医疗行业信息安全解决方案

背景

        随着医疗卫生体制改革的不断深化,卫生行业信息化应用不断普及。医院信息系统已成为医疗服务的重要支撑体系。医院信息系统的安全性直接关系到医院医疗工作的正常运行,一旦网络瘫痪或数据丢失,将会给医院和病人带来巨大的灾难和难以弥补的损失。同时,医院信息系统涉及大量医院经营和患者医疗等私密信息,信息的泄露和传播将会给医院、社会和患者带来安全风险。

        为贯彻落实国家信息安全等级保护制度,按照《卫生部关于印发〈卫生行业信息安全等级保护工作的指导意见〉的通知》要求,石家庄市平安医院积极开展等级测评工作。医院信息中心机房及信息系统是支撑医院系统运作及各部门共同合作与营运的关键应用,承载着医院主要的业务数据。通过信息系统等级保护定级和安全测评工作,提前发现信息系统中存在的安全风险和漏洞,据此提出医院网络安全整改和机房建设解决方案,避免安全事件对业务工作带来损失;完善信息系统安全管理制度,提升信息系统安全管理水平。

解决方案:

        为了落实《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)和《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号),实施符合国家标准的安全等级保护体系建设,通过对医院网络系统的安全等级划分,确保医院网络的核心信息资产的安全性,从而使重要信息系统的安全威胁最小化,达到网络信息安全投入的最优化。最终实现如下总体安全目标:
1、根据医院现阶段的网络安全情况,制定合理的安全措施,防止和抵御各种安全威胁和攻击手段,在一定程度上弥补和完善网络信息系统的安全风险,提高医院信息安全防护能力、应急处置能力,为医院信息化网络安全建设提供可靠保障。
2、依据信息系统所包括的信息资产的安全性、信息系统主要处理的业务信息类别、信息系统服务范围以及业务对信息系统的依赖性等指标,来划分信息系统的安全等级,达到公安部关于信息系统安全等级保护相关要求,力求一次通过信息安全等级保护。

方案安全体系设计

        在信息安全等级保护体系设计时,将遵循等保体系标准作为设计方法,根据等级保护安全要求进行医院网络系统的安全体系化设计。
        通过为满足物理安全、网络安全、主机安全、应用安全、数据安全五个方面基本技术要求进行技术体系建设;为满足安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面基本管理要求进行管理体系建设。使得医院网络系统的等级保护建设方案最终既可以满足等级保护的相关要求,又能够全方面为医院的业务系统提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。

设计的原则

        在规划、建设、使用、维护整个医院网络系统项目的过程中,本方案将主要遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管理的原则进行安全体系的整体设计和实施,并充分考虑到先进性、现实性、持续性和可扩展性。具体体现为:
(1) 等级标准性原则
坚持遵循相关的标准。本方案从设计到产品选型都遵循国家等级保护三级相关标准。
(2) 需求、风险、代价平衡的原则
对任一网络,绝对安全难以达到,也不一定是必要的。应对一个网络进行实际分析(包括任务、性能、结构、可靠性、可用性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定安全策略。
(3) 综合性、整体性原则
安全模块和设备的引入应该体现系统运行和管理的统一性。一个完整的系统的整体安全性取决于其中安全防范最薄弱的一个环节,必须提高整个系统的安全性以及系统中各个部分之间的严密的安全逻辑关联的强度,以保证组成系统的各个部分协调一致地运行。
(4) 易操作性原则
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
(5) 设备的先进性与成熟性
安全设备的选择,既要考虑其先进性,还要考虑其成熟性。先进意味着技术、性能方面的优越,而成熟性表示可靠与可用。
(6) 无缝接入
安全设备的安装、运行,应不改变网络原有的拓扑结构,对网络内的用户应是透明的,不可见的。同时,安全设备的运行应该不会对网络传输造成通信“瓶颈”。
(7) 可管理性与扩展性
安全设备应易于管理,而且支持通过现有网络对网上的安全设备进行安全的统一管理、控制,能够在网上监控设备的运行状况,进行实时的安全审计。
(8) 保护原有投资的原则
在进行医院网络系统信息安全体系建设时,应充分考虑原有投资,要充分利用医院已有的建设基础,规划其医院网络系统的整体安全体系。
(9) 综合治理
信息网络的安全同样也绝不仅仅是一个技术问题,各种安全技术应该与运行管理机制、人员的思想教育与技术培训、安全法律法规建设相结合,从社会系统工程的角度综合考虑。

