取消
搜索历史
热搜词
原创
活动
产业创新
转型理念
ENI专访
第184期

东莞台心医院徐上海:网络环境风云变幻下,信息安全任重而道远

作者:ENI
摘要:在信息安全建设过程中有几个事项需要重点注意:要加强制度建设和落实,完善组织架构,注重员工安全的培训;技术方面,我们加强网络边界安全、PC的安全、服务器的安全、 4G网络发展带来的移动端的安全;随着工业4.0的普及,工控系统的网络安全风险其实更严重;还有数据库管理员、软件开发人员,往往只关注软件的功能可用性,可靠性、很少考虑软件系统的安全性。

  • 东莞台心医院徐上海:信息安全建设三方面规划

    2012年进入医疗行业前,在制造行业中工作时,IT即信息科设置在公司的一个偏僻的小房间,而转入医疗行业后,信息科空间设置在医院建筑的中心位置,空间面积是所有科室中最大的。这样的转变让我认识到医疗行业信息化工作的重要性、担子的沉重性。

    因离开企业多年,这些年随着工业互联网、两化融合概念、市场环境发生了很大的改变,制造行业对IT的依赖程度也发生了很大的变化,信息科在制造行业的地位也许会有很大的提升。

    以下是我在多年信息化工作实践中,对于信息安全的一些体会和经验总结。包括对于国际、国内及我们身边安全形势的认知,以及我们如何面对这些安全形势、风险和挑战。另外如何在企业各个业务部门找到一个切入点,把信息化融入到业务流程中,发挥信息工具的优势。此外,还有我针对医疗行业信息化历史和现状,如何进行工作优化和提升的一些思考。

    东莞台心医院徐上海:网络环境风云变幻下,信息安全任重而道远

    信息安全的严峻形势

    东莞台心医院徐上海:网络环境风云变幻下,信息安全任重而道远

    自勒索软件出现之后,网络安全的重要性随之提升。自2017年《网络安全法》出台,后续又不断出台新的法律,如《中华人民共和国数据安全法》,《中华人民共和国人个信息保护法》,立法之后每年国家、省、市不定期开展进行攻防演练,市网安部门定期进行网络安全监管。信息安全的问题,我认为最大的问题是我们人的问题,这个人不仅仅是我们信息人,更多的是信息工具的使用人(用户),如果我们用户无安全意识,或安全意识淡薄,那我们的信息安全建设、硬件设备投入、软件系统的投入以及资金投入都不能够做好信息安全建设和保障。

    近几年国家陆续出台了《个人信息保护法》以及《数据安全法》,以前的立法从酝酿到发布都要四年时间,但是这几部法律从讨论至发布仅用两年多时间就发布了,这说明了加强信息安全的紧迫性。在这个形势下,我们要对自己企业的风险做一个详细的分析,怎样争取资金,争取老板的支持,争取员工以及各个部门主管的支持,这就需要我们对企业的资源、财务能力、组织以及面临的情况进行分析。信息系统建设,必须从规划阶段就把安全建设融入进去,这样能够把安全建设的成本降到最低,把节约出来的成本,用于后续运营管理中的安全建设。

    在信息安全建设过程中有几个事项需要重点注意:要加强制度建设和落实,完善组织架构,注重员工安全的培训;技术方面,我们加强网络边界安全、PC的安全、服务器的安全、 4G网络发展带来的移动端的安全;随着工业4.0的普及,工控系统的网络安全风险其实更严重;还有数据库管理员、软件开发人员,往往只关注软件的功能可用性,可靠性、很少考虑软件系统的安全性。

    东莞台心医院徐上海:网络环境风云变幻下,信息安全任重而道远

    信息安全建设三方面规划

    东莞台心医院徐上海:网络环境风云变幻下,信息安全任重而道远

    一、基础保障:建体系,搭围墙——建立信息安全组织、向高层要网络安全政策,向员工完善信息安全意识培训内容。自己做好网络安全,如边界安全建设、数据中心软硬件、策略配置。二、纵深防御:梳理数据资产、建立好保险柜,保护好企业的数据资产——加强数据库、数据文件等资产的安全防护管理,加强策略配置,堵内网安全漏洞。三、加强运营保障、主动出击加强安全运营管理:建立安全运营中心、定期开展应急演练、对软件开发和数据库管理加强安全的白盒或黑盒测试。如果经费充裕,尽量实现运维的自动化,解放信息管理人员的双手,把时间用于自我能力的提升。

    基础保障的项目建设阶段,除了终端、内外部边界、数据中心的建设,还有制度建设方面要查漏补缺,注重木桶效应中最弱的部分。基础设施建设外,建立条件建立情报中心、资产管理和软件工程的服务中心,形成全面的管理。做好规划后,在询商时,我们可以根据资金预算做分析,哪些工作包是内部团队能够实现的,哪些工作包需要外包。然后对管理技术和自身价值两方面进行平衡,保证把钱用到刀刃上,在信息项目建设中能够提升信息人员的技能。

