12月9日消息(章葭)12月7日,以“禾云神話 智護(hù)未來”為主題的“中國移動(dòng)可信賦能網(wǎng)絡(luò)研討暨網(wǎng)絡(luò)安全峰會(huì)”在昆明舉辦。峰會(huì)由中國移動(dòng)研究院和中國移動(dòng)云南公司共同主辦,邀請(qǐng)到產(chǎn)、學(xué)、研、用等各界嘉賓,共同探討數(shù)字經(jīng)濟(jì)時(shí)代新基建背景下的網(wǎng)絡(luò)安全挑戰(zhàn)與機(jī)遇,推動(dòng)“5G+安全”體系建設(shè),共建網(wǎng)絡(luò)安全生態(tài)。
會(huì)上,廣州中山大學(xué)附屬第一醫(yī)院信息數(shù)據(jù)中心主任張武軍就新形勢(shì)下醫(yī)院網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)與應(yīng)對(duì)進(jìn)行了分享。他認(rèn)為,智慧醫(yī)院、互聯(lián)網(wǎng)醫(yī)院的建設(shè)對(duì)網(wǎng)絡(luò)安全提出了更高的要求,但現(xiàn)今的醫(yī)院網(wǎng)絡(luò)安全建設(shè)目標(biāo)定得太低,網(wǎng)絡(luò)安全運(yùn)作模式、能力建設(shè)面臨嚴(yán)重挑戰(zhàn)。對(duì)此,張武軍提出了醫(yī)院網(wǎng)絡(luò)安全工作的指導(dǎo)思想和治理思路,即通過網(wǎng)絡(luò)安全保障體系架構(gòu)設(shè)計(jì),網(wǎng)絡(luò)安全組織體系建設(shè),建立全員網(wǎng)絡(luò)安全責(zé)任制來循序漸進(jìn)地推進(jìn)網(wǎng)絡(luò)安全治理。
背景與現(xiàn)狀:智慧醫(yī)院對(duì)網(wǎng)絡(luò)安全提出更高要求
近年來醫(yī)療行業(yè)按照法規(guī)要求,加強(qiáng)了網(wǎng)絡(luò)安全保障能力的建設(shè),但是,出于利益驅(qū)使或防護(hù)不當(dāng)?shù)葐栴},網(wǎng)絡(luò)攻擊事件仍接連發(fā)生,給醫(yī)療行業(yè)帶來巨大損失,醫(yī)院的網(wǎng)絡(luò)安全仍然面臨較高風(fēng)險(xiǎn)。如今,網(wǎng)絡(luò)安全升格為國家戰(zhàn)略,監(jiān)管手段和方法都在發(fā)生變化。網(wǎng)絡(luò)安全法徹底改變了醫(yī)院網(wǎng)絡(luò)安全工作的性質(zhì)。隨著網(wǎng)絡(luò)安全法律、法規(guī)、標(biāo)準(zhǔn)持續(xù)出臺(tái),國家網(wǎng)絡(luò)安全治理體系也在不斷完善,“個(gè)人信息保護(hù)法”、“數(shù)據(jù)安全法”等,將對(duì)醫(yī)院帶來嚴(yán)峻的數(shù)據(jù)安全合規(guī)壓力。
因此,智慧醫(yī)院、互聯(lián)網(wǎng)醫(yī)院的建設(shè)對(duì)網(wǎng)絡(luò)安全提出了更高的要求。智慧醫(yī)院的建設(shè),將匯集“大數(shù)據(jù)、云計(jì)算、互聯(lián)網(wǎng)+、人工智能、物聯(lián)網(wǎng)”等技術(shù),實(shí)現(xiàn)醫(yī)院管理、科室建設(shè)、醫(yī)院信息化臨床科研、分級(jí)診療、遠(yuǎn)程醫(yī)療、醫(yī)聯(lián)體構(gòu)建、智慧后勤、智慧運(yùn)維、智慧通信、健康管理、移動(dòng)互聯(lián)的應(yīng)用創(chuàng)新。構(gòu)建醫(yī)療健康大數(shù)據(jù)和基于醫(yī)療健康大數(shù)據(jù)的運(yùn)營,是新時(shí)期醫(yī)院的重大轉(zhuǎn)型機(jī)遇。
