-
在医院的日常运转中,往往存在以下风险:开放的网络环境引入安全风险,如互联网医院、远程会诊等新型互联网诊疗手段,物联网、无线网络等新型网络连接方式;医院日常工作安全风险,如缺乏技术运维人员,外包运维现象广泛,特权账号泛滥;医院数据流动频繁引发的安全风险,如临床数据中心、科研平台间数据交换及医院系统中的业务交换;云环境所带来的安全风险,云环境作为非受控环境,在有效降低设备运行成本的同时,开放程度高,引入诸多安全风险。医院中存在的诸多安全风险,一旦上升成为安全事件,往往会招致经济、业务乃至医院品牌价值的损失。
-
-
-
医院边界安全威胁高
在医院整体安全建设中,网络边界直面互联网,因而边界安全是医院的第一道安全防线。基于互联网的开放性,使得医院网络面临众多的外部威胁,因此防范外部的攻击是医院网络安全建设的重中之重。医院面临的典型的互联网威胁包括:ddos拒绝服务攻击、互联网上大规模爆发的蠕虫病毒、来自互联网的带病毒邮件、互联网上的挂马网站、互联网上黑客的主动攻击等。如果医院互联网出口处缺乏一定的边界防御措施,无法发现流量中存在的安全威胁,那么一旦攻击者由外网侵入医院内网进行数据窃取与破坏,便会给医院带来严重的损失。
-
-
医院终端安全隐患高
医院终端数量庞大,在实际应用中又普遍存在电脑及服务器老旧、医疗资产管理混乱、终端位置定位困难、运维管理繁重等问题。随着移动医护普及,医院大量采用无线网络,并给患者提供无线wifi上网,风险入口成倍增加,为保障医院网络安全必须对终端接入网络进行严格管控。医生终端需要读取患者携带的各类电子病历及医学影像数据,对终端杀毒及数据防泄露也要严格管理。
-
-
医院应用安全风险高
随着互联网 医疗的发展,医院借助web、患者app、第三方医疗服务平台等形式,提供网上预约挂号、网上缴费、网上查询报告等多项线上医疗服务。医院信息系统愈加开放,进而导致暴露在互联网中的应用越来越多,存在众多安全隐患,如缺乏对资产的管控,邮件服务、数据库服务等高危端口开放,资产中存在的高危漏洞未及时修复,应用层安全防护未完全覆盖所有互联网暴露资产等。这些风险将导致医院安全体系出现薄弱点,存在被攻击者利用作为跳板,侵入医院内部系统的风险。
-
-
安全管理体系需完善
医院在信息化发展过程中构建了众多信息系统,数据量呈爆炸式增长,直接给医院在安全管理方面的工作带来了巨大的挑战。由于医院缺乏足够的信息安全专家,信息系统维护人员缺乏专业的培训,员工缺乏安全操作意识,导致医院在日常人员管理、设备管理方面存在很多漏洞,最终难以有效提升医院管理水平,从而增加了医疗数据在传输过程中的信息泄露风险。同时,受技术发展水平限制,医院在数据管理经验上存在欠缺,缺乏成熟的技术和完善的安全制度支撑。由于医疗数据资源具有巨大的商业价值,安全管理体系上存在的缺陷将直接导致安全防护体系存在欠缺,增加医疗数据泄露的风险。
医院的网络主要由内外两张大网组成,其中内网进行核心数据的交互,包括lis、his、pacs、ris、erm等系统的组成,同时内网联通了住院楼、门诊楼和医技楼等,多个大楼通过内网网络进行联通协同,内网通过核心与卫生局、医保大楼、银行等部门进行专线联通。外网主要涉及业务系统的布设,主要包含邮件系统、网站系统、支付宝微信客户端系统,以及各个大楼的无线网络布设。内外网通过网闸进行隔离,严格控制内外网数据的交互。
- 医院外网
- 医院内网
-
-
医院互联网出口区:
医院互联网出口区设计为医院与互联网的接入域,所有与互联网之间的通信皆由互联网出口区进行交换。
互联网出口区作为医院与互联网通信的唯一窗口,是医院整体网络安全的第一道防线,在此需要部署负载均衡,考虑大流量并发情况下的业务稳定;
部署互联网防火墙,对互联网进出流量进行入侵检测与防御,隔绝外界的异常流量,并实现防病毒;
部署上网行为,对上网行为进行统一的管控与审计。
医院对外业务区(dmz区):
dmz区,即“隔离区”,是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。医院拥有大量对外业务,而业务本身会涉及医院内部数据的调取,为保障数据及系统安全,需要将医院的对外业务设置于dmz区,同时对dmz区本身加以一定的安全防护手段。
需要部署web应用防火墙,对访问医院web业务的流量在应用层进行检测,发现并隔绝异常访问;
部署零信任vpn,解决远程办公、业务处理时的安全问题;
部署网页防篡改,防止攻击者对医院网页进行的恶意篡改行为。
-
-
安全管理中心区:
安全管理中心区作为医院的集中安全管理平台,需要在其中查看医院的整体安全态势并通过统一的运维入口进行集中运维,包括异常流量情况、数据库情况、违规外联情况、终端安全情况等内容。
需要部署漏洞扫描系统,定期对医院进行整体漏洞扫描,发现医院内存在的资产弱点;
