HIS系统安全形势严峻,医疗机构如何守护“高风险区”
随着 互联网 技术的发展,信息化被应用到各个行业。中国信通院研究指出,医疗行业信息化正处在从2.0到3.0的过渡阶段,医院信息系统(HIS)的基础设施建设已基本完成,未来将会实现医疗全流程智能化。
一、医院网络安全形势不容乐观
在医疗行业,随着在线挂号、线上会诊、电子病历、线上结算等信息化医疗的普及,在助力医疗高效的同时,也让医疗数据处于风险之中。医疗行业的患者信息、患者病历、统方等高价值的医疗数据被不法分子盯上,越来越多的网络攻击手段被运用到医疗信息系统,让医疗行业处于信息安全的“高风险区”。
根据中国信通院发布的《2019健康医疗行业网络安全观测报告》显示,全国中高等级风险区居多,威胁种类、攻击频率偏高,以勒索病毒为代表的僵木蠕等恶意程序风险直接威胁着医疗业务的稳定。
图1:各省份风险评估结果分布
但是,目前的医院整体安全防护方案仍有待升级优化,例如医院在操作系统上采用的安全措施仍以防病毒软件和软件防火墙为主,安全措施单一,难以应对不断变化的网络攻击手段。随着勒索病毒、黑客等网络攻击手段的不断变化,医院在操作系统防护方面应适当增加一些新的安全技术,进行多重防护。
图2:医院操作系统级安全措施统计情况
数据来源:中国医院协会信息专业委员会2019《医院信息安全调查报告》
二、医疗上云后,安全威胁并没有减少
随着大数据、云计算、人工智能的发展以及各种新设备大批量的引进,医院IT基础设施面临着存储空间、运维能力、勒索病毒、数据泄露等信息化建设的挑战,需要对安全体系有更高的要求,上云是一条解决路径。
目前,已经有很多三甲医院开始采用医疗云IaaS服务,而公有云厂商也开始与传统医疗信息化厂商合作,在IaaS和PaaS服务的基础上提供SaaS服务,最典型的例子就是目前比较热的云HIS系统。
上云可以让医疗机构访问并利用比以往任何时候更多的数据。云计算通过异地存储,一定程度上减少敏感数据被盗的可能性。同时,私有云为医疗机构提供了非常有吸引力的安全方案,医疗机构可以添加他们认为合适的安全措施。
当然选择上云时,也要为潜在的风险和成本做好预估准备,做好必要的安全措施。当下很多医疗机构对业务上云也存在一些顾虑,例如担心失去对数据的控制以及对数据安全本身引发的担忧等。
相比五年前,现在很多医疗机构都已经拥有了一定的安全意识,在重要领域及关键环节都添加了不少安全产品进行安全防护。但在云计算、虚拟化等方面,整体来看安全防护目前仍然处于“滞后”状态,还是优先使用拦截和防御以及基于策略的控制将危险拦截在外,但高级定向攻击总能轻而易举地绕过传统防火墙和基于黑白名单的预防机制。
三、青藤医疗行业云安全解决方案
青藤的云工作负载保护平台是基于Agent底层技术的云主机解决方案,让用户对所有云端资产、合规状况一目了然,同时可以协助用户对云主机进行实时监控,了解其安全状态。
图3:青藤的云工作负载保护平台
1、医疗数字资产可见
随着医疗机构信息化快速发展,医院上线了越来越多的数据平台和信息化系统。如何管理众多IT资产成为安全运维人员亟需解决的问题。
通过传统人工清点等资产管理方式,无法实时了解资产信息更新变化。
医疗机构服务器资产数量庞大,业务系统繁杂多样,变动快速,难以清点。
传统解决方案对云主机、虚拟机、容器等资产查询统计非常困难,无法精准了解查询结果。
青藤资产态势感知解决方案,致力于帮助用户从安全角度自动化构建细粒度资产信息,支持对业务层的资产信息进行精准识别和动态感知,让资产清晰可见。
15秒内自动化构建资产信息。
资产变化实时通知,并支持灵活快速检索定位。
支持本地环境、云环境等混合业务架构下的资产清点。
2、助力医院信息化过程风险评估
2020年12月31日,国家卫生健康委、国家中医药管理局联合发布《关于印发公立医院内部控制管理办法的通知》(国卫财务发〔2020〕31号)(以下简称《办法》)。
《办法》明确规定了,医院内部控制主要包括风险评估、内部控制建设、内部控制报告、内部控制评价四部分内容。在“风险评估”中,《办法》指出,业务层面的风险评估应当重点关注十二种情况。其中,信息系统管理情况包括是否将内部控制流程和要求嵌入信息系统,是否实现各主要信息系统之间的互联互通、信息共享和业务协同;是否采取有效措施强化信息系统安全等。
目前,医疗机构对IT系统安全风险大多依靠大量人工干预和扫描器介入,效率低下,主要存在以下不足:
