移動(dòng)端


當(dāng)前位置:興旺寶>資訊首頁> 地方新聞
閱讀排行 更多
企業(yè)直播 更多
推薦展會(huì) 更多

推動(dòng)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估試點(diǎn),來看浦東這個(gè)優(yōu)秀案例

2024-07-27 14:24:51來源:浦東發(fā)布 閱讀量:33 評(píng)論

分享:

導(dǎo)讀:為貫徹落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《上海市數(shù)據(jù)條例》等法律法規(guī),推動(dòng)建立我市網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制,提升全市數(shù)據(jù)安全防護(hù)能力和水平,2023年8月至12月,市委網(wǎng)信辦會(huì)同中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、上海市信息安全測(cè)評(píng)認(rèn)證中心成立試點(diǎn)工作組,組織開展了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作,遴選出一批試點(diǎn)優(yōu)秀單位和試點(diǎn)優(yōu)秀案例。

  為貫徹落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《上海市數(shù)據(jù)條例》等法律法規(guī),推動(dòng)建立我市網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估機(jī)制,提升全市數(shù)據(jù)安全防護(hù)能力和水平,2023年8月至12月,市委網(wǎng)信辦會(huì)同中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、上海市信息安全測(cè)評(píng)認(rèn)證中心成立試點(diǎn)工作組,組織開展了網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作,遴選出一批試點(diǎn)優(yōu)秀單位和試點(diǎn)優(yōu)秀案例。
 
  分享浦東新區(qū)衛(wèi)生健康委、浦東新區(qū)區(qū)委網(wǎng)信辦、浦東新區(qū)大數(shù)據(jù)中心試點(diǎn)優(yōu)秀案例——《技術(shù)創(chuàng)新賦能風(fēng)險(xiǎn)評(píng)估管理》。
 
  二、案例概述
 
  本案例在網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估過程中創(chuàng)新性地運(yùn)用了多種技術(shù)手段和工具,如使用數(shù)據(jù)分類分級(jí)工具進(jìn)行數(shù)據(jù)資產(chǎn)測(cè)繪、對(duì)分類分級(jí)的準(zhǔn)確性進(jìn)行校驗(yàn),運(yùn)用數(shù)據(jù)分析工具發(fā)現(xiàn)敏感數(shù)據(jù)、判斷在開放過程中是否進(jìn)行脫敏控制,通過滲透測(cè)試工具發(fā)現(xiàn)數(shù)據(jù)系統(tǒng)的漏洞等,并取得預(yù)期效果。風(fēng)險(xiǎn)評(píng)估結(jié)合多類型技術(shù)工具可以發(fā)現(xiàn)一些深層次或者具有隱蔽性的安全威脅,有助于準(zhǔn)確定位風(fēng)險(xiǎn)隱患,對(duì)確定防護(hù)策略、預(yù)防風(fēng)險(xiǎn)具有指導(dǎo)意義。
 
  三、案例展示
 
  技術(shù)創(chuàng)新賦能風(fēng)險(xiǎn)評(píng)估管理 (節(jié)選)
 
  01
 
  被評(píng)估系統(tǒng)基本情況
 
  本案例中被評(píng)估系統(tǒng)“浦東衛(wèi)健康”,是浦東新區(qū)“互聯(lián)網(wǎng)+”益民服務(wù)的微信公眾號(hào)平臺(tái),為居民提供預(yù)約診療、當(dāng)日掛號(hào)等便捷的就醫(yī)和查詢服務(wù)。服務(wù)對(duì)象為具有浦東新區(qū)區(qū)屬醫(yī)療機(jī)構(gòu)就醫(yī)需求的居民。
 
  02
 
  評(píng)估目的
 
  對(duì)于數(shù)據(jù)安全治理工作而言,數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估是實(shí)施數(shù)據(jù)安全建設(shè)的基礎(chǔ)性工作,“浦東衛(wèi)健康”是浦東新區(qū)醫(yī)療衛(wèi)生行業(yè)具備一定代表性的信息系統(tǒng),對(duì)這種復(fù)雜系統(tǒng)開展網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,目的在于:一是準(zhǔn)確識(shí)別風(fēng)險(xiǎn)隱患,掌握系統(tǒng)數(shù)據(jù)安全總體狀況;二是全方位分析,梳理共性問題,為新區(qū)各醫(yī)療機(jī)構(gòu)提供風(fēng)險(xiǎn)警示和整改建議;三是試點(diǎn)探路,分享經(jīng)驗(yàn),為下一步全面推廣重要信息系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估提供示范指導(dǎo)。
 
