丧尸来袭百度云下载迅雷下载

醫療衛生行業網絡安全解決方案

時間:2019-04-08 來源:海豐科技

針對近期醫療衛生行業勒索者病毒嚴重現狀,基于國家衛健委和國家中醫藥管理局最新聯合發布的《關于印發互聯網診療管理辦法(試行)》等3個文件的通知精神,海豐科技結合自身安全產品、服務和解決方案,重新制定并發布《醫療衛生行業三級等保新一代內網安全解決方案》,以適應并服務于醫療衛生行業的終端及網絡等的安全防御。

 

一、方案背景

 

近日,國家衛健委和國家中醫藥管理局聯合發布了《關于印發互聯網診療管理辦法(試行)》等3個文件的通知。目的是為了進一步貫徹落實《國務院辦公廳關于促進“互聯網+醫療健康”發展的意見》有關要求,規范互聯網診療行為,發揮遠程醫療服務積極作用,提高醫療服務效率,保證醫療質量和醫療安全。

 

近年來,醫療單位為了提升競爭力、方便患者就醫,逐步與銀行、社保、新農保等單位互聯互通,開始向患者提供互聯網上的醫囑服務、病歷調閱服務、檢查檢驗報告的瀏覽服務,醫院信息化快速發展的同時,也逐漸暴露出了安全建設的不足。其實早在2007,國家公安部、保密局、國家密碼管理局、國務院信息化領導小組辦公室于聯合頒布了861號文件《關于開展全國重要信息系統安全等級保護定級工作的通知》和《信息安全等級保護管理辦法》,要求涉及國計民生的信息系統應達到一定的安全等級。

 

2011年11月2日,衛生部發布了關于印發《衛生行業信息安全等級保護工作的指導意見》衛辦發〔2011〕85號的通知,要求各單位積極開展等級保護工作。指導意見中要求以下重要衛生信息系統安全保護等級原則上不低于第三級,要求達到等級保護3級的單位和信息系統如下:

 

(1)衛生統計網絡直報系統、傳染性疾病報告系統、衛生監督信息報告系統、突發公共衛生事件應急指揮信息系統等跨省全國聯網運行的信息系統;

 

(2)國家、省、地市三級衛生信息平臺,新農合、衛生監督、婦幼保健等國家級數據中心;

 

(3)三級甲等醫院的核心業務信息系統;

 

2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過《中華人民共和國網絡安全法》,并已于2017年6月1日施行。該法案明確規定:建設、運營網絡或通過網絡提供服務,須依照法律、法規和國家標準強制性要求,采取各種措施,落實網絡安全等級保護制度,保障網絡安全穩定運行。發生安全事件時還要向主管部門報告。對于不履行該法案規定的,由有關主管部門責令改正,給予警告;拒不改正或導致危害網絡安全等后果的,處一萬元以上十萬元以下罰款,并對直接負責的主管人員處五千元以上五萬元以下罰款。

 

不論是《中華人民共和國網絡安全法》的規定,還是從自身信息系統安全角度考慮,醫療衛生行業都需要加強自己的安全管理體系和技術體系的建設,切實提升整體信息系統及數據的安全性。

 

二、需求分析

醫院的網絡根據承載業務的不同可劃分為內網、外網和設備網,(如下圖示)其中:

1、內網即醫院的醫務生產網,承載所有業務應用系統,包括大家熟知的HIS、PACS、LIS等系統以及與銀行、社保、新農保等單位互聯互通的專網;

 

2、外網即與Internet相聯的網絡,承載的業務包括郵件、OA等,未來可能會升級為向患者提供互聯網上的醫囑服務、病歷調閱服務、檢查檢驗報告的瀏覽服務;

 

3、設備網是一張新興的網,承載IP化的智能化弱電系統,包括:公共廣播、門禁、樓控、安防視頻監控等。

 

