PowerPoint 演示文稿

Size: px

Start display at page:

Download "PowerPoint 演示文稿"

敌煌谢
5 years ago
Views:

1 等保 2.0 在医疗卫生行业的应用探索广州竞远安全技术股份有限公司测评中心技术总监刘晓彬 1

2 公司介绍广州竞远安全技术股份有限公司成立于 2003 年, 是一家致力于服务信息网络安全产业的专业安全服务机构, 拥有实力雄厚和技术过硬的专业团队, 具有丰富的等级测评风险评估渗透测试安全监测安全应急安全巡检安全咨询安全培训等全方位安全服务经验为广大政府机关企事业单位及各行业提供专业的安全服务 2

3 资质荣誉信息安全等级保护测评机构粤 -001 高新技术企业 GR 年度全国等级保护测评机构先进单位计算机信息系统安全服务机构粤 GA CNAS-CI01( 检查机构能力认可准则 ) 质量管理体系认证 (ISO9001) 3

4 医疗卫生行业新技术的应用目前, 有一种应用正在热推, 说的是 : 一种将医院病人医疗设备相整合的新医疗模式 --- 物联网医学不久的将来, 病人只需在家佩戴好仪器, 打开开关将检测数据传送到云端, 医生只要有网络以及手机电脑等设备, 即使相隔万里, 也可实时诊断这是物联网医学, 在技术上覆盖了物联网云计算移动互联网大数据人工智能 ( 数据挖掘和机器学习 ) 等一系列新技术新应用移动检测救护远程诊断专家会诊 4

5 佩戴的仪器 ( 无线传感器 / 电子标签 (RFID 射频识别 )/ 读写器 )---- 无线路由器 ( 拨号器 ) 连接互联网 ( 无线网关 )---- 控制中心 ( 云端 ) 物联网医生通过网络以及手机电脑等设备云计算大数据人工智能移动互联网传统网络移动检测救护检测一体机从云端取数据进行自动诊断工业控制系统 5

6 新技术新应用产生新的安全问题医疗卫生行业对移动互联云计算大数据物联网和工业控制等新技术的应用, 给大众带来便利的同时也带来新的安全隐患根据等保 1.0 开展信息安全等级保护工作, 有很多指标已经不太适用等保 2.0 就是为了解决新技术新应用带来的信息安全等级保护建设指标不适用而提出 6

7 等保 2.0 发展路线 7

8 等保 2.0 技术框架 8

9 等保 2.0 三类定级对象网络安全法关键信息基础设施的安全保护等级不低于第三级 9

10 等保 2.0 新标准组成在等保 2.0, 信息安全等级保护基本要求更名为网络安全等级保护基本要求, 与中华人民共和国网络安全法保持一致, 由五个部分组成 : 安全通用要求云计算安全扩展要求移动互联安全扩展要求物联网安全扩展要求工业控制系统安全扩展要求 10

11 (1) 定级的比较原标准第二级新标准第三级 11

12 (2) 安全通用要求的比较新标准 :8 个层面原标准 :10 个层面物理和环境安全物理安全技术要求网络和通信安全设备和计算安全技术要求网络安全主机安全应用和数据安全应用安全安全策略和管理制度数据安全及备份恢复管理要求安全管理机构和人员安全建设管理安全运维管理管理要求安全管理制度安全管理机构人员安全管理系统建设管理系统运维管理 12

13 (3) 安全通用要求控制点要求项数量比较安全要求类层面一级二级三级四级技术要求管理要求物理和环境安全网络和通信安全设备和计算安全应用和数据安全安全策略和管理制度安全管理机构和人员安全建设管理安全运维管理新标准控制点 / 旧标准控制点 / 新标准要求项 / 旧标准要求项 /

14 (4) 安全通用要求的子项比较技术方向 : 网络设备安全设备服务器数据库中间件重要终端等网络环境网络结构等的整体安全新标准对应网络安全法这方面在医疗行业更突出技术 / 管理分类安全控制点分类安全控制点物理位置选择物理位置的选择物理访问控制物理访问控制防盗窃和防破坏防盗窃和防破坏防雷击防雷击物理和环境防火防火物理安全安全防水和防潮防水和防潮防静电防静电温湿度控制温湿度控制电力供应电力供应电磁防护电磁防护指标混网络架构结构安全通信传输在一起, 可信路径网络设备防护边界防护边界完整性检查网络和通信访问控制作用不访问控制网络安全安全入侵防范入侵防范明确恶意代码防范恶意代码防范安全审计安全审计集中管控安全技术身份鉴别身份鉴别要求访问控制访问控制设备和计算安全审计安全审计剩余信息保护主机安全安全入侵防范原标准入侵防范恶意代码防范恶意代码防范资源控制资源控制身份鉴别身份鉴别访问控制访问控制安全审计安全审计软件容错软件容错资源控制资源控制数据完整性通信完整性应用和数据数据保密性应用安全通信保密性安全数据安全及备份数据备份恢复恢复数据完整性数剩余信息保护剩余信息保护据保密性备份和恢复个人信息保护抗抵赖 14