  03
 
  評(píng)估對(duì)象和范圍
 
  本次評(píng)估以“數(shù)據(jù)安全”為核心,從數(shù)據(jù)資產(chǎn)出發(fā),結(jié)合業(yè)務(wù)場(chǎng)景對(duì)“浦東衛(wèi)健康”相關(guān)的數(shù)據(jù)安全管理、數(shù)據(jù)處理活動(dòng)情況、數(shù)據(jù)安全技術(shù)風(fēng)險(xiǎn)及個(gè)人信息處理風(fēng)險(xiǎn)進(jìn)行評(píng)估,發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)隱患,防范數(shù)據(jù)安全風(fēng)險(xiǎn),保障數(shù)據(jù)有效保護(hù)、合法利用、有序流通。
 
  04
 
  評(píng)估工作的組織
 
  本次試點(diǎn)評(píng)估工作先由浦東衛(wèi)生發(fā)展研究院組建技術(shù)團(tuán)隊(duì)先開展自評(píng)估,再邀請(qǐng)第三方專業(yè)機(jī)構(gòu)開展復(fù)核評(píng)估。上級(jí)主管單位浦東新區(qū)衛(wèi)生健康委全程參與本次評(píng)估組織推進(jìn)工作,浦東新區(qū)區(qū)委網(wǎng)信辦、區(qū)大數(shù)據(jù)中心提供指導(dǎo)和技術(shù)支撐,保障了本次評(píng)估工作高效、高質(zhì)量完成。
 
  05
 
  評(píng)估流程安排
 
  為了確保實(shí)施試點(diǎn)工作的順利推進(jìn),在評(píng)估工作開始前,評(píng)估小組制定了“浦東衛(wèi)健康”的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作計(jì)劃,計(jì)劃共包括評(píng)估準(zhǔn)備、信息調(diào)研、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、評(píng)估總結(jié)五個(gè)部分,按照相關(guān)時(shí)間節(jié)點(diǎn)做好工作推進(jìn),確保試點(diǎn)成效。
 
  06
 
  評(píng)估工具的使用
 
  充分運(yùn)用技術(shù)工具,以技術(shù)創(chuàng)新賦能風(fēng)險(xiǎn)評(píng)估管理是本案例的主要特色。
 
  本次數(shù)據(jù)安全評(píng)估使用了復(fù)合型、多層次的技術(shù)工具開展相應(yīng)的檢測(cè)評(píng)估工作:
 
  1)分類分級(jí)評(píng)估工具
 
  本次評(píng)估時(shí)考慮醫(yī)療衛(wèi)生行業(yè)的特殊性、復(fù)雜性,為了保障評(píng)估的準(zhǔn)確性,選擇了不同品牌的分類分級(jí)工具輔助開展自動(dòng)掃描或手動(dòng)配置網(wǎng)絡(luò)中各類數(shù)據(jù)資產(chǎn)存儲(chǔ)系統(tǒng),包括數(shù)據(jù)庫、大數(shù)據(jù)平臺(tái)、文件服務(wù)器等,通過掃描數(shù)據(jù)資產(chǎn)內(nèi)容,比對(duì)數(shù)據(jù)資產(chǎn)目錄,復(fù)核“浦東衛(wèi)健康”前期已經(jīng)開展的分類分級(jí)的有效性和準(zhǔn)確性。參考工具實(shí)施測(cè)繪的結(jié)果,發(fā)現(xiàn)了一些未歸集的字段、數(shù)據(jù)表,結(jié)合評(píng)估的建議,“浦東衛(wèi)健康”系統(tǒng)對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行了更新,優(yōu)化調(diào)整了數(shù)據(jù)目錄,完善了系統(tǒng)的分類分級(jí)工作。
 
