移動端


當(dāng)前位置:興旺寶>資訊首頁> 地方新聞
閱讀排行 更多
企業(yè)直播 更多
推薦展會 更多

推動網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估試點,來看浦東這個優(yōu)秀案例

2024-07-27 14:24:51來源:浦東發(fā)布 閱讀量:25 評論

分享:

導(dǎo)讀:為貫徹落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《上海市數(shù)據(jù)條例》等法律法規(guī),推動建立我市網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估機制,提升全市數(shù)據(jù)安全防護(hù)能力和水平,2023年8月至12月,市委網(wǎng)信辦會同中國電子技術(shù)標(biāo)準(zhǔn)化研究院、上海市信息安全測評認(rèn)證中心成立試點工作組,組織開展了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估試點工作,遴選出一批試點優(yōu)秀單位和試點優(yōu)秀案例。

  為貫徹落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》《上海市數(shù)據(jù)條例》等法律法規(guī),推動建立我市網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估機制,提升全市數(shù)據(jù)安全防護(hù)能力和水平,2023年8月至12月,市委網(wǎng)信辦會同中國電子技術(shù)標(biāo)準(zhǔn)化研究院、上海市信息安全測評認(rèn)證中心成立試點工作組,組織開展了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估試點工作,遴選出一批試點優(yōu)秀單位和試點優(yōu)秀案例。
 
  分享浦東新區(qū)衛(wèi)生健康委、浦東新區(qū)區(qū)委網(wǎng)信辦、浦東新區(qū)大數(shù)據(jù)中心試點優(yōu)秀案例——《技術(shù)創(chuàng)新賦能風(fēng)險評估管理》。
 
  二、案例概述
 
  本案例在網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估過程中創(chuàng)新性地運用了多種技術(shù)手段和工具,如使用數(shù)據(jù)分類分級工具進(jìn)行數(shù)據(jù)資產(chǎn)測繪、對分類分級的準(zhǔn)確性進(jìn)行校驗,運用數(shù)據(jù)分析工具發(fā)現(xiàn)敏感數(shù)據(jù)、判斷在開放過程中是否進(jìn)行脫敏控制,通過滲透測試工具發(fā)現(xiàn)數(shù)據(jù)系統(tǒng)的漏洞等,并取得預(yù)期效果。風(fēng)險評估結(jié)合多類型技術(shù)工具可以發(fā)現(xiàn)一些深層次或者具有隱蔽性的安全威脅,有助于準(zhǔn)確定位風(fēng)險隱患,對確定防護(hù)策略、預(yù)防風(fēng)險具有指導(dǎo)意義。
 
  三、案例展示
 
  技術(shù)創(chuàng)新賦能風(fēng)險評估管理 (節(jié)選)
 
  01
 
  被評估系統(tǒng)基本情況
 
  本案例中被評估系統(tǒng)“浦東衛(wèi)健康”,是浦東新區(qū)“互聯(lián)網(wǎng)+”益民服務(wù)的微信公眾號平臺,為居民提供預(yù)約診療、當(dāng)日掛號等便捷的就醫(yī)和查詢服務(wù)。服務(wù)對象為具有浦東新區(qū)區(qū)屬醫(yī)療機構(gòu)就醫(yī)需求的居民。
 
  02
 
  評估目的
 
  對于數(shù)據(jù)安全治理工作而言,數(shù)據(jù)安全風(fēng)險評估是實施數(shù)據(jù)安全建設(shè)的基礎(chǔ)性工作,“浦東衛(wèi)健康”是浦東新區(qū)醫(yī)療衛(wèi)生行業(yè)具備一定代表性的信息系統(tǒng),對這種復(fù)雜系統(tǒng)開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估,目的在于:一是準(zhǔn)確識別風(fēng)險隱患,掌握系統(tǒng)數(shù)據(jù)安全總體狀況;二是全方位分析,梳理共性問題,為新區(qū)各醫(yī)療機構(gòu)提供風(fēng)險警示和整改建議;三是試點探路,分享經(jīng)驗,為下一步全面推廣重要信息系統(tǒng)數(shù)據(jù)安全風(fēng)險評估提供示范指導(dǎo)。
 
  03
 
  評估對象和范圍
 
  本次評估以“數(shù)據(jù)安全”為核心,從數(shù)據(jù)資產(chǎn)出發(fā),結(jié)合業(yè)務(wù)場景對“浦東衛(wèi)健康”相關(guān)的數(shù)據(jù)安全管理、數(shù)據(jù)處理活動情況、數(shù)據(jù)安全技術(shù)風(fēng)險及個人信息處理風(fēng)險進(jìn)行評估,發(fā)現(xiàn)潛在的風(fēng)險隱患,防范數(shù)據(jù)安全風(fēng)險,保障數(shù)據(jù)有效保護(hù)、合法利用、有序流通。
 
