- 综合排序
- 最热优先
- 最新优先
医疗机构等保合规实战:电子病历、HIS系统等保建设全攻略
本文分析医疗行业等保的特殊要求和核心挑战,结合腾讯云安全产品和等保服务能力,为医疗机构提供一套可落地的等保合规建设方案。 医疗机构等保实施路径 基于多家医院的等保项目经验,以下实施路径经过实践验证,适合不同规模的医疗机构参考: 准备阶段(2-3周)——梳理医院信息系统清单,明确哪些系统需要做等保。 阶段 工作内容 建议周期 准备阶段 梳理系统清单,准备管理制度 2-3周 定级备案 确定等保级别,完成公安备案 1-2周 建设整改 部署安全产品、加固系统、完善制度 4-8周 等级测评 配合测评机构测评 仅这三款产品就能覆盖等保多个检查项,实现"零成本"满足部分合规要求。 套餐组合享5折——选购3款及以上付费安全产品最低5折。 已有众多医疗机构通过腾讯云完成了等保合规建设。如果你的医院也面临等保合规需求,不妨先从免费的安全产品开始体验腾讯云的安全能力——零成本零风险,用了好再扩展。
9110编辑于 2026-04-15- 来自专栏FreeBuf
等保测评师角度浅谈等保2.0
1、等保初衷:从各行各业的开展等保来看,基于网络安全的初心开展等保的单位企业少之又少,而绝大都是单位企业都是政策要求,其中具体又可以细分为 1)行业主管部门要求开展等保,比如电力行业和金融行业,这两个行业都有文件要求开展等保 ,所以在众多民营企业中不愿意做但是必须需要做等保。 2)寻找背锅侠,部分政府单位对等保不感冒,但是被等保机构销售忽悠后以为做的等保就可以给自己上一道“保险”,纯粹为了事后找等保机构给自己背锅。 ,把等保测评当作驾校培训,每年被停止营业的大部分就是这类。 这也就是为什么等保2.0出台后,很多厂家均发布了一些基础版套餐、标准版套餐和豪华版套餐等等文章,让很多客户单位慢慢被认为等保测评就是花钱买设备,而国家推行等保测评的初衷却不甚了解。
3.7K51发布于 2020-10-27 - 来自专栏安智客
什么是等保2.0?读懂等保标准新变化
2008年发布的《GB/T22239-2008 信息安全技术 信息系统安全等级保护基本要求 》简称为等保1.0。 旧标准更偏重于对于防护的要求,而等保2.0标准更适应当前网络安全形势的发展,结合《中华人民共和国网络安全法》中对于持续监测、威胁情报、快速响应类的要求提出了具体的落地措施。 我们总说等级保护有五个规定动作,即定级、备案、建设整改、等级测评和监督检查,2.0时代,等保的内涵已大为丰富和完善。 、安全建设管理、安全运维管理。 标准控制点和要求项的变化 等保2.0在控制点要求上并没有明显增加,通过合并整合后相对旧标准略有缩减。
3.6K50发布于 2018-03-30 - 来自专栏腾讯云TStack专栏
等保2.0,腾讯云TStack通过等保四级测评
同时,腾讯云TStack的高分通过,也为用户进行等保合规打下坚实基础。根据要求,云上用户进行等保合规验证,必须保证其所在云平台已过测评;对于云用户系统的评定,云平台等级分数也是影响因素之一。 腾讯云TStack还可以为客户定制等保合规的整改意见,指导客户进行安全服务的选型与部署,助力用户更加高效省心过等保。 02 等保1.0到2.0 ,云平台成重头戏 等保,全称是网络安全等级保护制度标准,是国家法律确定的规范,对企业等组织的信息安全有着重要保护作用。 早在2017年6月1号,等保1.0已经发布,随着大数据、云计算、人工智能的不断发展,国家网络与信息安全发展也在向更严格、更全面的“等保2.0”逐步过渡。 等保2.0于5月13日正式发布,计划于2019年12月1日正式实施。等保2.0将重点保护监管对象,由原来的传统系统,扩展到云平台与大数据平台。
7.4K20发布于 2019-05-21 - 来自专栏章工运维
等保三级
它可以检测很多类型的恶意软件,包括病毒、蠕虫、特洛伊木马等。
1.3K21编辑于 2023-05-19 - 来自专栏用户5246261的专栏
等保2.0时代,企业如何开展移动互联安全合规建设
