信息安全等级保护2.0即将来临 医院运维人员是如何看待呢
2019年后半年准备实施信息安全等级保护2.0,对等级保护2.0,对于信息机房提了不少需求,所以作为医院运维人员来说,我们也深深感受到信息安全重要性,我看了技术要求,也提出几点自己看法。
在跟进传统机房建设过程中,从等级保护1.0到现在2.0来看,国家对新生大数据,云计算提了不少要求,我们也发现现在信息发展迅速,安全成了最重要一环,我们在医疗行业,我们要保证医院业务系统稳定运作,同时也要保证数据完整,数据保密以及信息安全。从标准来看,三级等保要求提了很多我们面临风险。
一、物理安全
我们要考虑机房选址,不能在地下室或者顶层,因为顶层可能会漏水,地下室会回潮,如果要建设,就必须做好这类风险防御工作。要具备门禁系统,还要对进出人员识别,也就是说不单纯是门禁系统,你还得具备防盗报警系统。要安装防雷保安器;分区域管理,区域之间要有隔离防火;防静电措施之外,对于设备你要配置防静电手环等等;电力方面也增强了,需要冗余;有些关键设备还得电磁防护等。所以说机房物理安全性是加强。
二、网络安全
网络安全,对于架构来说,要满足医院高峰期业务处理能力和带宽,所以对医院这么庞大业务信息,网络架构需要升级。线路上也要做冗余,我们在运维发现,一旦汇聚主干线出现故障,就全面瘫痪,因此在这块也加强线路冗余。传输过程数据加密以及可信验证。在边界防护上,也会加强非授权设备限制,内部用户非法访问行为限制等等。对于数据访问也上升协议限制;网络入侵防范也作出相关要求。
三、主机安全、应用安全
这些安全性,也加强安全计算环境,通过身份鉴别、访问控制、入侵防范、恶意代码、可信验证、数据完整性等等,进行相关防范管理。
四、数据安全及备份恢复
信息安全,更重要是数据能否安全,我们数据对于医院来说是非常宝贵的,因此在这块备份恢复措施,目的就需要保证我们数据安全。因此我们要求数据要实时备份,重要数据还需要热冗余,可见,我们不单纯备份策略,还得升级备份措施。避免数据修改,关键参数需在线更新。
五、安全管理制度、机构、人员安全、系统建设以及运维管理
除了我们防御,我觉得2.0更偏重信息安全管理,网络和系统安全管理制度不单纯是安全策略、配置管理、日常操作、账户管理、日志管理、口令更新周期、升级补丁,还必须要有安全事件处置制度,我们可疑事件上报流程等等,另一方面,也强调了信息安全管理专职人员,不可兼任,突出专人管理,加强安全管理制度有效实施,在机构上配置人员,必须具备系统管理员、审计人员以及安全员等。对于人员离岗,都要形成制度,恰恰是我们忽视安全点,人员安全管理必须签订相关保密协议,关键岗位设置责任协议,离任办理严格离岗手续,保密义务等等,对于隐蔽检查点都要提供维修工具,巡检报告、维护记录等等,可见安全管理制度更加严格。
从等级2.0标准来看,我们也认识到安全重要性,以往我们测评关心防御体系建设,现在不单是做好防御体系,更需要安全管理持续性。