赢在起跑线!做好资产管理,构建医院信息安全护城河
医疗数据因其蕴藏的巨大价值与集中化存储管理等特点,长久以来一直是不法分子重点攻击的目标。随着数字经济时代的来临,IT基础设施在医院日常业务中发挥的作用越来越明显,尤其是软件、系统、数据等无形资产将成为医院资产重要组成部分。医院信息化飞速发展,医院业务系统面临着不限时间、不限地点的安全威胁,医院信息管理系统的安全问题日益凸显,资产安全管理尤为重要。
一、资产安全分析
1、网络设备存在的安全弱点
现有设备固有问题,比如功能缺失、系统BUG、设备老旧需迭代等 策略配置错误或缺失,致使安全策略配置不合理 运维人员安全意识薄弱,比如身份鉴别机制过于简单、对用户行为缺少管控和审计、对特权用户缺少权限分离等 ……
2、主机系统自身存在的安全弱点
3、应用系统自身存在的安全弱点
应用系统的研发与应用平台程序的设计,在很大程度上依托于开发人员与设计者的主观意识,并且这种意识是与应用需求紧密相连的,无论是Oracle、Apache、IIS、Weblogic、Web Server程序,还是最普通的MS Office办公软件,以及LIS系统、HIS系统、PACS系统等医院专用业务系统,其自身必然存在安全漏洞,这些都将直接影响到医院整体网络的安全性。
源程序中出于程序调试的方便,人为设置许多“后门”,若被黑客利用,将直接通过“后门”控制系统; 应用系统自身身份认证缺失或不足,致使黑客获得访问应用系统的权限,窃取到业务系统敏感信息,造成信息外泄; 应用系统的用户名和口令以明文方式传输并被截获,引起系统的非授权访问; 各种可执行文件成为病毒的直接攻击对象。
二、资产梳理分类
3.在院方资产梳理过程中,如遇到有其他单位同步进行资产梳理,双方应进行交叉比对,核验出一致的资产清单。
4. 按照软硬件设备、数据层面等将梳理出的最终资产清单进行资产分类,基于已明确的业务系统信息,再对业务系统进行资产信息分类,在人工与信息化两种核实方式的相互作用下,完成资产清单的更新完善。
三、资产安全评估分析
天融信漏洞扫描系统可以实现隐私泄露检测、SSI注入检测、源代码泄露检测、SQL注入检测、系统信息泄露检测、Cookie欺骗检测、隐藏字段欺骗检测、无效的认证措施检测、薄弱的密码恢复验证检测等多个方面的检测,满足最新等级保护技术要求,为资产安全管理策略的有效实施提供重要支持。
四、资产安全问题梳理
在管理规范层面:重点关注安全技术人员质量、第三方工作规定明确性以及安全操作流程成熟度等三方面问题;
在技术层面:重点关注人员安全意识(以弱口令问题为代表)、终端管理(以杀毒软件部署不完全为代表)、内网安全重视程度(以未全面进行补丁升级为代表)以及应用系统管理混乱(以流程规范实施缺失为代表)等四方面问题。
持续的安全运营工作将不断改进完善医院安全管理的标准化体系。在医院资产安全管理的标准化体系建设过程中,不仅要完成好每个阶段的工作任务,将检测出的问题逐个进行梳理和分析,并将针对它们所提出的管理办法纳入到相应管理制度和文件中,更要在漏洞整改修复和资产安全保障工作中密切关注已开始实施的策略是否得到了充分、有效的落实,特别是需要人工操作的工作内容。信息安全视角下医院资产管理实践,不仅需要强大的信息化技术给予足够的支持,更需要相关工作人员努力去提升自身管理意识、端正工作态度,唯有如此,医院资产管理质量与效率才能不断提高。
相·关·阅·读·
1
2
3
4
5
热点推荐