Image
全國統一服務熱線
0351-4073466

通(tōng)過等保2.0分析系統脆弱性:安全區域邊界篇 & 安全計算環境篇什新


編輯:2022-02-25 16:08:18

安全區域邊界篇



安全區域邊界在近幾年變得(de)越來越精細越來越模糊,因為(農學wèi)攻擊的形式、病毒傳播的途徑層出不(bù老區)窮,我以攻擊者的角度去看,任何一個漏洞都可討暗以成為(wèi)******病毒傳播和利用影地的方式,我們(men)要做到******補丁壓力重重,機光通(tōng)過邊界劃分,依靠不(bù)同的邊界安全防空草護,在發生問題的情況下将損失降到******。



1、邊界防護

a) 應保證跨越邊界的訪問和數據流通(tōng)過邊界設備提供的受唱歌控接口進行通(tōng)信;
b) 應能夠對非授權設備私自聯到内部網絡的行為(wèi)進行檢查或限制地睡;
c) 應能夠對内部用戶非授權聯到外部網絡的行為(wèi)進行光藍檢查或限制;
d) 應限制無線網絡的使用,保證無線網絡通(tōng姐線)過受控的邊界設備接入内部網絡。

自從出現了統方的情況後,醫院對于終端準入的關注度日益增加,近線出現了非法接入醫院内網,獲取******數據的情況,在我看過大(dà)部分又哥醫院準入系統後,在數據盜取者面前這個準入做了和物錯沒有做一樣,這真的是一個防君子(zǐ)不(bù)防小人的系統,而那些統方者肯定鄉麗已經超出了君子(zǐ)的範疇;通(tōng)過傳統的 I技睡P/MAC 綁定很容易被繞過,缺乏對終端上特征的判斷,而秒去我目前更推薦是桌管 + 準入相結合,但這也不(bù)能完全避免非法接入裡見的情況,并且醫院設備種類衆多,如(rú)什畫設備儀器(qì)、攝像頭、門禁等,我曾經寫木哥過一篇醫院零信任網絡安全架構的文章,想象着能通(木制tōng)過操作系統、網絡、安全結合大(dà)數據分析、 S河呢DN 的方式去嚴格控制醫院的準入,可能想象是美好(hǎo)的,但低不是國内的産品還不(bù)能完全滿足這個要求,因為(wèi)結合了多個高樹廠家(jiā)的領先技術。

我們(men)理解準入的時(shí)候其實很多時(shí)候已經走入一輛下個死胡同,我們(men)缺乏了對移動設備接口、電腦接口、物聯網通(tōn間國g)信、 5G/4G 通(tōng)信都有可能房頻成為(wèi)準入的缺口,通(tōng)過這些亮從技術可以将外部網絡中轉後接入到内網,這些其實在我們(men)的環境中已有很舊男多案例。考慮大(dà)型設備的質控問題,進口品牌廠商就會(外木huì)在設備上安裝移動網絡 SIM 卡設備,除了大(dà)型設備,還來愛有進口品牌的存儲上我也發現了這個情況,所以我們(men)要管的不(bù)僅僅是很低能看到的這張“有形網”,更是這張不(bù)太能看到的“無內遠形網”。

傳統的網絡安全都設置了三個區域, T rust 、 U nTrust 和市間 DMZ , 而在當今的網絡安全中,任何事物其實都不(bù)可能完全月弟信任,我們(men)不(bù)僅要防外敵,同時(shí)也要防内鬼,一台用飛中******病毒的内網終端可能比來自互聯網的 DD oS 攻中術擊更加可怕,這樣看來要針對每一台終端都要有相應防火牆兵哥的進出保護,而且該防護牆也不(bù)限于傳統意義的包內科過濾訪問控制,還要有 IPS 、 WAF 、 防毒、行為(wèi)管理等庫短影,同時(shí)要配合外部的安全大(dà)腦,聯動其他(火我tā)安全産品共同防禦,想到這裡我又想到河刀了新冠病毒,可能不(bù)亞于防護生物病毒的複雜度。

醫院有很多移動醫療業務場景,醫生 PAD 查房,護理 PDA 掃碼發藥、書什庫房 PDA 掃碼入庫等情況,有線的準入限制就如見事(rú)此薄弱,無線的準入限制就更加脆弱在明,曾經我就聽說(shuō)有醫院出現非法授權人員通(tōng)過無線網絡對自進行統方的行為(wèi),這聽起來已經是一件沒什麼技術含量的操作, PC什靜 端的桌面管理很多時(shí)候在移動終端上都沒有考慮,其實 MDM能頻 移動終端管理這項技術已經很早就有。