    员工培训,对管理层高层管行政管理部门以及外部的供应商,外面执法机构对我们的要求融合着信息安全的体系,我们通过多种渠道,如做些宣传手册,包含一些日常的工作及生活中常遇到的信息安全事例。同时还可以进行应急演练或知识竞赛,或者借助日常生活如资金被盗以及网贷事件等机会给他们灌输信息安全的知识。针对IT人员,要引导他们在日常工作中加强信息安全的学习和培训 ,鼓励他们考些信息安全方面的证书,形成信息安全的学习氛围。

  • 台心医院徐上海:台心医院在信息安全建设及五大注意点

    东莞台心医院徐上海:网络环境风云变幻下,信息安全任重而道远

    第一是制度方面。我们成立了信息委员会,委员会包含了从院长到每一个科室主任。信息安全委员会主任委员由院长担任,各副院长任常务委员,各科室主任任委员。并实行例会制度,常务会议每月一 次,成员为主任委员和常务委员,讨论信息方面当前存在的问题和需要新建、改建、升级等的相关事项,信息委员会的必须半年举行一次,成员为所有信息委员会组成人员,讨论信息化建设方面的重大事项,及汇报主要工作。让大家一起参与信息化的建设。我们通过信息管理委员会的秘书室进行分析,分析之后需要进一步讨论的,会提交给常务委员会来决策,这样有机会把信息化建设更好的融入到企业的整体战略。同时也便于制订及不断完善信息化的发展战略。

    第二是技术方面。医院网络相对于企业环境更复杂,除了连互联网,还要连卫健局、银行、社保, 结算业务。同时内网部分连着我们的检查检验设备,这些设备通过他们科室自主申报的网络连接了互联网,厂商进行远程定期巡检、系统维护,如同企业的工控设备。检验检查设备的安全是最容易忽略的,我们在其设备接入口配置了应用层防火墙,仅开放需要使用的端口。

    数据中心区域,我们根据业务或功能性质对网络进行逻辑隔离,哪些是业务服务器,哪些是管理服务器,邮件服务器,文件服务器、设备管理区域等。各区域间只能根据业务需求开放指定的端口进行数据交换,这样不会因为某一个区域出现问题而影响另一个区域。同时我们会做双机冗余,在一台设备宕机的时候,另外一个设备能够接管它的业务。存储方面,实行“321”原则(即一份数据,两个地方备份,3份副本),因为我们的所有业务完全依赖信息系统,因此我们的虚拟化服务器存储也实行双冗余架构。日志审计的平台,原始的服务器巡检一百多台要投入两个人每天巡检,很浪费人力物力。基于此我们开发了自助的日志服务器平台和监控平台,能够时刻监控,出现问题的时候手机能够及时进行提醒,并且我们要求对日志服务器平台以及配置文件定期做备份,同时根据风险等级定期做恢复测试。

    第三是教育训练。任何岗位的员工入职第一天即对其进行信息安全教育。平时把网络安全知识做成视频投放在显示屏上,坐在就诊大厅以及办公室都能看到信息安全教育视频。

    东莞台心医院徐上海:网络环境风云变幻下,信息安全任重而道远

    信息安全建设五大注意点

    东莞台心医院徐上海:网络环境风云变幻下,信息安全任重而道远

    首先,注重数据的备份。信息数据已经成为企业的资产,一定要做好备份,有备份时,一切都可以重新再来。假如数据没有了,特别是研发型的企业,那么数据的丢失对于企业而言可能会面临倒闭的风险。

    第二,注重安全的治理。定期或者持续做风险评估和脆弱性分析,做脆弱性分析的时候,我们要分析现在存在什么样的安全风险?这个安全风险会不会对我们的网络运行环境以及业务造成影响?根据这个影响等级进行定性、定量的数据分析之后,做出轻重缓急的处置,当前不处理的风险,定期做好监控和跟踪。

    第三,注重应急响应。出现风险的情况下,我们怎样引导业务科室在没有信息系统的情况下进行作业,否则因为系统的宕机造成业务瘫痪造成业务的停顿;建立应急响应处置流程,发生网络安全事件时,能够在最短的时间内,及时恢复业务。

    第四,注重风险意识的培训。IT人员内部的疏忽是我们最疏于防范的。现在的一体机、台式机、笔记本,都是带WIFI模块,而我们IT人员又喜欢把办公配置的笔记本电脑下班后带回家使用,回家后老婆、小孩又一起使用,第二天匆匆忙忙抱起笔记本又往办公室跑,一回办公室又接入企业内网环境。信息科电脑,大家又为了方便使用,权限设置到最大,企业网络中任何系统都无往而不至,如果一台电脑失陷,整个网络全部歇菜。因此,必须严于律己。信息科做到权责分工,分等级管理,遵循“给且只给必须的权限”,并相互监督、审查。

    第五,注重多方位管理。大家常说信息安全七分靠管理,三分靠技术。因此我们要从高层到中层到用户层再到外围客户进行一个全方位的管理,并且要紧抓科室内部的运维管理。总结起来我们从技术体系、管理体系、运营体系三方面融合,做到安全的可视持续性,业务的协作紧密性,实现对工作的持续保护,对外的合规合法,把自己的风险降到最低。

1 2

更多

分享到微信 ×

打开微信,点击底部的“发现”,
使用“扫一扫”即可将网页分享至朋友圈。