新的漏洞和风险层出不穷,传统安全方案无法实时掌握现有IT系统的风险情况。
现有手段需要人工不断统计风险数量、验证风险是否修复等内容,无法掌控风险整改效果。
现有手段工作量大,并且随着服务器数量的提升会显著增加检测周期与人力投入。
新一代解决方案要求安全产品更贴近业务需求和新技术发展,能以数据分析作为安全策略和安全响应的源头。通过发挥数据价值,从业务的运转规律中,抽象出内在的细微指标,并对指标进行持续地观测和分析。那无论遇到什么攻击,都会引起指标变化而被察觉。为了对风险进行全生命周期管理,需要从“识别、分析、处置、验证”全流程对风险进行管理,实现风险的闭环管理。
风险识别 :发现未安装的补丁、发现应用配置缺陷、发现新型漏洞、弱口令等风险。
风险分析 :每日自动生成风险分析报表,包括风险总览、趋势变化以及主机风险评级等。
风险处置 :将整改风险及整改方式实时告知安全人员,协助配置相应的处置策略。
整改验证 :实时显示已整改项及新增风险项,可自动发送整改结果给相应负责人员。
3、实时入侵检测方案
医疗信息化的突飞猛进带来了巨大便利性,但相比 金融 、政府等行业,医疗行业信息系统要脆弱得多。如何避免黑客入侵,保护医疗机构核心数据的安全已不容忽视。
传统解决方案,对0Day漏洞、免杀木马、内部入侵等检测能力有限,响应周期过长。
当前在服务器上,特别是Linux服务器上,缺乏一个行之有效的失陷主机检测系统。
基于流量的APT检测方案存在大量误报、容易被绕过、横向流量检测能力不足等问题。
青藤实时入侵检测解决方案提供多锚点的检测能力,实时准确地感知入侵事件,发现失陷主机,并提供对入侵事件的响应手段,对业务系统"零"影响。
多锚点的入侵检测。青藤对攻击路径的每个节点都进行监控,并提供跨平台多系统的支持能力,能实时发现失陷主机,并进行告警。
发现未知手段的黑客攻击。结合威胁情报、机器学习等多种方法,对主机进行实时监控,有效发现各种未知手段的黑客攻击。
提供最准确的一线信息,能够提供深入详细的入侵分析和响应手段,从而让用户精准有效地解决问题。
4、满足等保2.0合规要求
根据中国医院协会信息专业委员会(CHIMA)发布的《2017-2018年度中国医院信息化状况调查报告》,在484家样本医院中,36.16%的医院通过了等保测评。其中,三级医院实施等保工作情况明显好于三级以下医院, 经济 发达地区实施等保工作的比例高于中等发达地区和经济欠发达地区。
因此,医院需要尽快合理开展业务系统及平台的定级备案工作,尤其是针对HIS、LIS、PACS、EMR等4大核心系统都需要逐个测评,而这些核心业务系统都落在服务器之上。
建议在等保建设中,尝试采用新技术、新手段,从主机侧加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击。尤其是随着医疗信息化快速发展,服务器数量日益增多,一旦发生维护人员误操作,或采用一成不变的初始系统设置而忽略了对于安全控制的要求,就可能会极大的影响系统的正常运转。
各种应用和服务器种类及数量日益增多,如何快速有效的在服务器上实现配置基线管理。
如何集中收集核查的结果,以及制作风险审核报告。
面对网络中数量服务器、虚拟机等,无法快速有效识别与安全规范不相符的安全配置。
青藤合规基线构建了由国内信息安全等级保护要求和CIS组成的基准要求。结合这些基线,用户可快速进行医院内部风险自测,发现问题并及时修复,以满足监管部门要求的安全条件。
自动化基线配置检查。
一键任务化检测,基线检查结果可视化呈现。
自定义基线配置管理。
四、助力某卫健委构建新一代安全防护体系
结合省卫计委对云计算平台的改造和大数据服务平台的建设情况,通过青藤主机自适应安全平台对其各个子域、虚拟机的安全防护与监控,实现 “预测、防御、检测、响应”自适应防御效果,达到“拿不走、打不瘫、可预测、可追溯”的主动防御目标,确保青海卫计委信息系统风险可控以及稳定、高效、高水准的运转,满足了等保合规要求。
图4:青藤主机安全解决方案
围绕不同业务主机的安全风险和运维需求,将轻量级的Agent部署在不同平台的医疗业务系统主机,青藤主机自适应安全平台提供资产深度清点、安全监控、分析的能力,实现主机的自适应安全。
目前,青藤的医疗行业解决方案已应用于全国多个卫健委、医院、在线医疗等项目,助力守护信息安全的“高风险区”。