  04
 
  評估工作的組織
 
  本次試點評估工作先由浦東衛(wèi)生發(fā)展研究院組建技術(shù)團(tuán)隊先開展自評估,再邀請第三方專業(yè)機構(gòu)開展復(fù)核評估。上級主管單位浦東新區(qū)衛(wèi)生健康委全程參與本次評估組織推進(jìn)工作,浦東新區(qū)區(qū)委網(wǎng)信辦、區(qū)大數(shù)據(jù)中心提供指導(dǎo)和技術(shù)支撐,保障了本次評估工作高效、高質(zhì)量完成。
 
  05
 
  評估流程安排
 
  為了確保實施試點工作的順利推進(jìn),在評估工作開始前,評估小組制定了“浦東衛(wèi)健康”的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估工作計劃,計劃共包括評估準(zhǔn)備、信息調(diào)研、風(fēng)險識別、風(fēng)險分析、評估總結(jié)五個部分,按照相關(guān)時間節(jié)點做好工作推進(jìn),確保試點成效。
 
  06
 
  評估工具的使用
 
  充分運用技術(shù)工具,以技術(shù)創(chuàng)新賦能風(fēng)險評估管理是本案例的主要特色。
 
  本次數(shù)據(jù)安全評估使用了復(fù)合型、多層次的技術(shù)工具開展相應(yīng)的檢測評估工作:
 
  1)分類分級評估工具
 
  本次評估時考慮醫(yī)療衛(wèi)生行業(yè)的特殊性、復(fù)雜性,為了保障評估的準(zhǔn)確性,選擇了不同品牌的分類分級工具輔助開展自動掃描或手動配置網(wǎng)絡(luò)中各類數(shù)據(jù)資產(chǎn)存儲系統(tǒng),包括數(shù)據(jù)庫、大數(shù)據(jù)平臺、文件服務(wù)器等,通過掃描數(shù)據(jù)資產(chǎn)內(nèi)容,比對數(shù)據(jù)資產(chǎn)目錄,復(fù)核“浦東衛(wèi)健康”前期已經(jīng)開展的分類分級的有效性和準(zhǔn)確性。參考工具實施測繪的結(jié)果,發(fā)現(xiàn)了一些未歸集的字段、數(shù)據(jù)表,結(jié)合評估的建議,“浦東衛(wèi)健康”系統(tǒng)對數(shù)據(jù)資產(chǎn)進(jìn)行了更新,優(yōu)化調(diào)整了數(shù)據(jù)目錄,完善了系統(tǒng)的分類分級工作。
 
  2)端口掃描評估工具
 
  “浦東衛(wèi)健康”系統(tǒng)為互聯(lián)網(wǎng)類業(yè)務(wù)系統(tǒng),評估中結(jié)合了端口掃描工具對系統(tǒng)服務(wù)器(互聯(lián)網(wǎng)出口IP地址)進(jìn)行對應(yīng)的端口掃描,探索發(fā)現(xiàn)潛在的安全漏洞和攻擊面。通過端口掃描,可以有效地識別“浦東衛(wèi)健康”系統(tǒng)開放的端口,及時發(fā)現(xiàn)和關(guān)閉未經(jīng)授權(quán)的服務(wù)或遠(yuǎn)程訪問通道,可以降低系統(tǒng)受到攻擊的可能性,從而及時采取相應(yīng)的防御措施,保障業(yè)務(wù)安全運行。
 
  3)漏洞掃描評估工具
 
  主機和應(yīng)用系統(tǒng)的漏洞掃描是最基礎(chǔ)的評估手段,本次評估通過某品牌漏洞掃描系統(tǒng)多維度開展主機安全掃描、網(wǎng)站安全掃描、數(shù)據(jù)安全掃描、弱口令發(fā)現(xiàn)和基線配置核查,發(fā)現(xiàn)主機、應(yīng)用系統(tǒng)和安全設(shè)備可能存在的網(wǎng)絡(luò)安全漏洞,再用基礎(chǔ)掃描工具開展Web掃描,檢測常見的WEB應(yīng)用漏洞。兩種掃描工具結(jié)合既是補充也是對比,可以充分發(fā)現(xiàn)基礎(chǔ)安全漏洞。及時加固整改,可以有效地降低系統(tǒng)被攻擊的風(fēng)險,防止惡意用戶或程序利用漏洞進(jìn)行未經(jīng)授權(quán)的訪問或損害信息系統(tǒng)的行為。
 
  4)數(shù)據(jù)加密評估工具
 
  評估時為了驗證“浦東衛(wèi)健康”系統(tǒng)是否采用了加密措施,通過技術(shù)工具抓取密文返回包,識別并判斷其使用的加密方式。在互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)上,未加密的數(shù)據(jù)傳輸容易受到中間人攻擊或竊聽等威脅,通過加密數(shù)據(jù)傳輸,可以有效防止數(shù)據(jù)在傳輸過程中被竊取或篡改,保障數(shù)據(jù)的機密性和完整性,可以確保數(shù)據(jù)只能被合法接收方解密并訪問,從而有效防止敏感信息的泄露。
 
