醫(yī)療

MEDICAL TREATMENT

首頁 > 客戶案例 > 正文

北京大學(xué)口腔醫(yī)院項(xiàng)目案例

閱讀量：

項(xiàng)目背景
隨著虛擬空間和現(xiàn)實(shí)世界深度融合，網(wǎng)絡(luò)空間已然成為繼陸地、海洋、天空、外空之外的"第五空間"，針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊將逐漸升級，國家力量和恐怖組織、敵對勢力推動的，以"網(wǎng)絡(luò)戰(zhàn)"和"恐怖襲擊"為目的針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊會增加，攻擊目標(biāo)從電力、交通等"命脈"設(shè)施，延伸到公共服務(wù)系統(tǒng)、重要工業(yè)企業(yè)的生產(chǎn)設(shè)施、互聯(lián)網(wǎng)關(guān)鍵基礎(chǔ)設(shè)施。類似永恒之藍(lán)的武器化的攻擊工具會愈演愈烈，攻擊手段呈現(xiàn)多樣化，針對性的勒索攻擊風(fēng)險加劇，間諜事件增多，新型惡意軟件和攻擊工具增加。我國相關(guān)主管機(jī)構(gòu)也已經(jīng)組織了多次針對電力、民航等關(guān)鍵基礎(chǔ)設(shè)施的攻防演習(xí)，從已經(jīng)實(shí)施的《網(wǎng)絡(luò)安全法》到正在征求意見的《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》，都將關(guān)鍵基礎(chǔ)設(shè)施保護(hù)上升到了國家戰(zhàn)略層面，集中力量、加大投入、創(chuàng)新技術(shù)、提升能力將成為保障關(guān)鍵基礎(chǔ)設(shè)施安全的趨勢和方向。
近幾年來，隨著網(wǎng)絡(luò)安全威脅的越來越復(fù)雜，醫(yī)療行業(yè)面臨著網(wǎng)絡(luò)安全重大考驗(yàn)，北京大學(xué)口腔醫(yī)院作為全國知名專科醫(yī)院，信息安全防御面臨著越來越嚴(yán)峻的考驗(yàn)，信息安全建設(shè)維護(hù)已成為醫(yī)院的首要任務(wù)之一，防止外部惡意攻擊導(dǎo)致內(nèi)部重要信息數(shù)據(jù)丟失，或者業(yè)務(wù)系統(tǒng)癱瘓影響正常辦公。為保障醫(yī)院信息化安全北京大學(xué)口腔醫(yī)院近年已經(jīng)在網(wǎng)絡(luò)架構(gòu)設(shè)計及Web安全防御上做了相應(yīng)保護(hù)措施，本次項(xiàng)目主要是為了防止目前多種多樣的外部惡意利用攻擊，北京大學(xué)口腔醫(yī)院決定聘請Web安全公司根據(jù)目前醫(yī)院信息化建設(shè)進(jìn)行非破壞性的測試攻擊，查找存在的未知安全隱患及時進(jìn)行安全整改。

項(xiàng)目內(nèi)容

本次方案建議北京大學(xué)口腔醫(yī)院初步采用安全評估技術(shù)手段檢查醫(yī)院官網(wǎng)及核心信息系統(tǒng)存在的安全隱患，針對安全隱患進(jìn)一步加固，防止黑客借助系統(tǒng)漏洞攻擊系統(tǒng)及數(shù)據(jù)。

plan-1

漏洞掃描服務(wù)

漏洞掃描是脆弱性識別的重要手段，能夠幫助北京大學(xué)口腔醫(yī)院發(fā)現(xiàn)設(shè)備和系統(tǒng)中存在的嚴(yán)重漏洞，幫助北京大學(xué)口腔醫(yī)院了解技術(shù)措施是否有效執(zhí)行，并通過及時修補(bǔ)完善，避免對信息系統(tǒng)造成嚴(yán)重影響。