近幾年出現的“零信任”模型,無非就是在傳學日統網絡準入上更近一步,結合傳輸層、應用層的判斷,對準入飛看控制更加細化,原先一個終端對于網絡接入隻有“是”或畫商者“否”,而零信任的環境下就算終端接入網絡,終端上的程序是否能運行錢黃還要經過判斷,程序走的網絡流量要經過層層過濾和安全防護筆作,就和疫情防控一般,從外地過來的,首先判斷是不(b內些ù)是中高風險地區,如(rú)果是中高風險直接勸返或者隔離(準入控制),見不如(rú)果是低(dī)風險地區,依然隔離多日通(tōng)過多次核酸确認後化飛才能入境(沙箱),境内我們(men)限制了部分場所的使用,如(r個讀ú)限制了電影院、 KTV 、 棋牌室等喝公風險場所,限制了入境人員可能去的風險區域(桌面管理),通(tōng)過各場所的購冷健康碼掃碼記錄形成(日志審計),時(shí)刻要佩戴口罩進弟就入公共場所(防火牆),***後該人員依然出現了疫情症狀,唱亮傳播的範圍也可以控制到***小,并且通(tōng)過掃碼行程和去金其他(tā)運營商信号關聯出其時(shí)空伴随者(态勢感知),人在并一同隔離(殺毒軟件)。

2 、 訪問控制

a) 應在網絡邊界或區域之間根據訪問控制飛遠策略設置訪問控制規則,默認情況下除允許通(tō秒就ng)信外受控接口拒絕所有通(tōng)信;
b)應删除多餘或無效的訪問控制規則,優化訪問控制列表雜女,并保證訪問控制規則數量***小化;
c)應對源地址、目的地址、源端口、目的端口和協議等進行檢查,以允許/拒中公絕數據包進出;
d)應能根據會(huì)話狀态信息為(wèi)數據流提供明确的允許/拒絕訪問的科家能力;
e)應對進出網絡的數據流實現基于應用協議和應到又用内容的訪問控制。

在我原來工(gōng)作的行業中,這塊的内容其實是一項基本要求,每天有大(美劇dà)量的工(gōng)作是對防火牆上添加訪問控制我司策略,要對工(gōng)單表格中的内容進行合并同列項她河、歸類,還要在訪問沿途的防火牆上開(kāi)通(tōng)討服對應的策略,工(gōng)作繁雜,對技術的要求姐快其實不(bù)高,可能會(huì)遇到一些小問題,也就是長業飛(cháng)鍊接、 FTP 這些開(kāi歌信)放時(shí)要注意的問題。但是到了醫療行業,我咨詢了好(hǎo)幾家信美(jiā)醫院,基本都沒有做訪問控制的,我分析了一下有幾個原因:

①考慮性能問題,其實這已經不(bù)是問題,雲技自數據中心、 IDC 等出口都有包過濾防火牆設備,并且内部還有租戶單獨區資的防火牆設備,原單位的迪普防火牆号稱并發可以達到 8000 萬車票,當我用容器(qì)環境做并發鍊接測試的時(sh靜得í)候打到過 500 萬,防火牆的 CPU 、 内存沒們愛有一絲波動,而基本上沒有醫院的數據中心鍊接并發能達到 500 萬的,而厭動當時(shí) J uniper 的 ISG 設備河報******隻能達到 2 萬的連接數,幾算作千的并發,所以設備合不(bù)合适要看設備的性能們她指标和新老,而這些都和投入的成本有關,這些都要嚴格要求集成商,不(bù算小)能配置低(dī)配的設備,造成後續業務視雨升級過程中不(bù)必要的麻煩;

②缺乏規劃性,因為(wèi) IP 地址的就他規劃和終端 IP 功能的規劃,可能在開(kāi)通(tōng)司年防火牆的時(shí)候就要開(kāi)通(tōng)一個大(dà)段東海,這樣的做法不(bù)太符合***小化原則,這時(shí兵樂)候其實先要考慮前期 I P 的規劃,不(bù)同的 IP 網段有不(體業bù)同的功能,然後在開(kāi)通(t子報ōng)防火牆的時(shí)候可以盡可能的按照***小化原則,而不(bù)高兒至于有太大(dà)的工(gōng)作量;

③服務資(zī)産不(bù)清,不(bù)清楚數據中心坐美服務開(kāi)放端口的資(zī)産情況,大(dà)部分服務器(qì)端的軟紅多件都由軟件廠家(jiā)管理,并且開(kāi)放端口醫院信息科(舞笑kē)的人不(bù)清楚,連乙方部署的人都不(bù歌吃)一定清楚,很難在這樣一個基礎下建立起防火牆開(kāi)時女放的流程;

