醫(yī)療

MEDICAL TREATMENT

首頁(yè) > 客戶案例 > 正文

北京大學(xué)口腔醫(yī)院項(xiàng)目案例

閱讀量：

項(xiàng)目背景
隨著虛擬空間和現(xiàn)實(shí)世界深度融合，網(wǎng)絡(luò)空間已然成為繼陸地、海洋、天空、外空之外的"第五空間"，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊將逐漸升級(jí)，國(guó)家力量和恐怖組織、敵對(duì)勢(shì)力推動(dòng)的，以"網(wǎng)絡(luò)戰(zhàn)"和"恐怖襲擊"為目的針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊會(huì)增加，攻擊目標(biāo)從電力、交通等"命脈"設(shè)施，延伸到公共服務(wù)系統(tǒng)、重要工業(yè)企業(yè)的生產(chǎn)設(shè)施、互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施。類似永恒之藍(lán)的武器化的攻擊工具會(huì)愈演愈烈，攻擊手段呈現(xiàn)多樣化，針對(duì)性的勒索攻擊風(fēng)險(xiǎn)加劇，間諜事件增多，新型惡意軟件和攻擊工具增加。我國(guó)相關(guān)主管機(jī)構(gòu)也已經(jīng)組織了多次針對(duì)電力、民航等關(guān)鍵基礎(chǔ)設(shè)施的攻防演習(xí)，從已經(jīng)實(shí)施的《網(wǎng)絡(luò)安全法》到正在征求意見(jiàn)的《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》，都將關(guān)鍵基礎(chǔ)設(shè)施保護(hù)上升到了國(guó)家戰(zhàn)略層面，集中力量、加大投入、創(chuàng)新技術(shù)、提升能力將成為保障關(guān)鍵基礎(chǔ)設(shè)施安全的趨勢(shì)和方向。
近幾年來(lái)，隨著網(wǎng)絡(luò)安全威脅的越來(lái)越復(fù)雜，醫(yī)療行業(yè)面臨著網(wǎng)絡(luò)安全重大考驗(yàn)，北京大學(xué)口腔醫(yī)院作為全國(guó)知名?？漆t(yī)院，信息安全防御面臨著越來(lái)越嚴(yán)峻的考驗(yàn)，信息安全建設(shè)維護(hù)已成為醫(yī)院的首要任務(wù)之一，防止外部惡意攻擊導(dǎo)致內(nèi)部重要信息數(shù)據(jù)丟失，或者業(yè)務(wù)系統(tǒng)癱瘓影響正常辦公。為保障醫(yī)院信息化安全北京大學(xué)口腔醫(yī)院近年已經(jīng)在網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)及Web安全防御上做了相應(yīng)保護(hù)措施，本次項(xiàng)目主要是為了防止目前多種多樣的外部惡意利用攻擊，北京大學(xué)口腔醫(yī)院決定聘請(qǐng)Web安全公司根據(jù)目前醫(yī)院信息化建設(shè)進(jìn)行非破壞性的測(cè)試攻擊，查找存在的未知安全隱患及時(shí)進(jìn)行安全整改。

項(xiàng)目?jī)?nèi)容

本次方案建議北京大學(xué)口腔醫(yī)院初步采用安全評(píng)估技術(shù)手段檢查醫(yī)院官網(wǎng)及核心信息系統(tǒng)存在的安全隱患，針對(duì)安全隱患進(jìn)一步加固，防止黑客借助系統(tǒng)漏洞攻擊系統(tǒng)及數(shù)據(jù)。

plan-1

漏洞掃描服務(wù)

漏洞掃描是脆弱性識(shí)別的重要手段，能夠幫助北京大學(xué)口腔醫(yī)院發(fā)現(xiàn)設(shè)備和系統(tǒng)中存在的嚴(yán)重漏洞，幫助北京大學(xué)口腔醫(yī)院了解技術(shù)措施是否有效執(zhí)行，并通過(guò)及時(shí)修補(bǔ)完善，避免對(duì)信息系統(tǒng)造成嚴(yán)重影響。

安恒信息采用具有自主知識(shí)產(chǎn)權(quán)的漏洞掃描工具對(duì)服務(wù)范圍內(nèi)各種軟硬件設(shè)備進(jìn)行網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫(kù)、應(yīng)用層面的全面掃描與分析，掃描設(shè)備檢測(cè)規(guī)則庫(kù)及知識(shí)庫(kù)應(yīng)涵蓋CVE、CNCVE、 CNVD、CNNVD等標(biāo)準(zhǔn)。掃描完成后并人工驗(yàn)證所發(fā)現(xiàn)的操作系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、弱口令、信息泄露及配置不當(dāng)?shù)却嗳跣詥?wèn)題，提出準(zhǔn)確有效的掃描報(bào)告，并針對(duì)漏洞掃描中出現(xiàn)的問(wèn)題，提供解決方案，協(xié)助北京大學(xué)口腔醫(yī)院進(jìn)行解決。

