摘要: 分析等级保护2.0标准的变化,探索等保2.0时代三级医院网络安全建设的方向,特别是确保新冠肺炎疫情期间医院网络安全。对2019年新标准《网络安全等级保护基本要求》进行分析,同时结合三级医院网络安全三级等级保护工作的实践,探索2.0标准下医院网络安全体系建设重...
分析等级保护2.0标准的变化,探索等保2.0时代三级医院网络安全建设的方向,特别是确保新冠肺炎疫情期间医院网络安全。对2019年新标准《网络安全等级保护基本要求》进行分析,同时结合三级医院网络安全三级等级保护工作的实践,探索2.0标准下医院网络安全体系建设重点和方向。2.0标准适应了时代的需求,要求更加严格,依照新标准对网络安全系统进行建设,医院网络的安全性大大提高。新标准相较于旧标准有了许多新变化,为三级医院的网络安全建设提供了方向,医院应依据新标准,持续加强网络安全管理的建设。
引言
随着“互联网+医疗”快速发展,医院网络安全的重要性也日益凸显。近年来,网络安全形式日益严峻,医院的信息系统的安全面临严重威胁的威胁。2018年全国共有247家三级医院受到勒索病毒攻击。国家互联网应急中心(CNCERT)发布的报告中指出,2019年全年医疗行业暴露在互联网的相关系统高达709个,其中137家医院存在数据安全风险,110家医院存在主机安全问题,90家医院存在网络安全问题。2019年全年,医疗机构共发生500多起较大网络安全事故。2020年初新冠肺炎疫情暴发后,针对医疗机构的网络安全事故频频发生。国外黑客集中对国内医疗机构进行攻击,窃取医疗数据、破坏业务系统、篡改网站、窃取信息系统,多家医疗机构发生网络病毒感染,系统瘫痪等事故。
2017年,《中华人民共和国网络安全法》正式施行,明确规定国家实行网络安全等级保护制度。2019年5月13日,GB/T 22239-2019《网络安全等级保护基本要求》正式发布,12月1日开始正式实施。新标准对2008年的标准进行了修订和扩展,以适应新技术、新应用、新形势下等级保护工作的开展,标志着网络安全等级保护工作正式进入了2.0时代。通过对2.0标准的分析,结合邯郸市中心医院网络安全等级保护工作的实践,探索了医院网络安全体系建设未来的方向。
等保2.0标准分析
2.0标准采用了“1+4”模式,其中“1”为通用要求,“4”指云计算、移动互联、物联网、工业控制系统4个新技术和国家重点领域的扩展要求。通用要求子类仍为10部分,要求项缩减为211项。技术方面细化了访问控制、入侵防范的控制要求,增加了可信验证要求、信息保护,特别是个人信息保护相关要求;管理方面增加了安全管理中心和集中管控相关的要求。
新标准下建设的重点与实践
2017医院开始实施等级保护工作,在物理安全、数据安全与备份、主机及应用安全、网络与边界安全,以及安全管理方面持续改进,连续三年在1.0的标准下通过了等保三级评审。新标准在智能化、可视化、可持续化要求上更进一步,参照新标准,在原有体系的基础上医院未来网络安全建设主要方向如图1所示。
图1 等保2.0下医院网络安全体系建设
主动防御主动防御技术充分利用了大数据、云计算和智能化等新技术,在入侵对网络系统产生影响之前,通过数据捕获和数据分析技术,在信息系统中建立入侵自动检测报警机制,由事前防御、事中响应、事后审计的主动动态保障体系转变。图2为医院正在建设的主动防御平台。
图2 主动防御平台
主动防御平台的核心是态势感知,平台利用大数据技术和机器学习技术,针对性分析医院内网环境,对网络空间中的安全要素进行采集、分析、显示以及预测,结合静态环境与动态行为,识别传统安全防护策略难以应对安全威胁,及时通过告警平台通知管理人员。通过互联网与第三方数据中心相连,及时更新安全情报。同时防御平台在本地集成一个虚拟沙箱系统,对内网中可疑的操作和文件传送到沙箱,在沙箱中模拟运行,从而验证其安全性;在云安全中心中集成云沙箱系统,与本地沙箱协同工作,运用智能化、大数据技术分析威胁情报,识别各种入侵威胁。
医院的主动防御平台的建设主要两个方面,一是不仅仅提供监控与预测功能,还要实现与防火墙、网闸等安全设备的联动,提高反应能力,及时调整安全策略;二是要实现动态防御,结合医院信息集成系统的虚拟化建设,通过在系统底层集成安全模块,实现代码的动态变幻,从而隐匿攻击入口,直接在来源端阻断自动化攻击工具。
集中管控集中管控是等级保护新标准针对近年来IT管理平台的统一化趋势提出的全新要求,统一的管理平台在新标准下成为必备建设项目。集中管控平台要求在制度上建立安全管理中心,在技术上划分特定的安全管理区域,对分散在网络各处的各类网络设备进行运行状况集中监测和控制,包括对链路、设备和服务器、终端运行状况进行监控和告警;设备上的操作审计;策略、恶意代码、补丁升级集中管理。
图3为目前医院正在建设的集中管理平台,集中管控的要求包括两个层面,第一层面是每一个管理项目能做到独立的集中管控。进一步层面是将所有的管理集成到一个大的管理平台中,如图将所有管理接口统一汇总到一个物理局域网或Vlan内,HIS、EMR等核心业务也独立到一个安全域内,并通过安全隔离设备与业务系统进行隔离。
图3 集中管控平台
