医疗行业网络安全解决方案

背景:

信息技术的发展,带动了医院信息系统的发展。然而随着医院信息化的迅猛发展,信息的高度集中使得核心数据泄密的隐患也越来越突出,在利益的驱使下非正常的统方行为、患者信息泄密行为屡有发生。

国家针对医疗行业提出了针对性的解决办法,如《信息安全等级保护》、《中国网络安全法》、《卫生行业信息安全等级保护工作的指导意见》,根据国家颁布的相关指导政策,各医院针对“管理层面”、“技术层面”、“审计层面”等方面对本院的信息安全进行建设。


威胁:

医院属于人流密集的区域,信息系统存储了大量的重要数据,比如:患者信息、开药信息等,这些信息一旦被泄露,将会对社会造成严重的影响,也会对医院的声誉造成严重的损害。当前医院主要面临以下安全威胁:


1. 数据信息泄露

由于医院的信息系统中存在大量有价值的数据,同时信息系统可用性的提升,来自外部、内部的安全风险大大增加,比如:恶意入侵、提权/越权操作等导致信息泄露的行为。


2. 非法统方

统方是国家、医院重点关注的问题,近几年由于药厂、医药代表、医院内部人员构成的利益团体,一直无法解决统方的问题,由于这条利益链的存在,致使很多患者无法使用真正物美价廉的药品,导致一部分看病难情况的发生,而医院又没有准确证据来切断这条利益链;


3. 基础网络安全

由于医院的开放性,各种人员均有机会体会到医院的网络,然而没有对网络进行严格的控制,很容易造成网络瘫痪,严重的会影响到正常服务。


防护思路:

1. 根据国家及卫生部的要求,参照等级保护标准设计安全框架; 


安全保护框架


2. 对全网进行风险评估,全面把控信息安全状况,并根据评估结果进行重点防御;
3. 参照等级保护标准及风险评估结果,设计本地化的PDCA模型;


PDCA模型


4. 根据事前、事中、事后的安全思路建设整体网络安全,


安全架构设计




某医院安全架构

安全解决方案


安恒提出,解决方案分为安全服务与安全技术两方面,根据医院业务环境规划详细的安全区域,通过各区域的安全提升整体的安全,再从整体安全检验业务的安全,规避当前面临的安全风险。

安全服务


安全风险模型



安全技术保障


• 安全边界:通常采用边界防火墙设计详细的访问控制策略,通过入侵检测与防毒墙将来自不同区域的攻击流量(如:网络蠕虫、木马、恶意代码)进行检测拦截;
• 安全审计:采用数据库审计全方位记录数据库的操作,减少恶意操作、提权、越权、权限滥用等的风险;
• 运维安全:由于医院网络的复杂性,通常在已有运维人员的情况下还需要第三方人员不定期的协助维护,因此,采用运维审计将内部人员、第三方人员对资产的操作全面控制与审计,便于保护资产的安全与事后的取证追溯;
Web安全:采用WEB应用防火墙将来自内外部针对Web服务器的攻击(如注入、跨站脚本、Webshell等)进行检测拦截,防止因Web服务自身的问题造成大面积的信息泄露,同时,为了维护WEB页面的准确性,通常采用网站卫士将网站进行二次保护,防止因恶意篡改而带来的不良影响与政治问题;
网络安全:由于内部网络庞大,而网络设备彼此之间又不能互相联系,因此,在出现攻击事件时不能及时了解攻击事件,并且,事件的取证回溯也会成为问题,为避免这个问题,我们采用日志审计将内部的信息采用大数据分析模型与算法关联起来;
未知威胁:现有的安全都是基于特征来进行检测,但面对0day等在潜伏期不会大面积爆发的攻击无法进行检测,我们会采用APT预警系统,通过不同的行为模型,定位安全与非安全,侦测出未知威胁。
非法统方事件:非法统方事件一直是国家与医院重点关注的情况,安恒提出,通过防统方审计,采用不同的行为模型与安全策略,结合医院现有业务情况,从混杂流量中将统方行为抓取出来,提供强有力的证明;
• 风险管理:通过Web弱点扫描、数据库弱点扫描、系统弱点扫描建立事前风险感知,使管理人员提前有针对性的做出安全管理。

方案优势


• 等级保护技术规范要求
通过本项目建设符合等级保护相关要求的安全防护措施,形成检测、防护、响应和恢复的保障体系,从而建立有针对性的合规性安全保障体系框架和安全防护措施。

数据驱动今后决策及方向
通过本项目的建设,可以实现对医院内安全事件的分析与挖掘,依据真实的感知数据,可驱动医院今后制定对应的有效决策,有针对性地部署管理,提升整体安全水平。

• 提前预知安全风险
在发生安全事件或发现攻击行为时,可第一时间监控发现此类攻击动态,通过和专业安全厂家进行联动应急响应,把安全事件压制在萌芽之中。 

详细安全日志确保溯源
通过综合日志类、网站安全防护设备的部署,详细的记录各设备的安全日志、HTTP协议相关的任何攻击信息,如请求的URL、POST内容、响应头部、页面内容等,为安全事件分析、安全事件追溯以及安全取证等提供了最为直接的依据。

为性能优化提供决策依据
帮助数据库管理员分析数据库整体架构中的应用瓶颈,建立数据库权限模型,建立执行语句时长模型等,为数据库优化提供决策依据。

低成本且有效推行IT管理制度
通过审计类设备从资产管理、帐号管理、权限管理、运维管理等多维度进行监控,可以低成本且有效推行IT管理制度。 

案例介绍


国家卫生部统计信息中心、 国家卫生部统计信息中心、 国家卫生部统计信息中心、 国家卫生部统计信息中心、 国家卫生部统计信息中心、 北京市肿瘤医院、、中日友好医院、解放军307医院、北京医院、北京大学口腔医院、阜外心血管医院、北京大学首钢医院………..






返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |