-
基于等级保护2.0标准体系的医院信息化安全建设与研究
医疗行业是勒索病毒威胁的重点目标,患者单体数据价值较高,病案和药物则成为数据泄密的主要内容,由此建立安全的网络架构尤为重要。2007年,公安部等四部门印发了《信息安全等级保护管理办法》(以下简称“等保1.0”),为信息安全建设提供了框架标准的具体要求。在相关政策文件基础上,原卫生部在2011年发布的《卫生行业信息安全等级保护工作的指导意见》中明确指出,三级甲等医院的核心业务系统必须通过等保的三级安全测评。近些年来,随着云计算、移动互联和物联网等的发展,既往的安全架构面临越来越多的挑战,医疗机构中…
-
科普|怎么理解 IaaS、SaaS 和 PaaS 的区别?
我们从SaaS、PaaS、IaaS的定义、工业应用以及具体案例几方面来介绍他们之间的区别一、定义层面的区别 SaaS、PaaS、IaaS简单的说都属于云计算服务,也就是云计算+服务。 我们对于云计算的概念,维基百科有以下定义:Cloud computing is a new form of Internet-based computing that provides shared computer processing resources and data to computers …
-
等保2.0 | 过等保测评 岗位职责、权限划分设计思路
一、设计思路 1.1 三员及权限的理解 系统管理员:主要负责系统的资源和运行进行配置、控制和管理,包括用户身份、系统资源配置、系统加载和启动、系统运行的异常处理、数据和设备的备份与恢复等。 审计管理员:主要负责对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 安全管理员:主要对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 1.2 三员之三权 废除超级管理员, 三员是三角色也是三人,…
-
【等保2.0】2021必须了解的40个问题
为了让有过保需求的客户能够更全面地了解当前的等保测评机制、以及针对性进行2021年等保合规建设,梳理了等级保护常见的40个问题,以供参考。 Q1:什么是等级保护? 答:等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。 Q2:什么是等级保护2.0? 答…
-
渗透测试 | 漏洞扫描工具整理
内容来源:今日头条科技兴 渗透测试收集信息完成后,就要根据所收集的信息,扫描目标站点可能存在的漏洞了,包括我们之前提到过的如:SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等,通过这些已知的漏洞,来寻找目标站点的突破口,在这之前我们可能就已经接触过许多漏洞靶场,练习过各种漏洞的攻击方法,其实这种练习是不合理的,原因就是缺少了前期的信息收集和漏洞扫描,明确告诉了你站点的所有信息和所存在的漏洞,我们只需要根据具体漏洞,对症下药就可以了,其实对于一次真正意义上的渗透测试…
-
国家广电总局关于发布《广播电视网络安全等级保护定级指南》 行业标准的通知
广电发〔2020〕82号 各省、自治区、直辖市广播电视局,新疆生产建设兵团文化体育广电和旅游局,中国广播电视网络有限公司,广电总局无线局、监管中心、卫星直播中心、广科院、规划院、中广电设计院,中央广播电视总台办公厅、电影频道节目中心: 国家广播电视总局组织审查了《广播电视网络安全等级保护定级指南》《数字电视卫星传输信道编码和调制规范》等两项标准文件,现批准为中华人民共和国广播电视和网络视听推荐性行业标准,予以发布。 标准编号为: GY T 337-2020《广播电视网络安全等级保护定级指南》.p…
-
报业网络安全等级保护定级参考指南V2.0发布 (附下载)
近期,《报业网络安全等级保护定级参考指南V2.0》正式发布。 该指南由中国新闻技术工作者联合会组织网络安全领域的专家、报业技术专家以及业务专家经过多次调研、学习、探讨后,在原《报业网络安全等级保护定级参考指南V1.0》的基础上,根据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》等标准文件,同时结合了报业的实际业务情况起草完成的,具有很高的行业指导价值。 该指南描述了报业等级保护对象…
-
互联网医院网络安全等保建设方案
背景概述 互联网医院指的是以互联网为载体和技术手段的健康教育、医疗信息查询、电子健康档案、疾病风险评估、在线疾病咨询、电子处方、远程会诊、及远程治疗和康复等多种形式的健康医疗服务,而互联网医院就是互联网医疗的载体和平台。 互联网医院构建了一种全新的医疗服务模式,赋予了医疗监管机构、医疗服务机构、医生、医疗企业、患者新功能,重构了医疗健康价值网络,尝试着解决“医疗不可能三角”难题。 在医疗服务中,价格低廉、便利、高水平,组成一个“不可能三角”,意思是我们只能享有其中的1-2点,而不可能三者兼得。中…
-
【等保2.0】扩展项 移动安全防护
在没有网络安全就没有国家安全的新形势下,网络安全等级保护制度2.0,已于2019年12月1日正式实施,安全保护要求全面升级,针对移动互联提出了明确的安全扩展要求。 如何构建移动安全 移动互联技术等级保护对象和…
-
等级保护、风险评估和安全测评三者的区别
文章来源|等级保护测评师 等级保护、风险评估和安全测评三者的区别和联系都有哪些?本篇我们从基础的概念说起,一起搞清楚他们之间的关系 三者的基本概念和工作背景 A. 等级保护 基本概念:信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件等等级响应、处置。这里所指的信息系统,是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对…
