动脉网知识库

登录动脉网

账号密码登录

忘记密码?

手机账号登录

获取验证码

忘记密码

获取验证码

新用户注册

获取验证码

绑定手机号

获取验证码

感谢您使用“动脉网”的产品和服务。 我们尊重并保护所有使用动脉网用户的个人隐私权。
第1条 协议内容及生效
1.1 本用户协议是用户与“动脉网”之间就相关事宜所订立的契约,即包括本用户协议所有正文及“动脉网”已经发布或将来可能发布的各类规则。用户在“动脉网”注册前,必须事先认真阅读本用户协议,特别是本协议中关于限制、减轻或者免除“动脉网”责任的全部协议内容以及含有限制用户权利的协议内容。
1.2 如果用户同意本用户协议,或者存在包括下载、注册和使用及连接“动脉网”服务的行为,将被视为完全接受并同意遵守本用户协议的所有内容,包括接受“动脉网”对用户协议随时所做的任何修改,本协议即构成对双方有约束力的法律文件。如不同意本用户协议,用户不得使用或应主动停止使用“动脉网”提供的服务。
1.3 用户应当为具有完全民事行为能力的自然人,或者是具有独立承担法律责任能力的其他合法主体。若用户属于无民事行为能力、限制民事行为能力人的,或是不具有独立承担法律责任能力的其他主体的,您应在监护人监护下或是得到有权主体授权后使用“动脉网”。
第2条 用户信息
2.1 用户个人信息。用户个人信息包括真实姓名、手机号码、微信号、所属行业、所在公司,现任职位、常驻城市、本人照片、身份证号、微信支付账号、电子邮箱、个人简介等。
2.2 非用户个人信息。用户在“动脉网”上,包括阅读、评价、操作状态、使用记录、使用习惯等在内的全部记录信息。除本条第1款所列用户个人信息范围外的所有信息,均为非用户个人信息。
2.3 第三方平台记录信息。用户通过腾讯微信等第三方平台账号注册、登录、使用“动脉网”服务的,将被视为用户完全理解、同意并接受“动脉网”已包括但不限于收集、统计、分析等方式使用其在腾讯微信等第三方平台填写、登记、公布、记录的全部信息。用户一旦使用第三方平台账号注册、登录、使用“动脉网”服务,“动脉网”对该第三方记录信息的任何使用,均被视为已经获得了用户本人的完全同意并接受。
2.4 用户自行向“动脉网”提供个人信息、教育经历、工作经历、课程主题和介绍以及其他信息,所提供的信息必须在合法基础上保证真实、准确、完整,并保证及时更新以上信息。如因提供的信息存在非法、抄袭、错误等问题,用户需承担因此引发的相应责任以及后果,且“动脉网”保留终止用户使用“动脉网”各项服务的权利。
2.5 用户应维护个人“动脉网”帐户和密码安全,并对此帐户在“动脉网”的所有行为负完全责任,不得将帐户借给他人使用,否则应承担由此产生的全部责任,并与实际使用人承担连带责任。当遇到账户或者密码未获授权使用,或者发生任何安全问题时,用户有责任及时有效地通知到“动脉网”并向公安机关报案。
2.6 用户信息使用,用户在使用过程中发现任何不妥或者不满意之处,有权向“动脉网”提出申请,要求进行相关信息删除等处理;“动脉网”不承担主动删除、销毁用户信息的责任。
2.7 为向用户提供服务,“动脉网”将在合理范围内使用用户个人信息、非用户个人信息以及第三方平台记录信息。用户一旦注册、登录、使用“动脉网”服务,将被视为“动脉网”已包括但不限于收集、统计、分析、商业用途等方式使用用户信息。“动脉网”对用户信息的使用无需其他意思表示,无需向用户支付任何费用。
第3条 服务条款的修改及终止
3.1 “动脉网”的服务范围非常广泛,因此有时还会适用一些附加条款或产品要求(包括行业要求)。附加条款将会与相关服务一同提供,并且在用户使用这些服务后,成为您与我们所达成的条款的一部分。
3.2 “动脉网”始终在不断更改和改进服务。一旦条款及服务内容产生变动,将会在重要页面上提示修改内容。如果不同意我们对条款内容所做的修改,用户可以主动、随时停止使用我们的服务,尽管我们对此表示非常遗憾。
