浙江医院信息中心 韩 晨
本文主要阐述了医院信息化安全的背景、现状,分享5个常见网络安全运维的重点工作内容的技术方案,展望未来的一些发展方向及趋势。
从计算机系统安全、信息安全、互联网安全(Internet Security)到网络空间安全(Cyberspace Security简称Cyber Security),网络安全的范围越来越大,向云端、网络、终端等各个环节不断延伸,甚至覆盖到陆、海、空、天四大领域。随着《网络安全法》、《密码法》、《网络安全等级保护制度》、《商用密码应用安全性评估》、《关键信息基础设施网络安全保护基本要求》、《网络安全审查办法》等法规和规定的出台,等保1.0进入等保2.0时代。
医院信息系统以his、pacs、lis、emr为主,其他系统为辅。随着最多跑一次的深化改革,医共体、医联体、互联互通能力成熟建设、智慧医院打造、DRGs的开展、“医疗健康中国”示范省的建设,医院信息化系统不断升级,大数据、人工智能、5G、移动互联网、物联网、星联网等新技术的出现,网络结构不断调整,我们在进入医疗数字智能时代的同时,安全问题变得更为复杂。在等保2.0、等级医院、护网行动、公安检查等各种检查中可以看出,医院网络安全的要求越来越高。所以,如何做到在保证原有业务流畅性和拓展性的前提下,尽可能的提高网络安全是我们医院信息人不断努力的方向。
现行医院信息主流的网络规划模式有两种:第一种是内外网隔离,第二种两网融合。在这样的网络环境下,从业务角度出发,医院数据中心的架构大致为大三层网络+Vmware计算虚拟化+传统存储+物理主机。随着信息化的发展,互联互通业务的需求,结合等保2.0的各项要求,传统的医院网络架构及数据中心的架构主要存在以下问题:边界梳理不够清晰、入侵防御中的防病毒落实不到位、最小权限原则没有划分明确、身份验证和密码应用太少、容灾备份不到位、硬件瓶颈且拓展性较差、需要大量运维人员做技术支撑、终端资源众多管理困难等。
根据行业背景和存在的问题,以下针对五个常见网络安全运维重点工作展开描述并提供建议。
信息资产是网络安全建设的根本,只有理清网络环境中有哪些信息资产,它们的属性和安全状态如何,及时监控、预测和处置资产的安全风险,才能真正实现有效的管理网络安全。资产管理类的技术产品和平台应包括以下主要能力:资产信息自动发现识别、安全检测、漏洞与威胁情报管理。
资产发现包括主动发现和被动发现两种方式:
(1)主动发现:利用SNMP扫描、NMAP扫描、漏洞探测和其它资产探测工具,收集资产的IT属性和安全属性,建立资产库。其主要包括:交换机SNMP查询、交换机流量采集比对、NMAP等(备注:以不影响业务正常运行为前提)。
(2)被动发现:采取网络设备镜像流量分析方式,自动查找和识别网络中的资产,动态的管理入网的IT资产,结合主动发现工具,补充资产库。
安全检测包括使用扫描工具,检测IT资产的安全属性信息(包括安全漏洞、安全基线符合性),其主要的技术产品和功能要求有:主机漏洞检测、安全基线符合性检测等。
要建立资产安全风险态势感知,充分利用大数据技术搭建技术平台,结合资产自动发现、安全检测的建设成果,各医院应建立资产安全风险的态势感知平台系统,实现信息资产库的形成、方便管理安全漏洞和基线符合性状态,利于综合集成多类威胁情报来源并建立事件处理流程。
其中,ρ为介质密度,ut为水平位移速度,wt为垂直位移速度, τxx,τzz为正应力,τxz为剪应力,λ,μ为介质的拉梅系数;c11=c33=λ+2μ,c13=λ,c44=μ。
医院行业本身需要多变且业务发展快,在用的软件大部分是外部采购,外包或自己做开发,而软件都是人写的,必存在安全问题。发生安全问题的根本原因有两个:一个是软件自身存在安全问题,另一个是软件在应用中存在安全威胁(即软件面临严重的外部威胁)。
