从医院内部管理的角度来看,医院的信息系统面临着重大的安全风险,迫切需要建立完整的信息安全防护体系。这些风险主要在于:
1.医院信息系统不是一个孤立的系统。与合作单位(如社会保障部门)甚至互联网都有接口,存在黑客入侵和网络攻击的风险。
2.作为医院最核心的业务系统,医院信息系统(HIS)的运行缺乏有效的安全保护措施和审计机制,存在账户滥用和非法访问业务数据的风险。例如,由于HIS系统中缺乏权限管理,任何有机会访问HIS终端的人都可以通过HIS系统查询药物使用情况。
3.内外网划分不明确,缺乏内外网隔离措施,可能导致医院核心业务信息通过互联网泄露的风险。
4.大多数医院没有部署终端安全管理和审计系统,导致不合规的终端能够随时访问内部网络,在发生终端安全事件时无法追踪。
5.医院门户网站缺乏必要的安全措施,有被注入结构化查询语言(SQL)攻击和网站崩溃的风险。
医院信息系统安全解决方案
仅部署防火墙和终端防病毒软件不足以解决上述安全风险。远不能满足分级防护和纵深防御的政策要求,尚未建立完整的安全防护体系。无论是从政策合规还是业务安全的角度来看,医疗卫生机构信息安全建设的要求都非常迫切。目前,医院信息系统安全的最新解决方案包括:
1.区域边界综合防护:综合安全网关部署在安全域边界,如合作单位的接入区域和互联网接入边界,实现防火墙检测的所有功能,还具有网络入侵防御功能和网络防病毒功能,可以检测和阻止木马连接、蠕虫、网络扫描等威胁。同时,集成部署大大简化了管理员的配置和管理。
2.加强对web服务的保护:医院门户和在线诊疗服务是典型的基于web的应用程序,主要风险是来自互联网的SQL注入攻击和跨站脚本攻击等应用层攻击,这些攻击可以穿过防火墙,对web服务造成毁灭性的破坏。有必要采用一些入侵防御产品来实现基于入侵原理的攻击识别,准确识别并阻止SQL注入攻击,以加强对web服务的保护。
3.分析核心网络入侵行为:在核心交换机位置部署设备,监控网络中的安全事件和流量变化,包括端口扫描、暴力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击和其他入侵事件,以及P2P下载和其他流量信息。当检测到入侵和流量事件时,可以记录入侵的源IP、攻击类型、攻击目的、攻击时间,并在发生严重入侵事件时发出警报。
4.安全审计消除业务风险:在HIS系统等核心业务之前部署网络安全审计系统,记录和审计业务数据。网络安全审计采用旁路部署形式,不会对医院业务产生任何影响。它只需要在交换机上进行简单的配置即可实现数据收集和恢复。在这种情况下,无论是通过HIS系统访问数据库还是通过客户端直接访问数据库,特别是对数据库中关键表(处方表、医生表)的联合查询都可以被记录和审核。
5.终端接入确保内部网络合规性:根据《医疗机构信息系统安全等级保护基本要求》,系统应具有记录、允许或拒绝终端PC访问医院网络的能力,并应管理和控制医院内访问信息系统的终端的设备接口(如光盘驱动器、软盘驱动器、USB端口等)。在医院合法终端上部署终端安全产品,可以防止非法终端未经授权访问网络,同时确保合法终端的安全状态符合医院管理规定,如强制安装防病毒软件、注册状态正常、无法安装对等应用程序、无法非法使用USB接口。
6.定期漏洞和漏洞评估:在网络中部署漏洞扫描和风险评估系统,定期扫描网络主机、数据库和应用系统的漏洞,并及时修补发现的任何网络和系统安全漏洞。应定期安装系统的最新补丁,并及时修补制造商提供的可能损害计算机的漏洞。在安装系统补丁之前,应备份现有的重要文件。
经过上述安全部署,医院建立了相对完整的信息安全防护体系,可以控制和管理内部和外部安全风险。在此基础上,还可以考虑部署一个用于全球风险管理的信息安全运营中心,该中心对不同位置和资产(主机、网络设备、安全设备等)中分散和海量的安全信息进行规范化、汇总、过滤和分析,形成基于资产或域的统一威胁和风险管理水平,并依靠安全知识库和工作流程来推动威胁和风险的响应和处理,为网络架构提供统一的安全视角。