安恒信息采用具有自主知識產(chǎn)權(quán)的漏洞掃描工具對服務(wù)范圍內(nèi)各種軟硬件設(shè)備進(jìn)行網(wǎng)絡(luò)層、系統(tǒng)層、數(shù)據(jù)庫、應(yīng)用層面的全面掃描與分析，掃描設(shè)備檢測規(guī)則庫及知識庫應(yīng)涵蓋CVE、CNCVE、 CNVD、CNNVD等標(biāo)準(zhǔn)。掃描完成后并人工驗(yàn)證所發(fā)現(xiàn)的操作系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、弱口令、信息泄露及配置不當(dāng)?shù)却嗳跣詥栴}，提出準(zhǔn)確有效的掃描報告，并針對漏洞掃描中出現(xiàn)的問題，提供解決方案，協(xié)助北京大學(xué)口腔醫(yī)院進(jìn)行解決。

plan-2
安全配置檢查服務(wù)
安恒信息根據(jù)北京大學(xué)口腔醫(yī)院工作需求，采用人工現(xiàn)場設(shè)備檢查的方式對北京大學(xué)口腔醫(yī)院指定系統(tǒng)和設(shè)備等進(jìn)行全面的安全配置核查和分析，發(fā)現(xiàn)配置的不合規(guī)項(xiàng)，并結(jié)合行業(yè)實(shí)際需求提出系統(tǒng)整改建議，輸出報告。

plan-3

滲透測試服務(wù)
滲透測試作為檢驗(yàn)?zāi)繕?biāo)系統(tǒng)安全性最有效的服務(wù)，需要服務(wù)人員通過智能工具掃描與人工測試、分析的手段，以模擬黑客入侵的方式對服務(wù)目標(biāo)系統(tǒng)進(jìn)行模擬入侵測試，識別服務(wù)目標(biāo)存在的安全風(fēng)險。
滲透性測試是工具掃描和人工評估的重要補(bǔ)充。工具掃描具有很好的效率和速度，但是存在一定的誤報率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問題，滲透測試需要投入的人力資源較大、對測試者的專業(yè)技能要求很高（滲透測試報告的價值直接依賴于測試者的專業(yè)技能），但是非常準(zhǔn)確，可以發(fā)現(xiàn)邏輯性更強(qiáng)、更深層次的弱點(diǎn)。

移動APP安全測試服務(wù)

移動APP安全測試服務(wù)是由資深安全服務(wù)工程師以人工分析為主，漏洞檢測工具為輔的方式，對APP進(jìn)行安全分析，在保證整個安全測試過程都在可以控制和調(diào)整的范圍之內(nèi)，全面發(fā)現(xiàn) Android、IOS、微信應(yīng)用等程序可能存在的安全缺陷，并提供安全測試報告和改進(jìn)建議，最大程度地為保障北京大學(xué)口腔醫(yī)院APP的程序安全。

安恒信息為了確保移動APP安全測試的全面性，安全工程師開通相關(guān)應(yīng)用的賬戶，供分析、測試使用。測試內(nèi)容同時包括客戶端APP和服務(wù)器端應(yīng)用，并針對不同層面安全漏洞的檢測重點(diǎn)、難點(diǎn)展開分析，保證測試工作穩(wěn)步有序開展。

安恒信息根據(jù)以往對醫(yī)療行業(yè)移動APP程序測試過程中所積累的服務(wù)經(jīng)驗(yàn)，總結(jié)形成了一套詳細(xì)的測試框架包括∶移動APP客戶端測試、服務(wù)端測試、本地文件安全測試、網(wǎng)絡(luò)傳輸安全測試、已有安全策略測試等。

項(xiàng)目價值

-安恒信息長期以來致力于提供高質(zhì)量、完善的技術(shù)支持服務(wù)，以確保用戶的信息系統(tǒng)穩(wěn)定運(yùn)行，擁有一批資深的安全技術(shù)人員和技術(shù)支持服務(wù)團(tuán)隊(duì)，具有豐富的經(jīng)驗(yàn)，能夠很好的解決用戶信息系統(tǒng)運(yùn)行期間可能遇到的各類安全問題

-技術(shù)支持服務(wù)期內(nèi)，為了解決北京大學(xué)口腔醫(yī)院業(yè)務(wù)系統(tǒng)運(yùn)營過程中遇到的各種問題和困難，安恒信息設(shè)立了安全服務(wù)咨詢熱線，為北京大學(xué)口腔醫(yī)院提供7*24小時的遠(yuǎn)程安全技術(shù)支持服務(wù)、常見信息安全問題咨詢服務(wù)

-安恒信息具有經(jīng)驗(yàn)豐富的技術(shù)工程師、完善的服務(wù)跟蹤數(shù)據(jù)庫，設(shè)備齊全的安全實(shí)驗(yàn)室，確保對北京大學(xué)口腔醫(yī)院的技術(shù)請求做出快速滿意的響應(yīng)

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>