④高可用性的擔心,在傳統的防火牆設計中,一般就考慮将防火牆串飛子聯到網絡當中,實際在部署的時(shí)候有很跳地多種方式,當時(shí)對于醫院這樣的環可國境,我們(men)盡可能考慮***小影響科聽,我推薦透明串聯 + 旁路 bypass 功能著女、策略路由旁挂 +SLA 檢測、 vxlan 安全服看城務鍊引流,其中都要确保單台防火牆滿足網絡中****她志**流量,并且能夠在出現故障時(shí)實現主主切換、主和地備切換、故障旁路,将業務的影響降到******,民物并且盡量确保那些長(cháng)鍊接會(huì)話不(bù)受影響風房。

在醫院防火牆部署的位置上,我們(men)要考慮信任和非信任兩個方面,首裡頻先相對于内部網絡,對互聯網和專網我們(men)應該列入非雜購信任(專網包括醫保、衛生專網等一切非醫院自己内部的網絡),相對于醫院短南内網,醫院的外網也是非信任區,相對于數據中心網絡,醫院的門診、住院等辦公網段也錯要是非信任區,在這幾處我們(men)都應該确保有防火牆防護,對應策略默現書認拒絕,按需開(kāi)通(tōng)服務業對。可能大(dà)家(jiā)覺得(de)部署這麼多防火牆并算民沒有感受到很大(dà)的用處,大(dà)家(要綠jiā)在想想******病毒通(tōng)在業過什麼方式傳播,見的***多的是 SMB 服務,其實隻要是漏洞在我看來都有工金可能被******病毒利用,如(rú)果在全網終端沒有費吃打上補丁的情況下,我們(men)除非有自動化工短畫(gōng)具能夠批量對終端進行防火牆下發,那在便捷性和實用性折中的空生情況下,我們(men)還是會(huì)考慮使用網絡防火牆對*錯又*****病毒傳播端口進行封堵,如(rú)果單位本來就建立了良好(hǎ書音o)的按需開(kāi)通(tōng)訪問機制,在這子見個時(shí)候也就不(bù)會(huì)有很多擔憂。

3 、 入侵防範

a)應在關鍵網絡節點處檢測、防止或限制從外短說部發起的網絡攻擊行為(wèi);

b)應在關鍵網絡節點處檢測防止或限制從内部發起的網絡家請攻擊行為(wèi);

c)應采取技術措施對網絡行為(wèi)進行分析,實現坐就對網絡攻擊特别是新型網絡攻擊行為(wèi)的分析;

d)當檢測到攻擊行為(wèi)時(shí)對樂。記錄攻擊源IP、攻擊類型、攻擊目标、攻擊時線輛(shí)間,在發生嚴重入侵事件時(shí)應提供報警就水。

這裡提到了外到内的網絡攻擊和内到外的網絡攻擊,外到内的防護場山毋庸置疑,而内到外的防護其實也是我們(men)要考慮的,睡風在網絡安全法頒布起,攻擊我國境内的網絡資(zī)産都會(弟著huì)受到法律的制裁,為(wèi)了保護自己單位不(bù坐樹)受影響,那對内到外攻擊的防護自然而然要被納入管理的範圍,像 美那C&C 攻擊、 DD o S 攻擊的肉雞,像對*房雪*****病毒外聯的防護都是我們(men)要考慮的讀討,在保護他(tā)人的同時(shí)保護了自己。

對新型網絡攻擊行為(wèi)的分析,其實早在 2014 年我就了解到了當時雨制(shí)的 APT 産品( 高級可持續威脅攻擊 ),深思現在的網絡架構,如海子(rú)果要發現新型的攻擊行為(wèi)你跳,那我們(men)就要排除掉一切以攻擊庫、病毒庫為影亮(wèi)基礎的設備,包括傳統的防火牆、殺毒軟件等,在師銀此基礎上,要聯動下一代牆、态勢感知、 EDR 等新型安全産品,甚至還要聯動産視看品公司外部的實時(shí)信息,關聯全球的安全情報,通(t頻廠ōng)過這樣的要求,我對這套體系的考慮是盡可費紅能通(tōng)過同一家(jiā)公司的産品實現,照空可以想象一個中國人對一個不(bù)會(huì)說(shuō)中國話的外黑線國人說(shuō)漢語的時(shí)候是什麼樣的結果,南物就算雙方都是中國人,不(bù)同的方言理解起知體來其實也有困難(就好(hǎo)像不(bù)同的産品線在少著傳輸日志和分析日志的時(shí)候都有不(bù)同的方房了法),所以對新型網絡攻擊行為(wèi)的分析,還現其實任重而道遠。

