?據(jù)CHIMA《2019-2020年度中國醫(yī)院信息化狀況調(diào)查報告》顯示,醫(yī)院在信息安全方面的投入已占總投入的9.43%,投入顯著增加,有66.18%的醫(yī)院通過了網(wǎng)絡(luò)安全等級保護(hù)測評。由此可看出�,醫(yī)院對網(wǎng)絡(luò)安全的投入相比往年有很大程度提升。但仍有部分醫(yī)療機(jī)構(gòu)對網(wǎng)絡(luò)安全建設(shè)重視程度不足的情況���。
從公安機(jī)關(guān)披露的涉及醫(yī)療衛(wèi)生行業(yè)的網(wǎng)絡(luò)安全行政執(zhí)法案例信息來看�����,大多違法違規(guī)案例是由網(wǎng)安建設(shè)重視不足導(dǎo)致的建設(shè)運(yùn)維管理疏失和黑客攻擊引發(fā)的���。建設(shè)運(yùn)維管理疏失主要表現(xiàn)為機(jī)構(gòu)未按照等級保護(hù)標(biāo)準(zhǔn)建設(shè)、未制定網(wǎng)絡(luò)安全管理制度和操作流程����,出現(xiàn)問題難以及時處置和恢復(fù)。黑客攻擊主要表現(xiàn)為醫(yī)院信息系統(tǒng)中存在漏洞無法及時發(fā)現(xiàn)處理�,導(dǎo)致被黑客攻擊,造成醫(yī)院系統(tǒng)癱瘓甚至業(yè)務(wù)受到影響�。
此外,醫(yī)療機(jī)構(gòu)安全管理中心人員和職能缺位����,導(dǎo)致信息安全管理、監(jiān)控����、審計與綜合分析能力不足。不少醫(yī)院僅為通過安全等級保護(hù)測評達(dá)標(biāo)配備硬件設(shè)備���,不注重能力建設(shè)��,安裝了安全預(yù)警系統(tǒng)�,但沒有開展安全審計分析;購買了容災(zāi)系統(tǒng)��,卻沒有開展容災(zāi)演練����;采購了數(shù)據(jù)備份設(shè)施,卻未按規(guī)定進(jìn)行定期備份和恢復(fù)驗證��。
端點閉環(huán)管理
面對醫(yī)療機(jī)構(gòu)上述問題�����,亞信安全推出了大終端一體化安全解決方案��,將安全防護(hù)���、終端管理�����、運(yùn)維管理、文檔管理“化零為整”���。同時�,亞信安全建議用戶從現(xiàn)有的防毒系統(tǒng)平臺(OfficeScan)上開始集成,將安全與運(yùn)維服務(wù)進(jìn)行融合�,以提供更低的總體擁有成本(TCO)和更好的運(yùn)營效率。
亞信安全認(rèn)為:在遠(yuǎn)程訪問�、零信任技術(shù)應(yīng)用,以及安全運(yùn)維的統(tǒng)一管理的需求下����, 實現(xiàn)運(yùn)維+管控的UES平臺是大勢所趨,將加速落地與應(yīng)用��。
在桌面管理��、數(shù)據(jù)備份����、文件加密等方面,亞信安全提供了與之對應(yīng)的TSM����、TDB、TDE系統(tǒng)�����,將內(nèi)部網(wǎng)絡(luò)安全、信息安全與終端計算機(jī)管理�����,以及容災(zāi)恢復(fù)云服務(wù)和涉密文檔全生命周期管理全面打通�,真正實現(xiàn)了更全、更簡的統(tǒng)一管理�����。
另外�����,在終端系統(tǒng)平臺支撐方面�����,大終端一體化方案不僅可以支持Windows�、Linux、MacOS���、Android�����,更對通過亞信安全信端端點安全管理系統(tǒng)ESM廣泛地適配x86���、ARM和MIPS架構(gòu),實現(xiàn)了與主流國產(chǎn)操作系統(tǒng)平臺(麒麟���、統(tǒng)信等)的全面兼容���,并且已經(jīng)與麒麟、統(tǒng)信�、長城等硬件廠商取得了互認(rèn),為用戶的端點安全升級換代提供了平滑過渡與可靠支撐��。
信息安全建設(shè)任重道遠(yuǎn)
醫(yī)院網(wǎng)絡(luò)安全建設(shè)已從單機(jī)版走向網(wǎng)絡(luò)版�����,從局域網(wǎng)走向廣域網(wǎng)�����,從初淺的認(rèn)知走向更加變幻莫測的未知���。在解決網(wǎng)絡(luò)安全問題的過程中��,不可能一勞永逸�。安全產(chǎn)品、安全技術(shù)不能光靠名詞的改變來實現(xiàn)轉(zhuǎn)型升級�,而是需要不斷隨著攻擊手段的發(fā)展而升級。因此�,持續(xù)改進(jìn)、PDCA(Plan�、Do、Check��、Act)循環(huán)����、螺旋式上升,是網(wǎng)絡(luò)安全建設(shè)的原則��。構(gòu)建動態(tài)防御����、主動防御、縱深防御����、精準(zhǔn)防護(hù)����、整體防控���、聯(lián)防聯(lián)控的網(wǎng)絡(luò)安全綜合防控體系���。信息安全團(tuán)隊必須建立對風(fēng)險的“敬畏之心”��,不應(yīng)該總是擔(dān)任“救火隊員”����,而應(yīng)該將風(fēng)險前移,將工作重心放在事前預(yù)防���、事中控制�����,重點放在對尚未暴露的風(fēng)險隱患的排查���、發(fā)現(xiàn)和及時化解,做到防患于未然��。