各醫院實際網絡建設模式會有不同。傳統的是內外網物理隔離,但仍有相當一部分是內外網物理合一、邏輯隔離。內網實際上也有外部連接,如醫保、公共衛生、新農合、銀行等;但這些連接都是內網與內網通過專線連接,且通過前置機進行數據訪問。

 

醫院的網絡根據承載介質的不同可分為有線網絡和無線網絡。根據傳統習慣,如果不特別說明,上述的內網、外網和設備網均特指有線網絡。但實際上無線網絡承載的業務也有內外網之分。有的醫院無線網只承載內網業務,如無線查房、無線護理、無線補液等;有的醫院無線網不僅承載內網業務,還會提供與外網相關的業務,如員工外網業務、病房VIP Internet業務等。無線網絡中的內網業務都要訪問HIS、RIS等核心業務信息系統,所以作為有線網絡的有效補充,無線網絡也應是三級安全等保檢查中的一部分。

 

與其他機構相比,醫院的信息系統比較特殊,如其中的醫學記錄、數據、病患資料以及預約信息等,都屬于需要緊急使用的信息,被勒索病毒加密后,會造成比較大的影響,所以勢必會想盡辦法以最快速度恢復數據,比如,馬上交贖金。醫院信息系統遭遇勒索、發生故障,無論是哪種突發狀況,都將直接影響到患者正常就醫,甚至會關系到病患的生命安全。因此,在血淚教訓面前,快速獲得應對勒索病毒攻擊的解決方案尤為重要。

 

綜上所述,大部分地區規定的核心業務信息系統都是內網業務,即三級安全等保只與醫院的內網業務系統相關,而對于內外網物理隔離的工作場景,與傳統的以防范Internet業務為主的安全解決方案明顯不同。

 

三、 三級安全等保解決方案

1. 網絡訪問控制管理

 

一般規模的醫院網絡都采用二層結構,即全院網關終結在核心交換機;同時醫院的數據流量絕大部分都是縱向流量(即終端訪問服務器的流量),橫向流量(終端之間的訪問流量)基本沒有。在這樣的流量模型下,盡管內網與公網隔離,但還有如下內容要進行安全保護。

 

核心業務服務器區域:要防范的是“家賊”,即內部數據泄露、跳板木馬或病毒攻擊。

 

與無線網絡的連接鏈路:無線網絡的開放性使其通常被認為是不安全的。

 

與外聯單位的連接鏈路:外聯單位屬于網絡邊界。

 

2. 業務流量審計報表

 

醫院業務關系到民生,而且是7*24小時提供服務,因此醫院的網絡建設首先要考慮可靠性,因此選擇的網絡產品通常會高于業務流量的實際需求,引發的問題是大部分醫院并不知道自己實際的流量模型,即各個服務器、各種業務的訪問高峰、整個網絡流量分布圖等。

 

3. 網絡邊界完整性檢查

 

目前醫院的網絡分布,在很多地方是既有內網口又有外網口。醫務人員對工作地點的網絡結構熟悉后,會出現自行把醫用終端從內網移到外網,違規訪問外網后再接回內網的情況。目前針對此問題,醫院想到的方法通常是MAC地址和端口綁定,但引發的問題是維護工作量巨大,使得很多醫院對此解決方案望而卻步。同時,隨著各種醫務自助機應用的普及,內網接入點也延伸到公共區域,給醫院內網新增了不安全性。我們建議采用EAD端點終入控制系統來進行醫用終端的安全接入。EAD中的客戶端可以防MAC篡改,即發現終端的物理MAC和管理MAC不一致時禁止認證。同時,防內網外聯功能,使得醫用終端只能接入內網。從而大大降低維護工作量。

 

4. 網絡設備防護

 

目前醫院的網絡設備管理通常有兩種方式:集成管理平臺和設備分散遠程登錄管理。對于后者,目前主流管理方法還是通過Telnet遠程管理。由于設備數量多維護工程量大,出于維護的便利性,設備的登錄用戶口令通常是所有設備相同且永遠不變,甚至網管人員更換后也不會更換設備的用戶口令。