等保2.0之移动互联安全扩展要求解读 移动互联网在迅速发展带来的网络安全问题日益突出,等保技术体系的一个重要课题,便是如何对采用移动互联技术的等级保护对象进行定级和有效防护,《网络安全等级保护基本要求— 一站式等保服务,助力移动互联安全合规建设 等级保护建设整改过程中,会涉及到四个不同的角色,分别是:建设单位、公安机关、建设服务商、测评机构。 为助力企业顺利完成等保建设,几维安全针对采用移动互联技术的等保企业提供一站式等保服务,具体工作实施流程如下: 几维安全提供的一站式等保服务,从等保定级咨询到建设整改再到安全运维管理,全流程跟踪和支持项目 要求:等保2.0定制化方案,全面解决APP安全问题 等保2.0既是国家安全部署要求,也是市场发展客户安全保障的刚需,开展网络安全等级保护是未来用户合规运营的必经之路。 几维安全将持续关注等级保护2.0的相关法规标准、市场动态,助力企业完成等保建设工作。
3.7K10发布于 2019-04-25 - 来自专栏腾讯云安全的专栏
“等保”要求趋严,腾讯云安全助力企业快速通过等保
网络安全等级保护制度推进史概览 1999 国家标准:GB17859 国家强制标准发布,信息系统等级保护建设必须遵循的强制性标准。 由此可见,用户通过等级保护(以下简称等保)测评的重要性。 定级初了解 顾名思义,等级保护由对应的级数划分,以游戏行业为例,我们初步了解一下: ? 如何完成等级保护测评与备案? 从上图可见,与业务息息相关的系统都是需要过二级、三级的等保要求,并且这些都是必过的项目。那具体应该如何做,才能达到合规的要求呢? △ 等保测评流程图(以上海市为例) 如何更简便快捷? ? 以上的每一项,如果企业自身独自完成较为复杂,不过没关系,腾讯云为大家提供了一站式解决方案,帮助客户应对等保要求中所面临的困惑: ? 一站式等保服务 腾讯云安全助力企业快速通过等保
3.1K50发布于 2018-06-12 - 来自专栏技术博文
等保2.0-身份鉴别
minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict 参数含义: 尝试次数:5 最少不同字符 :3 最小密码长度:10 最少大写字母:1 最少小写字母:3 最少数字:3 3.查看某个用户的密码设置情况 chage -l username username 设置密码永不过期 chage -M 90 username 设置密码过期时间为90天 二、 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施 以上策略表示:普通帐户和 root 的帐户登录连续 3 次失败,就统一锁定 40 秒, 40 秒后可以解锁。 表示 超过3 次登录失败即锁定。
1.5K10发布于 2021-09-14 - 来自专栏技术博文
等保2.0-访问控制
用户 2.应核查是否已禁用或限制匿名、默认账户的访问权限;应禁止root直接远程登录ssh,查看cat /etc/ssh/sshd_config的PermitRootLogin no|yes设置为no 3. 应禁止root直接远程登录telnet,查看cat /etc/securetty文件中的pts0-pts3全部注释 判定说明: 1.未提供权限列表,但不同的用户使用不同的账户登录系统结果判定为符合 2. tty设备登录,登录程序(通常是/bin/login)需要读取/etc/securetty文件;列出来的tty设备都是允许的,注释掉或是在这个文件中不存在的都是不允许root登录的(只能以普通用户登陆) 3. /etc/securetty值类型:①tty:终端 ②pts:伪终端 ③console:当前的控制台 ④vc:visual console虚拟控制台 ⑤vt:虚拟终端 ⑥hvc ⑦hvsi ⑧xvc等 查看是否启用默认账户,检查/etc/passwd文件对不启用的用户是否nologin或以#号标注 2.应检查是否已修改默认账户的默认密码,查看是否存在如:root/root,oracle/oracle等用户
1.9K40发布于 2021-09-14 - 来自专栏网络安全彭于晏
等保|等级保护学习笔记
