基于等保2.0的醫(yī)院信息安全保障淺析

查正清

隨著《“健康中國2030”規(guī)劃綱要》、 《關(guān)于促進(jìn)”互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的指導(dǎo)意見》的出臺，互聯(lián)網(wǎng)+醫(yī)療業(yè)務(wù)像雨后春筍蓬勃發(fā)展，但信息安全威脅隨之增加。在互聯(lián)網(wǎng)+醫(yī)療健康大背景下，醫(yī)院網(wǎng)絡(luò)安全保障體系應(yīng)該如何規(guī)劃和建設(shè)？如何從以往的靜態(tài)防御向監(jiān)測預(yù)警、主動響應(yīng)的深度防御轉(zhuǎn)變？醫(yī)院信息安全管理的范圍包括哪些？

一、 重新定義醫(yī)院網(wǎng)絡(luò)邊界

隨著互聯(lián)網(wǎng)+醫(yī)療的不斷演變，醫(yī)院網(wǎng)絡(luò)形態(tài)不再是封閉隔離，云計(jì)算、物聯(lián)網(wǎng)、5G等新技術(shù)的應(yīng)用，網(wǎng)絡(luò)邊界變得模糊，傳統(tǒng)的“一網(wǎng)一墻”和“內(nèi)外網(wǎng)隔離”不再滿足醫(yī)院業(yè)務(wù)形態(tài)多樣性下的信息安全保障要求。等保2 0要求網(wǎng)絡(luò)按業(yè)務(wù)特性和安全需求劃分不同的安全域，各安全域之間嚴(yán)格區(qū)分邊界，這也是保護(hù)網(wǎng)絡(luò)安全的基礎(chǔ)手段。一般醫(yī)院網(wǎng)絡(luò)，常劃為數(shù)據(jù)中心安全域、業(yè)務(wù)網(wǎng)安全域、辦公網(wǎng)安全域。在新業(yè)務(wù)形態(tài)下，建議進(jìn)一步細(xì)化網(wǎng)絡(luò)內(nèi)部邊界，如關(guān)鍵業(yè)務(wù)服務(wù)區(qū)、安全管理服務(wù)區(qū)、對外業(yè)務(wù)區(qū)、第三方業(yè)務(wù)接人區(qū)、運(yùn)維管理區(qū)、醫(yī)療設(shè)備區(qū)、數(shù)據(jù)備份專區(qū)、流量匯聚監(jiān)控專區(qū)、無線網(wǎng)絡(luò)專區(qū)等，安全域與安全域之間遵循嚴(yán)格的安全隔離措施，如防火墻、入侵防御等，同時利用全網(wǎng)威脅監(jiān)控平臺，對全網(wǎng)各區(qū)流量進(jìn)行行為特征分析，感知全網(wǎng)威脅態(tài)勢，從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部安全問題“分而治之，合而御之”的效果。當(dāng)然，各個安全區(qū)內(nèi)，結(jié)合不同的VLAN劃分來做進(jìn)一步的邏輯隔離，可以更有效的提高網(wǎng)絡(luò)的健壯性和安全性。

二、重點(diǎn)守好醫(yī)院“互聯(lián)網(wǎng)業(yè)務(wù)門戶”安全

根據(jù)Gartner的調(diào)查顯示，互聯(lián)網(wǎng)信息安全攻擊有75%都是發(fā)生在應(yīng)用層面而非網(wǎng)絡(luò)層面上。醫(yī)院對外業(yè)務(wù)由于包含重要的患者信息，成為黑客最主要的攻擊目標(biāo)。因此， “互聯(lián)網(wǎng)業(yè)務(wù)門戶”的應(yīng)用層威脅防護(hù)顯得非常重要。醫(yī)院互聯(lián)網(wǎng)業(yè)務(wù)門戶安全主要涉及應(yīng)用服務(wù)器安全和應(yīng)用層安全。首先，應(yīng)用服務(wù)器需要部署在相對安全的環(huán)境中，前端的防火墻訪問控制、入侵威脅檢測過濾僅能實(shí)現(xiàn)服務(wù)器安全保護(hù);其次，在應(yīng)用層安全防護(hù)上，WEB防火墻必不可少，能夠攔截大部分針對應(yīng)用層的OWAS TOP 10攻擊;此外，在脆弱性管理方面，應(yīng)及時修復(fù)操作系統(tǒng)高危漏洞，尤其要注意口令安全。近幾年不法分子對門戶網(wǎng)站的攻擊日益嚴(yán)重，尤其是政府機(jī)關(guān)及醫(yī)療事業(yè)單位的網(wǎng)站成為不法分子攻擊的重要對象，這就對我們的網(wǎng)站防護(hù)提出了兩點(diǎn)關(guān)鍵要求 一是篡改預(yù)警功能。一旦網(wǎng)站被篡改，可第一時間預(yù)警到網(wǎng)站管理員手機(jī)，為管理員贏得寶貴的應(yīng)急處置時間;二是篡改還原功能。網(wǎng)站管理員不可能24小時守著服務(wù)器，一旦被篡改應(yīng)具有快速自動還原或回滾到篡改前狀態(tài)的機(jī)制。這兩項(xiàng)功能目前新型的WAF或者一些安全廠商的安全服務(wù)中已經(jīng)可以做到。