  5)數(shù)據(jù)傳輸評估工具
 
  數(shù)據(jù)傳輸過程中可能存在多種潛在的安全風(fēng)險,包括數(shù)據(jù)泄露、篡改、攔截等。本次評估時使用了技術(shù)工具評估應(yīng)用層的數(shù)據(jù)傳輸加密情況以及數(shù)據(jù)傳輸過程中的安全性。通過工具論證數(shù)據(jù)傳輸中的風(fēng)險,識別潛在的風(fēng)險隱患,可以有針對性地采取相應(yīng)的安全措施,減少數(shù)據(jù)傳輸過程中的安全風(fēng)險。
 
  07
 
  風(fēng)險分析
 
  綜合安全評估工具應(yīng)用和人工分析,本次風(fēng)險評估主要對數(shù)據(jù)安全管理情況、數(shù)據(jù)處理活動情況、數(shù)據(jù)安全技術(shù)情況、個人信息處理情況4大類風(fēng)險情況進(jìn)行識別,安全評估共發(fā)現(xiàn)10類風(fēng)險隱患,包括:未進(jìn)行分級準(zhǔn)確性校驗、數(shù)據(jù)字段未更新,脫敏數(shù)據(jù)管理不規(guī)范及缺乏部分?jǐn)?shù)據(jù)安全防護(hù)措施等。
 
  08
 
  風(fēng)險評估成果
 
  依據(jù)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險評估實施指引逐項開展自評估工作。通過評估,對評估發(fā)現(xiàn)的問題梳理形成數(shù)據(jù)安全風(fēng)險清單,對存在的技術(shù)風(fēng)險制定出可行的整改計劃,評估過程中的臺賬、制度、文檔等也形成了系列記錄報告,有力促進(jìn)了領(lǐng)域數(shù)據(jù)安全管理體系的建立和完善。
 
  09
 
  下一步思考和探索
 
  “浦東衛(wèi)健康”數(shù)據(jù)安全風(fēng)險評估充分使用分析評估工具,對深層的、隱含的、過程中的數(shù)據(jù)進(jìn)行了測繪、分析和評估,有效達(dá)成了評估的目的,我們將在行業(yè)內(nèi)推動風(fēng)險評估技術(shù)工具的使用,助力數(shù)據(jù)安全評估的推廣和安全風(fēng)險的控制,提升全行業(yè)對數(shù)據(jù)安全風(fēng)險的防范能力,確保重要數(shù)據(jù)、敏感數(shù)據(jù)和個人信息的有效保護(hù)和合法利用。
 
  未來市委網(wǎng)信辦還計劃推進(jìn)以下兩項工作:一是探索數(shù)據(jù)合作安全保護(hù)機制,有條件的開展供應(yīng)鏈(數(shù)據(jù)合作方)的數(shù)據(jù)安全保障能力動態(tài)評估,全方面評價合作方的數(shù)據(jù)安全保護(hù)能力,對數(shù)據(jù)合作方的安全保護(hù)能力進(jìn)行核驗,并采取必要的安全保護(hù)措施。二是以醫(yī)療機構(gòu)與第三方共享數(shù)據(jù)的安全與隱私保護(hù)為核心,評估現(xiàn)有數(shù)據(jù)共享過程中存在的安全風(fēng)險和隱私泄露風(fēng)險,結(jié)合安全技術(shù)和隱私保護(hù)方法的研究,設(shè)計數(shù)據(jù)共享安全機制,并進(jìn)行實驗驗證和評估。
版權(quán)與免責(zé)聲明:1.凡本網(wǎng)注明“來源:興旺寶裝備總站”的所有作品,均為浙江興旺寶明通網(wǎng)絡(luò)有限公司-興旺寶合法擁有版權(quán)或有權(quán)使用的作品,未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,并注明“來源:興旺寶裝備總站”。違反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。 2.本網(wǎng)轉(zhuǎn)載并注明自其它來源(非興旺寶裝備總站)的作品,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點或和對其真實性負(fù)責(zé),不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。其他媒體、網(wǎng)站或個人從本網(wǎng)轉(zhuǎn)載時,必須保留本網(wǎng)注明的作品第一來源,并自負(fù)版權(quán)等法律責(zé)任。 3.如涉及作品內(nèi)容、版權(quán)等問題,請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系,否則視為放棄相關(guān)權(quán)利。
我來評論

昵稱 驗證碼

文明上網(wǎng),理性發(fā)言。(您還可以輸入200個字符)

所有評論僅代表網(wǎng)友意見,與本站立場無關(guān)

    相關(guān)新聞