對于安全日志的收集、記錄、分析、告警對整個安全音討運營中心平台也有很大(dà)的壓力,打個比方,在同一原地址對醫院多個互聯網費件地址進行攻擊時(shí),原始的日志可能是成千上萬條的東人,如(rú)果這成千上萬條的日志不(bù)經過分析,直接告警,可能告鐵司警的短(duǎn)信平台、微信平台都會(huì)搞垮,安全日志分析火熱彙聚的工(gōng)作就尤為(wèi)重要,不(b黑雜ù)僅要對同一攻擊源的不(bù)同攻擊進行彙總,還要對不(bù)同攻擊源的就水同種攻擊進行彙總,甚至還要關聯前後攻擊的線索進行溯司房源。

4 、安全審計
a)應在網絡邊界、重要網絡節點進行安全審計,審計覆蓋到每個用戶雜科,對重要的用戶行為(wèi)和重要安全事件進行審計;
b)審計記錄應包括事件的日期和時(shí)間用戶、事件類型、事件是否成功及其他這明(tā)與審計相關的信息;
c)應對審計記錄進行保護,定期備份,避免受到未預期的删除、修改或覆蓋等;
d)應能對遠程訪問的用戶行為(wèi)、訪問互聯網的用戶行男短為(wèi)等單獨進行行為(wèi)審計和數據分析。

說(shuō)到審計看似很簡單,隻要把日志傳遞到日志審計服務器(q影生ì)記錄,可以通(tōng)過各式各樣的參數查詢即可,但是日志記錄算作全不(bù)全、有沒有遺漏,我之前就碰到過湖市好(hǎo)幾次溯源到一半失敗的情況,一次是訪問過程中有 NAT 設備,這個時理動(shí)間點 NAT 的日志沒有,沒辦法懂了把前後的日志關聯起來,一次是設備上的攻擊源地址是白名單地址,而白名道分單地址攻擊不(bù)記錄在日志中,還有很多次因為(wèi)樹讀終端上的日志沒有開(kāi)啟,導緻***聽我後一步溯源失敗。

如(rú)果要将所有資(zī)産的日志進行審計記錄,并且記錄到位,還要西分做備份,其實這個量遠遠已經超過了 HIS 數據庫的增長哥窗(cháng)量,而且網絡安全法的要求是日志記錄 180 天,我看了下到計我們(men)光數據庫審計的日志每天就有 20 秒草多 GB ,180 天将近 4TB 的容量,我們(men)還有坐飛網絡設備日志、安全日志、操作系統日志、存儲日志、應用日志等等我鄉,加起來每天的量可能就達到上百 GB , 如紙們(rú)此大(dà)量的細小碎片化數據,要做到日志查詢不(bù)僅僅是一台相從日志審計服務器(qì)能做到,我在購買數據庫審計的時(shí)候作家就測試了多家(jiā)廠家(jiā)的産木林品,不(bù)是日志遺漏保存,就是日志查詢速度慢,或者是日志查對音詢功能不(bù)全,如(rú)果是有能力的醫院,其實建議還是單獨自綠工建開(kāi)源的日志平台,對日志流量進行清洗、術麗彙總,通(tōng)過相匹配的 NoSQL分草 數據庫記錄,簡單方便的可以考慮下 Elastic Se靜站arch ,在查詢速度快的情況下,可視化也做的較好(hǎo)。

安全計算環境篇



個人認為(wèi)計算環境下的安全問題其實是***嚴重的,大(dà)部分街對中高危漏洞都從計算環境下發現,被利用***多的也是,而且計算環得謝境的網絡資(zī)産量也是***多的,各種虛拟化門得、容器(qì)化、 S erverles得關s 等技術将計算資(zī)源分成更小的細塊,提高了安全管理員的能力要求問喝,更是提高了像 CWPP 、 EDR 等安全軟件的防護議看要求,在 “安全計算環境中”有些前面提到的内容就不(bù)再贅述。對從



1 、身份鑒别
a) 應對登錄的用戶進行身份标識和鑒别,文答身份标識具有******性,身份鑒别信息具有複雜度要求并定期更換紙舞;
b) 應具有登錄失敗處理功能,應配置并啟用結束會(huì)亮都話、限制非法登錄次數和當登錄連接超時(shí)自動退出等相關措施;
c)當進行遠程管理時(shí),應采取必要措施防止鑒别信息在網絡傳低市輸過程中被******;
d)應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒别技術對用戶進行身份畫姐鑒别,且其中一種鑒别技術至少應使用密碼技術來實現。

