《陈志华-以三个零举措,筑牢智慧医疗安全新防线.pdf》由会员分享,可在线阅读,更多相关《陈志华-以三个零举措,筑牢智慧医疗安全新防线.pdf(19页珍藏版)》请在三个皮匠报告上搜索。
1、2023-05以“三个零”举措筑牢智慧医疗安全新防线CHIMA 背景分析01CHIMA 2023现状分析:政策法规的背景概述法律法规强监管背景下的医疗行业安全风险A wonderful serenity has takenpossession of my entire soul,like these sweet mornings.医疗卫生机构安全防护水平有待提升A wonderful serenity has taken possession of my entire soul,like these sweet mornings.医疗卫生机构总数超过百万,各级医院3W+;网络安全防护水平低,发
2、生安全事件不可避免;管理体系和技术体系不完善;A wonderful serenity has takenpossession of my entire soul,like these sweet mornings.网络安全资金投入和技术人员队伍不足 各级医疗卫生机构信息化人员较少,多数无专职安全岗位;网络安全资金投入有限,多数用于等级保护测评工作;A wonderful serenity has taken possession of my entire soul,like these sweet mornings.A wonderful serenity has takenpossessi
3、on of my entire soul,like these sweet mornings.健康医疗数据是重要的网络攻击目标 健康医疗数据是敏感个人数据信息;医疗卫生行业数据内容复杂,缺乏分类分级及全生命周期安全管理;A wonderful serenity has taken possession of my entire soul,like these sweet mornings.A wonderful serenity has takenpossession of my entire soul,like these sweet mornings.网络和数据安全工作职责不清,执行不到位
4、 网络安全职责不清晰,发生安全事件无法定责;各级医疗卫生机构的等级保护工作普遍存在应定未定、应检未检情况;A wonderful serenity has taken possession of my entire soul,like these sweet mornings.A wonderful serenity has takenpossession of my entire soul,like these sweet mornings.业务属性带来数据安全的巨大隐患 3.6万余家医院存储大量医疗数据,安全防护水平落后,无法满足个人信息保护要求;互联网医疗、医联体互联互通、数据安全运维、
5、医疗工控设备的数据安全问题突出;数据来源-CHIMA2019-2020年度中国医院信息化状况调研报告:1、三级医院通过等级保护三级测评的比例为72.9%,未开展等级保护工作的比例为5.76%。2、三级以下医院实施等级保护规划工作的比例为37.8%,通过等级保护二级测评的比例为25.06%;通过等保三级测评的比例为15.73%,未开展等级保护工作的比例为20.80%CHIMA 2023现状分析:“内鬼”防不胜防,威胁医疗行业系统数据安全威瑞森的统计显示,数据泄露事件,82%和内部人有关。防“内鬼”重点是防“三员”,技术员、管理员和操作员。能接触医疗系统内部敏感数据“内鬼”“删库跑路”被钓鱼内外勾