15 技术方向 : 新标准防火墙综合网管系统加解密功能的设备网闸终端管理系统网络设备 ( 路由器交换机 ) 无线网络设备应用层防火墙入侵保护系统入侵检测系统抗 APT 攻击抗 DDoS 攻击网络回溯系统防病毒网关 UTM 反垃圾邮件网关上网行为管理系统综合安全审计系统数据库审计系统提供集中安全管控功能的系统技术 / 管理分类安全技术要求物理和环境安全网络和通信安全设备和计算安全应用和数据安全安全控制点物理位置选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护网络架构通信传输边界防护访问控制入侵防范恶意代码防范安全审计集中管控身份鉴别访问控制安全审计入侵防范恶意代码防范资源控制身份鉴别访问控制安全审计软件容错资源控制数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护路由器交换机防火墙综合网管系统加解密功能的设备或组件网闸防火墙路由器交换机终端管理系统网络设备无线网络设备网闸防火墙路由器交换机应用层防火墙入侵保护系统入侵检测系统抗 APT 攻击抗 DDoS 攻击和网络回溯等系统或设备防病毒网关和 UTM 反垃圾邮件网关上网行为管理系统或综合安全审计系统路由器交换机和防火墙路由器交换机防火墙综合网管系统综合安全审计系统数据库审计系统提供集中安全管控功能的系统 15

16 16 技术 / 管理分类安全控制点分类安全控制点安全管理要求安全策略和管理制度安全策略管理制度安全管理制度管理制度制定和发布制定和发布评审和修订评审和修订安全管理机构和人员岗位设置安全管理机构岗位设置人员配备人员配备授权和审批授权和审批沟通和合作沟通和合作审核和检查审核和检查人员录用人员安全管理人员录用人员离岗人员离岗人员考核安全意识教育和培训安全意识教育和培训外部人员访问管理外部人员访问管理安全建设管理定级和备案系统建设管理系统定级系统备案安全方案设计安全方案设计产品采购和使用产品采购和使用自行软件开发自行软件开发外包软件开发外包软件开发工程实施工程实施测试验收测试验收系统交付系统交付等级测评等级测评服务供应商管理安全服务商选择安全运维管理环境管理系统运维管理环境管理资产管理资产管理介质管理介质管理设备维护管理设备管理漏洞和风险管理监控管理和安全管理中心网络安全管理系统安全管理网络与系统安全管理恶意代码防范管理恶意代码防范管理配置管理密码管理密码管理变更管理变更管理备份与恢复管理备份与恢复管理安全事件处置安全事件处置应急预案管理应急预案管理外包运维管理管理方向 : 新标准原标准通过定期的配置核查漏洞扫描渗透测试日志分析等手段动态发现风险和管理风险对应网络安全法

17 17 (5) 云计算安全扩展要求技术要求物理和环境安全网络和通信安全网络架构访问控制入侵防范安全审计设备和计算安全身份鉴别访问控制安全审计入侵防范恶意代码防范资源控制镜像和快照保护应用数据安全安全审计资源控制接口安全数据完整性数据保密性数据备份恢复剩余信息保护管理要求安全管理机构和人员系统安全建设管理安全方案设计测试验收云服务商选择供应链管理系统安全运维管理网络资源隔离措施综合网管系统云管理平台网络设备安全设备或管理平台虚拟机广播网段虚拟机监视器资源池业务系统相关接口, 相关服务云平台安全访问路径访问控制机制网络边界设备虚拟化网络边界设备虚拟机迁移记录及相关配置云服务方管理平台云租户管理系统虚拟化网络边界访问控制设备边界访问控制机制边界访问控制设备网络入侵防范设备入侵防范措施网络虚拟化设备审计数据收集系统或设备审计数据汇集接口

18 18 (6) 移动互联安全扩展要求技术要求物理和环境安全网络和通信安全网络架构边界防护访问控制入侵防范通信传输安全审计网络设备防护设备和计算安全身份鉴别移动终端管控应用管控安全审计入侵防范恶意代码防范资源控制应用数据安全身份鉴别软件审核与检测数据完整性数据保密性数据备份恢复管理要求安全策略和管理制度安全管理机构和人员岗位设备人员配备授权和审批安全意识教育和培训系统安全建设管理安全方案设计产品采购和使用移动应用软件开发工程实施测试验收系统交付服务供应商选择系统安全运维管理资产维护管理设备维护管理漏洞和风险管理应用软件来源管理恶意代码防范管理配置管理监控和审计管理备份与恢复管理安全事件处置无线接入网关无线接入设备入侵防范设备移动应用软件 (APP) 移动终端

