[导读]信息化带来的不只是高效便捷,还有随之而来的安全隐患。不久前舒马赫的医疗数据在黑市叫卖,我们发现,医疗数据安保工作似乎尚不尽如人意。那么,到底是哪个环节出了问题呢?日前,记者偶遇东软集团网络安全事业部副总经理张泉先生,他帮我们做了一次“摸底排查”。
| 内容导航: |
|
前面描述了这么多,身处医疗行业你是否感觉危机重重?是时候关注医疗机构的数据安保工作了!然而,针对如此众多的漏洞,医疗机构又该如何防护呢?
政策利导
由于医疗数据涉及民生,涉及社会安定,近年来主管部门对于医疗数据安全非常重视,除了逐年加强根据国家等级保护建设要求有规划、有目标的进行有的放矢的建设、整改工作之外,要求三级医院按照医院评测相关安全等级规范进行信息安全建设之外,据悉,卫生计生委还在探讨扩大信息安全保护的覆盖面,继续加强对各级医院的等级保护建设工作。
目前在医疗行业等级保护建设方面主要存在于应用安全、数据安全、安全管理3个维度建设比较薄弱现象。尤其在一些医疗行业IT建设方面,往往只关注局部安全,忽视整体安全,只关注安全产品的采购,忽视安全制度建设、安全服务、安全整体运维的建设工作。这也是为广大医疗行业用户提供产品和服务过程中,用户最为关注或者说最需要协助解决的问题,张总坦言道。
在如此严格的要求下,类似爆库之类的“地震级”安全问题基本不会出现在医疗行业,因为国家要求的三级医院等级评审中提出的医疗机构信息安全等级保护规范中有年度指标要求,只要达标就能屏蔽爆库威胁。针对内部数据泄露问题,东软建议除了部署相关安全设备之外,还要建立相应的信息安全规范管理体系,要明晰管理制度和安全意识以及安全职责,统筹规划才能解决根本问题。
BYOD安全
对于移动终端设备安全,首先要对移动终端加强安全管控。通过MAC地址绑定实现终端安全管控,安装APP安全应用由专业的安全应用接管移动终端安保工作,确保后端安全平稳运行。其次,在终端定位方面启用身份令牌机制,实现3G网络下区域级访问权限控制。最后,再通过大数据进行用户日常行为分析,最终实现APP安全防护。此外,需要特别强调的是,新技术应用带来的安全威胁需要引起注意,需要构建更加完善的安全防护机制,用于防护高级持续威胁(即:APT攻击)。
全局安全分析
通过安全沙箱的方式进行程序安全模拟测试的方式效率低,结合大数据技术,监测流量数据,分别建立黑名单和白名单,再将日常流量与名单比对可以轻松发现流量异常,从而快速排查安全隐患。
| 共3页: 上一页 [1]2 [3]下一页 [查看全文] |
| 验证码: | 点击图片可刷新验证码 | |||
