(jīng)常出現(xiàn)隨意安裝設備,任意開放端口,降低管理權限,提升使用權限等等問題。另外,有時為了保證業(yè)務系統(tǒng)正常運行,或者軟件系統(tǒng)本身的架構和特性,安全問題往往也作出臨時的或者永久的讓步,這就產(chǎn)生了安全隱患,而這種隱患隨著業(yè)務的上線,是很難修正的。還有一些信息部門工作人員,安全意識不足,安全知識匱乏,隨意修改安全策略,隨意卸載安全軟件等等。

        1.3 安全架構設計存在缺陷和漏洞

        醫(yī)院信息網(wǎng)絡可能存在安全域劃分不夠合理、對數(shù)據(jù)流向分析不夠精細、對功能區(qū)邊界定義不夠清晰等諸多問題。安全設備比如防火墻、WAF 墻、IPS 等,策略設置得不夠精細,源地址、目標地址、端口設置顆粒度不夠,特征庫也沒有及時更新,服務器之間或者安全域內(nèi)部的東西流量沒有控制策略,核心設備管理地址沒有做好隱藏,賬號密碼復雜度不夠[3],缺少針對數(shù)據(jù)庫的防火墻等等,還有一些安全設備策略不合理,甚至成為網(wǎng)絡攻擊的跳板。

        2.信息安全體系設計及實施建議

        2.1 建立安全管理制度,提高人員安全意識

        信息安全是信息部門全員參與的工作,要建立切實可行的安全管理制度,包括終端的安全、網(wǎng)絡的安全、服務器及數(shù)據(jù)庫的安全、軟件的安全等等,都要落實到位并建立相關的責任追溯制度。

        通過培訓和學習,提高工作人員的安全意識,結合自身的相關工作,由安全管理員牽頭,共同建立一套可落地、可執(zhí)行的安全管理的機制和應對安全事件的方案,并加強工作協(xié)調(diào)力度。

        有完整、全面的安全工作細則,包括系統(tǒng)的安裝、軟件的部署、網(wǎng)絡的接入、權限的分配、策略的變更等,都有相關的指導文件為支撐,做到全方位覆蓋無死角。

        2.2 重構網(wǎng)絡結構,分區(qū)分域

        重構網(wǎng)絡結構的目的是重新梳理現(xiàn)有網(wǎng)絡,找到設計缺陷和安全漏洞,然后從功能角度重新設計整個網(wǎng)絡拓撲結構。醫(yī)院網(wǎng)絡區(qū)域一般分為業(yè)務內(nèi)網(wǎng)、醫(yī)保政務等外聯(lián)網(wǎng)、內(nèi)網(wǎng)安全前置區(qū)、互聯(lián)網(wǎng)安全前置區(qū)、互聯(lián)網(wǎng)區(qū)等,各個區(qū)域要根據(jù)實際情況進行物理隔離或者邏輯隔離[4],區(qū)域之間有相應的網(wǎng)閘、下一代墻、光閘等安全設備,還要保證設備的可用性和策略的合理性。

        業(yè)務內(nèi)網(wǎng)區(qū)又可以分為有線接入?yún)^(qū)、無線接入?yún)^(qū)、服務器區(qū)、運維管理區(qū)等,每個區(qū)域都要有相應的安全設備進行隔離,根據(jù)實際應用嚴格管控數(shù)據(jù)流向。針對接入?yún)^(qū),要劃分VLAN進行隔離,針對服務器區(qū),每一臺服務器的防火墻策略要細化到端口級,關閉一切和業(yè)務無關的端口和服務。

        利用SDN 引流技術或者Vmware 的NSX 技術,解決傳統(tǒng)防火墻無法管控東西流量的問題,使防火墻策略下沉,加強服務器之間的訪問策略的安全性。

        外聯(lián)區(qū)包括醫(yī)保網(wǎng)、政務外網(wǎng)、政務內(nèi)網(wǎng)、財政專網(wǎng)等,該區(qū)域與業(yè)務內(nèi)網(wǎng)區(qū)要有防火墻、IPS、防毒墻等安全設備,并且要嚴控數(shù)據(jù)流向,細化源地址、目標地址、服務及端口,并及時更新設備的病毒庫、特征庫。

        業(yè)務內(nèi)網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)要設置前置區(qū),包括內(nèi)網(wǎng)前置和外網(wǎng)前置,區(qū)域之間要邏輯隔離,通過網(wǎng)閘、光閘等設備連接,對于TCP 請求,要進行IP 和端口的轉換,對于訪問數(shù)據(jù)庫業(yè)務,要利用網(wǎng)閘的數(shù)據(jù)擺渡功能同步數(shù)據(jù),嚴格禁止從互聯(lián)網(wǎng)直接連接至內(nèi)網(wǎng)。

        2.3 基于“零信任”原則,針對不同安全區(qū)實施策略,并定期檢查策略有效性

        對入網(wǎng)的所有設備的合法性進行管控,對接入端設備例如:PC 主機、PDA、移動設備、物聯(lián)網(wǎng)設備、智能電視、LED 屏等進行準入驗證,嚴格匹配IP 地址、MAC 地址、交換機端口、硬盤序列號等信息,未經(jīng)授權的設備嚴禁接入網(wǎng)絡,并做好預警提示和日志審計。對服務器要關閉所有非應用端口和服務,通過堡壘機進行數(shù)據(jù)庫日常運維,權限要保證“最小化”原則,超級管理員賬號要嚴格管控,建立三權分立的工作流程。

