新技術環境下醫療行業的資訊保安升級
本文是E醫療專訪上海市衛計委資訊中心副主任曹劍峰,他對醫院資訊保安建設轉型困境中的實際操作建議。
拙於應對
醫院資訊保安建設面臨大轉型
醫院擁有大量患者資料,在黑灰產中越來越受到“青睞”,這也推動黑客越來越多地“盯上”醫院。一般來說,醫院資訊化安全建設中常見的問題有七類:
一是基礎設施故障帶來的修復難題
二是移動網際網路應用需求激增導致相應的安全規範缺失
三是入口網站被篡改
四是患者資訊洩露
五是網路攻擊
六是勒索病毒攻擊
七是系統訪問速度不穩定
從醫院內部來看 ,醫院物理基礎設施不健全,網路架構和資料管理漏洞較多,長期以來醫院員工的資訊保安意識相對薄弱,內部人員系統訪問許可權混亂,不少資訊部門缺乏漏洞管理經驗和能力,這些都是醫院資訊化面臨的內部威脅所在。
從外部環境來看 ,勒索病毒等惡意軟體的攻擊、竊取患者敏感資訊的黑灰產業、系統外包人員在程式中安插後門、不可抗拒的自然災害等等,是醫院資訊化面臨的外部安全威脅。
“進入今年八月以來,境外黑客組織又進一步加強了對境內醫療機構軟體攻擊的態勢愈加明顯。縱觀這些病毒爆發後造成的影響,不難發現,大批醫院淪為勒索軟體攻擊的受害者也在意料之中。”曹劍峰指出,醫院資料包含大量患者就診資訊,有無法替代的醫學記錄和資料,同時難以承受長期停工對臨床就診秩序的影響,在升級安全系統、更新軟體方面的表現,醫院又明顯落後於其他行業……這都導致醫院成為最理想的“勒索軟體”攻擊物件。
曹劍峰向記者分析了近年來遭受到“勒索病毒”攻擊的醫院案例,認為這些醫院被“攻擊”的背後有著驚人的相似
01
醫院一定存在使用老舊微軟作業系統的情況
比如Win95、Winxp等,這些作業系統因被微軟淘汰而不再提供系統補丁下載,但是目前全國90%的全國衛生服務中心仍然使用這些作業系統。不斷累計的漏洞隱患成為黑客攻擊的天然“靶場”。
02
一定存在內外網物理隔絕或邏輯隔絕的漏洞
醫院的網路拓撲中,一定存在內外網物理隔絕或邏輯隔絕的漏洞,內網未按VLAN管理扁平化嚴重,網路安全裝置形同虛設。系統建設初期網路安全策略相對完整,但隨著時間的延長以及應用的擴充套件,有時往往為了方便性而犧牲安全性,思想麻痺以至於漏洞大開。
03
一定存在伺服器重要補丁不打或漏打的情況
醫院一定存在終端桌面管理以及Windows伺服器重要補丁不打或漏打,防病毒措施也較為薄弱的現象,伺服器重要埠未關閉或保護不嚴。很多終端和伺服器被作為"跳板機"和中轉站,來對內網其餘節點發起試探性暴力破解攻擊。
04
一定存在使用者名稱和密碼管理薄弱的情況
醫院一定存在使用者名稱和密碼管理薄弱,弱口令現象比比皆是。攻擊者通過口令騎劫獲得許可權對檔案進行加密以開展進一步的勒索。
05
一定存在醫院資料備份策略簡單的情況
醫院資料備份策略簡單,往往未做好遠端備份、雲備份,未實現重要資料的雙防護,以至於失去寶貴的資料恢復災後重建的時間與能力。
06
醫院PACS系統常成為中招的主要應用系統
醫院PACS系統往往成為中招的主要應用系統。因為醫學影像資料較為龐大,大檔案方式的特徵已被黑客掌握。此外,大型裝置的檢查由於放射劑量的關係一般不適宜補做,客觀診斷資料恢復的需求較為強烈,所以需要特別予以關注加強防護。
07
未把移動醫療PAD裝置作為桌面管理物件納入統一管理
醫院未把移動醫療PAD裝置作為桌面管理物件納入統一管理,甚至部分老舊PAD裝置仍在執行WindowsCE系統,缺乏漏洞補丁升級管理機制,而成為全院的安全短板。
08
醫院日常運維未通過堡壘機納入統一行為審計
醫院日常運維未通過堡壘機納入統一行為審計,重要應用裝置繫結與白名單管理機制還未建立。
那麼,面臨著諸如機構組織架構、人員安全意識、資源有限、業務合規性、業務創新風險等挑戰,應該如何抵禦醫院資訊安全面臨的風險?