  2)端口掃描評(píng)估工具
 
  “浦東衛(wèi)健康”系統(tǒng)為互聯(lián)網(wǎng)類業(yè)務(wù)系統(tǒng),評(píng)估中結(jié)合了端口掃描工具對(duì)系統(tǒng)服務(wù)器(互聯(lián)網(wǎng)出口IP地址)進(jìn)行對(duì)應(yīng)的端口掃描,探索發(fā)現(xiàn)潛在的安全漏洞和攻擊面。通過端口掃描,可以有效地識(shí)別“浦東衛(wèi)健康”系統(tǒng)開放的端口,及時(shí)發(fā)現(xiàn)和關(guān)閉未經(jīng)授權(quán)的服務(wù)或遠(yuǎn)程訪問通道,可以降低系統(tǒng)受到攻擊的可能性,從而及時(shí)采取相應(yīng)的防御措施,保障業(yè)務(wù)安全運(yùn)行。
 
  3)漏洞掃描評(píng)估工具
 
  主機(jī)和應(yīng)用系統(tǒng)的漏洞掃描是最基礎(chǔ)的評(píng)估手段,本次評(píng)估通過某品牌漏洞掃描系統(tǒng)多維度開展主機(jī)安全掃描、網(wǎng)站安全掃描、數(shù)據(jù)安全掃描、弱口令發(fā)現(xiàn)和基線配置核查,發(fā)現(xiàn)主機(jī)、應(yīng)用系統(tǒng)和安全設(shè)備可能存在的網(wǎng)絡(luò)安全漏洞,再用基礎(chǔ)掃描工具開展Web掃描,檢測(cè)常見的WEB應(yīng)用漏洞。兩種掃描工具結(jié)合既是補(bǔ)充也是對(duì)比,可以充分發(fā)現(xiàn)基礎(chǔ)安全漏洞。及時(shí)加固整改,可以有效地降低系統(tǒng)被攻擊的風(fēng)險(xiǎn),防止惡意用戶或程序利用漏洞進(jìn)行未經(jīng)授權(quán)的訪問或損害信息系統(tǒng)的行為。
 
  4)數(shù)據(jù)加密評(píng)估工具
 
  評(píng)估時(shí)為了驗(yàn)證“浦東衛(wèi)健康”系統(tǒng)是否采用了加密措施,通過技術(shù)工具抓取密文返回包,識(shí)別并判斷其使用的加密方式。在互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)上,未加密的數(shù)據(jù)傳輸容易受到中間人攻擊或竊聽等威脅,通過加密數(shù)據(jù)傳輸,可以有效防止數(shù)據(jù)在傳輸過程中被竊取或篡改,保障數(shù)據(jù)的機(jī)密性和完整性,可以確保數(shù)據(jù)只能被合法接收方解密并訪問,從而有效防止敏感信息的泄露。
 
  5)數(shù)據(jù)傳輸評(píng)估工具
 
  數(shù)據(jù)傳輸過程中可能存在多種潛在的安全風(fēng)險(xiǎn),包括數(shù)據(jù)泄露、篡改、攔截等。本次評(píng)估時(shí)使用了技術(shù)工具評(píng)估應(yīng)用層的數(shù)據(jù)傳輸加密情況以及數(shù)據(jù)傳輸過程中的安全性。通過工具論證數(shù)據(jù)傳輸中的風(fēng)險(xiǎn),識(shí)別潛在的風(fēng)險(xiǎn)隱患,可以有針對(duì)性地采取相應(yīng)的安全措施,減少數(shù)據(jù)傳輸過程中的安全風(fēng)險(xiǎn)。
 
  07
 
  風(fēng)險(xiǎn)分析
 
  綜合安全評(píng)估工具應(yīng)用和人工分析,本次風(fēng)險(xiǎn)評(píng)估主要對(duì)數(shù)據(jù)安全管理情況、數(shù)據(jù)處理活動(dòng)情況、數(shù)據(jù)安全技術(shù)情況、個(gè)人信息處理情況4大類風(fēng)險(xiǎn)情況進(jìn)行識(shí)別,安全評(píng)估共發(fā)現(xiàn)10類風(fēng)險(xiǎn)隱患,包括:未進(jìn)行分級(jí)準(zhǔn)確性校驗(yàn)、數(shù)據(jù)字段未更新,脫敏數(shù)據(jù)管理不規(guī)范及缺乏部分?jǐn)?shù)據(jù)安全防護(hù)措施等。
 
