作者:杭州安恒信息技术股份有限公司 王卫东

2019年国家卫健委在100多个城市开展智慧医院+医疗集团建设试点,旨在医联体内实现信息互联、互通、共享,让医联体能够为患者提供连续一体化的诊疗服务,但医院往往在追求评级的同时,弱化了网络安全问题。

此次安全内参-CISO社区邀请到王总介绍他对于智慧医院网络安全风险的理解及网络安全建设思路。

1.智慧医院的信息系统组成

智慧医院信息系统大体上可以分为三大部分组成:1)医院的信息系统, 2)各种终端,如医生/护士工作站、自助服务终端、个人移动终端、医疗仪器设备。3)通讯网络,包括医院内部的无线局域网和物联网、互联网。

1.1.应用系统

医院的信息系统大致可以分为面向公众的互联网应用系统和仅供医院内部工作人员访问的的内网系统,部署在私有云的应用系统也相当于内网系统的一部分。

  • 互联网信息系统  医院的互联网系统主要是医院的官方网站,主要功能是向患者提供便捷服务,包括通过查询医生出诊信息、预约挂号、远程问诊等。

  • 内网信息系统  内网信息系统是支撑医院主要包括HIS(医院信息系统)、LIS(实验室信息管理系统)、PACS(医学影像信息的存储系统)、药房管理系统、收费系统、医学大数据分析平台等。通过VPN与医院内网相连的基层区域医疗网络(乡镇卫生院、卫生服务中心)也可视为内网信息系统的一部分。

1.2.信息终端

医生/护士工作站、自助缴费终端、检验结果输出终端、个人移动终端、各种诊断设备、治疗设备、可穿戴医疗设备以及添加了传感器的医疗器械设备等都是整个医院医疗信息系统的组成部分。这些终端的操作系统到通讯协议都各不相同。

1.3.通讯网络

智慧医院的通讯网络比传统医院要复杂很多,网络的分布范围不再局限在医院园区内部,与医院存在网络互联关系的机构也越来越多样。智慧医院需要与乡镇卫生院、区域人口健康大数据中心的网络连通并交换数据,还要与互联网连通,面向公众提供远程医疗服务。

  • 无线局域网  为了支持良好的移动性和全面的空间覆盖,智慧医院的网络通讯一般会使用WIFI无线组网。

  • 物联网  智慧医院内部的一些医疗器材、仪器设备,需要作为传感器,可能会通过多种物联网的常用通讯协议(WiFi、RFID、NFC、ZigBee、Bluetooth、LoRa、NB-IoT、GSM、GPRS、3/4/5G),接入到智慧医院的信息网络中。

  • 广域网络  为了向公众提供远程医疗服务,还要实现分级的区域医疗合作体系(医联体),智慧医院需要与互联网、医院私有云、乡镇卫生院等外部网络建立通讯连接。

2.智慧医院信息系统特征

随着全社会信息通信技术的广泛普及,智慧医院大量采用了升级为基于数码技术的医疗设备和检验仪器。这些数码化的仪器设备也是信息系统组成部分。智慧医院信息系统的特征与传统医院有着明显的区别,主要体现在以下几个方面:

  • 病历电子化  电子病历的应用属于智慧医院中面向医务人员的“智慧医疗”领域,也是智慧医院服务分级的最重要的指标。电子病历不仅包括医生的诊断和处置记录,还包括医学检验和医学影像检查结果。

  • 服务自助化  智慧医院中设置了很多自助服务终端为患者提供缴费、检验结果查询、门诊预约等服务服务,属于智慧医院中面向患者的“智慧服务”领域;

  • 数据资源化   大量医疗健康数据汇聚到一起,使得数据具有了显著的资源属性。对这些医疗健康相关的数据进行深入分析,可以为医疗行政决策、医疗方法研究、健康保险理赔等提供有价值的信息,这属于智慧医院中面向医院管理的“智慧管理”领域;