等级保护从安全技术、安全管理两大方面为网络运营者提供了安全建设指导,为不同规模的客户设置了最低的安全基线。安全建设的起点就是等保合规。 本文主要记录等级保护学习过程中的笔记及思考。 S、A分别进行定级,采用高不就低的原则(S3A2、S2A3都是等保三级)。还有一个参数G:通用安全服务等级。 从137个确定的关键指标结合客户开展等保建设工作中的实际情况,此次修订是突出强调在等保建设过程中加强以下方面:态势感知、高级威胁检测、数据库安全(数据库审计、数据库加密、数据库脱敏、数据库防火墙等)等。 3.等保1.0与2.0的主要差异 等保2.0相比等保1.0主要有五大方面的变化: 3.1名称上的变化 名称上由“信息系统安全等级保护”转变为“网络安全等级保护”。 此外,等保2.0基本要求、测评要求、安全设计技术要求框架保持了一致性,即“一个中心,三重防护”。 3.5内容进行了扩充 等保1.0有五个规定性动作,包括定级、备案、建设整改、等级测评和监督检查。
3K40编辑于 2022-02-19 - 来自专栏FreeBuf
等保测评:SQLServer操作超时
通过链接服务器,SQL Server 数据库引擎 和 Azure SQL 数据库托管实例可从远程数据源中读取数据,并针对 SQL Server 实例之外的 OLE DB 数据源等远程数据库服务器执行命令 所以我们要进行区分,同样是在SQL Server Management Studio上进行一些设置,有些是对这个软件本身的一些项进行设置(如连接超时值等),而有些则是对你连接的这个数据库的一些项进行设置
5.2K30发布于 2019-08-13 - 来自专栏人工智能机器学习
等保2.0与工控安全
2019年5月13日等保2.0正式发布,这是继2008年发布等保1.0十余年来继网络安全法实施后的一次重大升级。等保2.0在等保1.0的基础上,更加注重全方位主动防御、安全可信、动态感知和全面审计。 打开百度App,看更多图片 02、等保对象变化 等保对象由原来的信息系统过渡到现在的网络和信息系统,统称为等级保护对象。 除此之外,等级保护的合格线也从60分提升到现在的75分,这对于等保建设来说要求变得越来越严格。 根据等保2.0的要求,工业控制系统需要同时满足通用要求和扩展要求两部分。 针对漏洞修补,明确要求需要经过充分的认证和测试; 3. 提出了安全管理中心的概念。 相关内容推荐:等保2.0与大数据安全
1.7K20发布于 2019-09-27 - 来自专栏人工智能机器学习
等保2.0的发展历史
2007年7月20日,召开全国重要信息系统安全等级保护定级工作部署专题的电话会议,标志着等级保护等信息安全等级保护制度正式开始实施。 2010年4月,公安部出台《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》,提出等级保护工作阶段性目标。 等保2.0时代,将根据信息技术的发展应用和网络安全的态势,不断地丰富制度的内涵、拓展保护范围、完善监管措施,逐步健全网络安全等级保护制度政策、标准和支撑体系。 3、等级保护工作内容持续扩展 在定级、备案、建设整改、等级测评和监督检查等规定动作基础上,2.0时代风险评估、安全监测、通报预警事件调查、数据防护、灾难备份,应急处置、自主可控、供应链安全、效果评价、综治考核等这些与网络安全密切相关的措施都将全部纳入到等级保护制度并加以实施 第六基因数据(新), 第七经处理可识别特定个人的生物识别数据(新) 在个人信息安全上的要求是一致的,以三级等保为例,其中对于个人信息的要求有:
2.1K30发布于 2019-10-12 - 来自专栏技术博文
等保2.0-mysql安全
本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/123
1.2K30发布于 2021-09-14 - 来自专栏运维
等保2.0介绍
等保2.0概述 2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求 关于三级等保的技术要求 GBT22239-2019等保2.0基本要求分技术要求与管理要求。 以下加粗字段为等保三级与二级的区别,需重点关注。 3移动互联安全扩展要求 3.1安全物理环境 3.1.1无线接入点的物理位置 应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。 等保二级与三级区别 等保二级测评项为 135 项 等保三级测评项为 211 项(不含云计算、物联网、工控 扩展项) ?
