《信息系统安全培训》由会员分享,可在线阅读,更多相关《信息系统安全培训(15页珍藏版)》请在金锄头文库上搜索。
1、信息系统安全,徐志峰 厦门市智业软件工程有限公司,由NordriDesign提供 ,信息系统安全,参考文献 计算机信息系统-安全保护等级划分准则GB 17859-1999 信息系统安全等级保护实施指南 GB/T 信息系统安全等级保护定级指南GB/T 222402008 信息安全技术-信息系统安全等级保护基本要求 GB/T 222392008 医疗机构信息系统安全等级保护基本要求,信息系统安全,主题 信息系统安全基本要求 信息系统安全等级划分 信息系统安全技术要求 信息系统安全管理要求 医疗机构信息系统安全等级保护 安全模型 安全威胁 安全目标 安全基本要求,信息系统安全基本要求,信息系统安全等
2、级划分第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级,信息系统安全基本要求,技术要求 物理安全:物理位置,物理访问控制,防盗窃和破坏,防雷击,防火等。 网络安全:结构安全,访问控制,安全审计,入侵防范,恶意代码防范等。 主机安全:身份鉴别,访问控制,安全审计,入侵防范,恶意代码防范,资源控制等。 应用安全:身份鉴别,访问控制,安全审计,抗抵赖,软件容错等。 数据安全与备份恢复:数据完整性,数据保密性,备份与恢复。,信息系统安全基本要求,管理要求 安全管理制度:管理制度,制定与发布,评审与修订。 安全管理机构:岗位设置,人员配
3、备,授权与审批,沟通与合作,审核与检查。 人员安全管理:人员录用,人员离岗,人员考核,安全意识教育与培训,外部人员访问管理。 系统建设管理:系统定级,安全方案设计,产品采购与使用,工程实施,测试、验收与交付。 系统运维管理:环境管理,介质管理,设备管理,监控管理和安全管理中心,网络安全管理,系统安全管理,密码管理,备份和恢复管理,安全事件处理,应急预案管理。,医疗机构信息系统安全保护,安全模型 技术模型,医疗机构信息系统安全保护,管理模型,医疗机构信息系统安全保护,安全威胁 硬件安全危险,医疗机构信息系统安全保护,软件安全威胁,医疗机构信息系统安全保护,人员误操作安全威胁,医疗机构信息系统安全保护,恶意安全威胁,医疗机构信息系统安全保护,安全目标 医疗机构信息系统的安全保护能力主要体现为:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能(例如:15分钟内故障无法排除应启动应急预案,及时恢复对外服务,如门急诊挂号收费服务)。,医疗机构信息系统安全保护,安全要求,感谢您的关注,