 

四、 無線安全解決方案

 

從醫院無線網絡的建議模式來看,通常分為運營商代建和醫院自建兩種。無論哪種建設模式,無線技術本身安全性的問題都無法回避。不像有線網絡,只要不提供接入點,就無法侵入;無線是開放的,任何外來人員都可以和內部人員一樣接收到無線信號,所以必須進行接入認證安全保護。但如果像家庭一樣只提供密碼接入保護,那么無線網絡的安全形同虛設,因為整網單一的密碼很容易外泄。

 

除了文章開篇提到內網及外網業務,運營商代建的無線網絡還提供公共無線網接入(如電信的ChinaNet、移動的CMCC等)。公網和私網的混用還會引入更多的安全問題。

 

另外,無線終端比傳統的醫用終端更容易做接入網絡切換,而考慮到病毒和木馬的防范,醫院不希望用于內網的無線終端在訪問外網后再接入內網。

 

醫院的無線網絡安全方案的構建需要考慮以下幾個問題:

 

1、考慮到醫院的業務模式,傳統的用戶名口令無法作為唯一的認證因素,原因是醫生護士的用戶名口令幾乎是半公開的。那么如何識別醫院的合法移動終端?

 

2、隨著平板電腦和智能手機的普及,傳統的移動推車+PDA的應用受到沖擊。如何支持新型的移動終端?

 

3、如何防止合法終端接入運營商提供的無線網絡?

 

4、對于運營商承建的無線網絡,如何防止登錄公共無線網絡的用戶的黑客入侵?

 

針對以上需求,根據醫院對安全級別考慮的不同,我們建議提供以下幾種方案:

 

端點準入控制方案:安全級別最高,可以解決目前考慮到的所有問題,但需要在移動終端上安裝認證客戶端軟件。

 

移動終端證書認證方案:可以完美地實現用戶安全認證,但無法做到控制合法終端登錄其它無線網絡。

 

啞終端接入控制方案:不需要安裝任何客戶軟件,但具有MAC地址仿冒的漏洞,同時也無法做到控制合法終端登錄其它無線網絡。

 

這三種方案的共性都是在無線網絡中提供認證網關。如果無線網是醫院自建的,則AC可以兼做認證網關。如果無線網是運營商代建的,考慮到無線的設備產權及運維都是運營商負責,需要在AC與有線網絡之間單獨部署認證網關。

 

結束語

 

醫院的三級安全等保技術要求,既有與其它行業要求的共性,又有其自己的特點。這些要求中除了網絡層面的,還包括機房、主機、應用和數據安全。

 

三級安全等保對醫院既是一次命題考試,又是一次切實提升醫院安全能力的好機會。作為安全等保技術要求的主要部分——網絡安全,因其分散、覆蓋面廣和難以管理,也是整個等保安全的難點。海豐科技從網絡與安全融合、終端與邊界融合、集中與分級融合等多個維度,覆蓋了包括結構安全、訪問控制、安全審計、邊界完整性、入侵防范、惡意代碼入侵和設備防護在內的絕大多數技術要求,提供了完整的醫院三級等保方案。

地址:甘肅省蘭州市城關區南濱河東路66號

電話:0931-8278968

傳真:0931-8814250-8027

郵編:730000

官網:http://www.v9b2.net/

丧尸来袭百度云下载迅雷下载 东京热av下载 上海快三菏泽走势图 决胜21点游戏规则 乌鲁木齐小姐上门qq 上海时时开结果查询 网络棋牌游戏开发 波西亚时光 买什么赚钱 彩经网时时彩万能6码 江苏快3三同号推荐号码 山东时时怎么中奖号码的真实规律 单机捕鱼达人4破解版 好看的美女图片