设计参考标准与规范

设计参考了以下标准与规范:
• 卫生部办公厅《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函[2011]1126号;
• 《北京市卫生局关于进一步加强北京市卫生行业信息安全等级保护工作的通知》(京卫办字〔2012〕26号);
• 《信息安全技术 信息系统安全等级保护基本要求》( GB/T22239-2008);
• 《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008);
• 《信息安全技术 信息系统安全等级保护实施指南》;
• 《信息安全技术 信息系统安全等级保护测评要求》;
• 《信息安全技术 信息系统安全等级保护测评过程指南》;
• 《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
• 《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006);
• 《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006);
• 《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006);
• 《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006);
• 《信息安全技术 服务器技术要求》(GB/T 21028-2007);
• 《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006);
• 《信息安全技术 信息系统安全管理要求》(GB/T20269-2006);
• 《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006);
• 其他有关现行设计规范及标准。

网络安全设备介绍

1、WEB应用防火墙

网站存在风险因素:
<1>网站被篡改,直接影响对公众树立的社会形象;
<2>网站业务被攻击导致瘫痪,影响效率和经济利益;
<3>网站敏感数据被窃取,影响单位信誉;
<4>网站被攻陷后成为跳板,渗透到内部网络,造成更大面积的破坏;
<5>被第三方监管机构,漏洞报告平台通报,带来负面影响。
Web应用防火墙能够解决如下问题:
<1>防止因安全问题造成企业单位形象受损、客户信誉降低等问题;
<2>保护机密信息、敏感数据不被泄露;
<3>减少因泄露信息而产生法律诉讼的可能性;
<4>满足有关法规对Web 系统安全的规定。

防病毒网关

        随着计算机网络技术的发展,计算机病毒技术也在快速地发展变化之中。从木马病毒的编写、传播到出售,整个病毒产业链已经完全互联网化。而计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏,导致硬件系统完全瘫痪。据公安部调查结果显示,计算机病毒仍然呈现出异常活跃的态势,互联网站被大量“挂马”成为病毒木马传播的主要方式。同时,目前计算机病毒、木马等绕过安全产品的发现、查杀甚至破坏安全产品自身系统的能力也有所增强。如果企业办公环境不选择有效的防控手段,在病毒面前将是十分脆弱。通过在网络边界处部署病毒过滤产品,能够在病毒入侵网络之前实时的进行发现和阻止,能够有效的降低病毒传播的风险。

恶意代码防范管理(杀毒软件)

        建立恶意代码管理中心,进行防恶意代码软件的统一管理,并根据情况建立二级管理中心。恶意代码管理中心实现:杀毒策略统一集中配置;自动并强制进行恶意代码库升级;定制统一客户端策略并强制执行;进行集中病毒报警等。
        终端安全系统能够为企事业单位网络范围内的工作站和网络服务器提供可伸缩的跨平台病毒防护。终端安全系统实现了集中式配置、部署、策略管理和报告,并支持管理员对网络安全进行实时审核,以确定哪些节点易于受到病毒的攻击,以及在出现紧急病毒情况时采取何种应急处理措施。网络管理员可以通过逻辑分组的方式管理终端和服务器的反病毒相关工作,并可以创建、部署和锁定安全策略和设置,从而使得网络系统保持最新状态和良好的配置。

运维安全管理系统(堡垒机)

目前,企业的信息系统运维过程中存在一系列的安全隐患,如:
1. 多位系统维护人员共用一个系统账号,当出现安全事故时相互推诿,缺乏客观、可信的依据来确定事故责任人;
2. 维护人员可能只需要执行简单的规定操作,但却通常需要使用拥有更多权限的系统账户,而系统自身又无法进行细粒度的授权管理,无法进行指令级或文件级别的访问权限控制;
3. 服务器、网络设备、数据库等资产的数量日益增多,按照管理要求定期修改密码成为耗时费力的琐事,基层运维人员是否严格遵守制度,按时完成密码安全管理工作,管理人员无法方便得知;
4. 当系统因某些操作发生故障时,因为缺乏对操作过程的全程记录,无法还原事故现场,确定问题原因,而使得系统恢复时间大大延长;
运维安全管理系统能够实现运维操作与自然人的一一对应,并对每个对象进行指令级细粒度授权、对运维过程进行全程监控、简化运维用户使用,避免上述现象发生。