结合国际主流的软件开发安全生命周期理论,各医院应将信息系统建设和开发的过程分为以下阶段,并在每个阶段采取必要的保护措施和相关技术产品。所以,软件安全开发生命周期以及相关的安全技术方案的主要对应关系如下:需求阶段—安全需求分析、设计阶段—威胁建模、开发阶段—代码审计、测试阶段—安全测试(包含应用层和系统层的漏洞扫描及渗透测试)、部署阶段—安全加固、运营阶段—事件响应、下线阶段—资源回收。
护网总体的工作思路是建立护网专项工作组,分阶段实施护网前、中后期的各项安全措施,明确护网各阶段工作重点,进行安全风险排查自查、安全加固与自我整改,建立安全事件监控与响应机制,最后就是要总结经验教训。
在互联网等技术不断发展的时代,领先的医疗保健企业正不断转向以联网技术为根基的解决方案。当前,大部分医院都采用东芝、西门子、GE、飞利浦等国外医疗仪器,并没有相关防护措施进行统一管理运行状态、排班管理、4G/5G外联、运维日志等措施,会面临数据出境、病毒进入等风险。加之,国外设备因为不允许部署其它厂家的软件在其设备,因为怕产生不兼容而出现医疗事故,让信息部门既恨又怕。为此,我们推荐采用医疗仪器设备管理解决方案,无客户端方式能实现非法外联,并能监控数据发到哪个IP,也能实时统一监控其设备运行状态,解决设备科室对设备的主动管理权等。针对医院的重要医疗设备采取必要的安全保护措施。医疗设备的管控方案主要包括实时发现和管理设备、离线医疗设备管控、智能安全分析、外部情报联动、管理设备使用能效检测、基于策略的自动响应、与院内其它关键平台集成,把工作人员从跟踪设备的手动过程中解放出来,让他们更加专注于患者护理这些主要功能。
设计网络安全管理绩效评价的域和评价指标,结合“安全管理中心平台”(对标SOC平台)的安全分析结果,形成网络安全管理绩效评价体系,并可基于部门、业务等多个维度对绩效评价结果进行图形化展示。
未来3至5年,医疗行业数据中心发展的趋势会以超融合架构为主,因为超融合在成本、性能、拓展性、扩容上相较于传统方案都更具有性价比。超融合平台也可统一纳管其他云平台进行容灾备份。
对于黑客而言,进入医院网络后一定有所图,有所动作。黑客控制一台终端后,会去收集信息,扫描同段的资产,寻找薄弱点,进行横向移动,再去提权。尤其在医院环境下二层的共享、远程端口难以管控。所以,流量检测分析的设备和基于用户行为分析的设备未来会成为主流。在黑客进行扫描、传播漏洞脚本、横向移动等行为的时候,流量检测分析的设备将会捕捉到它。黑客进行暴力破解、访问应用系统二级目录、上传webshell后门等行为时,将会被行为分析系统(幻阵)捕捉到。未来流量分析和用户行为分析的设备将会越来越被重视。
零信任的概念是最近提的比较火的概念,传统的边界设备(如:下一代墙、WAF、IPS等)都是基于规则去限制外部的流量。对于利用0day、1day的黑客攻击是无法被阻断甚至是审计到的。在这种场景下,要解决这个问题,一种是上文提到的结合流量检测和用户行为分析的设备,一种是全院采取零信任架构。传统的边界设备是出口的硬件设备,我们通过软件来定义边界,就是以终端为单位。每个人都拥有不同权限的账户和身份,每个人能访问的资源也不同。在用户正常访问业务的时候也会基于用户的行为进行动态验证。只要用户无法进行验证或做出异常行为将立即被阻断,失去一切的权限和访问的资源(最小化用户权限)。
全院零信任架构落地还需时日,不过就目前厂商的发展来看已经初具雏形。EDR+态势感知平台将是未来零信任架构不可或缺的一环,所有终端的访问控制将通过EDR来实现,目前通过态势的流量分析能发现医院网络访问的关系以及异常流量。发现后可联动EDR平台进行微隔离处置,即端到端、端到服务的控制。
假以时日,传统的边界防御设备和资产发现设备将为院区网络安全兜底,收窄安全暴露面。流量分析和用户行为分析系统将发现和审计这些“漏网之鱼”并及时进行处置。零信任架构+态势感知+流量分析和用户行为分析系统+传统边界防御将形成安全闭环。通过信息安全的建设,可以使医院信息系统达到国家及医疗行业内部关于信息安全等级保护的基本要求,大大提高合规性水平,保障数字医院的信息化快速发展,确保医院业务安全可靠的运行。