曹劍峰提供了一幅醫院資訊保安管理總體架構示意圖。從這幅圖中可以看出,醫院資訊保安管理總體框架以國家資訊保安標準規範為基礎,在管理方面制定完善資訊保安管理體系、資訊保安技術服務體系、資訊保安應急響應體系;技術方面以等級保護框架為基本要求、通過安全措施構建縱深的防禦體系對資訊系統實行分域保護,實現保障業務安全、穩定執行,有效應對網路安全事件,維護業務資料的完整性、保密性和可用性的目標。
曹劍峰認為,醫院可以通過 梳理現狀、明確責任、加強意識 建立網路安全基本防護體系。具體來說,醫院需要對現有產品和服務合規性進行審查,全面評估現有安全措施和存在的安全風險,以全面梳理現狀;需要明確機構內部網路安全組織機構和負責人,建立網路安全領導小組、網路安全應急小組等組織,以明確網路安全責任;需要建立和不斷完善網路安全管理體系,加強對人員的安全意識教育,在機構內部形成網路安全文化,以加強醫院管理安全意識。
隨著分級診療政策、“網際網路+醫療健康”政策的不斷推進,醫院資訊保安需要在便捷和資料保護中尋找“平衡點”,“建立網路安全責任體系,始終要重視 ‘技術+管理’ ,網路資訊保安管理關注的是 ‘用’ 。我們在做網路資訊保安規劃時要考慮到 ‘彈性’ ,對資料既不能嚴防死守到使用者在院外呼叫不方便,也不能為了資料共享犧牲安全。”曹劍峰說,具體而言,醫院可以遵循 “3456” 來應對資訊保安挑戰。
在建設過程中遵循 “三同步”和“四確定” ,即:
-
三同步:同步規劃、同步建設、同步執行;
-
四確定:確定一人一賬戶(Who)、開啟審計策確定時間點(When)、對資料流向進行記錄(Where)、對重要使用者行為進行審計(What)。
在具體應對上採取 “五步走” 的策略,即:
(1)等保備案:依照《網路安全等級保護定級指南》估測企業關鍵業務系統和資料應有的保護級別,以及應採取的保護措施;
(2)自查自糾:依照《網路安全法》和《網路安全等級保護(基本要求+擴充套件要求)》展開自查發現風險的影響範圍和影響程度;
(3)合理防護,將風險消減到可以接受的水平;
(4)安全監管,通過有效的技術手段監控通訊線路、主機、網路和應用軟體執行狀況、網路流量和使用者行為等,並及時報警和處置;
(5)迭代優化,持續改進安全管理流程,應對日益嚴格的監管要求。
在安全保障上做到 “六防範” ,即網路防病毒、網頁防篡改、服務防中斷、資料防洩露、系統防攻擊、資訊防插播。
醫療資料在很長一段時間內是儲存在紙質介質中的,即便醫療資訊化發展了幾十年,也因始終處於“封閉”環境而顯得較為安全。運用科技手段不斷衝破原有藩籬、實現資料和資源共享是不可逆的時代特徵,醫療資料也不例外, 然而作為安全防禦最弱的領域之 一,醫療機構資訊中心從業人員在技術上往往難以與“黑客”抗衡 ,即便有完整的等級保護相關條例,不少醫院在資訊保安防護過程中依舊顯得不夠有章法。地方政府與行業協會的指導作用便要在此時顯出其價值。
據悉,目前上海市衛計委資訊中心正在參與編制的《中國醫院資訊保安白皮書》正按照國家正式出版物標準進行進一步修訂和補充。曹劍峰介紹道,此次修訂將具體完善兩個方面:
一是按照近期國家釋出的《大資料標準化白皮書2018》的要求,進一步梳理和細化大資料在安全方面的相關技術要求和標準,以期的“白皮書”中予以更具體的體現。
二是考慮到目前醫院存在大量的大型醫療裝置,關於“醫療器械網路安全”在以前很少涉及。
“這次我們將按按照ISO/IEC27001:2013(國際資訊安全系統認證)以及ISO800012-2(醫療裝置IT網路整合風險管理應用)中十九項安全能力的論述,結合國家食品藥品監管總局2017年制定頒佈的《醫療器械網路安全註冊技術審查指導原則》的相關要求, 對‘醫療器械網路安全防護層級’以及‘醫療器械網路安全能力’這兩個主要方面進行專題論述 ,並把它作為‘工業控制’資訊保安版塊裡的重要內容,將來將以此為基礎不斷地予以完善完善。”曹劍峰說。
宣告:本文來自E醫療,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。