3.3 “动脉网”也可能随时停止向您提供服务,或随时对我们的服务增加或设置新的限制。
3.4 “动脉网”认为用户拥有自己数据的所有权并保留对此类数据的访问权限,这一点非常重要。如果我们停止某项服务,在合理可能的情况下,“动脉网”会向用户发出合理的提前通知,并让用户有机会将信息从服务中汇出。
3.5 如果用户继续使用“动脉网”的服务,则视为接受服务条款的变动。我们保留随时修改或中断服务的权利。我们行使修改或中断服务的权利,不需对用户或第三方负责。
第4条 服务的中断和终止
4.1 在未向用户收取相关服务费用的情况下,“动脉网”可自行全权决定以任何理由 (包括但不限于“动脉网”认为用户已违反本条款的字面意义和精神等) 终止对用户的服务。同时“动脉网”可自行全权决定,在发出通知或不发出通知的情况下,随时停止提供全部或部分服务。服务终止后,“动脉网”没有义务为用户保留原用户资料或与之相关的任何信息,或转发任何未曾阅读或发送的信息给用户或第三方。
4.2 如存在下列情况,“动脉网”可以通过注销用户的方式终止服务: 在用户违反本条款相关规定时,“动脉网”有权终止向该用户提供服务。“动脉网”将在中断服务时通知用户。但如该用户在被“动脉网”终止提供服务后,再一次直接或间接或以他人名义注册为“动脉网”用户的,“动脉网”有权再次单方面终止为该用户提供服务; 一旦“动脉网”发现用户注册资料中主要内容是虚假的,“动脉网”有权随时终止为该用户提供服务; 用户出现作弊行为,网站可根据情况作出处理,甚至注销用户; 其它“动脉网”认为需终止服务的情况。第三方,但基于交易纠纷、技术原因等因素,“动脉网”保有复制、审查服务过程中录音内容的权利。
第5条 用户言行
5.1 用户同意在使用“动脉网”服务过程中,必须严格遵守以下规则: 1) 遵守中国法律法规、行政规章以及规范性文件; 2) 遵守“动脉网”的所有用户协议、通知、协议等文件; 3) 不得为违法、犯罪等目的使用“动脉网”网站及其移动客户端; 4) 不得在“动脉网”上传输及发布以下内容:煽动抗拒、破坏宪法及法律法规实施的言论;煽动颠覆国家政权、破坏国家统一的言论;违背社会风俗和社会道德的言论;煽动民族仇恨、民族歧视,破坏民族团结的言论; 5) 不得使用任何侮辱或毁谤他人,性骚扰,或对未成年人有不良影响的内容; 6) 不得散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的行为; 7) 不得利用本站从事洗钱、窃取商业秘密、窃取其他用户个人信息等违法犯罪活动; 8) 不得侵入本站及国家计算机信息系统,不得传播病毒、特洛伊木马、定时炸弹等可能对“动脉网”造成伤害或影响其正常运转的恶意病毒或程序; 9) 不得在“动脉网”平台从事非经“动脉网”同意的所有牟利性经营活动; 10) 不得侵犯第三方权利,特别是他人著作权、商标权等知识产权或者合法权利。
5.2 若用户有发布违法信息、严重违背社会公德、以及其他违反法律禁止性规定的行为,“动脉网”保有删除各类不符合法律政策或者不真实信息内容而无须通知用户的权利。若用户未遵守以上约定,“动脉网”有权立即终止对用户提供服务,采取暂停或者关闭用户账户等措施。用户须对自己的言论和行为负法律责任。
第6条 知识产权协议
6.1 对于用户通过“动脉网”发布的任何公开信息,用户同意“动脉网”在全世界范围内具有将此等内容编入当前已知的或以后开发的其他任何形式的作品、媒体或技术中的权利。
6.2 除法律规定外,未经“动脉网”书面等任何形式明确许可,任何单位或个人不得以任何方式非法地全部或部分复制、转载、引用、链接、抓取或以其他方式使用“动脉网”的信息内容,否则,“动脉网”有权追究其法律责任。
6.3 用户在“动脉网”所发布的内容,必须保证已经拥有必要权利或授权以进行该内容的提供、发布、提交等行为。
6.4 本用户协议已经构成《中华人民共和国著作权法》及相关法律规定的著作财产权等权利转让书面协议,其效力及于用户在“动脉网”上发布的任何受著作权法保护的作品内容。