19 (7) 物联网安全扩展要求技术要求物理和环境安全网络和通信安全设备和计算安全应用数据安全终端感知节点设备 ( 包括 RFID 标签 ) 的物理和环境安全感知网关节点设备 ( 包括 RFID 读写器 ) 的物理和环境安全数据源认证感知节点设备访问控制异构网安全接入终端感知节点设备 ( 包括 RFID 标签 ) 的设备安全感知网关节点设备 ( 包括 RFID 读写器 ) 的设备安全访问控制资源控制在线更新抗数据重放抗功耗攻击设备工作状态信息保护数据完整性数据保密性数据可用性感知终端物联网应用服务器传感网入网访问控制设备感知层网关异构网接入认证系统物联网网关 ( 连接异构网的物联网网关 ) 各接入网网关系统安全建设管理自行研发感知节点设备 ( 包括 RFID) 外包研发感知节点设备 ( 包括 RFID) 管理要求系统安全运维管理感知节点设备 ( 包括 RFID) 环境管理感知节点设备 ( 包括 RFID) 监控管理和安全管理中心感知节点设备 ( 包括 RFID) 备份与恢复管理 19

20 (8) 工业控制系统安全扩展要求技术要求物理安全边界防护集中管控生产管理层安全要求网络和通信安全设备和计算安全应用和数据安全网络架构通信传输无线使用控制访问控制入侵防范恶意代码防范安全审计身份鉴别访问控制安全审计入侵防范恶意代码防范资源控制无线使用控制身份鉴别访问控制安全审计软件容错资源控制数据完整性数据保密性数据备份恢复剩余信息保护过程监控层安全要求路由器交换机和防火墙综合网管系统加解密设备或组件网闸网络准入控制系统或设备无线网络设备应用层防火墙拨号服务类设备 IPS IDS 抗 APT 攻击防 DDoS 网络回溯防病毒网关和 UTM 防垃圾邮件网关上网行为管理系统日志审计类设备集中安全管控系统综合安全审计系统数据库审计系统集中安全管控系统网络和通信安全设备和计算安全应用和数据安全网络架构通信传输无线使用控制访问控制入侵防范安全审计身份鉴别访问控制安全审计入侵防范恶意代码防范资源控制无线使用控制身份鉴别访问控制安全审计软件容错资源控制数据完整性数据保密性数据备份恢复剩余信息保护现场控制层安全要求网络和通信安全设备和计算安全应用和数据安全网络架构通信传输无线使用控制访问控制入侵防范恶意代码防范安全审计身份鉴别安全审计入侵防范资源控制数据完整性数据保密性数据备份恢复管理要求 ( 通用要求 ) 20

安全通用要求云计算系统 : 安全通用要求 + 云计算安全扩展要求移动互联网系统 : 安全通用要求 +

21 等保 2.0 在医疗卫生行业的应用根据等保 2.0 新标准, 医疗行业 : 首先需要对现有信息系统进行疏理, 明确属于云计算系统 ( 平台还是租户 ) 移动互联网系统物联网系统工业控制系统传统信息系统中的哪一种然后根据相关类型及等级选择对应的等级保护指标进行安全建设再委托具有测评资质的测评机构进行安全等级保护测评, 找出差距并进行整改加固最后通过备案传统信息系统 : 安全通用要求云计算系统 : 安全通用要求 + 云计算安全扩展要求移动互联网系统 : 安全通用要求 + 移动互联安全扩展要求物联网系统 : 安全通用要求 + 物联网安全扩展要求工业控制系统 : 安全通用要求 + 工业控制系统安全扩展要求物联网医疗系统 : 安全通用要求 + 云计算安全扩展要求 + 移动互联安全扩展要求 + 物联网安全扩展要求 + 工业控制系统安全扩展要求 21

22 云计算平台测评过程与方法场景测试 : 边界 1 安全测试 : 通过外部渗透测试与边界安全产品检查相结合方式测试互联网边界安全隔离防护状况, 租用虚拟机测试不同的安全防护策略 ; 边界 2 安全测试 : 通过租用虚拟机进行内部渗透, 测试虚拟机与宿主机之间的安全边界防护状况 ; 边界 3 安全测试 : 通过模拟多租户租用虚拟机场景, 内部渗透测试虚拟机与虚拟机的安全边界防护状况 ; 边界 4 安全测试 : 通过内部渗透测试与配置检查相结合方式测试内部网络间的安全边界防护状况 22

23 谢谢大家刘晓彬广州竞远安全技术股份有限公司 23

PowerPoint 演示文稿

PowerPoint 演示文稿金融行业网络安全法合规就绪江玮普华永道管理咨询 ( 上海 ) 有限公司信息安全咨询主管高级经理议题网络安全法网络安全等级保护.0 个人信息和重要数据保护认证的网络设备和服务网络安全法迅速着陆的长途旅行 10 年前工业和信息化部专用网络规则制定工作启动第一稿颁布信息安全条例 013 014 二月 015 六月 016 七月 016 十一月 017 六月国家互联网办公室第二稿