張武軍表示,智慧醫(yī)院網(wǎng)絡(luò)安全與信息化的關(guān)系就是“1”和“0”。沒有前面的“1”,“0”數(shù)量再多也還是“0”。臨床、科研、遠(yuǎn)程醫(yī)療、分級(jí)診療、醫(yī)聯(lián)體、后勤管理、健康管理等都要基于信息安全的前提上。
新技術(shù)的應(yīng)用以及來自內(nèi)部的威脅,給醫(yī)院帶來了更多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。近幾年,醫(yī)院也在大力發(fā)展“云、大、物、移、智、區(qū)塊鏈”等新技術(shù)、新應(yīng)用的發(fā)展。5G+物聯(lián)網(wǎng)醫(yī)療設(shè)備在醫(yī)院具有非常多的應(yīng)用場(chǎng)景,目前甚至在有些場(chǎng)景下已經(jīng)開始應(yīng)用。這些新技術(shù)、新應(yīng)用模式在設(shè)計(jì)之初并未完備考慮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。然而,傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力又不能完全適應(yīng)對(duì)這類場(chǎng)景的防護(hù)需求。
此外,據(jù)FBI和CIS等機(jī)構(gòu)聯(lián)合做的一項(xiàng)安全調(diào)查報(bào)告可知,超過85%的網(wǎng)絡(luò)安全威脅來自內(nèi)部,由于內(nèi)部人員違規(guī)行為所導(dǎo)致的損失是黑客所造成損失的16倍、病毒所造成損失的12倍,要確保內(nèi)部全員的行為合規(guī)任重道遠(yuǎn)。
困難與挑戰(zhàn):技術(shù)體系、運(yùn)作模式、能力建設(shè)等問題重重
經(jīng)過近些年的網(wǎng)絡(luò)安全建設(shè),醫(yī)院的網(wǎng)絡(luò)安全保障能力普遍有較好的改觀,但是,現(xiàn)今的網(wǎng)絡(luò)安全建設(shè)目標(biāo)仍定得太低,還是以合規(guī)為主,醫(yī)院內(nèi)部的網(wǎng)絡(luò)安全運(yùn)作模式?jīng)]有顯著變化。
網(wǎng)絡(luò)安全技術(shù)體系經(jīng)過多年建設(shè)在物理、網(wǎng)絡(luò)、邊界、設(shè)備、應(yīng)用、數(shù)據(jù)等安全方面部署了相應(yīng)的技術(shù)手段,發(fā)揮了重要作用。但由于分批、分期建設(shè),技術(shù)體系形成“孤島式”技術(shù)防護(hù)現(xiàn)狀,缺乏系統(tǒng)性、協(xié)同性,對(duì)安全風(fēng)險(xiǎn)反應(yīng)不及時(shí),難以應(yīng)對(duì)當(dāng)前內(nèi)外部安全威脅。同時(shí),安全建設(shè)需要統(tǒng)一規(guī)劃、統(tǒng)籌建設(shè)、集中運(yùn)營,但各安全管理體系又存在各自的局限性,且相互之間標(biāo)準(zhǔn)不統(tǒng)一,缺乏協(xié)同機(jī)制,難以滿足醫(yī)院網(wǎng)絡(luò)安全管理模式轉(zhuǎn)變的需要。此外,技術(shù)體系和管理體系又依賴于員工承擔(dān)保護(hù)其管理的信息和信息資產(chǎn)的責(zé)任,但是很多普通員工和管理者卻并不了解相關(guān)的信息安全行為規(guī)范和權(quán)責(zé)。