6、结数据窃取私自盗用防止内部人员进行敏感操作,实现提前识别、提前止损,是政法系统加强安全管理的重点。严防“内鬼”窃密是医疗行业系统安全管理重点CHIMA 2023现状分析:医疗机构安全运营面对的困境医疗机构安全运营的共性问题:合规要求,各种安全设备都有,但是没人会用,效果=没有 供应商管理与日常运维不规范,规则库没有升级,安全设备自身没有加固 安全事件告警茫茫多,漏洞多的女娲都补不过来,处理不过来 缺少常态化研判和处置,无法区分出真实攻击,可能被APT浑水摸鱼 缺少安全运行的统一平台,缺少综合研判,缺少规则和资产、白名单等的积累 对数据泄密,内部人员违规等缺少技术监测能力 岗责流程没有严格执行,
7、缺少岗位SLA要求与考核 目前运行中心按传统的思路做运维与监测,整个运行中心缺少整体管理,缺少持续的设计与优化CHIMA 2023行业政策分析:医疗行业也出台多项政策应对网络安全威胁关于促进“互联网+医疗健康”发展的意见关于印发医疗卫生机构网络安全管理办法的通知关于落实卫生健康行业网络信息与数据安全责任的通知加强医疗卫生机构、互联网医疗健康服务平台、智能医疗设备以及关键信息基础设施、数据应用服务的信息防护,定期开展信息安全隐患排查、监测和预警。患者信息等敏感数据应当存储在境内,确需向境外提供的,应当依照有关规定进行安全评估。(国家卫生健康委员会、国家网信办、工业和信息化部负责)各医疗卫生机构应
8、积极配合有关主管监管机构监督管理,接受网络安全管理日常检查,做好网络安全防护等工作。鼓励三级医院态势感知平台建设,及时收集、汇总、分析各方网络安全信息,加强威胁分析和态势研判,及时通报预警和处置,防止网络被破坏、数据外泄等事件。在网络运营过程中应每年开展文档核验、漏洞扫描、渗透测试等多形式的安全自查,认真开展整改加固,防止网络带病运行。对出现的网络安全问题要落实追责问责,协调监管不力的,还应当追究综合协调或监管部门负责人责任。1.重要的网站和信息系统被攻击篡改,没有及时报告和组织处置的;2.发生重要敏感数据泄露的;3.关键信息基础设施安全保护不到位的;4.瞒报网络安全事件,对发现的问题和风险隐
9、患不及时整改的;5.发生其他严重危害网络安全行为的。医疗卫生行业相继出台多项网络安全政策法规,保障智慧医疗的快速发展。新情况新问题新挑战智慧医疗下的网络安全问题凸显大数据5G区块链人工智能物联网云计算CHIMA 2023发展趋势:智慧医疗网络安全亟需体系化建设融合管理、技术、运营三位一体的立体化智慧医疗网络安全管理模式零信任零事故零容忍构建自适应内生安全机制 以“零信任”为核心,基于“内生安全理念”,从终端安全、身份安全、访问权限细粒管控、网络安全防护、数据泄露监管与防护等维度,打造智慧医疗内生安全架构。构建纵深安全防护体系 以“零事故”为目标,基于网络安全“三化六防”措施,构建智慧医疗纵深安
10、全防御体系,确保医院安全管理与安全技术体系紧密粘合,保障医院诊疗期间安全“零事故”。捍卫数据安全合法合规底线 以“零容忍”为原则,保护核心数据资产安全,全面护航智慧医疗数字化发展,让医疗机构远离数据泄露和网络攻击。筑牢智慧医疗安全新防线 CHIMA 智慧医疗安全新防线02CHIMA 2023以“零信任”为核心,解决“内鬼”安全隐患“内鬼”问题实际上是权限的滥用、盗用问题,也就是信任问题。零信任体系能确保合适的人在合适的时间、以合适的方式,访问合适的数据。传统IDC、云/数据中心网络隐身业务隐藏与保护能力业务隐藏访问代理应用代理运维代理API代理自适应认证设备认证动态访问控制能力用户认证多因子认