        嚴格把控設備運行過程中的合規(guī)性,保證防病毒軟件、桌面管理軟件的穩(wěn)定運行,及時更新系統(tǒng)補丁,并嚴禁隨意卸載。禁止一切非授權外設接入,例如接入U 盤、光驅、硬盤等。嚴禁內(nèi)網(wǎng)電腦連接互聯(lián)網(wǎng),也禁止私有電腦接入內(nèi)網(wǎng),并做好日志記錄。對LED、智慧屏、電視等亞終端,對接口和協(xié)議進行改造和關閉,防止物理性入侵。

        合理規(guī)劃網(wǎng)絡拓撲結構,防止出現(xiàn)安全死角,保證策略覆蓋的全面性。信息安全具有木桶效應特性,任何一個短板,都有可能導致所有安全措施防御失敗,所以,要多維度、多角度、全方位地執(zhí)行安全策略[5]。同時,精確掌握數(shù)據(jù)流向特征,關閉非必要數(shù)據(jù)通道,要隔離VLAN、安全域之間的非授權訪問,將每一臺服務器或者設備都建成安全的孤島(即禁止一切非必要數(shù)據(jù)流量通行)。

        對策略的變更進行嚴格管控,建立可追溯機制,對于任何策略的變更都要驗證其合理性,如果是測試行為,要設置有效期或者注明標簽,防止其長期生效。對于遠程運維行為,要做到單次授權或者短期授權,并且要通過VPN和堡壘機進行連接,記錄操作日志,并有雙因素認證體系保證其合法性。

        系統(tǒng)在不斷的運行調(diào)整過程中,難免出現(xiàn)紕漏,所以要定期驗證策略的有效性,比如安全軟件是否被卸載、網(wǎng)絡準入策略是否生效、防火墻策略是否有效、服務器非必要端口是否開啟等等??梢酝ㄟ^漏洞掃描工具對全網(wǎng)特別是互聯(lián)網(wǎng)出口進行定期掃描,并及時解決,形成網(wǎng)絡安全事件的PDCA 循環(huán)[6],還可以通過態(tài)勢感知、日志審計、數(shù)據(jù)庫審計等設備,在應用層對非法數(shù)據(jù)進行分析、審計和留痕。

        2.4 以查促建,保持警惕

        信息安全工作是永無止境的,沒有任何系統(tǒng)是絕對安全的,所以作為安全管理人員,要時刻保持警惕,不斷學習以提高技術水平。同時,可以通過邀請院外安全專家進行同行評審、接受網(wǎng)安部門的檢查、等保測評、安全演練等活動,查找安全漏洞,也可以通過購買第三方安全服務的方式,授權模擬滲透和攻擊。這種方式可以為我們提供更為廣闊的思路,有利于提升整體安全水平。

        3.結語

        醫(yī)院信息安全工作任重而道遠,是信息化建設的保障。規(guī)劃一個適合醫(yī)院自身環(huán)境的安全解決方案和網(wǎng)絡架構是構建一個安全的網(wǎng)絡環(huán)境的基礎,不但要以醫(yī)院信息化長期發(fā)展規(guī)劃為依據(jù),動態(tài)調(diào)整安全架構,也要從細微處入手,多維度、多方位地完善安全策略,更要通過制定完善的安全管理制度提高全員的安全意識。同時,安全管理人員要通過不斷學習和積累,將新技術和新方案融入具體的工作中。

        猜你喜歡
        防火墻端口信息安全
        一種端口故障的解決方案
        科學家(2021年24期)2021-04-25 13:25:34
        構建防控金融風險“防火墻”
        當代陜西(2019年15期)2019-09-02 01:52:08
        保護信息安全要滴水不漏
        高校信息安全防護
        消費導刊(2017年20期)2018-01-03 06:26:38
        端口阻塞與優(yōu)先級
        保護個人信息安全刻不容緩
        初識電腦端口
        電腦迷(2015年6期)2015-05-30 08:52:42
        生成樹協(xié)議實例探討
        信息安全
        江蘇年鑒(2014年0期)2014-03-11 17:10:07
        下一代防火墻要做的十件事
        自動化博覽(2014年6期)2014-02-28 22:32:13
        无码尹人久久相蕉无码| 国内精品毛片av在线播放| 少妇高潮在线精品观看| 粗大的内捧猛烈进出视频| 亚洲视频毛片| 亚洲精品高清av在线播放| 日本一区二区三区光视频| 九色综合九色综合色鬼| 俺来也俺去啦久久综合网| 国产精品制服一区二区| 青青草中文字幕在线播放| 成人影院yy111111在线| 欧美一片二片午夜福利在线快| 国产精品亚洲一区二区极品| 人妻精品人妻一区二区三区四区| 小辣椒福利视频导航| 国产真人无遮挡作爱免费视频| 亚洲成a人片77777kkkkk| 久久久精品毛片免费观看| 少妇人妻大乳在线视频不卡| 国产精品第1页在线观看| 中文字幕你懂的一区二区| 久久久国产精品| 野花在线无码视频在线播放| 99亚洲乱人伦精品| av在线高清观看亚洲| 女人被弄到高潮的免费视频| 久久青草伊人精品| 粗一硬一长一进一爽一a视频| 美女国产毛片a区内射| 麻豆亚洲av永久无码精品久久| 92精品国产自产在线观看48页 | 国产在线一区二区三区香蕉| 无码人妻一区二区三区免费视频 | 免费国产在线精品三区| 五月天中文字幕日韩在线| 熟女少妇在线视频播放 | 风流少妇一区二区三区| 麻豆资源在线观看视频| 国产香蕉尹人在线观看视频| 天堂Av无码Av一区二区三区 |