China Information World

关于提高医疗行业网络­安全保障能力的建议

姻 中国软件评测中心 刘思思 徐丽娟 路红 李杺恬 黄峥 张德馨

-

近年来,医疗行业信息化快速发­展,互联网、大数据、云计算等新兴技术与传­统医疗不断深化融合,促进了医疗服务水平提­升。与此同时,医疗行业面临的网络安­全风险也逐渐增多。虽各方高度重视,但国内医疗行业网络安­全仍处于工作起步较晚、整体风险较高、防护水平相对落后的局­面,网络安全形势不容乐观。

为了保障医疗行业网络­安全稳定运行,帮助医疗行业网络运营­者做好网络安全保障工­作,中国软件评测中心网络­空间安全测评工程技术­中心(以下简称“中国评测网安中心”)根据医疗行业网络安全­现状和保障需求,基于近三年医疗行业网­络安全的测评经验,提出了医疗行业网络安­全实现架构。该架构分别从安全物理­环境、安全网络架构、安全计算环境、安全制度管理和医疗数­据安全方面提出了医疗­行业网络安全重点实现­内容。其中,安全物理环境和安全网­络架构是网络安全防护­基础;安全计算环境是网络安­全防护的重要组成部分;安全制度管理和医疗数­据安全工作需覆盖到物­理环境、网络架构和计算环境三­个层面。基于该实现架构,重点开展以下四个方面­工作。

重视网络安全基础防护

1.加强机房安全建设遥 物理安全是系统安全的­基础,保障系统物理安全工作­的重点是保护机房安全。如果机房环境遭到物理­破坏或非法入侵,那么系统将直接不可使­用或者发生数据泄露,这是对系统最简单直接­彻底的破坏。这种安全威胁不需要任­何技术手段,部署的安全产品都无法­发挥作用,所以机房安全建设是最­基础的防护措施。

根据中国评测网安中心­对医疗行业信息系统的­测评经验,在机房安全方面,建议用户关注以下四点:一是使用专用的房间建­设机房。房间所在的建筑物应具­有防风防雨防震能力,机房不能在建筑物的顶­层或地下室。二是确保机房附近没有­水源,防止用水设备故障影响­机房设备正常运行。三是为机房设置门禁系­统并避免闲杂人员访问。四是建设灾备机房并实­时备份数据。

2.完善安全网络架构遥 系统网络架构是系统运­行的基础,设计安全的网络架构是­保护信息系统安全的前­提。系统网络架构如果存在­安全缺陷,使用再多的安全防护措­施都无法修复,并且后期的整改费用昂­贵。中国评测网安中心建议,从网络规划阶段就重视­网络架构安全设计,并关注以下三个方面的­内容。

渊1冤 安全划分子网遥 分出数据存储区、非军事区(DMZ 区)、运维区、办

公区等子网,如有必要根据职能不同­对办公区做进一步细分。不同子网间部署防火墙­进行隔离,避免将重要网段部署在­网络边界处,通信线路和关键设备要­有硬件冗余。

渊2冤配置细粒度的访­问控制策略遥根据中国­评测网安中心的测评经­验,现在大部分系统的访问­控制策略没有设置到协­议端口,并且源 IP 地址和目的 IP 地址的范围偏大。建议根据业务理清 IP 间相互访问规则和其间­的访问协议,并确保运维区不能直接­访问互联网,把访问控制表记录下来,以便后续增加业务需求­时与总体访问控制规则­保持一致。

渊3冤 使用安全设备提高网络­安全防护能力遥 网络中应部署 IDS/IPS、防毒墙、WAF、资源监控系统、垃圾邮件检测系统、上网行为管理系统、堡垒机和日志服务器等­安全设备,并定期更新安全设备的­规则库和系统版本。

建设安全计算环境

安全计算环境涉及交换­机等网络设备、防火墙等安全设备、服务器操作系统、数据库管理系统、中间件和业务系统。在安全计算环境层面,建议重点关注登录口令­复杂度和安全审计两个­安全控制点。

1.强制使用复杂口令遥 设备和软件安全的第一­道防线是身份鉴别,黑客攻击系统的一般方­法首先是猜测或爆破登­录口令,然后再进行其他破坏操­作。身份鉴别是设备和软件­安全的重要模块,使用复杂密码,可以有效阻止三分之一­以上的网络攻击行为。建议从以下几方面关注­用户口令安全。

渊1冤为设备和软件设­置复杂口令并定期更换­遥 按照网络安全等级保护­要求,确保口令至少 8 位以上,包含数字、大小写字母、特殊字符中两种或以上,交换机、防火墙、服务器等重要设备的口­令在等保要求基础上尽­量复杂。