在醫院中除了數據中心的服務器(qì)資(zī匠海)源,還有醫護人員、行政人員使用的電腦都需要納入安全計理個算環境的管轄範圍。大(dà)家(jiā)可以看看自己用的電腦是否設置了密照麗碼,并且密碼的要求是否符合強口令(長(cháng)子山度大(dà)于 8 位,包含大(dà)小寫字母、數字、符号,并且不(bù)山術包含鍵盤上連續字符或者英文單詞),并且 3 個月更換一次密碼。在冷計 AAA 認證體系( AAA 是認證( Auth一不entication )、授權( Authorization )和計費( Ac請你counting ) )中,******電遠關就是認證,在認證的過程中可能會(huì)出現如(rú上紅)無認證、弱口令、認證可以被繞過、明文密碼傳輸答資等等問題,

不(bù)僅僅是在醫療行業,基本所有行業的内網環境都包含了上述問題,在服聽護網行動中,打入了内網環境後,大(dà)量使用重複的弱口令,成為(wèi)術東被攻陷的重要問題之一,有很多護網的案例是拿(ná信暗)下了堡壘機的弱口令,而堡壘機上直接記錄了各類嗎女服務器(qì)的高權限賬号密碼,通(tō討慢ng)過一點突破全網。我們(men)大(dà)家(jiā)可以看看自遠外己的環境下, PC 和服務器(qì)端是否存在無認證、弱口秒不令的情況,除了 RDP 、 SSH 等常見管理務鐵服務,還有 Radmin 、 VNC 、 SMB 、話火 FTP 、 TELNET 、 Oracle 、 MyS間讀QL 、 SqlServer , 根據我一直友師以來的工(gōng)作經驗,很多開(kāi)源軟件的早期版本對于 API 接口來媽就根本沒有認證機制,所以還有很多的開(kāi)源服務計是如(rú) Redis 、 Docker 、 Elas道個tic Search 等,有認證的情況下是否使用了開(kāi)源軟件的默認賬戶問窗口令,這個也需要我們(men)及時(shí)修改,黑客可以通(短歌tōng)過一點突破,層層收集信息,***終突破核心防線。

AAA 體系中的第二步授權,其實是可以緩解******步問題的一個舊到手段,理論上要求我們(men)的 PC 端、服務器(qì秒唱)端不(bù)同的軟件需要通(tōng)過不(bù)同的用戶安裝麗暗、使用,并且不(bù)同的用戶隻能給予***小安裝、使用軟件的舊學權限,而我們(men)可以檢查下自己的環境,應該是有很多直接使用 adm木厭inistrator 、 root 等用戶錢月,并且這些賬号存在着複用的情況,在使用過程黃暗中很難分清楚現實生活中的哪個自然人使用了這個賬戶進行了相如窗關操作,如(rú)果出現了問題給後續溯源提開信升了難度,我們(men)這時(shí)就需要通白時(tōng)過 IP 、 上層的堡壘機日志等進行關聯溯源。

限制登錄失敗次數是防止******破解的手段之一,******破解會(hu但了ì)通(tōng)過一個密碼本對需要爆破鄉習的服務密碼進行不(bù)斷的嘗試,直到試到正确的那個密碼或者密碼本懂子試完為(wèi)止,正常人登錄一般都會(huì)記得(de)自己的密碼,當然在北術定期更換複雜密碼的要求下,正常人也會(huì畫現)記不(bù)住密碼,這個問題我們(men通放)後面再說(shuō)。在限制了登錄失敗次數,比拿木如(rú)我們(men)設置了 5 次,那通(tōng)過某個 IP 遠都登錄失敗 5 次後這個 IP 就會(huì)被鎖物兵定,當然可以設置别的 IP 還可以登錄這個服務。會(h得購uì)話結束功能就類似于 W indows 自動鎖屏,作了就為(wèi)一個信息工(gōng)作者,在我們(men)離開(kāi)電公微腦時(shí)就應該考慮鎖屏的操作,并且重新登錄腦車要輸入賬号密碼,一個不(bù)會(huì)超時(shí)的會(huì)話關西雖然方便了我們(men)自己,同樣也給惡很子意者帶來了方便,想想經過你辦公桌的每個人都鐵下可以在登錄着的 HIS 服務器(qì)或者核心交換機上敲一個 reboot路到 ,***後造成的結果可想而知,雖然這個事故不(bù)工電是你直接操作的,但也要負主要責任。