11、证动态授权基于角色授权风险响应风险事件发现风险响应策略信任评估能力其它风险管理系统第三方身份管理系统集成外部服务基于上下文授权预约诊疗门户普通业务应用HISLIS敏感业务应用服务器/VM数据库运维资源API接口数据服务数据平面控制平面所有访问流量收口,安全策略得以强制实施持续信任评估、动态访问控制闭环达成打通终端各层安全能力,贯穿业务访问全程客体资源身份化用户设备环境身份化主体客体访问控制区传输加密TLS国密单包授权身份画像风险推送信任评级信任建模终端安全能力杀毒漏洞补丁准入终端管控终端基础安全安全沙箱安全存储安全桌面终端数据隔离网址安全检测统一业务入口插件安全分发终端环境感知国密访问浏览器管
12、控风险响应执行CHIMA 2023构建医院自适应内生安全机制可信运维代理可信应用代理特权用户访问可信API代理对外访问控制代理服务器访问控制代理数据库访问控制代理网络设备访问控制代理安全平台访问控制代理应用用户运营用户数据库管理员运维用户安全运行应用服务器对内访问控制代理应用平台区数据中心应用系统应用系统数据区数据中心数据库LIS数据HIS数据PACS数据基础平台区身份数据及细粒度动态访问控制风险分析持续认证信任评估策略控制多因子认证身份管理容器物理机网络设备安全设备零信任访问控制平台我们立足于信息化和网络安全双基础设施的定位,采用基于零信任架构的技术路线,建设数据访问安全防护体系,对数据流动
13、进行动态精准管控,有效杜绝了对高敏感数据的滥用。CHIMA 2023边界终端云边界资产终端资产网络资产边界Web服务信任服务授权服务数据资产计算服务网络纵深资产纵深服务纵深北京冬奥的成功表明,“零事故”是可以实现的目标。加快构建纵深防御的内生安全体系,将安全威胁抵挡在外。以“零事故”为目标,建纵深防御的安全体系CHIMA 2023以“零事故”为目标,建纵深防御的安全体系基于冬奥网络安全“零事故”的能力与多个国内重点医疗单位合作,打造成医疗卫生行业网络安全“中国模式”和“中国方案”,夯实纵深防御的内生安全,让医疗机构远离数据泄露和网络攻击。网络结构安全安全防护集群边界安全防护运行管理互联网办公出
14、口安全接入区合作伙伴安全接入区互联网服务安全接入区公有云安全接入区跨网安全访问区管理网安全接入区流量清洗网络访问控制流量加解密网络入侵防范WEB安全防护应用安全代理API安全代理上网行为管理全流量检测恶意代码防范数据泄露检测攻击诱捕管理平面与业务平面分离网络边界整合网络分区分域广域网纵深分支机构安全接入点区域中心安全防护区调度编排策略管理部署部署支撑支撑标准化、模块化,按需灵活调度编排,分别部署于网络各节点管理运维管理物联网安全接入区工业互联网安全接入区卫星通信安全接入区整合网络边界,开展集约化安全防护增加网络纵深,实现多层次协同联动部署标准集群,可灵活编排弹性扩展独立管理网络,最小化运维访问
15、权限统一运行管理,全局控制及数据支撑管理纵深防护纵深能力纵深通过网络安全防护集群提供全面、适用、统一的防护能力通过设置区域中心增加内部网络防护的物理屏障通过统一编排和集中管理实现安全运行过程中自上而下的全面管理区域功能组工作负载信息系统类别企业管理模式应用系统应用系统分类应用功能组件物理机虚拟机容器CHIMA 2023以“零事故”为目标,建纵深防御的安全体系智慧医疗纵深防御体系建设重要环节CHIMA 2023通过“平战融合”网络安全运营工作实现“零事故”安全管理安全组织“平时”管理常态安全组织“战时”运行态安全组织安全领导小组/办公室/安全部门监督管理安全建设管理安全主管安全维护组安全专家安全
16、运行管理管理制度威胁监测组方针策略情报运营组密钥管理和密码服务应用安全数据安全终端安全身份管理和认证服务云安全主机安全网络安全态势感知/网络安全运行监控平台安全技术网络及边界安全工作流程表单模板技术规范操作规程建设安全安全维护资配漏补监督检查威胁处置安全基础服务教育培训“平时”管理态工作“战时”运行态工作自检自查可靠有效备份加固巡检升级配置溯源优化监测分析研判处置持续监控响应安全应用身份管理密码服务认证授权资产管理配置管理补丁管理漏洞管理安全需求建议方案安全审核系统定级备案网络安全审查采购安全要求指导应用安全编码安全测试验收信息系统生命周期威胁威胁建模建模安全安全编码编码开源开源组件组件测试测