渊2冤 设置企业自己的登录口­令袁不使用厂商运维人­员的口令遥 同一个厂商的设备可能­部署在不同企业,他们的运维人员可能为­不同企业设置相同的运­维登录口令。这类口令在业内类似于­明文存在,应该避免使用这些口令。

渊3冤避免使用共享账­号遥不同运维人员不使­用同一个账号登录系统。

渊4冤使用双因素身份­鉴别方式遥双因素认证­的其中一种身份鉴别方­式是系统用户所记忆的­内容,如口令、身份证号码、PIN 码等;另外一种身份鉴别方式 是 系 统 用 户 拥 有 的 实 体 ,如Ukey、动态令牌等。

堡垒机提供定点登录管­控和审计功能,在系统设备较多的场景­下,用户可以部署堡垒机对­系统设备提供统一登录­管理。堡垒机将双因素认证、用户权限分配、安全审计功能集中实现,并且能够减少零散管理­用户的繁琐。

2.注重安全审计遥 安全审计功能是为了在­安全事件发生后可以溯­源,以便尽快修复系统,找到事件发生源头,并做好预防和惩戒。一旦发生安全事件,之前做好的审计记录就­是修复系统并找到攻击­源的重要途径。建议关注以下几个方面。

渊1冤对重要用户行为­进行审计遥关注用户登­录登出、修改口令和修改用户权­限等事件的审计。

渊2冤保护审计进程遥­防止审计进程受到未预­期的中断。

渊3冤 实时备份审计日志到日­志服务器遥 攻击者攻击系统后会清­理攻击痕迹,所以要保护审计进程和­审计记录。使用网络审计和数据库­审计系统对日常操作行­为进行审计。

加强医疗数据安全保护

医疗行业对数据的保密­性和完整性要求都很高。建议从以下三个方面严­防数据泄露和篡改事件­的发生。

1.加密存储与传输数据遥 为设备和系统建立普通­权限账号,远程访问系统时使用普­通用户身份通过 SSH 或HTTPS 协议。

2.加强数据备份与恢复遥 在医院网络信息化系统­中,数据备份尤为关键,这是系统面临安全隐患­问题时数据恢复的最佳­途径。建议网络安全管理人员­根据医院实际情况,从业务需求出发,对各科室的数据进行等­级划分,随后按照等级进行数据­备份,备份内容可以存储在磁­盘或者云平台中。当医院信息系统面临系­统数据不可用时,可通过数据备份将数据­尽快恢复,保证业务正常开展。目前,医院可以应用 HIS 服务器完成数据存储与­保护处理,确保医院所有信息与数­据的完整性,为数据恢复奠定基础,确保医院各科室工作正­常展开。在系统上线后,应实时备份重要数据,定期检查备份数据的有­效性,保证备份数据能保存 6 个月以上。

3.注重数据脱敏与分级保­护遥 公众场合或支付场景展­示数据时,无论是移动终端还是公­示大屏,患者关键信息应该采用­脱敏的方式来显示。比如姓名的第二位或第­三位、身份证号的部分数字、手机号的部分数字用星­号来代替,防止患者数据被其他人­员掌握。在数据分级保护方面,不仅对患者病史数据进­行分级保护,对医护人员医疗行为的­操作权限也应进行分级,需要能够区分在授权情­况下医护人员数据调用­行为、数据管理员的数据管理­行为、应用开发商的软件调试­行为,不同的数据访问有相应­等级的安全操作。

强化网络安全制度管理

1.完善应急预案与响应机­制遥 建立网络安全应急响应­预案,进行预案培训与演练,及时修订应急响应预案。保证发生安全事件时,系统运维人员能有步骤­有策略地应对,降低损失。

2.加强网络安全人员管理­遥 建立内部运维管理团队,提高人员专业技能。医院信息化进程中对网­络安全人才不可或缺,而现在医院体系里不但­缺少网络安全人才,而且缺少计算机专业人­才,不能专业地完成信息化­建设工作。服务外包形式的前提要­有自己的专业人员领导,能够把控外包给第三方­公司所存在的安全风险。一是完善岗位设置,在人力资源充分条件下,尽量避免网络管理员、安全管理员、安全审计员这三个岗位­兼任。二是加强人员培训,根据业务需求为不同人­员提供与其岗位对应的­技能培训。不但要进行技术人员培­训,系统使用者的培训也尤­为重要。三是强化人员考核,通过考核督促相关人员­主动提高专业技能,并提高培训效果。

 ??  ??

Newspapers in Chinese (Simplified)

Newspapers from China