这是专访上海市卫计委信息中心副主任曹剑峰的下篇,在“上篇”,曹剑峰从多个角度解读了我国信息安全等级保护的1.0时代与2.0时代(点击阅读:上篇)。在“下篇”中,他将给出医院信息安全建设转型困境中的实际操作建议。
拙于应对
医院信息安全建设面临大转型
医院拥有大量患者数据,在黑灰产中越来越受到“青睐”,这也推动黑客越来越多地“盯上”医院。一般来说,医院信息化安全建设中常见的问题有七类:
一是基础设施故障带来的修复难题
二是移动互联网应用需求激增导致相应的安全规范缺失
三是门户网站被篡改
四是患者信息泄露
五是网络攻击
六是勒索病毒攻击
七是系统访问速度不稳定
从医院内部来看,医院物理基础设施不健全,网络架构和数据管理漏洞较多,长期以来医院员工的信息安全意识相对薄弱,内部人员系统访问权限混乱,不少信息部门缺乏漏洞管理经验和能力,这些都是医院信息化面临的内部威胁所在。
从外部环境来看,勒索病毒等恶意软件的攻击、窃取患者敏感信息的黑灰产业、系统外包人员在程序中安插后门、不可抗拒的自然灾害等等,是医院信息化面临的外部安全威胁。
“进入今年八月以来,境外黑客组织又进一步加强了对境内医疗机构软件攻击的态势愈加明显。纵观这些病毒爆发后造成的影响,不难发现,大批医院沦为勒索软件攻击的受害者也在意料之中。”曹剑峰指出,医院数据包含大量患者就诊信息,有无法替代的医学记录和数据,同时难以承受长期停工对临床就诊秩序的影响,在升级安全系统、更新软件方面的表现,医院又明显落后于其他行业……这都导致医院成为最理想的“勒索软件”攻击对象。
曹剑峰向记者分析了近年来遭受到“勒索病毒”攻击的医院案例,认为这些医院被“攻击”的背后有着惊人的相似。
01、医院一定存在使用老旧微软操作系统的情况
比如Win95、Winxp等,这些操作系统因被微软淘汰而不再提供系统补丁下载,但是目前全国90%的全国卫生服务中心仍然使用这些操作系统。不断累计的漏洞隐患成为黑客攻击的天然“靶场”。
02、一定存在内外网物理隔绝或逻辑隔绝的漏洞
医院的网络拓扑中,一定存在内外网物理隔绝或逻辑隔绝的漏洞,内网未按VLAN管理扁平化严重,网络安全设备形同虚设。系统建设初期网络安全策略相对完整,但随着时间的延长以及应用的扩展,有时往往为了方便性而牺牲安全性,思想麻痹以至于漏洞大开。
03、一定存在服务器重要补丁不打或漏打的情况
医院一定存在终端桌面管理以及Windows服务器重要补丁不打或漏打,防病毒措施也较为薄弱的现象,服务器重要端口未关闭或保护不严。很多终端和服务器被作为"跳板机"和中转站,来对内网其余节点发起试探性暴力破解攻击。
04、一定存在用户名和密码管理薄弱的情况
医院一定存在用户名和密码管理薄弱,弱口令现象比比皆是。攻击者通过口令骑劫获得权限对文件进行加密以开展进一步的勒索。
05、一定存在医院数据备份策略简单的情况
医院数据备份策略简单,往往未做好远程备份、云备份,未实现重要数据的双防护,以至于失去宝贵的数据恢复灾后重建的时间与能力。
06、医院PACS系统常成为中招的主要应用系统
医院PACS系统往往成为中招的主要应用系统。因为医学影像数据较为庞大,大文件方式的特征已被黑客掌握。此外,大型设备的检查由于放射剂量的关系一般不适宜补做,客观诊断数据恢复的需求较为强烈,所以需要特别予以关注加强防护。
07、未把移动医疗PAD设备作为桌面管理对象纳入统一管理
医院未把移动医疗PAD设备作为桌面管理对象纳入统一管理,甚至部分老旧PAD设备仍在运行WindowsCE系统,缺乏漏洞补丁升级管理机制,而成为全院的安全短板。
08、医院日常运维未通过堡垒机纳入统一行为审计
医院日常运维未通过堡垒机纳入统一行为审计,重要应用设备绑定与白名单管理机制还未建立。
那么,面临着诸如机构组织架构、人员安全意识、资源有限、业务合规性、业务创新风险等挑战,应该如何抵御医院信息安全面临的风险?