在醫院中常見的遠程管理手段有 RDP 、 飛和SSH 、 TELNET 、 FTP 、 Oracle 等,其中 TE北為LNET 、 FTP 在流量劫持時(shí)可以直兵我接獲得(de)賬戶口令信息,可以通(tōng)過 SSH 、商畫 SFTP 等方法替換,确保在賬号密碼認證和數據流吃場傳輸過程中都是加密的。其實 Oracle 的流量也非加密,在我咨詢了我 服低OCM 的朋友和百度後,發現其實 Oracle 流量也很外可以配置加密,但是我們(men)很少會(huì)這樣做,并且很少會(市兒huì)有人關心這個問題,還消耗客戶端和服務端唱好額外的性能。這時(shí)候我們(men)就要想到什麼時(術低shí)候我們(men)的流量會(huì)風光被截取走,常見的就是内網 ARP 欺騙,一台攻擊主機在客戶端請求火朋網關 MAC 地址的時(shí)候,将自己的 MAC 地址畫筆告訴客戶端,說(shuō)自己這個 MAC 地址就是網關的 M你微AC , 這樣二層的流量會(huì)先通(tōng)過這台攻擊主機轉發笑劇給真實的網關,所有明文的流量過了這台攻擊主機後就可以被作鐵它輕松的獲取敏感信息,我的防護方法是通(tōng)過桌管軟件,将每個網段主機畫員的網關 ARP 解析靜态的寫到客戶端上,确保 ARP 解析如一時(shí)默認都先通(tōng)過本地記錄解析,從而不(bù)會(huì)被視女外部動态解析影響。另一種情況會(huì)被獲取的是網内的流量設備,很多安全設了鐘備、 APM 監控設備、深度流量分析設備都需要抓取核心網絡的風劇流量,當這些流量被鏡像給設備後它們(men)會(huì內了)将它記錄下來,而正式或者測試設備出現問題返廠時(shí),我們(men)就間舞要叮囑工(gōng)程師要清空本地數據,以免數據洩露,在我的視員工(gōng)作中就聽到過通(tōng)過安全設備洩露大(dà)量公民信息的分為案例。

前面我們(men)說(shuō)到要定期修改複雜密碼,但是經常修改會(huì雪小)導緻管理員記憶困難,這個時(shí)候我覺得(de)雙因子(zǐ)認證吃年也是幫助大(dà)家(jiā)不(bù)用記複雜密碼的好(hǎ就工o)方法。雙因素認證分為(wèi)所知和所有兩種,雙因素的證據如開又分為(wèi)秘密信息、個人物品、生理特征三種類型,像口令、密書爸碼就是信息,物理 key 就是個人物品,指紋、虹膜、面部就是生銀車理特征,我們(men)隻要結合兩種類型的證件舊據,那就符合要求,可以通(tōng)過物理 KEY+ 動湖紙态密碼的方式實現認證,此時(shí)就不(bù)用記住原術紙始的靜态密碼,大(dà)家(jiā)可以想象一下現在在登事愛錄微信、支付寶、 QQ 等互聯網軟件的時(shí)候基本很少使老低用密碼,而智能******也将密碼和人臉識别關聯,方便大(dà)家(jiā)認人跳證操作,同時(shí)又符合安全要求。在醫院工(gōng)作的過程中好員,我發現很多業務系統的賬号密碼不(bù)習暗是同一套體系,系統在認證時(shí)也沒有做到雙因子(zǐ)的大新要求,我之前寫過一篇論文,叫《基于 4A 系統的醫院鐘刀零信任網絡安全模型》,也是我希望能通(tōng)過安全技術提購北升醫護行政人員使用系統時(shí)的便利性、規範對醫院所有系統賬戶體系管理、加海藍強醫院業務系統使用時(shí)的權限管理能力。

五級電子(zǐ)病曆評審中提到了系統備份、容災的标準,對醫院朋厭信息系統的穩定性、可靠性、可用性有了明确的要求,醫院信息藍去系統的宕機、數據丢失會(huì)造成無法挽回的土個影響;2021 年《數據安全法》和《個人信息保護法》出台,我國在信息化高速發展分好的當下,更加重視了網絡安全,證明了網絡安全與信息化是一體之兩翼、驅船黃動之雙輪。

2 、數據保密性

a) 應采用密碼技術保證重要數據在傳輸過程中的保密性,包括但不(bù)限作票于鑒别數據、重要業務數據和重要個人信息等;
b) 應采用密碼技術保證重要數據在存儲過程中的保密性,包括但不(bù)限飛店于鑒别數據、重要業務數據和重要個人信息等。他也

信息安全 CIA 三要素,保密性、完整性、可用性,這裡提到了數據的保密性,冷資其實不(bù)管在哪個行業,數據的保密性都很難做,我們(men)讀通可以看到大(dà)量的公民數據在互聯網安全事件中洩露,我國之前但讀的《網絡安全法》對數據安全沒有具體的要求,而 2021 年的《說拿數據安全法》和《個人信息保護法》才對數據安全有了明确的要求,并且這湖這兩部法律給企業帶來了不(bù)小改造的壓力。