第7条 隐私声明
“动脉网”非常重视对用户个人隐私的保护。 “动脉网”在必要时候需要某些信息才能为您提供所请求的服务,本隐私声明针对这些情况下的数据收集和使用情况。作为“动脉网”用户,如果同意接受“动脉网”用户协议及隐私声明,表明您授权“动脉网”对任何您所提供的、或者“动脉网”所收集到的信息有权进行处理、传播、使用。 本隐私声明适用于“动脉网”的所有服务,随着服务的变化,“动脉网”有权对隐私条款不时进行修改更新,且不再另行通知。更新后的隐私声明一旦公布即有效代替原来的隐私声明,您在访问和使用“动脉网”时,即表示您已同意遵守并接受最新的隐私政策。建议您及时关注隐私条款的变更。
7.1 “动脉网”隐私信息范围,通常情况下,在“动脉网”注册、获取服务时所提交的个人信息,包括姓名、联系方式、通讯地址、第三方帐户信息等。
7.2 信息隐私的保护
“动脉网”严格保护您个人信息的安全。我们使用各种安全技术和程序来保护您的个人信息不被未经授权的访问、使用或泄露。 当用户对网站或者移动客户端的服务表示兴趣时,或者向用户提供服务出现问题或者困难时,我们使用这些信息来联系用户。 未经用户同意,“动脉网”不会向第三方提供用户信息,也不会在用户之间传递这些信息。未经用户同意,“动脉网”不会对用户之间的交流信息,包括评价、交流文本和图片内容进行编辑、筛选、篡改。
如果有明确证据表明您所提供的信息存在不符合法律政策或者不真实情况,我们有权无须通知您对信息进行删除、更改等处理。
第8条 免责说明
8.1 就下列相关事宜的发生,“动脉网”不承担任何法律责任: 1)用户应遵守国家的有关法律、法规和行政规章制度。如有用户违反国家法律法规或本用户协议,“动脉网”有权停止向用户提供任务而不需要承担任何责任,如导致“动脉网”遭受任何损害或者遭受任何来自第三方的纠纷、诉讼、索赔要求等,用户须向“动脉网”赔偿相应的损失,用户需对其违反用户协议所产生的一切后果承担全部法律责任。 2)由于您将用户密码告知他人或与他人共享注册帐户,由此导致的任何个人信息的泄露,或其他非因“动脉网”原因导致的个人信息的泄露; 3)根据法律规定或政府相关政策要求提供您的个人信息; 4)任何通过黑客攻击、电脑病毒侵入等非法截取、访问等方式从我们网站上获取的信息; 5)因台风、地震、海啸、洪水、停电、战争、恐怖袭击等不可抗力因素导致的任何后果;
8.2 本服务涉及到互联网及移动通讯等服务,可能受各个环节不稳定因素的影响,比如不可抗力、计算机病毒或者黑客攻击等造成的服务中断或不能满足用户要求的风险,用户须理解和认可,并承担以上风险。“动脉网”对服务的及时性、安全性、准确性不作担保,对因此导致用户不能接收信息,或者传递错误等问题不承担任何责任。
8.3 如“动脉网”的系统发生故障影响到本服务的正常运行,“动脉网”承诺第一时间内与相关单位配合,及时处理进行修复。但用户因此而产生的经济损失,“动脉网”不承担责任。此外,“动脉网”保留未经事先通知为维修保养、升级或其他目的暂停本服务任何部分的权利。
第9条 适用法律框架以及纠纷解决途径
9.1 本协议的订立、执行和解释及争议的解决均应适应中国法律。
9.2 如双方就本协议内容或其执行发生争议,双方应尽量友好协商解决;协商不成时应任何一方均可向有管辖权的中华人民共和国大陆地区法院提起诉讼。
第10条 其他
10.1 如果您在中国大陆以外的国家或地区访问或使用“动脉网”,您有责任遵守所在辖区内有关在线行为和可接受内容的法律。
10.2 本服务的所有权、运作权和一切解释权归“动脉网”所有。“动脉网”有权在必要时修改用户协议,并通过网站或者客户端发布修改变更,且不再另行通知。如果在更改生效后用户继续使用服务,则视为您接受用户协议的变动并遵守最新用户协议。
如果您对用户协议有任何疑问,请联系客服(微信同号):13627682184

