沈彤,万振(通信作者)
天津大学海河医院 (天津 300350)
近年来,互联网、云计算、物联网等技术的兴起和发展不仅改变着世界,也在影响整个医疗行业,医疗信息数字化建设的新变革与新挑战已经来临。随着医联体的蓬勃发展及互联互通平台的搭建,各级医疗机构之间、医疗机构与患者之间、诊疗与公共卫生系统之间的边界正在慢慢消失、消融。后疫情时代智慧医院的建设、全民健康的融合发展、“互联网+”医疗的全面铺开等互联网浪潮所带来的创新业务模式,促使医疗信息数字化建设打破围墙思维拥抱互联网,随之而来的信息化安全问题也以全新的面貌展现在我们面前[1]。
突如其来的新型冠状病毒肺炎疫情不仅打乱了人们的正常生活秩序,也全面影响着全球互联网安全的发展,在数字时代疫情、网情、舆情等多种因素的共同作用下,全球网络安全的形势更为严峻,面临着各种新的挑战。我院是天津市一家以治疗呼吸系统疾病为主,集医疗、教学、科研为一体的大型三级甲等综合医院,承载着天津市新型冠状病毒肺炎患者的收治任务。在疫情期间,院内信息化网络系统安全稳定运行且经受住了各种考验。此次疫情不仅改变了人们就医问诊的习惯,而且使人们逐步意识到通过互联网的远程无接触式诊疗方式或许会成为未来医疗的重要发展方向。随着疫情的好转,我院各项诊疗业务逐步恢复正常,加之后期智慧医院数字化转型建设的需求,以往与外界物理隔离的局域网运行模式已经满足不了未来医疗数字化发展的需求,急需实现与外界的互联互通[2]。基于此,我院根据实际网络安全需求,结合传统业务特性及新型数字化诊疗业务转型的新逻辑,建立了一套符合自身系统安全需求的网络安全保障体系架构,以综合提升系统的安全保障能力和防护水平,确保各系统接入互联网后的安全稳定运行。
目前,我院运行的信息系统承载着医院的医院信息系统(hospital information system,HIS)、实验室信息系统(laboratory information system,LIS)、医学图像获取与通信系统(picture archiving and communication systems,PACS)、电子病历系统(electronic medical record,EMR)等核心业务,并传输和存储着大量医疗敏感信息,面对互联互通后来自信息系统内、外部的各种安全威胁,需要分析网络运行现状、搜集汇总存在问题、研讨规划可实行的方案,在完全符合信息安全等级保护(简称“等保”)工作的前提下,建立多层级、多维度、高可用的网络安全架构体系,包括终端安全、边界安全、网络识别、威胁检测、安全运营与监管、其他辅助网络安全技术等[3],见图1。
图1 基于等保合规要求的网络安全体系的建立
我院此次采用第三代主动安全引擎对网络进行加固。与以往第一、二代主要针对木马病毒等恶意程序的单纯杀毒引擎不同,第三代安全引擎可通过特定的算法和规则体系,变被动为主动,对本地的程序和文件主动进行风险分析和行为控制,再通过对“内存指令控制流的检测”来判断内部网络内是否有恶意行为发生,这已大大超出了传统杀毒引擎的概念范畴,能够更有效地预防攻击行为,可更好地实现对所有漏洞和后门的主动防护。
通过在内部局域网络与互联网出口边界架设防火墙可以提供限制访问控制,禁止139、445等特定端口的危险数据流通信,有效控制木马、勒索病毒等对内部网络的危害,避免其在目标主机上被执行。接受进出保护的网络数据流会根据防火墙的访问控制策略进行管控,不仅可以保护网络资源不受外部侵入,还能拦截被保护网络向外传送的有价值信息。
网闸是可以实现物理隔离的网络边界设备。在内网隔离区(demilitarized zone,DMZ)区域边界架设网闸可隔离依据协议进行的信息交换,而只允许以数据文件形式进行的无协议数据摆渡。在实际应用中,通过优化与天津市卫生健康委员会数据报送系统之间架设的网闸,不仅实现了仅限于远端特定主机与内部指定数据库1521、1433开放端口的单向通信,而且实现了以只读方式进行信息传输,并只对特定的应用程序产生的信息进行传输控制,两个系统独立存在、互不干扰,不存在通信的物理连接、逻辑连接,可起到很好地保护双方主机的作用。我院核心网络架构及边界安全设计图见图2。
图2 核心网络架构及边界安全设计图
2.3.1 网络资产识别
网络资产是安全策略保护的对象。院内所有在网设备主机均有详细的资产明细,服务器单独规划管理VLAN 地址段,每台交换机设备均设置独立的管理IP。网络威胁正是利用资产自身的脆弱性,对网络发动攻击形成安全风险,对资产的有效管理是网络安全管理中最基础且重要的工作之一,完备的资产识别技术与可视化的资产管理工具相结合,可以有效地帮助管理员提高安全信息管理能力。
2.3.2 网络流量识别