部署日志审计系统,对医院所有的网络设备、安全设备日志进行集中审计,并发现其中的异常行为;
部署运维堡垒机,通过堡垒机提供的统一运维入口对医院设备进行集中运维;
部署主机安全edr,对医院内整体终端及终端安全情况进行统一管控,并定期对终端进行病毒查杀;
部署准入控制系统,发现并限制医院内存在的违规准入情况;
部署威胁诱捕系统,通过部署蜜罐与蜜网构建医院的主动防御体系,实现主动地诱捕和防御;
部署态势感知平台,通过医院内部的探针分析医院整体流量及日志
核心数据中心区:
数据中心是医院最核心的区域,其中包含有his、lis、pacs等医院核心系统,同时也是医院数据的储存区域,涉及大量数据的存储,需要进行重点专项防护。
因此,需要对数据中心部署数据中心防火墙,对核心区域的访问流量进行研判;
部署数据库防火墙,实现对数据库操作的访问控制,对涉及医院高价值敏感数据调取的行为进行研判,发现异常行为;
部署数据库审计系统,对医院访问数据库的操作进行审计;
部署数据脱敏系统、透明传输加密、透明数据库加密系统,保证数据在存储与流转过程中的保密性;
部署备份一体机,对重要数据定时备份,保障发生意外时能够快速恢复业务;
基于数据中心的重要性,需要在数据中心交换机旁路部署流量探针,对数据中心流量实时监测,由态势感知平台分析发现数据中心存在的异常行为。
业务外联区:
业务外联在医院内网中,是医院数据与卫健委、医保局等医疗机构单位交互的区域。在业务外联的过程中,医院间需要互联互通,在此过程中一些安全能力不足的医院一旦被入侵,攻击者可借助其作为跳板,侵入整体互联互通的网络,由此感染到更多医院,因此在业务外联的过程中,需要进行安全防护,才可以有效隔绝外部威胁。
需要部署下一代防火墙,对业务外联区的流量进行检测及防御,保障边界安全。
核心交换区:
核心交换区部署了医院核心交换机,医院所有跨网络域的流通都需要经过核心交换机,因此在核心交换机中能够获取到医院绝大部分的流量数据,对交换机的镜像流量进行分析便可以获取医院整体的安全态势,
因此需要在医院核心交换机旁路部署流量探针,收集镜像流量;
需要部署网络防泄漏系统,在数据交互过程中进行安全保护措施,防止数据泄露。
移动护理区:
医院工作人员进行移动护理时需要使用大量手持设备,这些物联网设备同样属于医院信息网络的一部分,而物联网设备存在众多弱口令现象,同时物联网设备存在有大量漏洞,是医院信息网络的一个重大薄弱点,
因此需要对移动护理设备进行统一网络域划分,同时部署下一代防火墙,对交互流量进行检测及防御。
-
-
-
满足等保2.0合规要求
方案根据《网络安全法》《网络安全等级保护基本要求》法规标准开展建设,满足等级保护2.0提出的合规性要求,可有效帮助医院用户规避合规安全风险。方案通过边界防护、网络防护,可切实提高网络整体纵深防御能力。医院重要的信息系统关系到国计民生,是国家信息安全重点保护对象,国家信息安全监管职能部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。方案对医院信息系统从技术和管理两个维度进行安全建设,可实现业务系统的整体安全,满足《网络安全法》《网络安全等级保护基本要求》及卫生行业相关网络安全政策,满足公安、卫健委等行业主管部门的监管要求。
-
-
-
-
满足电子病历评级、互联互通评级、智慧医院评级要求
方案设计综合参考《电子病历系统应用水平分级评价标准(试行)》《医院信息互联互通标准化成熟度测评方案(2020年版)》《医院智慧服务分级评估标准体系(试行)》《医院智慧管理分级评估标准体系(试行)》等医院信息化建设标准,形成检测、防护、响应和恢复的保障体系,从而建立有针对性的合规性安全保障体系框架和安全防护措施。满足医疗卫生行业评级要求。
-
-
-
-
构建“纵深防御 威胁诱捕 安全运营”安全防护体系
基于ipdro框架,建设纵深防御、主动防御、持续运营的闭环安全防护体系,事前对信息资产暴露面进行风险识别,事中不断验证和增强安全边界防御能力,持续开展安全检测,事后积极组织开展安全响应,日常有序开展安全运营管理,进而有效控制安全风险。开展安全合规建设工作,从技术和管理层面快速提升、持续改进安全能力,以更好地面对快速更迭的新技术、新应用带来的安全挑战,不仅合规,构建常态化、实战化的自适应安全能力。
-
-
-
-
提升对医院敏感数据的保护能力
《个人信息保护法》《数据安全法》等法律法规都对数据安全及个人信息保护极为重视,提出了众多要求。医院内部信息系统涉及众多患者的个人敏感信息如电子病历,以及医院运行管理数据、诊疗数据等等,这些数据往往都具有高价值,是外部黑客频繁的攻击对象。在本次建设中,针对核心敏感数据,从数据的传输、数据的存储、数据的使用等数据生命周期中构建数据安全能力,全方位地保护医院的敏感个人信息数据和医院经营数据,实现个人信息保护和数据安全合规。
-