  08
 
  風(fēng)險(xiǎn)評(píng)估成果
 
  依據(jù)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指引逐項(xiàng)開展自評(píng)估工作。通過評(píng)估,對(duì)評(píng)估發(fā)現(xiàn)的問題梳理形成數(shù)據(jù)安全風(fēng)險(xiǎn)清單,對(duì)存在的技術(shù)風(fēng)險(xiǎn)制定出可行的整改計(jì)劃,評(píng)估過程中的臺(tái)賬、制度、文檔等也形成了系列記錄報(bào)告,有力促進(jìn)了領(lǐng)域數(shù)據(jù)安全管理體系的建立和完善。
 
  09
 
  下一步思考和探索
 
  “浦東衛(wèi)健康”數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估充分使用分析評(píng)估工具,對(duì)深層的、隱含的、過程中的數(shù)據(jù)進(jìn)行了測(cè)繪、分析和評(píng)估,有效達(dá)成了評(píng)估的目的,我們將在行業(yè)內(nèi)推動(dòng)風(fēng)險(xiǎn)評(píng)估技術(shù)工具的使用,助力數(shù)據(jù)安全評(píng)估的推廣和安全風(fēng)險(xiǎn)的控制,提升全行業(yè)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的防范能力,確保重要數(shù)據(jù)、敏感數(shù)據(jù)和個(gè)人信息的有效保護(hù)和合法利用。
 
  未來市委網(wǎng)信辦還計(jì)劃推進(jìn)以下兩項(xiàng)工作:一是探索數(shù)據(jù)合作安全保護(hù)機(jī)制,有條件的開展供應(yīng)鏈(數(shù)據(jù)合作方)的數(shù)據(jù)安全保障能力動(dòng)態(tài)評(píng)估,全方面評(píng)價(jià)合作方的數(shù)據(jù)安全保護(hù)能力,對(duì)數(shù)據(jù)合作方的安全保護(hù)能力進(jìn)行核驗(yàn),并采取必要的安全保護(hù)措施。二是以醫(yī)療機(jī)構(gòu)與第三方共享數(shù)據(jù)的安全與隱私保護(hù)為核心,評(píng)估現(xiàn)有數(shù)據(jù)共享過程中存在的安全風(fēng)險(xiǎn)和隱私泄露風(fēng)險(xiǎn),結(jié)合安全技術(shù)和隱私保護(hù)方法的研究,設(shè)計(jì)數(shù)據(jù)共享安全機(jī)制,并進(jìn)行實(shí)驗(yàn)驗(yàn)證和評(píng)估。
版權(quán)與免責(zé)聲明:1.凡本網(wǎng)注明“來源:興旺寶裝備總站”的所有作品,均為浙江興旺寶明通網(wǎng)絡(luò)有限公司-興旺寶合法擁有版權(quán)或有權(quán)使用的作品,未經(jīng)本網(wǎng)授權(quán)不得轉(zhuǎn)載、摘編或利用其它方式使用上述作品。已經(jīng)本網(wǎng)授權(quán)使用作品的,應(yīng)在授權(quán)范圍內(nèi)使用,并注明“來源:興旺寶裝備總站”。違反上述聲明者,本網(wǎng)將追究其相關(guān)法律責(zé)任。 2.本網(wǎng)轉(zhuǎn)載并注明自其它來源(非興旺寶裝備總站)的作品,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)或和對(duì)其真實(shí)性負(fù)責(zé),不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。其他媒體、網(wǎng)站或個(gè)人從本網(wǎng)轉(zhuǎn)載時(shí),必須保留本網(wǎng)注明的作品第一來源,并自負(fù)版權(quán)等法律責(zé)任。 3.如涉及作品內(nèi)容、版權(quán)等問題,請(qǐng)?jiān)谧髌钒l(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系,否則視為放棄相關(guān)權(quán)利。
我來評(píng)論

昵稱 驗(yàn)證碼

文明上網(wǎng),理性發(fā)言。(您還可以輸入200個(gè)字符)

所有評(píng)論僅代表網(wǎng)友意見,與本站立場(chǎng)無關(guān)

    相關(guān)新聞