关键字
集成平台、三级等保
前言:
集成平台过三级等保目前已成为医疗机构不可或缺的必备要求。无论是政策文件、测评标准(如互联互通测评)还是集成平台的投标标书,都明确了集成平台需要满足三级等保的标准。
集成平台在三级等保测评中,需要考虑的主要是安全计算环境方面的问题。
图1 三级等保测评中安全计算环境的通用要求
在实际等保测评过程中,不同的等保测评机构可能会根据等保2.0中最新的三级等保标准,对某些指标要求进行量化。
图2 医院在首次等保检测时容易出现的问题占比
我们经过统计后发现,医疗机构在身份鉴别、访问控制和数据完整性三个方面,在等保测评中存在不符合(或部分符合)要求的项目相对较多。
问题一:集成平台的三级等保测评中要求身份鉴别信息具有复杂度要求和有效期策略,集成平台如何实现?
在三级等保标准中,对身份鉴别信息的复杂性提出了多方面要求,包括密码长度和字符组合等。
Odin能在配置中设置密码的复杂度,所谓密码复杂度即根据提供的密码从统计学角度来计算需要多少次尝试才能够破解密码,也就是密码的可被破解性。
问题二:集成平台仅采用了用户名密码一种身份鉴别方式,难以满足三级等保需求,怎么办?
《要求》对于第三级安全要求的安全计算环境的身份鉴别明确规定:
通常情况下,企业倾向于使用手机短信验证作为额外的安全防护措施。
Odin不仅提供了传统的用户名密码验证方式,还提供了网络层的身份鉴别保证。
问题三:等保公司提出了对登录失败处理功能的具体数据指标,该如何应对?
等保测评中要求集成平台“应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施”。
Odin具备配置化能力,让医院可以通过修改平台中相应的配置文件数据对登录失败次数,锁定时间,自动登出时间等指标进行修改,达到“密码输错一定次数则锁定账户无法登录”,“超过规定时间没有进行操作将自动锁屏”等效果,使其符合等保测评要求。
问题四: 集成平台如何符合等保测评要求中对于数据传输和存储过程中的保密性?
等保测评中对数据传输和存储过程中的保密性也提出了要求,要求医院集成平台“应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等”。
Odin能提供SSL/TSL等单双向HTTPs传输加密功能,并支持包括国密算法SM3、SM4在内的十几种双向加解密能力,确保集成开发和传输时的内容级安全,在可读性上实现“机器可读,人不可读”。
结语
在不断变化的信息安全格局下,医院集成平台的三级等保建设面临着更高的要求和更多的挑战。
Odin文章评论: