浅谈医院信息化安全问题分析及对策
摘 要:近年网络安全问题已经得到社会各界广泛的关注和重视,医疗卫生行业作为典型的信息化应用前沿阵地,也正在遭受严峻的网络安全问题,包括医疗数据泄密、 勒索病毒、内部违规操作等。解决医疗行业信息安全所面临的问题,我国提出等级保护2.0标准来规范网络建设的标准以及增大网络防护的力度,但是由于各种原因的阻碍,导致许多网络故障的产生、运维工作难以排查、数据丢失现象频发,从而影响信息系统的稳定运行。本文以网络安全等级保护 2.0 为指导,通过医院信息系统作为典型案例分析探究网络安全等级保护对医院网络安全建设的指导作用。从而使得医院网络更加安全、便捷、迅速,给医疗行业工作者和患者更好的网络体验。
关键词:网络安全等级保护2.0;医院;分析;网络体验
目前,各大中型医院都搭建了自己的外网、内网和无线网,无线网有可能是独立组网或者是作为内网的延伸,实现如无线查房、移动护理等业务功能。本文讨论的重点主要为医院内网,即核心业务网,因为内网承载的是医院最为核心的业务系统,包括 HIS 系统(医院信息系统)、LIS 系统(实验室信息系统)、 PACS 系统(影像归档和通信系统)、EMR 系统(电子病历系统)等,内网中的患者个人信息、医药耗材信息等数据也是最为黑产所心动的。外网原本主要为医院行政、医护技工作人员提供互联网访问,不存在相对敏感的业务信息数据,但随着“互联网+医疗健康”应用的推出,需要实现医院内外网的贯通,实现基本公共卫生服务信息资源的整合交互,这种现实需求也就对医院内外网数据安全交互提出更强的要求。医院内网的典型特点是网络分布范围密度大、终端设备种类和数量较多、内部不同业务应用系统多等,具体表现为:一家大型医院基本可分为门诊、住院部、检验科、影像科、财务科等不同部门科室;地域范围集中分布在多栋大楼内;终端设备可以分为医生终端、护士终端、自助服务机、各类联网的医疗诊断设备等;业务应用系统除包括核心的HIS、LIS、PACS、EMR外,还可能有合理用药系统、排队叫号系统、院感管理、消毒供应等辅助系统。综上特点,其在网络安全建设、管理上的难度可想而知。网络安全等级保护 2.0 的安全框架是从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等几个层面构建的。本文讨论重点讨论安全通信网络、安全区域边界、安全计算环境。任何网络的构成都是基于一个个网络终端,包括路由器、交换机、防火墙、终端设备、服务器等,每一个终端的安全性都关系到整个网络的整体安全性。对于医院内部核心业务网络,终端种类繁多、数量庞大,包括:医生站、护士终端、检验设备、检查设备、自助服务机等,这些终端设备类型不同,使用人不相同,且分布在医院各个角落,管理难度很大。对以上终端的防护,一般从其安全策略、措施入手,包括:操作系统身份鉴别、自主访问控制功能、安全审计、入侵防范、恶意代码防范等,但是由于终端数量庞大、分布面广散的特点,实现每台终端设备的安全策略配置,以及定期维护需要极大的工作量。因此,现在医院普遍存在的问题是,由于缺乏专业人员的维护,在实施等保检测后,根据相关建议仅对部分设备做了策略配置、防护加固,未覆盖所有核心设备。由于医院整个内网都是互通的,内部横向之间的域隔离基本是缺失的,所以这种不完善的策略调整对于整个内网系统的安全提升非常有限,那些未实施安全策略调整的“漏网之鱼”往往成为安全的突破口,并可作为跳板对其他设备实施攻击。由于网络安全等级保护是以系统为对象实施测评的,其测评对象必然不可能涵盖所有内网终端,医院安全管理人员若只针对等保检测的对象安全加固,对整个网络系统的安全形势提升的作用非常有限。这种情况的改善有赖于医院安全管理人员全面安全意识的提高,避免安全工作流于形式。此外,还可以采用准入控制设备,这对于实现大量业务终端、运维终端管理是一种较好的机制,能实现对内部终端的基线配置检查、授信接入及外设接口(包括 USB、光驱等)管理。