plan-2
安全配置檢查服務(wù)
安恒信息根據(jù)北京大學(xué)口腔醫(yī)院工作需求，采用人工現(xiàn)場(chǎng)設(shè)備檢查的方式對(duì)北京大學(xué)口腔醫(yī)院指定系統(tǒng)和設(shè)備等進(jìn)行全面的安全配置核查和分析，發(fā)現(xiàn)配置的不合規(guī)項(xiàng)，并結(jié)合行業(yè)實(shí)際需求提出系統(tǒng)整改建議，輸出報(bào)告。

plan-3

滲透測(cè)試服務(wù)
滲透測(cè)試作為檢驗(yàn)?zāi)繕?biāo)系統(tǒng)安全性最有效的服務(wù)，需要服務(wù)人員通過(guò)智能工具掃描與人工測(cè)試、分析的手段，以模擬黑客入侵的方式對(duì)服務(wù)目標(biāo)系統(tǒng)進(jìn)行模擬入侵測(cè)試，識(shí)別服務(wù)目標(biāo)存在的安全風(fēng)險(xiǎn)。
滲透性測(cè)試是工具掃描和人工評(píng)估的重要補(bǔ)充。工具掃描具有很好的效率和速度，但是存在一定的誤報(bào)率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問(wèn)題，滲透測(cè)試需要投入的人力資源較大、對(duì)測(cè)試者的專業(yè)技能要求很高（滲透測(cè)試報(bào)告的價(jià)值直接依賴于測(cè)試者的專業(yè)技能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。

移動(dòng)APP安全測(cè)試服務(wù)

移動(dòng)APP安全測(cè)試服務(wù)是由資深安全服務(wù)工程師以人工分析為主，漏洞檢測(cè)工具為輔的方式，對(duì)APP進(jìn)行安全分析，在保證整個(gè)安全測(cè)試過(guò)程都在可以控制和調(diào)整的范圍之內(nèi)，全面發(fā)現(xiàn) Android、IOS、微信應(yīng)用等程序可能存在的安全缺陷，并提供安全測(cè)試報(bào)告和改進(jìn)建議，最大程度地為保障北京大學(xué)口腔醫(yī)院APP的程序安全。

安恒信息為了確保移動(dòng)APP安全測(cè)試的全面性，安全工程師開(kāi)通相關(guān)應(yīng)用的賬戶，供分析、測(cè)試使用。測(cè)試內(nèi)容同時(shí)包括客戶端APP和服務(wù)器端應(yīng)用，并針對(duì)不同層面安全漏洞的檢測(cè)重點(diǎn)、難點(diǎn)展開(kāi)分析，保證測(cè)試工作穩(wěn)步有序開(kāi)展。

安恒信息根據(jù)以往對(duì)醫(yī)療行業(yè)移動(dòng)APP程序測(cè)試過(guò)程中所積累的服務(wù)經(jīng)驗(yàn)，總結(jié)形成了一套詳細(xì)的測(cè)試框架包括∶移動(dòng)APP客戶端測(cè)試、服務(wù)端測(cè)試、本地文件安全測(cè)試、網(wǎng)絡(luò)傳輸安全測(cè)試、已有安全策略測(cè)試等。

項(xiàng)目?jī)r(jià)值

-安恒信息長(zhǎng)期以來(lái)致力于提供高質(zhì)量、完善的技術(shù)支持服務(wù)，以確保用戶的信息系統(tǒng)穩(wěn)定運(yùn)行，擁有一批資深的安全技術(shù)人員和技術(shù)支持服務(wù)團(tuán)隊(duì)，具有豐富的經(jīng)驗(yàn)，能夠很好的解決用戶信息系統(tǒng)運(yùn)行期間可能遇到的各類安全問(wèn)題

-技術(shù)支持服務(wù)期內(nèi)，為了解決北京大學(xué)口腔醫(yī)院業(yè)務(wù)系統(tǒng)運(yùn)營(yíng)過(guò)程中遇到的各種問(wèn)題和困難，安恒信息設(shè)立了安全服務(wù)咨詢熱線，為北京大學(xué)口腔醫(yī)院提供7*24小時(shí)的遠(yuǎn)程安全技術(shù)支持服務(wù)、常見(jiàn)信息安全問(wèn)題咨詢服務(wù)

-安恒信息具有經(jīng)驗(yàn)豐富的技術(shù)工程師、完善的服務(wù)跟蹤數(shù)據(jù)庫(kù)，設(shè)備齊全的安全實(shí)驗(yàn)室，確保對(duì)北京大學(xué)口腔醫(yī)院的技術(shù)請(qǐng)求做出快速滿意的響應(yīng)

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>