當(dāng)前,網(wǎng)絡(luò)安全運(yùn)作模式也面臨嚴(yán)重挑戰(zhàn)。張武軍稱,當(dāng)前運(yùn)作模式的主要特征為“玩不轉(zhuǎn)、玩不動(dòng)、玩不好、玩不溜”。“玩不轉(zhuǎn)”是因?yàn)镮T設(shè)施維護(hù)、安全運(yùn)營保障、終端維護(hù)、遠(yuǎn)程診療保障等工作事多人少;“玩不動(dòng)”是由于安全績(jī)效權(quán)力、問題處置權(quán)力、入網(wǎng)許可權(quán)力等權(quán)力小責(zé)任重;“玩不好”是問題多預(yù)算少:存在服務(wù)商能力不強(qiáng)、服務(wù)內(nèi)容不齊、安全工具不齊全、安全工具不強(qiáng)的問題;“玩不溜”則是跨部門、跨崗位帶來的管理系統(tǒng)三同步、系統(tǒng)漏洞、數(shù)據(jù)防泄露、終端管理的問題。
網(wǎng)絡(luò)安全能力建設(shè)陷入瓶頸后,工作缺乏參照。當(dāng)前醫(yī)院安全能力建設(shè)缺乏領(lǐng)導(dǎo)的絕對(duì)支持、其它部門配合程度差、且安全責(zé)任矩陣不清晰、安全工作機(jī)制不科學(xué)、安全工作流程不規(guī)范、安全工作也缺乏標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全績(jī)效、業(yè)務(wù)系統(tǒng)三同步、數(shù)據(jù)安全治理、終端安全治理、安全能力協(xié)同、安全能力聯(lián)動(dòng)等安全能力都有欠缺。
在能力建設(shè)的頂層設(shè)計(jì)方面,安全工作缺乏統(tǒng)籌。目標(biāo)不明確、架構(gòu)不清晰、工作不成體系、能力彼此割裂;在安全責(zé)任方面,矩陣不明,安全團(tuán)隊(duì)唱獨(dú)角戲。全員安全意識(shí)弱、安全責(zé)任無法分解、安全績(jī)效無法落地、安全內(nèi)控難以推行;在機(jī)制流程方面,流程不暢導(dǎo)致安全工作推動(dòng)困難。跨崗位工作推動(dòng)難、跨部門工作推動(dòng)難、問題處置周期長、跨崗位工作推動(dòng)難;在日常工作方面,不注重基礎(chǔ)工作,落地不佳。IT資產(chǎn)梳理不清,安全運(yùn)維工作黑盒化、安全設(shè)備長期不調(diào)優(yōu)、漏洞和基線問題突出。
思考與實(shí)踐:治理過程要體系有效、行為合規(guī)、動(dòng)態(tài)可控、監(jiān)管有力
在明確網(wǎng)絡(luò)安全工作定位的基礎(chǔ)上,張武軍提出了醫(yī)院網(wǎng)絡(luò)安全工作的指導(dǎo)思想和治理思路。
其中,指導(dǎo)思想是需要滿足法規(guī)要求,應(yīng)對(duì)監(jiān)管壓力,同時(shí)從經(jīng)營風(fēng)險(xiǎn)管控目標(biāo)出發(fā),管控全局網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。治理思路上,首先要對(duì)相互獨(dú)立的安全管理體系進(jìn)行梳理、融合、完善,讓安全管理體系成為員工的行為準(zhǔn)則和約束;建設(shè)網(wǎng)絡(luò)安全工作最高門戶,從側(cè)重IT設(shè)備本身安全管控轉(zhuǎn)變?yōu)閷?duì)數(shù)據(jù)和人員行為的安全管控;從醫(yī)院的經(jīng)營風(fēng)險(xiǎn)管控目標(biāo)出發(fā),推導(dǎo)出安全的控制點(diǎn),將安全管理與日常運(yùn)營相結(jié)合,清晰全員的安全責(zé)任;在黨委領(lǐng)導(dǎo)下,以績(jī)效為抓手,通過技術(shù)手段解決面向全員的安全監(jiān)管難題,形成網(wǎng)絡(luò)安全高壓態(tài)勢(shì)。