网络通信边界线可以分为外联边界和内部区域边界,外联边界线一般与存在数据交互需求的外部单位(如:医保结算中心、省市卫生健康委业务部门、费用结算银行)网络互联,而外部单位网络作为不可信网络需要重点考虑边界防护措施。对于边界防护问题,对标等保2.0标准,体现在安全区域边界控制点上,需要在与这些外联单位的网络互联边界采取技术隔离手段,实现访问控制及安全防护,以降低来自这些非可信区域的潜在安全威胁。不管是对于服务器、终端单机设备的服务及端口开放,还是对于网络边界访问服务及端口开放,网络安全等级保护思想对于网络通信主张的都是基于业务需求实现最小化开放原则,这也是降低网络攻击面最有效的基本手段。外联边界采用的最普遍的防护设备为防火墙,通过防火墙访问控制规则实现外部网络对医院网络的最小化访问。例如,医院与医保中心的数据交互原则上只需要实现医保结算数据传递,而且其数据交换往往通过医院的前置机进行数据中转,由医院 HIS 系统结算功能发出结算请求至医保前置机,并由医保前置机进行数据中转,发送至医保结算中心进行处理,最终将相关数据反馈给 HIS 系统。医院与医保结算中心的数据交互大体和以上分析所述过程相同,因此该边界防火墙的访问控制策略应该为:首先拒绝医保结算中心主动发起对任何医院前置机的访问,然后允许医院前置机访问医保结算中心的对接端口。以上,在保障业务的前提下,实现了网络攻击面的最小化,理论上杜绝了来自医保结算中心主动发起的对医院内网的主动攻击。但由于能通过医院主动建立与医保结算中心的数据连接,因此无法保证非法人员利用这些被动连接实现反弹,所以还需通过具备数据包内容检测功能的 设备进一步防护,如入侵防御系统、入侵检测系统、 网络层防病毒墙等。安全计算环境防护考虑整个医院业务网络的安全架构和策略部署。例如,最基础的内部网络区域划分及IP地址分配,可以根据医院业务网络规模较大、内部业务系统繁多等情况,在网络架构及规划时根据重要性等因素进行合理的构建,并前瞻性地将后期网络扩建等纳入考量范围,在安全防护策略制定上也将带来极大的便利性,并可能节约很多网络安全建设开支。医院业务系统虽多,但并不是每个业务系统之间都有数据交互,并且很多业务系统相对于医院四大核心业务系统而言不是非常重要,很多医院缺乏对这些因素的充分考虑,将所有业务系统应用服务器和数据库服务器划为同一网络区域(同一Vlan)。这种粗暴的网络规划方式带来的潜在威胁就是,在网络安全建设中,往往将资源重点投放在这些核心业务服务器上,而忽略非核心业务系统服务器,这本来是符合针对不同系统实现按等级防护的思想的,但由于网络规划上的失败,将非核心业务系统相关服务器与核心业务系统服务器划分在同一网络区域,导致非核心业务服务器可能缺乏管理者的关注,在安全建设加固时被遗漏, 导致这些服务器成为“木桶效应”中的短板,成为“漏洞”,并容易被攻击者所利用,作为跳板机实施对核心服务器的攻击。此外,医院需要一个集安全技术措施为大成的安全管理中心的支持,这在网络安全等级保护 1.0 标准和 2.0 标准中均有提出,但 1.0 标准可能更多地从管理层面提出要求,而2.0 标准则更加强调技术措施 和安全管理的整合。安全管理中心对整个内网系统的安全支持体现在通过态势感知等技术实现对全网的安全事件监视,包括各条链路的流量情况、恶意代码事件、网络攻击事件、越权访问事件等。本文通过“安全通信网络、安全区域边界、安全计算环境探”三个方面,探讨了网络安全等级保护工作对于医院业务网络安全建设的指导作用。不管是等保1.0标准还是等保2.0标准,其相关安全建设思想及体系要求对于医院网络安全建设都具有积极的引导和促进作用,但也必须认识到,任何网络系统都具有其行业特点,网络安全建设的重点肯定也有所区别,因此在网络安全等级保护相关标准的规范及引导下,再结合行业特点、业务特点,才能更好地实现网络安全建设,为关键基础设施及核心业务系统的稳定、安全运行提供保障。
免责声明:平台转载仅做分享,非商业用途。本文著作权归原创者所有,如有侵权请联系小编进行删除。