作为整个国家卫生事业的命脉,各级医疗机构在保障人民的日常身体健康方面起到了十分重要的作用,而当下各种各样的问题也在困扰着各级医疗机构,近日,信息安全问题则被提到了一个需要重点关注的层面:5月,温州多家医院信息系统从内部被黑客入侵(http://zjnews.zjol.com.cn/05zjnews/system/2012/05/10/018478286.shtml),共18家医院的医药信息被非法窃取。本次的事件不啻于给广大的医疗机构信息管理者敲响了警钟,构建一个安全、有效的内网安全防护体系已经成为一个刻不容缓的问题。

在2011年产生较大影响的统方事件之后,医疗机构的内部医药信息数据库安全受到了各管理者的重点关注,如何有效地对数据库服务器(及内网中的其他服务器资源)进行保护在业界形成了持续不断的讨论。但是,当众人焦点都集中在不停地加固数据库服务器的时候,内网中的其他节点反而成为了整体安全的短板,据本次事件的入侵者陈某说,自己窃取医药信息的方法很简单,只需要拔下公用电脑的网络插头,插上无线路由器,就能够让自己携带的笔记本电脑连上医院的“内网”,而进入内网后,利用黑客工具窃取信息的时间只要2、3分钟而已。由此可见,正是自身保护十分薄弱的内部网络,在本次事件中成为了非法入侵的推手,只需要一台可以随意接触到的公用电脑,医院的内部网络就能够轻易地变成入侵的跳板,并沦为不法分子窃取医院医药信息、非法牟取暴利的工具。

医云:“头痛医头,脚痛医脚,谬也”,合格的医者不会只关注病况出现的局部点,往往患者身体整体的宏观体征和表现更隐含了关键的病原和治愈方法。医学的观点同样体现在医疗卫生机构的信息安全系统中,对于医疗机构内部重要数据信息的保护,我们需要有整体性的宏观概念,本次事件中的诸多医院在加固了内网数据库服务器情况下依然发生了失密事故,就源于内网的整体性保护不足,在服务器局部加强的情况下,内部网络的边界处却没有形成有效的接入保护防御体系,外贼的“第三只手”得以在幕后不知不觉地实施犯罪过程。

作为能够有效防御非法接入、违规接入内网的解决方案,网络准入控制(NAC,Network Admission Control)能够很好地解决医疗机构内网接入控制薄弱的问题,从而防范外贼隐藏的“第三只手”,下图就是浙江省某着名三甲医院的网络准入控制建设图例。

安全准入助医疗机构防范外贼的“第三只手”插图

该医院在两年前就注意到对内部网络接入控制的管理,为了有效地杜绝外来设备接入和非法接入现象,该医院选择了盈高科技网络准入平台ASM(入网规范管理系统)进行内部网络的接入安全管理,在平台建设完成后,在内部网络的接入边界处进行了严格控制,利用技术手段实现了外来计算机接入的注册、审核、身份认证的三重保护机制,彻底杜绝了“外贼”的“第三只手”。系统上线以来,大大提高了内部网络接入的安全管理水平,实现了:

防止网络非法接入

1.计算机接入管理:借助网络准入系统,明确了网络边界,外来计算机随意插拔网线的非法接入将被立即隔离,并在平台上生成报警,帮助管理者有效定位潜在的非法接入安全漏洞,发生非法“统方”、非法内部入侵安全事件的概率大大降低。

2.移动存储接入管理:借助对终端设备进行安全管理的盈高终端管理系统,能够有效阻断非授权U盘的接入和网内不同部门间U盘的交叉使用,从而有效地避免了网内重要数据的泄露与外传。

防止非法外联

在盈高科技准入安全扫描和桌面管理系统实时检测的双重安全保险下,完全杜绝了非法外联的行为,成为了保护医疗系统内部数据的另一道绿色屏障。

如果把医疗机构内网比作人体,则确保内网安全(身体健康)从整体性上看就包含核心数据安全(身体自身)和内网接入安全(饮食健康、循环健康、新陈代谢),治网如治病,从以上两个角度确保整体安全,才能够实现医疗机构内部信息的真正、全面、持续安全。

注释:作者王越加现就职于盈高科技

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。