三、數(shù)據(jù)安全是最核心的一道防線

國內(nèi)醫(yī)療行業(yè)是數(shù)據(jù)竊取的重災(zāi)區(qū)，曾有多家大型三甲醫(yī)院中勒索病毒。尤其近期某國內(nèi)信息化頂尖醫(yī)院也被勒索病毒攻克，更是讓大家談虎變色。數(shù)據(jù)安全包括對內(nèi)的數(shù)據(jù)安全和對外的數(shù)據(jù)安全，對內(nèi)的可以通過數(shù)據(jù)庫審計(jì)系統(tǒng)、防統(tǒng)方系統(tǒng)加強(qiáng)防護(hù)。如筆者所在的醫(yī)院就制訂了一套完備的防統(tǒng)方管理規(guī)定，所有系統(tǒng)查詢均需通過審批，其中可能會觸發(fā)防統(tǒng)方系統(tǒng)的需在紀(jì)檢辦備案。然后紀(jì)檢辦每月匯總防統(tǒng)方系統(tǒng)的報(bào)警，由信息部門逐條協(xié)助追蹤處理。保證數(shù)據(jù)安全最重要的一個手段是容災(zāi)和備份，備份需要有在線備份和離線備份。在線備份是保證系統(tǒng)的高可用，如打補(bǔ)丁的時候能夠有在線備用服務(wù)器實(shí)時服務(wù)。很多人認(rèn)為如果有在線備份，離線備份就不重要了，其實(shí)離線備份才是防止勒索病毒的終極武器。甚至于離線備份設(shè)置的時間都應(yīng)該是慎重選擇的。筆者所在醫(yī)院離線備份每24小時一次完整備份，每6小時一次差異備份。差異備份的時間設(shè)置在每天1點(diǎn)、7點(diǎn)、1 3點(diǎn)、19點(diǎn)，這幾個時間節(jié)點(diǎn)都是系統(tǒng)非繁忙時段，對前臺影響最小。

四、系統(tǒng)安全是基礎(chǔ)

系統(tǒng)安全分為操作系統(tǒng)安全和應(yīng)用系統(tǒng)安全。操作系統(tǒng)經(jīng)常需要及時更新補(bǔ)丁，而更新補(bǔ)丁對應(yīng)用系統(tǒng)來說也是非常危險(xiǎn)的，有的補(bǔ)丁可能會導(dǎo)致系統(tǒng)部分功能失效甚至系統(tǒng)崩潰。這就需要在保證系統(tǒng)高可用的前提下嚴(yán)格制定補(bǔ)丁更新流程。應(yīng)用系統(tǒng)上線前最好聘請專業(yè)公司做安全測評，上線后定期做滲透測試和漏洞掃描。

五、不能忽視的訪問安全

訪問安全主要包括弱口令問題、CA認(rèn)證和運(yùn)維人員訪問安全。弱口令問題普遍存在，很多系統(tǒng)比較老舊，沒有弱口令限制功能。這只能通過逐步整改慢慢實(shí)現(xiàn)，無法一蹴而就。但這也可以通過加強(qiáng)管理來應(yīng)對，多宣傳網(wǎng)絡(luò)安全的重要性，讓每個人都知道口令管理是自己的職責(zé)，一旦被攻克自己也要承擔(dān)連帶責(zé)任。CA認(rèn)證是加強(qiáng)訪問安全的有力保證。運(yùn)維人員訪問必須嚴(yán)格通過堡壘機(jī)，并且嚴(yán)格管控其訪問的權(quán)限。