入侵检测/防御系统

        入侵检测/防御产品是专用于网络入侵攻击检测/防御的安全产品,可广泛部署于政府、医疗、企业、高校、运营商等行业的互联网出口、服务器前端、内网隔离防护等应用场景。入侵检测/防御系统提供了从网络层分析到应用层分析、从应用识别到行为分析、从协议解析到业务语义分析的全方位检测,并采用了大量基于攻击原理的新型入侵检测/防御技术,确保抵御各类网络攻击。

入侵检测/防御系统

        数据库中存储着大量的企业客户信息、财务信息甚至国家涉密信息。然而数据库在使用过程中缺乏必要技术防护手段,使得存储在数据库里的大量敏感信息的安全性无法得到有效的保障,主要体现在以下几方面:
 内部用户可以很方便的利用内部网络通过各种通讯协议进行刺探,获取、删除或者篡改重要的数据和信息。
 内部授权用户对于系统不熟悉而导致误操作也时常给业务系统造成难以恢复的损失。
 外部非授权人员(如黑客)多数据库进行恶意入侵,获取或者删除数据库里的数据。
 所有针对数据库的安全事件发生后,无法进行有效的追溯和审计。
        部署数据库审计系统能通过对数据库操作行为进行解析、分析、记录、汇报,以帮助用户对数据库操作进行事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内部网络数据库操作行为监管、避免核心数据库损失,保障业务系统的正常运营。 业务数据库审计系统具备以下五大主要功能:
        旁路采集:数据库探测器采用协议识别、特征检测和深度解析技术,全面监测网络数据包,记录数据库操作行为;
        智能分析:审计主机通过全局业务策略、模型分析策略,实时分析数据库操作语句,直接阻断非授权终端程序的连接。针对近99.9%的安全操作实行归档,有效呈现0.1%的可疑事件记录。
        反显执行:审计系统针对数据库的可疑查询、统计操作(如非法统方)行为,提供在线重复执行可疑语句,呈现操作结果功能,协助审计员有效判断行为属性。
        高效检索:审计系统提供专用的存储架构、高效的检索引擎及灵活的检索条件设置;实现异常事件快速精准定位和事后审计。
        审计报表:审计系统提供动态(手工)和静态(周期性)报表方式,丰富实用的报表模板及快速生成功能。

日志管理综合审计系统

        通过监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及综合分析功能,实现对信息系统整体安全状况的全面审计。

漏洞扫描

        基于对网络的脆弱性分析,通过“发现-扫描-定性-修复-审核” 弱点的全面评估,快速发现网络资产,准确识别资产属性、全面扫描安全漏洞,清晰定性安全风险,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而在弱点全面评估的基础上实现安全自主掌控。

服务器数据备份及容灾

        根据用户的数据中心特点,整体数据保护系统方案的设计中,从以下几点出发,作为方案设计的原则,从而保证整个方案的针对性和合理性。同时结合用户实际应用环境特征,本方案遵循如下建设原则:
稳定性 为系统提供一个数据安全保护的方法,因此方案涉及产品本身的稳定性和可靠性就变成了最重要的一个方面。首先,产品一定要与主流操作系统100%的兼容,其次,设备需要对数据高可用保障能力;
可扩展性和可升级性 系统要有较强的可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流会呈指数增长,需要设备有很好的可扩展性,并能随技术的发展不断升级;
实时性 能够对数据进行实时、无间断的数据备份,同时要保障数据在丢失后能够有足够的细粒度进行恢复,保障意外出现时,能够保留各个时间段的完好数据;
安全性 系统能够提供全面的安全体系,从生产数据、保护数据和持续数据保护系统的管理都应该具有高可靠的安全保障体系,保证数据的安全;
易用性 系统能够为管理人员提供良好的管理、审查界面,方便IT人员的快速管理与维护,同时需要提供智能的数据、硬件的监控报警机制;