网络威胁的发生往往会引发网络流量的各种异常现象,在边界关键位置部署流量监测设备,通过检查网络数据包的源端口号和目的端口号、有效载荷流量分析等方法及时分离出威胁信息数据流,必要时采取有效的针对性处置措施。
2.3.3 网络用户身份识别
身份识别是系统权限分配、流量访问控制和上网行为分析的管理基础。依靠MAC 地址、IP 地址、账号、密码等传统的身份信息识别方式已经无法满足身份识别的安全准入需求。按照等级保护2.0工作的要求,应加强系统密码管理及系统使用人员的身份准入。我院引入了Ukey 认证登录,每一名医务人员在操作系统前均需使用自己的Ukey 进行认证登录,同时,系统使用者登录时间、登录主机、记录操作行为均可被记录,并可保留半年日志,这利于事后进行大数据综合行为分析,发现梳理危险账户。
2.4.1 网络入侵检测
网络入侵检测可视为对网络资源恶意使用行为进行识别和响应处理的一种技术,主要用来保护院内关键系统应用的服务器,可通过硬件或软件对数据流进行检测并与系统中的入侵特征数据库进行比对,一旦发现攻击迹象会根据安全策略通知管理员立即做出反应。
2.4.2 流量威胁检测
流量威胁检测技术基于网络流量分析,为管理员提供识别发现漏洞利用、高级木马通信、地址解析协议(address resolution protocol,ARP)攻击、数据窃取等提供有效的监控手段,解决网络中安全措施无法发现解决的问题。
2.4.3 网络安全扫描
在新系统上线前操作系统补丁已经更新到最新,通过对全网进行网络安全扫描可检测到计算机系统和网络设备安全性方面的脆弱点,从而发现安全隐患和可以被利用的漏洞,并通知管理员按需进行漏洞升级,及时修复。
通过态势感知平台实现日常网络安全运营与监管。态势感知是一种以安全大数据为基础,基于环境的动态、整体洞悉安全风险的能力,可从全局视角提升对安全威胁的发现识别、理解分析及响应处置能力。通过态势感知,可提前预判各系统主机与外部通信时的风险,能够及时发现各种网络威胁与异常,快速判别威胁的攻击目的、路径及手段,建立安全预警机制,完善风险控制、应急响应和整体安全防护。
2.6.1 数据加密
数据加密技术不仅是基本的网络安全技术,也是信息安全的核心,通过变换和置换等方式将被保护的信息置换成密文后在网络中传输,即使被截获也可以保证内容及信息不被认知,该技术是实现数字认证的关建途径和手段。
2.6.2 日志审计
日志被用于故障检测和入侵检测,反映安全攻击行为,可提供事中追踪、事后追查和溯源,并进行调查取证,实现设备的安全运行。院内网络审计在具备审查统方功能的基础上,增加了系统事件、安全事件、应用事件、网络事件、其他事件通过日志记录器、日志分析器制定的审计策略规则进行日志文件的审计,并生成审计分析报告,并按等保要求保存6个月以上。日志审计流程图见图3。
图3 日志审计流程图
2.6.3 上网行为管理
上网行为管理可以深度识别互联网访问流量中的应用、用户及内容,实现对浏览、访问、上传、下载、接收和外发行为的精细化控制和审计,同时具备屏蔽非法网站的访问、控制上网时段、外发信息监控审计避免泄密等功能,还可以有效管理带宽限制严重消耗带宽的应用,保障整体网络带宽均衡使用及运行顺畅。
2.6.4 灾备技术
即使具备非常完善的信息系统安全防护体系,也无法彻底消除风险,系统网络有可能发生极小概率事件,数据灾备即为最后一道保障,多一份备份或备份副本,就多一份恢复的可能,选择合理适用的灾备模式,可增强网络数据的安全性。现阶段网络灾备技术及特点见表1。我院现阶段使用“冷备”+“双活”的双重灾备方式,辅以Oracle 数据库自带的数据泵备份定期拷贝保存,并采用专用存储介质进行离线备份,随着新技术的发展及备份需求的增大,未来会考虑云备份等新型付费备份方式。
表1 网络灾备技术及特点
疫情期间产生的新业务模式如远程会诊、远程办公、卫生系统数据报送等均需对互联网开放,无论是通过端口映射开放公网访问,还是使用Vpn 打通远程网络通道,均在以往脆弱的网络边界上产生了很多安全隐患,增加了内部网络隐私数据的暴露风险。新的网络安全系统的应用效果如下:(1)增加了网络系统抵御外来入侵攻击的能力,成功有效地避免了蠕虫病毒、木马病毒的侵入,保护了数据安全,使院内的网络系统运行更加牢固可靠;(2)理清了在用资产,清晰明确使用责任人,方便后期管理;(3)培养了医务人员良好的用网习惯,这也为后期向数字化智慧医院转型奠定了安全基础。
网络安全的新技术、新场景进入多元化发展阶段,对更高级别安全的需求也进入爆发式的增长期,以往的网络安全只是针对封闭的网络环境,采用边界防御即可解决问题,但在复杂的互联网新思维趋势下,应从全新的视角审视网络安全问题,构建更加健全完善的网络安全体系,更好地为医院的医疗工作保驾护航[4]。