數據安全的保密性要求貫穿了數據的産生、傳輸、處理、存儲、銷毀等過程,首先我們什理(men)要對數據進行保密,就要知道哪些數據應該保密筆費,此時(shí)要做的就是數據的分類分級,在分級分類過程中涉及到對敏感數據的來影發現,敏感數據除了結構化的還有非結構化的,除了關系型的還有非關系型的煙黑,基本很難做到全覆蓋,比如(rú)在護網期間就發現有很多日志、配置劇跳文件中帶着敏感的賬号密碼等信息,而這些信息的配置可能鐵土是套裝化軟件不(bù)能修改的。在發現了敏感數據後會還我們(men)就要對敏感數據進行加密、******、去不能标識化操作,在五級電子(zǐ)病曆的要求中也鐘懂有一條數據加密的要求,數據加密其實有兩種做法,一種是著視在存儲層(通(tōng)過存儲設備進行加密),另一種在少從系統層(通(tōng)過對操作系統的配置得南文件,或者對數據庫的數據進行加密),******種方法的難度筆行較小,而第二種方法的難度較大(dà),需要家請考慮數據被加密的方法和被使用過程中的解密,對于數據量小可以考有音慮非對稱加密,而數據量大(dà)的隻能使用對稱加密,這也就是 SSL 的西現機制,通(tōng)過非對稱加密秘鑰,然後通(tō報線ng)過秘鑰對稱加密數據流,在确保業務正常的情況下,實歌子現安全的需求。針對******、去标識化操離人作可以通(tōng)過好(hǎo)幾處實現習車,可以通(tōng)過後端實現,也可以通(tōng)過前端實現,通(tōng)藍綠過後端實現時(shí)當數據從應用層往前端傳輸時(shí)就是去***市購***、去标識化的數據,甚至是在數據庫中就是******、去标識化的,而近和在前端實現,我們(men)可以在客戶端本地開(kāi)啟代理,直接可以獲放司得(de)明文的數據,從安全性來考慮肯定是後謝子端實現更安全。

我們(men)在做數據加密、******、去标識化時(shí)要考慮的重東書要一點就是業務是否支持,有些數據雖然是敏感數據,但服靜是以密文呈現時(shí)是無法進行正常業在一務的辦理和交互的,如(rú)果要實現正常藍刀業務辦理和交互,可能需要改變流程、規範,并且付出巨大(dà)的代價,在醫院以業算在務為(wèi)中心的情況下,個人覺得(de)短(duǎn喝物)期内很難很難實現,我個人在落地一個數據安全在地的産品時(shí)就提出了這樣一個問題,該産品邏輯串聯在數據庫客戶端好事和數據庫服務器(qì)之間實現數據庫字段了內的加密、******、去标識化操作,而我們(men)的 H訊到IS 業務每天都有大(dà)量的問題要處理,在處理快坐過程中需要通(tōng)過這些敏感的數據進行确認、判斷、修改,不(b和林ù)可能專門安排一個人每天在對字段做解密、加密的操作,還需要配合專門的草業流程來規範這個操作,在一個業務系統沒有穩定、技術人員輛你缺乏的情況下,這樣的功能很難落地,就算落地了也隻是很小的範圍,如數行(rú)何滿足二者需要靠廣大(dà)讀者來幫忙想想辦法了。

3 、 數據備份恢複

a) 應提供重要數據的本地數據備份與恢複功能;
b) 應提供異地實時(shí)備份功能,利用通(tōng)信網絡将重山理要數據實時(shí)備份至備份場地;
c) 應提供重要數據處理系統的熱冗餘,保證城朋系統的高可用性。

我問了很多醫院,大(dà)家(jiā)可能都爸物建立了容災環境,但是很少有醫院做容災測試,對于五學離級電子(zǐ)病曆的要求是每年至少一次的容災演練(還需要結合業務場景),每季我購度至少一次的數據全量恢複測試,一個沒有測試過的容災系統真的很難讓人相信在出問題道文的時(shí)候可以撐得(de)住真實業務,也許容災的切換過程門見沒有問題,但是容災的硬件資(zī)源、硬件配置、軟件調整等是否能讓用戶遠飛在較短(duǎn)的時(shí)間内進行邊便捷的切換操,五級熱影電子(zǐ)病曆對于數據丢失的要求比較松, 2 小時(s新銀hí)以内即可,但是醫院對于數據丢失是難以容忍的,對于信息化較長(cháng志河)時(shí)間都無法正常使用也是無法容忍的,我們(men)要盡可能做睡上到 RPO 、 RTO ***小化。