治理過程中,要“體系有效”,從管理+技術(shù)+責(zé)任+抓手統(tǒng)籌著手,確保治理工作落地;“行為合規(guī)”:據(jù)不同角色的行為和場(chǎng)景進(jìn)行分類,識(shí)別出安全治理的要求和動(dòng)態(tài)控制點(diǎn);“動(dòng)態(tài)可控”:管理制度策略化,安全告警按責(zé)任告知、閉環(huán)處置;“監(jiān)管有力”:以績(jī)效為抓手,以數(shù)據(jù)為支撐,撬動(dòng)組織范圍內(nèi)的網(wǎng)絡(luò)安全工作。
在設(shè)計(jì)網(wǎng)絡(luò)安全保障體系架構(gòu)上,以“體系有效、行為合規(guī)、動(dòng)態(tài)可控、監(jiān)管有力”的指導(dǎo),適應(yīng)數(shù)字化轉(zhuǎn)型與智慧醫(yī)院建設(shè)網(wǎng)絡(luò)安全新需求,構(gòu)建“體系化、實(shí)戰(zhàn)化、常態(tài)化”的“新一代網(wǎng)絡(luò)安全保障體系”。
在網(wǎng)絡(luò)安全組織體系建設(shè)上,可參照其它行業(yè),優(yōu)化醫(yī)院“形式化”的網(wǎng)絡(luò)安全組織體系,重新定義各部門、全員的安全責(zé)任,打通業(yè)務(wù)部門和IT部門的壁壘,讓網(wǎng)絡(luò)安全組織體系能真正有效運(yùn)轉(zhuǎn)。
此外,要建立全員網(wǎng)絡(luò)安全責(zé)任制。“網(wǎng)絡(luò)安全人人有責(zé)”。再先進(jìn)的防御體系也“招架”不住“私搭WIFI”、“違規(guī)適用U盤”、“亂點(diǎn)郵件”、“弱口令”等高危行為。對(duì)IT人員、普通用戶、供應(yīng)鏈人員等建立責(zé)任制,是讓全員實(shí)現(xiàn)“行為合規(guī)”的前提。
張武軍表示,網(wǎng)絡(luò)安全治理不是眉毛胡子一把抓,而是將有限的資源用在刀刃上,有側(cè)重點(diǎn)的有序推進(jìn)。網(wǎng)絡(luò)安全治理也不是與所有人為敵,而是“服務(wù)與管理并重”,先把服務(wù)做好,再談管理他人。在安全治理推進(jìn)過程中,策略的選擇也應(yīng)該“循序漸進(jìn)”,“溫水煮青蛙”,否則很可能陷入“出身未捷身先死”的尷尬。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- VR和AR技術(shù)的未來趨勢(shì):重塑互動(dòng)與體驗(yàn)
- 6G技術(shù)和頻譜需求:解鎖下一代無線連接
- 關(guān)于數(shù)據(jù)存儲(chǔ)的四個(gè)驚人事實(shí)
- 千家周報(bào)|上周熱門資訊 排行榜(12月16日-12月22日)
- 建設(shè)智慧城市:將物流無人機(jī)融入城市基礎(chǔ)設(shè)施
- 人工智能如何推動(dòng)向私有云的轉(zhuǎn)變
- 【盤點(diǎn)】2024年,Open RAN“升咖”失敗
- 泡沫破滅:韓國SKT關(guān)閉元宇宙服務(wù)平臺(tái)
- 涉嫌違規(guī)失信行為 咪咕視訊遭軍采網(wǎng)暫停全軍采購資格
- 中信科移動(dòng)孫韶輝:6G通感算智融合,驅(qū)動(dòng)以用戶為中心的網(wǎng)絡(luò)變革
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。