公安部第三研究所张艳:等保2.0如何在医疗行业落地?

作者:李成平 2019-08-23 08:00

{{detail.short_name}} {{detail.main_page}}

{{detail.description}} {{detail.round_name}} {{detail.state_name}}

{{detail.province}}-{{detail.city}}
{{detail.setup_time}}
融资金额:{{detail.latest_event_amount}}{{detail.latest_amount_unit}}
投资方: · {{item.latest_event_tzf_name}}

2019年8月17日, 2019年深信服创新大会分论坛—智慧医疗专场在深圳华侨城召开。公安部第三研究所检测中心智能互联安全测评实验室主任张艳博士在专场上以《等保2.0在医疗行业的落地分析》进行演讲,动脉网对其精彩内容进行了整编。

   

图片1.png

公安部第三研究所张艳

 

张艳博士具有丰富的信息安全相关科研和标准化工作经验,曾获得多项省部级科技奖励,并作为主编出版了《下一代安全隔离与信息交换产品原理及应用》《防火墙产品原理及应用》《网络入侵检测系统原理及应用》等6本著作,共发布GB∕T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》等信息安全国家标准、公安行业标准十余项。


2019年5月,国家市场监督管理总局、国家标准化管理委员会正式发布了网络安全等级保护系列国家标准。该系列标准的发布对保障和促进医疗行业信息化发展,提升各医疗机构网络安全保护能力具有重要的指导意义。

 

提高业务系统能力是保证网络安全的关键


医疗行业的健康发展,与民生问题有着直接的关系。十三五期间,不断发展和推广的医疗信息技术,使得网络系统逐渐成为了医疗行业的业务服务支撑体系。

 

一旦网络系统发生了故障或是网络瘫痪,对整个医疗服务体系也会产生致命影响。网络系统中存储的重要业务数据、诊疗数据,甚至是1.6亿诊疗库中的患者隐私信息若遭到泄露,将会对患者造成不可估量的损害。

 

数字化、网络化引领着着行业发展的方向,但同时也引发了一些可能会出现的安全问题和风险,例如恶意远程控制设备的风险、比特币勒索的风险、个人信息泄露的风险等。而这些安全问题也对行业提出了新的挑战和要求。

  

网络安全事件数量不断增加,政府对医疗行业网络安全方面的重视程度也在不断提高。如中国信息通信研究院等机构发布的《2019年健康医疗行业网络安全观测报告》,也同样披露了目前网络安全风险集中的几个表现:


第一是僵木蠕等问题严峻,勒索病毒严重威胁医疗业务正常运行;

第二是数据泄露事件高发,应用服务软件存在较多安全隐患;

第三是医疗行业的网站同政府网站、教育机构网站等都是境外机构的重点攻击对象,且网站篡改手法多变


张艳认为,拥有较高数据价值是医疗行业成为网络安全重灾区的原因之一,而最主要的原因是,在大数据、物联网等新技术的驱动下,传统的IT系统安全管理体系已无法覆盖实际应用场景和范围。

 

除了上述的内部原因之外,一些恐怖组织、黑客组织、黑产等经济犯罪团伙、极端个人,出于一些个人或利益原因也可能会实施网络攻击。

 

其实,究其根源,重要业务系统在网络安全建设、安全运维方面存在不足,才是导致这些内外部因素发挥效力的关键。

 

等保2.0不仅仅是一个标准版本更新的概念


现阶段,网络安全态势严峻,国家在网络安全方面也在不断地完善相关法律法规和政策体系标准。网络安全法除了确认网络安全各个相关方的保护义务和职责,还明确了国家网络安全相关的一些基本制度。

 

网络安全等级保护制度是国家在网络安全法中明确且强调以等级保护为基础,对关键基础信息建设进行重点保护的制度。国家实行网络安全等级保护遵照了对网络(信息网络、信息系统以及数据资源等)实行分等级保护、分等级监管的核心思想。

 

事实上,等级保护制度自1994年通过国务院147号令便被确认。随着网络安全法出台后,等级保护制度进入了2.0的阶段。

 

等保2.0阶段是主管部门根据当前国家或全球的网络安全态势发展、网络安全保卫任务要求和技术发展而重新审视并提出了新的要求。

 

需要明确的是,等保2.0不仅仅是一个标准版本更新的概念,而是整个体系、整个核心的提升。

 

>>>>

五变三不变


内涵措施更丰富。进一步明确了网络定级及评审、备案及审核、等级测评、安全建设整改、自查等工作要求,并将风险评估、安全监测等与网络安全密切相关的措施纳入了等级保护制度。