2.8K20发布于 2021-03-25 - 来自专栏FreeBuf
等保测评2.0:SQLServer安全审计
(3) 数据库损坏相关的错误 (4) 数据库备份与恢复动作记录 (5) DBCC CHECKDB记录 (6) 内存相关的错误和警告 (7) SQL调度出现异常时的警告。 (3) windows层面异常。 ? 错误日志可以配置的内容有: ? ? 从上面可以得知,SQLServer默认虽然开启着错误日志,对一部分事件进行了记录。 另外,这里应该也要判断下日志中的日期和时间是否准确,SqlServer日志中的时间应该是引用的本机时间,所以就要看一看数据库所在的操作系统是否做了这方面的措施,具体哪些措施可以看:等保测评2.0:Windows 五、测评项c c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; 5.1. 要求1 也即仅某些账户可删除、修改审计记录。 在默认状况下,SQLServer仅存在错误日志,对于错误日志,默认状态下会存在7个,分别是: ERRORLOG ERRORLOG.1 ERRORLOG.2 ERRORLOG.3 ERRORLOG.4 ERRORLOG
4.5K20发布于 2020-03-24 - 来自专栏FreeBuf
等保测评2.0:Windows身份鉴别
测评项a要求3 身份鉴别信息具有复杂度要求 这个要从两个方面看,我个人觉得两个方面都符合才能算达到要求。 四、测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; 4.1. 测评项d d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 这里我在等保测评:CentOS登录失败参数详解和双因素认证这篇文章中也说到过,这里换个角度说一说基础的知识。 6.1. 所以实际测评的时候,对于这一项,只要不让其成为高风险即可,比如用堡垒机等方式(具体看高风险判定指引里的内容)。
6.9K51发布于 2020-02-20 - 来自专栏FreeBuf
等保测评2.0:Oracle身份鉴别
那么只要oracle数据库中建立一个名为opscv的账户并给与基础权限(连接权限等),用户在登录操作系统中的cv后,可以直接使用sqlplus /或sqlplus / as normal(两个命令是一个意思 五、测评项a要求3 身份鉴别信息具有复杂度要求 这个要从两个方面看,我个人觉得两个方面都符合才能算达到要求。 raise_application_error(-20003, 'Password same as username reversed'); END IF; 这里检查口令是否和数据库名相等,以及是否和数据库名0到数据库名100相等。 顺序取字符串来对比: u不等于a,differ的值加1,为1 s不等于d,differ加1,为2 最后循环4次结束,differ为4, 如果最后differ小于3,则未通过校验,大于等3,则通过校验。 理论上比较好的应该是口令长度不低于8位(这里是9位当然更好了),同时包含数字、大写字母、小写字母、特殊字符其中的3种字符。 另外,不知道为什么,SYS账户的口令的更改,不受到这个校验函数的限制。
6.6K10发布于 2020-05-14 - 来自专栏FreeBuf
等保2.0标准个人解读(一)
所以,决定结合即将实施的等保2.0(以下简称“等2”或“新标准”)标准的通用部分,做一下分析,给出一些个人建议,以供前端和后端人员参考。 而且,做安全也不要太局限于技术层面,管理其实更为重要,这就是为何等保中有技术也有管理的原因。 本篇算是开个头,把之前安全管理中心的东西贴过来(不然内容太少了,不好意思发),各位也可以直接去看那篇文章:《等保2.0安全管理中心要求解读》(请点击底部【阅读原文】观看)。 此处是Gartner给出的一些控制建议: 1)对特权账号的访问控制功能,包括共享账号和应急账号; 2)监控、记录和审计特权访问操作、命令和动作; 3)自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化 建议一步步来建设安全能力,不要一上来就忙着搭建SOC。由于是标准中新增要求项,需要一些时间才会有比较完善的解决方案或产品。
4.5K40发布于 2019-08-16 - 来自专栏FreeBuf
等保测评2.0:应用身份鉴别
密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 3. 测评项b b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; 3.1. 测评项d d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 5.1. 谷歌验证器 其实和等保测评2.0:Oracle身份鉴别(下)中5.2节介绍的认证方式差不多,谷歌验证码生成的时间间隔是一般是30s。 3级系统,且可通过互联网进行访问的应用系统未使用双因素认证,可判定为高风险。 这里说明下,如果使用了双因素但未使用密码技术,不算高风险,因为这里没有提到。
4.5K30发布于 2020-07-28
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号