  • 仪器数字化   智慧医院中的很多仪器设备已经采用复杂的数字化技术,采用数码量而不是模拟量表示各种指标值。同时可以讲仪器指标读数通过网络传输到信息系统中。

  • 设备网络化  智慧医院中的各种设备(生化检测设备、)都需要通过计算机网络,将数据传入到医院信息系统,因此所有的设备都需要接入医院的网络,或通过一台专用的计算机终端接入网络。

  • 系统集约化  智慧医院的信息系统通常已经全部采用虚拟化技术,并迁入到云计算环境。信息系统的运行环境更加集约化。

3.智慧医院网络安全风险

智慧医院在完成信息系统智能化升级改造之后,往往还没有建立或完善新的信息安全管理体系。相关的网络安全管理规章制度没有及时制定或更新,一些应该开展的安全管理工作尚未开展,例如风险评估、等保测评、应急演练等。

  • 数据安全威胁   智慧医院每天都生成大量的医疗健康数据,这些数据包含个人身份信息和隐私信息,也是攻击者眼中的高价值数据。因此数据的机密性、完整性和可用性是最主要的网络安全风险。医疗健康数据可以直接对人身健康与生命安全产生影响,还关系到各有关方面的责任,有可能涉及重大经济利益。因此数据被篡改是非常重要的风险。医院是勒索病毒的重灾区,主机感染勒索病毒并数据被恶意加密,导致数据无法使用,就是系统被入侵的后果之一。

  • 新型系统漏洞   与其它行业的信息系统一样,医疗信息系统也存在大量漏洞。特别是很多医疗设备使用的嵌入式操作系统,例如VxWorks,以被披露出存在大量零日漏洞。与传统的系统漏洞不同,这些漏洞很难被用户自行修复,而且一旦被利用,可能造成人身伤亡的严重后果。

  • 人力资源不足    医疗行业的本职业务技术属于非信息通讯领域,导致从业人员普遍缺乏最基本信息安全意识。智慧医院信息系统的复杂程度远远超过传统医院,信息化设备的种类,复杂的网络拓扑结构和通讯协议,导致网络安全维护工作量巨大。智慧医院配置的专业网络安全人员数量和人员的专业技能水平还远远不能满足实际工作的需要。

4.网络安全设计思路与建设内容

4.1.设计思路

  • 以新增设备加强核心技术能力    按照时间维度和工作性质来抽象,组织机构的网络安全工作可以归纳为数据采集、数据分析、资产管理、威胁预防、威胁防护、应急恢复、人员管理、流程管理等8大项能力。每个能力项由多个能力要素组成。将现有的安全措施与能力要素进行对比,根据两者间的差距,有针对性的增加相应的技术控制措施。例如在数据采集能力中,定义了全流量采集、全日志采集、全扫描结果采集、外部威胁情报采集、恶意样本采集等五种能力要素。智慧医院现有的安全措施中,日志采集能力没有覆盖所有可能采集到的日志。为使得采集数据的种类更加丰富,弥补对终端行为日志采集的空白,可以通过部署终端检测响应(EDR)产品来实现。

  • 以智慧平台编排自动响应流程    通过部署智慧安全运维平台,用威胁场景的预设剧本,可以将多种安全防护策略协同联动起来。这种通过策略编排自动响应安全事件的过程,可以大幅减少人工对安全运维的介入,提高安全运维的效率,降低对人力资源的需求。

  • 以专业服务匹配先进技术措施    一个完善健全的信息安全管理体系,不可能完全依靠技术手段来实现。行业专家提供的专业服务与先进技术措施配合在一起,才能组成完整的信息安全管理体系。智慧医院中的信息安全管理也同样需要安全专家从规划咨询到技术培训等多个方面提供必要的协助。

