醫院等級保護測試有哪些方法

醫院等級保護測試有以下方法：

• 滲透測試：滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進行的，并且從這個位置有條件主動利用安全漏洞。換句話來說，滲透測試是指滲透人員在不同的位置（比如從內網、從外網等位置）利用各種手段對某個特定網絡進行測試，以期發現和挖掘系統中存在的漏洞，然后輸出滲透測試報告，并提交給網絡所有者。網絡所有者根據滲透人員提供的滲透測試報告，可以清晰知曉系統中存在的安全隱患和問題。

• 工具測試：工具測試，是利用各種測試工具，通過對目標系統的掃描、探測等操作，使其產生特定的響應等活動，通過查看、分析響應結果，獲取證據以證明信息系統安全保護措施是否得以有效實施的一種方法。工具測試包含掃描探測、滲透測試、協議分析等手段。

• 配置檢查：安全配置檢查服務針對IT范圍內，漏洞掃描工具不能有效發現的方面（網絡設備的安全策略弱點和部分主機的安全配置錯誤等）進行安全輔助的一種有效評估手段。除已知、未知的漏洞外，安全配置的弱點或配置上的缺陷也同樣會被攻擊者利用，因此，有必要對IT范圍內的IT系統和設備進行安全配置檢查。

• 訪談：是指測評人員與被測系統有關人員（個人/群體）進行交流、討論等活動，獲取相關證據，了解有關信息。訪談的對象是人員，訪談涉及的技術安全和管理安全測評的測評結果，要提供記錄或錄音。典型的訪談人員包括：網絡安全主管、信息系統安全管理員、系統管理員、網絡管理員、資產管理員等。

• 文檔審查：文檔審查主要是依據技術和管理標準，對被測評單位的安全方針文件，安全管理制度，安全管理的執行過程文檔，系統設計方案，網絡設備的技術資料，系統和產品的實際配置說明，系統的各種運行記錄文檔，機房建設相關資料，機房出入記錄。檢查信息系統建設必須具有的制度、策略、操作規程等文檔是否齊備，制度執行情況記錄是否完整，文檔內容完整性和這些文件之間的內部一致性等問題。

• 實地查看：實地查看根據被測系統的實際情況，測評人員到系統運行現場通過實地的觀察人員行為、技術設施和物理環境狀況判斷人員的安全意識、業務操作、管理程序和系統物理環境等方面的安全情況，測評其是否達到了相應等級的安全要求。

回答所涉及的環境：聯想天逸510S、Windows 10。