堡垒机主要是针对服务器设备,功能主要有两个方面,集中运维管理和安全审计。堡垒机的核心是基于身份识别,在逻辑上实现了目标设备操作与用户的分离,简化了账户管理,通过集中管控安全策略实现账号管理、授权管理。同时堡垒机可以实现包括SSH、RDP等加密通讯在内的审计,通过审计日志和完整的操作视频回放可以重现整个操作过程,用于事后恢复和定责。
数据库审计主要是针对数据库,实时记录数据库活动,对数据库的操作进行审计,对数据库的访问行为进行记录、分析和汇报,当数据库发生风险行为时能够进行告警,然后做出合规性的策略,对攻击行为进行阻断,在事后生成相应报告、实现事故追根溯源。数据库不仅仅能有效发现外部威胁,同时能实现对内部行为的审计和监控,对于来自局域网内部的威胁也能做出有效的防范。
日志审计主要用于网络中各类设备的日志进行采集、存储和备份。根据等保2.0的要求日志留存至少6个月,随着医院业务规模不断扩大,原来的分散式日志管理模式无法满足日志审计的需求,同时集中的日志审计系统也可以实现单系统层面之上日志的统计、分析和告警,与主动防御系统结合,为网络提供更及时的保障。
桌面准入及管理系统是针对医院业务科室终端设计的集中管理平台。医院的终端管理历来是个难点和弱项,一方面由于终端数量多、型号复杂,而且存在大量老旧设备,医院有大量超过10年的电脑仍在使用当中,另一方面由于临床业务科室人员计算机知识与网络安全意识相对薄弱。到2019年底,系统已覆盖了全院内网2 000多台终端设备,实现了内网准入、远程控制、软件下发、补丁升级、注册表管理以及端口级别的策略管理等功能,管理员在管理平台上可以检测终端的状态,对终端进行单个、分组或者分区域管理。
网络指挥官(SNC)专门用于管理网络中的交换机,主要功能包括网络信息查看,自动对全网拓扑进行发现,通过网路拓扑图展现网络设备状态,一旦出现故障能够及时定位;设备状态监控,包括故障信息、性能信息、链路状态等;设备配置变更监视与设备配置管理,主动收集网络状况并及时备份,做到状态变更的及时响应,出现故障可及时恢复。
可信验证可信验证是新标准中新增加的要求项,而且在安全通信网络、安全区域边界和安全计算环境中三个要求子类中都增加了可信验证的要求,分别对应了网络可信、接入可信、计算环境可信三个领域,可见可信验证在未来网络安全重要性。可信验证的基本要求是“基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,一旦检测到可信性受到破坏就进行报警,并将验证结果形成审计记录送至安全管理中心”。
可信验证的主要目标就是保证系统和应用的完整性,使用可信验证能够减少由于使用未知或被篡改的系统或者软件而遭到攻击的可能性。动态可信验证要求实现预警和操作的联动,当可信验证失败时,可以向安全管理中心报警和验证数据,其他安全模块能够及时对被监测的对象采取措施,阻断攻击达到保护的目的。为了达到主动免疫的效果,可信应完成5个方面的验证,包括体系结构可信、操作行为可信、数据存储可信、策略管理可信、资源配置可信。
个人信息保护在当前个人信息被广泛采集,个人信息安全事件越来越多的情况下,个人信息保护的重要性日益凸显,2017年网络安全法中关于个人信息安全有明确规定,2019年4月公安部颁布《互联网个人信息安全保护指南》,等保2.0标准中个人信息保护作为独立的要求项出现。医院作为持有个人信息集中的单位,特别是互联网医院的大趋势下移动支付、手机挂号、手机报告查询、运程诊疗等应用越来越广泛,个人信息的防护应当更加重视。对于个人数据医院应尽量只采集和业务相关必须的用户个人信息,对于必须要采集个人敏感信息,要通过安全技术,如数据库防火墙技术、数据脱敏技术、数据泄露防护技术,实现安全管控。同时在制度上做好个人信息保护相关的规定,医院采用CA认证系统,用户只能通过加密硬件配合用户名密码才能登陆使用HIS、EMR等相关应用软件,严禁外借。
结果与讨论
采用重点保护要求项一票否决制,其他要求项加权评分的方式。评分公式如下,p为每个要求项的评分,q为每个小项的最高分(q=5),W为每个小项的权值。每个小项测评结果由评审专家根据符合的情况给出相应分数。最终加权获得总分然后转换为百分制得到最终评分P。
图4显示在动态化管理改进之下,医院的网络安全工作进步明显。2019年医院采用等保1.0标准完成年度复审,分数达到78.5分。同年12月份,医院采用2.0标准再次对医院信息系统进行评测,得分只有56.4分左右,经过针对性整改,2020年评测得分为69.2,这说明新标准要求更加严格全面,医院网络安全与新标准要求还存在距。
图4 等级保护测评分数
信息安全不是绝对化的,医院的信息安全工作也不是静态化,而是一项动态的持续性工作。等保进入2.0时代,新标准对医院的信息网络安全工作提出更高要求的同时,也指明了方向,特别是在主动防御、集中管控、可信验证等新兴技术和管理模式方面还大有可为。医院要结合自身的特点和网络安全的需求的变化,引进新技术,提出新的解决方案,因地制宜,不断改进安全技术和完善管理制度,使医院的信息安全体系更加有效和健全。
【引用本文:魏帅岭 闫国涛 李星 侯立根.邯郸市中心医院信息科[J]. 中国数字医学,2021,16(4)101-105.】
稿源:中国数字医学