背景
承蒙朋友们抬举,经常会接到一些帮忙的“小事”,这不,事又来了。
本次是一家机构痛定思痛、决心花大力气做好网络安全工作。前期就计划着让我前往“指导”,一直未能成行。由于是安全建设规划,于是我建议他们能从网络安全三级等保测评开始。现在测评已经完成了,评测方也提供了几百页厚厚的测评报告,从网络安全三级等保要求的各方面进行了评估,不可谓不完整。医院也根据测评发现的问题,找出了差距,拿出了网络安全建设方案。需要花的钱不少,为慎重期间,希望我给看看,提提意见。
安全测评报告的局限性
从报告的形式和内容看,中规中矩,完全标准化的产物,这就意味着给了机构一张“老板凳”。本次选择的测评机构熟悉标准,熟悉评测流程,对申请评测单位的安全现状分析也很到位,指出了100多个问题,并给予了评测“不达标”的结论。但是,对于用户来说,大多数的安全评测报告都一个套路,什么都说了,也什么都没说。
如果仅从技术层面评估安全,缺少业务评估,对业务安全的评估竟是寥寥数语,隔靴搔痒,没有找到真正的痛处。甚至对于严重影响业务安全的缺陷,也被定义为低风险,这样可能造成用户对该风险的忽略,从而造成安全风险管控不到位。报告沿用的是划分系统、分等级保护的传统思路,将安全保护的重点放在每个系统的合规上,分别从HIS、LIS、PACS进行了评估评测,完全无视现在这些个系统都已经是有机的整体,实时在进行着业务的协同,这样就忽略了安全的整体性;忽视了网络安全与业务安全的联系。
等保2.0,开启等级保护新纪元
从政策层面看,等保2.0版相关标准已经开始征求意见,管理策略已由之前1.0版的“自主定级、自主保护、监督指导”转向为“明确等级、增强保护、常态监督”。其核心内容也发生改变:
将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核等重点措施全部纳入等级保护制度并实施。
将网络基础设施、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统、公众服务平台等全部纳入等级保护监管。
将互联网企业纳入等级保护管理,保护互联网企业健康发展。
构建完善的安全体系
每一个院领导都会问到信息科一个问题,投入多少才能保证安全?安全上的投入一定是必要的,但如何才能更安全,如下图所示,应该由知识体系、技术体系、管理体系共同构成网络安全体系。三架马车,不应偏废。
管理体系是政令畅通的组织保证,安全体系中最活跃、最不稳定的因素是人,制度管人,完整的制度才能让安全建设具有权威性,也才能确保安全措施可落地。曾经在CHIMA会上,有听众问,”有什么好办法,能让临床科室听从信息科的管理“。我回答是,”在安全建设上必须有权威力,话语权“。
这个话语权应该是医院的安全委员会(由院领导和医院代表组成,是医院安全的最高决策组织)赋予的,安全委员会代表医院发布安全制度,制订安全措施,信息科作为网络安全管理执行部门负责日常网络安全管理,具有奖惩的权利。同时“立威”是必须的,可以用案例教育人、用案例警示大家去遵守安全制度。
技术体系是网络安全的技术实现,通常是使用安全设备去完善安全措施,确保所保护的资产安全,业务正常运行。这些工具既有杀毒软件、也包括终端管理、网络管理、行为管理、漏洞扫描、审计类产品、防火墙、网闸等等。种类繁多,每一种产品都有其适用范围,也都有技术门槛。
因此在选择安全设备时,也应该量体裁衣,根据安全风险等级和紧迫性进行分步骤建设。但也要考虑到是否有技术人员懂得使用工具,并将安全管理纳入常规运维,了解安全动态、感知安全威胁。
知识体系是网络安全的内涵保证,掌握必要知识的人决定网络安全的重要因素。无论是制度还是设备,都需要人去执行,去管理,而如何制定适宜的制度,如何管理安全设备,这些都需要我们具有网络安全的相关知识。这些知识包括规范、法律、标准,也包括专业知识,操作知识,以及安全动态等等。
声明:本文来自愚人老黄,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