定级流程更规范2.0阶段以明确等级、增强保护、常态监督为定级原则,将定级流程明确为确定定级对象、初步确定定级、专家评审、主管部门审批和公安机关备案审查。


等级保护体系升级。主管部门在现有的技术规范基础上,通过陆续出台一系列的政策法规和更新的标准规范,进一步完善包括政策、标准、测评、技术、服务、关键技术研究和教育的等级保护体系。主管部门围绕等级保护体系构建起安全监测、通报预警、快速处置、态势感知、安全防范和精确打击等为一体的国家关键信息基础设施安全保卫体系。


扩展等级保护对象。将基础信息网络、重要信息系统、网站、大数据中心、云计算平台、物联网、工控系统以及公众服务平台等全部纳入等级保护范围中。


被动防护转变为主动防护。在技术要求上,等保在安全管理中心、物理环境、通信网络、区域边界、计算环境共五个安全层面设置了控制点,并将可信验证应用纳入了等级保护,以进行更精准化地防护。


在管理要求方面,等保2.0对部分控制点进行了调整、合并,并特地强调了外部人员访问管理、漏洞风险管理等要求。主管部门在后续执行中,会采用细粒度测评结论分级的概念,体现不同系统的安全防护水平。


除了上述变化,等保2.0在以下方面未进行改变。


等保五个级别不变。包括用户自主保护级、系统保护审计级、安全标记保护级、结构化保护级和访问验证保护级。


等保五个重要环节不变。依旧围绕定级、系统备案、建设整改、等级测评和监督检查这五个环节开展工作。


等保主体职责不变。运营单位的等级保护职责、上级主管单位的安全管理职责、第三方测评机构的安全评估职责,以及网安对定级对象的备案受理及监督检查职责都没有变化。

 

网络安全等级保护是关键信息基础设施保护的基础。关键信息基础设施是等级保护制定的保护重点。网络运营者应当在第三级(含)以上保护对象中确定关键信息基础设施的范围。


张艳表示,除此以外,关键信息基础设施须按照网络安全等级保护制度要求,开展定级备案、等级测评、安全建设整改以及安全检查等工作。


不符合控制点要求的四大安全问题


基于安全事件的分析,张艳结合等保2.0的要求,详解了目前医疗行业的网络安全现状,以及存在哪些不合规的控制点安全问题。

 

一是计算环境安全措施缺失。访问控制、入侵防范、恶意代码防范、数据保密性、数据备份恢复、个人信息保护等方面都存在诸多不合规的问题。


其中,等保2.0新增了个人信息保护的要求,医疗行业系统同样仅允许采集和保存业务必需的用户个人信息。


二是网络通信安全措施缺失。网络架构方面,存在关键设备的业务处理能力不足、网络区域未划分和网络单链路设计的问题;在通信传输方面,缺少通信数据完整性保护措施。


三是区域边界安全措施缺失。区域边界强调的是边界防护、访问控制等要求,包括关键网络节点如何防止来自互联网或从内部网络的攻击行为。恶意代码检测缺失和审计机制缺失也是比较常见的。


最后是安全管理中心安全措施缺失。这一方面集中表现在系统管理的运行监控措施缺失、审计日志存储不满足要求,以及网络中安全事件发现处置措施缺失等。

 

安全防范的两点建议


有困难就要及时解决。在医疗行业系统,结合等保2.0,我们又该如何进行安全防范呢?对此,张艳提出了两点建议。


第一,加强技术和管理的融合。由于安全事件多发生在管理安全或数据交互场景中,所以需要通过技术方式来填补管理方面的缺失。另外,管理制度也能为技术设施提供多重保障。


第二,参照等保2.0“一个中心、三重保护”的要求,落实网络安全部等级保护各方面的安全要求,最大程度地发挥系统安全措施的保护能力。


此外,加强防范木马、新型网络的攻击,以及日常运维建设,满足包括双重鉴别、安全接入、统一集中管理,以及日志审计等多方面控制点的要求。通过加强主动防御、采用安全厂商的安全服务等来提升医疗行业的整体安全防护能力。


注:文中如果涉及企业数据,均由受访者向分析师提供并确认。如果您有资源对接,联系报道项目,寻求合作等需求请填写需求表

声明:动脉网所刊载内容之知识产权为动脉网及相关权利人专属所有或持有。转载请联系tg@vcbeat.net。

分享

微信扫描二维码分享文章