六、做好終端安全合規(guī)及入網(wǎng)控制

終端安全包括終端設(shè)備安全、網(wǎng)絡(luò)端口安全。終端設(shè)備包括PC機(jī)、打印機(jī)、手持終端等設(shè)備，可通過終端管理等軟件加以管理。網(wǎng)絡(luò)端口可通過網(wǎng)絡(luò)管理軟件嚴(yán)格控制網(wǎng)絡(luò)準(zhǔn)入。應(yīng)建立終端安全合規(guī)基線，明確終端安全需要采取的措施，充分結(jié)合網(wǎng)絡(luò)準(zhǔn)入控制，阻止非法終端或不安全終端的揍人，可大為減少威脅通過終端進(jìn)入醫(yī)院業(yè)務(wù)網(wǎng)，減少網(wǎng)絡(luò)安全事件的發(fā)生。

七、醫(yī)療設(shè)備安全隔離

醫(yī)院的醫(yī)療設(shè)備五花八門，配套系統(tǒng)也參差不齊。有些設(shè)備工作站要求不允許安裝殺毒軟件和終端管理軟件，有些設(shè)備系統(tǒng)比較陳舊，筆者所在的醫(yī)院還有WIN98系統(tǒng)的工作站，并且不支持更換系統(tǒng)。這些都大大增加了管理的難度。筆者在實(shí)踐中主要采用網(wǎng)絡(luò)隔離和白名單制度的方式進(jìn)行管理，通過劃分不同的網(wǎng)段、不同的VLAN來做網(wǎng)絡(luò)隔離，把不安全的醫(yī)療設(shè)備單獨(dú)隔離出來。通過白名單制度來設(shè)置醫(yī)療設(shè)備工作站允許通過的IP地址和協(xié)議端口，這樣可以大范圍降低安全風(fēng)險(xiǎn)。

八、管理是信息安全的催化劑

“三分技術(shù)、七分管理”，在整個安全體系建設(shè)中，安全管理是第一位的。如果沒有安全管理那么就像是裝備再精良的軍隊(duì)卻沒有紀(jì)律，大家都不服從指揮那也是沒有辦法上戰(zhàn)場的。安全管理包括安全管理制度、安全應(yīng)急預(yù)案。安全管理制度制定后不能束之高閣，制度中有信息部門人員需要遵守的，有管理運(yùn)維人員的，有管理全院員工的。這就要通知到每一個人，讓使用人員都知道自己需要注意的安全規(guī)范。定期組織學(xué)習(xí)，讓每個人都把信息安全規(guī)范做為一種工作習(xí)慣。如前文所述的弱口令管理，如果宣傳不到位，不知道的人很容易偷懶設(shè)置成弱口令造成安全隱患，而一些早期開發(fā)的系統(tǒng)做強(qiáng)密碼改造成本也比較高昂。另外醫(yī)院的職工是動態(tài)變化的，也需要定期宣傳安全管理制度，尤其是有針對性的讓大家時刻注意自己工作中的安全隱患。安全應(yīng)急預(yù)案需要定期演練，讓大家熟悉應(yīng)急預(yù)案的流程細(xì)節(jié)，這樣才能做到有事時按部就班、有條不紊。有條件的醫(yī)院可建立全院性態(tài)勢感知系統(tǒng)，使全院的信息安全實(shí)現(xiàn)可視化管理，及時發(fā)現(xiàn)和解決問題。

安全無小事，所有醫(yī)院都將醫(yī)療質(zhì)量和醫(yī)療安全放在第一位。和醫(yī)療安全一樣，醫(yī)院信息安全覆蓋范圍廣，管理難度大，同樣也是醫(yī)院管理的重中之重。本文主要依據(jù)《GB/T 22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》，基于“一個中心、三重防護(hù)”的信息安全保障框架，立足醫(yī)院信息化現(xiàn)狀及面臨的安全挑戰(zhàn)，詳細(xì)分析和梳理醫(yī)院安全保障的重心，共同探討解決問題的可行方法，望對同行工作能夠起到一點(diǎn)借鑒作用。