医院等级保护测试有哪些方法
医院等级保护测试有以下方法:
渗透测试:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者可能存在的位置来进行的,并且从这个位置有条件主动利用安全漏洞。换句话来说,渗透测试是指渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定网络进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给网络所有者。网络所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。
工具测试:工具测试,是利用各种测试工具,通过对目标系统的扫描、探测等操作,使其产生特定的响应等活动,通过查看、分析响应结果,获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。工具测试包含扫描探测、渗透测试、协议分析等手段。
配置检查:安全配置检查服务针对IT范围内,漏洞扫描工具不能有效发现的方面(网络设备的安全策略弱点和部分主机的安全配置错误等)进行安全辅助的一种有效评估手段。除已知、未知的漏洞外,安全配置的弱点或配置上的缺陷也同样会被攻击者利用,因此,有必要对IT范围内的IT系统和设备进行安全配置检查。
访谈:是指测评人员与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。访谈的对象是人员,访谈涉及的技术安全和管理安全测评的测评结果,要提供记录或录音。典型的访谈人员包括:网络安全主管、信息系统安全管理员、系统管理员、网络管理员、资产管理员等。
文档审查:文档审查主要是依据技术和管理标准,对被测评单位的安全方针文件,安全管理制度,安全管理的执行过程文档,系统设计方案,网络设备的技术资料,系统和产品的实际配置说明,系统的各种运行记录文档,机房建设相关资料,机房出入记录。检查信息系统建设必须具有的制度、策略、操作规程等文档是否齐备,制度执行情况记录是否完整,文档内容完整性和这些文件之间的内部一致性等问题。
实地查看:实地查看根据被测系统的实际情况,测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,测评其是否达到了相应等级的安全要求。