17、试源代源代码测码测试试渗透渗透测试测试安全安全工具工具集成集成接口接口安全安全测试测试安全意识提升技术技能提升风险评估应急演练攻防演习蓝队评估安全检查安全检测密码评估等保测评实战攻防演习应急演练安全技术管理运行指挥/运行中心资配漏补组评价考核人员评价部门评价PDCA策略情报运营与预警情报收集情报分析专家研判生成预警预警通告网络安全大数据整体能力评价CHIMA 2023以“零容忍”为原则,捍卫数据安全合法合规底线办法体现了国家坚持安全可控和开放创新并重的监管安全可控和开放创新并重的监管思路思路,以法律法规为依据,细化和强化了对医疗卫生机构的网络安全和数据安全管理的合规要求合规要求。监督检查中华人
18、民共和国基本医疗卫生与健康促进法网络安全法密码法数据安全法个人信息保护法关键信息基础设施安全保护条例网络安全审查办法网络安全等级保护数据安全管理安全运营安全管理组织管理工作机制制度体系等保落实等保定级等保备案规划建设方案检测评估安全整改网络安全管理通报预警应急处置人员管理运维管理业务连续性管理应用安全设备安全密码管理供应链安全废止网络管理安全自查医疗卫生机构网络安全管理办法组织架构资产管理制度体系生命周期管理数据收集数据传输数据存储数据使用数据共享数据销毁人脸识别数据安全日常检查问题整改应急管理事件通报取证调查三同步支撑保障经费投入继续教育考核评价CHIMA 2023以“零容忍”为原则,捍卫数
19、据安全合法合规底线数据成为生产要素,数字经济成为经济发展的核心驱动力,数据要素加速流通、共享,所带来数据安全风险,对经济发展生死攸关,我们构建“数据安全”,全面护航智慧医疗数字化发展,捍卫数据安全合法合规底线。奇安信在医疗行业数据安全体系工作落地总体指导原则数据安全法律法规标准数据安全保护对象数据安全业务场景数据安全指标措施医疗数据安全目标医疗数据保密性、完整性和可用性保护个人隐私、公共利益国家安全满足业务需要、支持医院数字化转型医疗业务场景数据安全控制业务科室内科、外科、妇幼、医务部、护理部数据性质个人属性、健康状况数据、医疗应用数据、公共卫生信息信息系统HIS、PACS、LIS、EMR、用
20、药提醒、远程医疗医生调阅数据安全、二次利用数据安全、健康传感数据安全、移动数据安全、患者查询数据安全、临床研究数据安全、商保对接数据安全、医疗器械数据安全管理框架管理职责、安全指导、保护效果评价、监督等技术控制物理环境、网络通信、设备及计算、应用数据等响应处置事件管理、应急预案、应急演练医疗数据安全风险外部网络攻击、内部恶意破坏、数据库漏洞应用系统漏洞、数据接口暴露、账户权限滥用敏感数据泄露、资产盘点不清、数据流向不明第一道防线:先理后治,补短固底第二道防线:系统治理,体系规划第三道防线:全局掌控,持续运营CHIMA 2023持续建设数据安全监测与审计能力,落实“零容忍”暴露API监测异常AP
21、I检测API安全防护数据资产发现重要数据备案数据资产地图敏感数据分布分类分级标签数据资产认责特权账号管理统一访问入口访问安全基线高危命令阻断数据库访问控制特权会话监控.应用流量审计数据操作审计终端行为审计出口流量审计以数追人以人追数.数据安全审计兜底数据资产发现数据访问管控收窄数据风险敞口一个中心统筹数据安全管理.数据流转监测数据风险分析数据追踪溯源从这里开始识防.管.审CHIMA 2023“零容忍”的监管视角卫健监管部门通过汇聚保护目标、资产、措施、风险、告警、事件、治理资源等信息,呈现整体的、及时的、准确的网络安全态势,从宏观、中观、微观三个不同角度,成为开展日常监测、监督检查、指挥调度、科学决策的有利抓手。本级卫健委CHIMA 2023THANKS让 冬 奥 更 安 全 让 世 界 更 精 彩CHIMA 2023