  • 以流程规范完善安全管理体系    智慧医院的信息安全建设应与相应的信息系统建设项目同步进行。新的信息系统和运行环境以及新增的安全控制措施,导致原有的部分安全运维流程不再适用,同时还需要建立新的规章制度。完善信息安全流程规范是智慧医院信息安全建设的重要组成部分。

4.2.建设内容

4.2.1.产品部署

在产品部署方面,主要根据智慧医院现有安全建设的实际情况,寻找安全能力要素方面存在的差距,用新增部署相关产品来弥补这些差距。

  • 园区内安全防护    智慧医院的园区内部,通常已经部署了传统的技术成熟度较高的产品,如用于安全域隔离的防火墙,互联网出口的防火墙、IPS等产品。为了弥补数据采集能力要素的差距,还可以考虑部署EDR、DPI(深度流量分析)、蜜网、网站监控等。同时,为了弥合数据分析、威胁防护等能力中能力要素的欠缺,需要部署智慧安全运维平台,增强未知威胁分析和事件智能响应的能力。智慧安全运维平台的主要功能除了数据采集以外,还包括数据分析、资产管理、智能响应、态势呈现、通报预警等。

  • 私有云安全防护    智慧医院的私有云中,需要部署各种基于云计算环境的安全防护措施,例如云WAF、云堡垒机等。应在私有云中划分出一块设备区域,作为部署云计算防护能力的资源池。私有云中安全防护措施的管理,应归入统一的安全管理中心。

4.2.2.安全服务

  • 驻场运维    智慧医院的信息安全专职人员配置通常严重不足,远远无法满足日常运维工作需要,同事组织机构都需要购买安全厂商的驻场运维服务。安全厂商派出技术人员,长期驻守在用户单位,从事日常的安全运维工作。智慧安全运维平台的运行初期,也需要厂商人员在现场进行调试优化的工作。

  • 应急响应    应急响应工作通常需要具备较丰富的安全事件处置经验的人员来完成。当发生紧急安全事件时,第一时间协助用户完成安全事件处置。智慧医院很难投入足够的人力成本来雇用可以胜任应急响应工作的高技术水平的专业人员。即使招聘到合适 的人员,也会因为逐渐脱离实战历练而导致技术能力逐渐退化。最恰当的解决方式就是与专业的安全厂商签订应急响应服务协议,在发生紧急安全事件时,请安全厂商的专业人员进行处置。

  • 风险评估    风险评估服务可以包括很多内容,传统上的风险评估主要是针对计算机网络系统进行渗透测试,评估管理制度流程中的缺陷等。由于智慧医院的信息系统组成相对复杂,还应该重点开展以下风险评估活动。

    嵌入式系统漏洞挖掘    智慧医院的信息系统中,存在高危漏洞的概率非常大。一方面是由于医疗行业信息化程度较低,没有受到攻击者重点关注,另一方面原因是医疗设备大量采用嵌入式系统,这方面的漏洞挖掘工作尚处于拓荒阶段,已经暴露很严重的问题。2019年7月,媒体披露某安全公司研究人员在VxWorks系统中发现了11个漏洞,黑客无需任何用户操作即可远程接管设备,医疗保健、制造业、甚至安全业务等关键行业中的关键设备受影响。

    无线网络安全评估    智慧医院的园区内部局域网网络一般采用WIFI技术接入,改为无线接入之后,比如产生密码破解、通讯干扰、信息窃听等风险。有必要对无线网络进行全面的安全评估。

  • 规划咨询    规划咨询类的工作主要包括制度规范的编写修订、应急演练计划编写和实施、等级保护合规咨询与评估。智慧医院的信息系统与传统医院差别很大,业务场景也丰富很多,需要对原有的安全制度规范进行修订甚至重写。应急演练也是专业性很强的工作,只有在安全厂商的专业人员的协助下,才有可能取得比较好的效果。等级保护规范2.0正式启用后,需要对信息系统的安全管理和防护措施进行重新评估,该项工作同样需要安全厂商的协助。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。