曹剑峰提供了一幅医院信息安全管理总体架构示意图。从这幅图中可以看出,医院信息安全管理总体框架以国家信息安全标准规范为基础,在管理方面制定完善信息安全管理体系、信息安全技术服务体系、信息安全应急响应体系;技术方面以等级保护框架为基本要求、通过安全措施构建纵深的防御体系对信息系统实行分域保护,实现保障业务安全、稳定运行,有效应对网络安全事件,维护业务数据的完整性、保密性和可用性的目标。
曹剑峰认为,医院可以通过梳理现状、明确责任、加强意识建立网络安全基本防护体系。具体来说,医院需要对现有产品和服务合规性进行审查,全面评估现有安全措施和存在的安全风险,以全面梳理现状;需要明确机构内部网络安全组织机构和负责人,建立网络安全领导小组、网络安全应急小组等组织,以明确网络安全责任;需要建立和不断完善网络安全管理体系,加强对人员的安全意识教育,在机构内部形成网络安全文化,以加强医院管理安全意识。
随着分级诊疗政策、“互联网+医疗健康”政策的不断推进,医院信息安全需要在便捷和数据保护中寻找“平衡点”,“建立网络安全责任体系,始终要重视‘技术+管理’,网络信息安全管理关注的是‘用’。我们在做网络信息安全规划时要考虑到‘弹性’,对数据既不能严防死守到用户在院外调用不方便,也不能为了数据共享牺牲安全。”曹剑峰说,具体而言,医院可以遵循“3456”来应对信息安全挑战。
在建设过程中遵循“三同步”和“四确定”,即:
三同步:同步规划、同步建设、同步执行;
四确定:确定一人一账户(Who)、开启审计策确定时间点(When)、对数据流向进行记录(Where)、对重要用户行为进行审计(What)。
在具体应对上采取“五步走”的策略,即:
(1)等保备案:依照《网络安全等级保护定级指南》估测企业关键业务系统和数据应有的保护级别,以及应采取的保护措施;
(2)自查自纠:依照《网络安全法》和《网络安全等级保护(基本要求+扩展要求)》展开自查发现风险的影响范围和影响程度;
(3)合理防护,将风险消减到可以接受的水平;
(4)安全监管,通过有效的技术手段监控通信线路、主机、网络和应用软件运行状况、网络流量和用户行为等,并及时报警和处置;
(5)迭代优化,持续改进安全管理流程,应对日益严格的监管要求。
在安全保障上做到“六防范”,即网络防病毒、网页防篡改、服务防中断、数据防泄露、系统防攻击、信息防插播。
医疗数据在很长一段时间内是保存在纸质介质中的,即便医疗信息化发展了几十年,也因始终处于“封闭”环境而显得较为安全。运用科技手段不断冲破原有藩篱、实现数据和资源共享是不可逆的时代特征,医疗数据也不例外,然而作为安全防御最弱的领域之一,医疗机构信息中心从业人员在技术上往往难以与“黑客”抗衡,即便有完整的等级保护相关条例,不少医院在信息安全防护过程中依旧显得不够有章法。地方政府与行业协会的指导作用便要在此时显出其价值。
据悉,目前上海市卫计委信息中心正在参与编制的《中国医院信息安全白皮书》正按照国家正式出版物标准进行进一步修订和补充。曹剑峰介绍道,此次修订将具体完善两个方面:
一是按照近期国家发布的《大数据标准化白皮书2018》的要求,进一步梳理和细化大数据在安全方面的相关技术要求和标准,以期的“白皮书”中予以更具体的体现。
二是考虑到目前医院存在大量的大型医疗设备,关于“医疗器械网络安全”在以前很少涉及。
“这次我们将按按照ISO/IEC27001:2013(国际信息安全系统认证)以及ISO800012-2(医疗设备IT网络集成风险管理应用)中十九项安全能力的论述,结合国家食品药品监管总局2017年制定颁布的《医疗器械网络安全注册技术审查指导原则》的相关要求,对‘医疗器械网络安全防护层级’以及‘医疗器械网络安全能力’这两个主要方面进行专题论述,并把它作为‘工业控制’信息安全版块里的重要内容,将来将以此为基础不断地予以完善完善。”曹剑峰说。
声明:本文来自e医疗,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。