對于備份,我盡量做到 321 原則, 3 土金份數據、 2 種不(bù)同介質、 1 份存于異地,結合光很******點和第二點,我将數據存放于起碼 2 種不(bù)同物理設備上,存也白儲 3 份,再結合第三點将一份數據存儲于異地,兩份數據存于本少輛地。我們(men)醫院有兩個院區,兩院區直線公子熱裡數其實小于 40 ㎞ , 而等保的異地要求是直線大(dà)于 100 ㎞相很 , 對于沒有分院的小夥伴們(men),其實我建議可以将另一份數據存到工舞異地雲上,***起碼在本地真的數據沒辦法恢複時(shí)中北還有一根救命稻草,雖然恢複的時(shí)間可能會(huì)長(ch分友áng)一點。我會(huì)将兩院區的數據做相互的音讀異地備份,盡可能提高數據備份的頻率,減少數據的村上丢失,核心業務系統采用實時(shí)備份或者容災的方式,兒報在使用較高頻率備份的情況下,我們(men)對于備份、容災的硬件就有一定的要求雜但,較差的 HDD 盤是無法支撐起大(dà)訊見數據量、高并發的備份任務,可能出現任務排隊,那就會(huì)電河得(de)不(bù)償失;在備份上我們(men)就出現過一個問題,之前工(愛又gōng)程師在配置 RMAN 備份保留的腳本操作是先删除原新美來的備份,在進行下一次備份,如(rú)果嗎快前一次備份删除了,後一次備份沒有成功,那就沒有了全量近我數據,這樣的備份是沒有意義的,大(dà)家(jiā)可以檢查下自己海廠的環境是否存在這樣的問題。

在備份的類型上,分為(wèi)物理備份和邏輯備份, 21 年我就子一聽到了别的醫院出現了 Oracle 的邏輯壞塊,出現壞你學塊後數據庫無法正常啟動,而容災系統通(tōng)過 Oracle D校器ata Guard 實現, DG 屬于物理塊同步,面對邏輯錯(cuò)誤不(音房bù)會(huì)校(xiào)驗,而直接将這個邏輯錯(cuò)誤同科理步給了容災庫,導緻容災庫也無法正常拉起,并且當時(shí)也沒有配置長(c雪舞háng)時(shí)間的閃回空間,導緻***後花(huā)了很大(dà費作)的代價才恢複了一部分丢失的數據,并且業務中斷了很久,可以通(tōng唱算)過 OGG 解決這個問題,并且 OGG 可少工以支持跨數據庫、操作系統類型之間的數據複制,新河但是配置難度比 DG 大(dà)了很多;另外的辦法數場是通(tōng)過 CDP 實現 IO 級别的備份,當出慢金現邏輯錯(cuò)誤數據庫無法正常使用的時(shí)候,內玩通(tōng)過 CDP 的 IO 回退到正常的時(shí)間點,微但當然中間丢失的數據需要人工(gōng)去彌舞日補,這樣通(tōng)過數據庫外部的方式解決數據風爸備份的問題。

4、個人信息保護

a) 應僅采集和保存業務必需的用戶個人信息器村;
b) 應禁止未授權訪問和非法使用用戶個人信息。

這兩點在《個人信息保護法》中也有明确提到,該法律中多次提到了收集個人信息站房要有“詢問 - 确認”的過程,并且在用戶不(bù)月上同意提供個人信息的情況下,不(bù)能拒******用戶提供服子黃務,隻收集必需的個人信息,要告知用戶收集每種類型個人信息的目的,告哥低知用戶如(rú)何處理、傳遞、使用個人信息。在疫情月村當下,全國的醫院都緊鑼密鼓的推廣互聯網醫院,意味着有一個面火筆向患者的醫院互聯網系統,患者可以直接面向這個綠有互聯網系統,那對系統的提交信息、問詢交互有了更直接的了解,我們(me話大n)在做互聯網系統的時(shí)候要結合《網絡安全法》、《數據安全法》和《個離哥人信息保護法》三駕馬車(chē)來嚴格要求開(kāi)人匠發時(shí)的安全需求,自從三部法律上台後有多少互聯網 APP 因不(人風bù)符合要求被責令整改、罰款、下架等,我們(men)也該引以為(wèi會離)戒。

文章來源:天億網絡安全


Image
Image
版權所有:山西科(kē)信源信息科(kē)技有限公司 村時 
咨詢熱線:0351-4073466 
地址:(北區)山西省太原市迎澤區新建南路文源巷2快制4号文源公務中心5層
           (南區)太原市小店區南中環街(j站你iē)529 号清控創新基地A座4層
Image
©2021 山西科(kē)信源信息科(kē)技有限公但那司 晉ICP備15000945号 技術支持 - 資(zī)海科(kē)多的技集團