医院倍受黑客“青睐”，推荐以下医疗行业安全最佳实践

编者注：最近几天接连爆出几家医院遭遇勒索病毒攻击，造成业务无法正常运行，当医院为代表的医疗行业成为网络攻击重要目标的时候，医疗行业的信息安全需要加倍重视和投入。

如果安全团队不知道何为安全最佳实践，企业损失人力物力财力不过是时间问题。而且一旦发生安全事件，还有可能损及客户，造成需要花费数年时间才能弥补过来的业务损失或赔偿。

至于医疗信息安全领域，可以尝试的安全方法多种多样。但无论你采用哪种实现方式，总有些结果不是你所预期的。于是，问题来了：医疗信息安全最佳操作有哪些？

一、技术层面看

培训，培训，再培训。确保员工熟知最新威胁是“全民皆兵”的极佳方式，可以让每一名员工都成为公司的“眼睛和耳朵”。通过信息安全培训，也可以让员工了解自身与公司是共担风险的。

1. 域访问权限

不是每个人都需要域访问权限。事实上，职位高低与域访问权无甚关系。董事长或CEO掌握域控口令甚至更糟，因为高管本身就是黑客的主要目标。

2. 自带设备办公(BYOD)

如果公司允许自带设备办公(BYOD)，那就部署移动设备管理(MDM)解决方案，管控员工访问受保护健康信息(PHI)和个人可识别信息(PII)的会话。MDM中应特别注意开发者模式是否被禁用，若禁用该模式，MDM工具所提供的服务就无效了。

3. 杀毒软件(AV)

做安全要走心，仅仅对着列表划勾的敷衍态度做不好安全。要确保所有AV都配置正确，运行良好，病毒库和规则保持更新。

4. 做好变更管理与跟踪

无论是大企业还是小公司，都需要变更管理，即便只是用一张Excel电子表格来管。公司越小，越需要知道应该回滚到哪里。对大公司而言，则需要有足够的跟踪、监视、核查与平衡，以便将变更管理有效集成进公司运营中。

二、文化层面看

1. 别太自负

历史已无数次证明，总有些专家觉得自己知道一切。但最终，人总得与他人合作，友好合作。太自负不利于协作，最好完全摒弃这种高傲的态度，为项目、公司或工作职责贡献出你的价值。

2. 安全域的存在是有理由的

安全域的叫法或许多种多样，但其存在是有理由的。必须将之视为安全底线来遵守。你可以不喜欢安全域，但它就在那里，合理存在着。

3. 尽量透明

没错，信息安全中有些领域就是要保密的。但是，如果每个人都清楚各自在做的事和做事的方式，那业务推进就会更快更平滑。近期的项目中出现过员工出于工作安全考虑而秘藏信息的现象，但这是错误的做法。让整个团队或公司知道当前项目的进展可以播下信任与尊重的种子。

4. 清楚医疗法规

不仅要知道业务范围，还要知道本行业应遵从的各项法规。法律就是法律，连同相关规定、规则和指导原则都要知道。

最后，以上建议请根据自身业务及业务需求斟酌采纳。

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。