医疗行业背景与挑战

近年来,医院为了提升竞争力、方便患者就医,逐步与银行、社保、新农保等单位互联互通,开始向患者提供互联网上的医嘱服务、病历调阅服务、检查检验报告的浏览服务,医院信息化在快速发展的同时,也逐渐暴露出了安全建设的不足。另外,随着移动医疗和远程医疗的日趋广泛的应用,如何保障移动医疗和远程医疗的应用安全也是一个极其严峻的挑战。2011年12月,卫生部发布《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》, 要求卫生行业“全面开展信息安全等级保护工作”。2016年11月7日第十二届全国人大常委会第二十四次会议表决通过《网络安全法》,并将于2017年6月1日起施行。信息安全等级保护制度是国家基本法律制度,也是一项事关国家安全、社会稳定的政治任务。

任何的安全事件所导致的医院业务系统宕机,都会降低患者的就医满意度,损害医院的信誉,处理不当则可能会引起医患纠纷、法律问题甚至社会问题。综上所述,当前医院面临的主要问题有以下几个方面:

医院信息系统互联互通的实现,使得医院信息系统面临更多来自外部的威胁安全意识的淡薄以及管理制度的不完善,面临着来自内部的人为失误或蓄意破坏、信息窃取
医院拥有的患者信息、诊疗信息更加具有商业价值,渐渐得到灰色产业链的觊觎
安全事件造成的损失以及医院信息系统恢复的成本
缺乏安全技术人员以及安全管理制度
面对外部网络威胁的恐慌,导致了医院信息化发展的裹足不前
医改对医院信息共享、远程医疗协助的政策导向,延伸出的信息安全保障

行业整体安全体系设计

医疗数据安全防护

医疗数据具有其特殊的敏感性和隐私性,在网络安全法出台后对个人隐私、医疗数据的收集、使用、存储、传输等有了明确的网络安全防护要求,医疗行业数据防泄漏变得更加重要。

我司提供的数据安全防护服务,构建医疗数据主动防御体系,除了斩断医疗信息泄露源头,满足等保合规要求外,我们还能够解决外部黑客攻击造成的数据篡改和泄露、内部人员有意或无意造成的数据篡改和泄露,防止通过第三方运维、开发及分析人员造成的数据泄露等,确保医疗大数据的安全。

网络安全态势感知

态势感知是一个大数据安全分析平台,用来发现潜在的入侵和高隐蔽性攻击并提示安全告警,回溯攻击历史,预测即将发生的安全事件。

态势感知平台可以对医疗行业网络安全信息进行集中采集、存储和分析,提供安全监控、入侵检测、威胁分析、日志分析等功能,解决网站有没有漏洞、信息化安不安全、有没有被DDOS、定位攻击者、安全如何加固等问题,对网络安全态势进行多视角、多维度的分析,为医疗行业提供全方位的网络安全保护。

可信计算主动防御

可信计算主动防御系统主要面向医院核心服务器进行防御,通过边运算边防护的模式,识别计算环境中的自我和非我程序,经过检测、用户许可的程序,加入可信白名单允许其执行。未经许可的程序均判定为非我程序,主动阻断其执行。

系统能够抵御病毒木马等恶意代码的入侵行为、有效防止非授权用户访问和授权用户的越权访问行为、服务器部署后不需要再打补丁,不需要修改系统和应用的配置,最大限度保护用户的业务和数据。建立统一安全管理平台,有效解决信息系统面临的已知、未知漏洞带来的安全威胁。

等级保护建设整改

通过等级保护建设整改工作建立完整的信息系统安全管理和技术体系,符合政策法规要求、保证了业务和数据的连续性和完整性、保障系统的安全性和稳定性。

舆情监测服务

舆情监测系统能够对医疗行业广泛散布的特定舆情信息进行实时监测和采集。及时发现医疗热点和敏感信息,自动生成统计报告,结合人工深入分析,实现对重大公共事件和突发事件第一时间预警。重大危机事件,可启动人工24小时危机监测与即时报告分析,对医疗行业信息全面及时把握,提出应对建议,共同化解舆情危机。

安全服务

通过对国家标准、政策法规(网络安全法)的研究和对医疗行业特点的分析,鉴于医疗行业网络安全服务市场的预期发展 ,为用户提供有针对性的、个性化的、模块化的全面服务体系。

信息安全管理体系主要建立健全信息安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等内容。特别是要进一步完善信息安全管理策略,提升安全管理的有效性和可操作性,同时重点对信息安全运维和系统建设管理体系等薄弱环节进行补充完善。信息安全管理体系建设要求参照以等级保护3级有关安全管理基本要求为基线要求。

信息安全服务体系建设主要是建立信息安全风险分析和评估、网络系统安全加固、等级保护定级和测评、信息安全检查检测、信息安全事件应急响应等服务保障机制,以及支撑信息安全保障服务的综合信息安全管理和监督平台。

方案价值

价值一

满足卫生计生委政策要求,增强合规能力,保证医院信息系统可靠性,提升高患者就医满意度以及对医院的信任度,保障医联体之间的安全共享,促进医联体发展,保障医院向公众开放安全的“掌上医疗”服务,提高医院对安全的投入产出比,提升安全运维效率,节约医院人员成本,确保信息可追溯,减少医患纠纷带来的事务成本,避免或降低安全事件导致的经济损失和声誉损失。

价值二

通过在管理、技术和运维服务层面上实施不同的安全机制,形成多视角,立体化的信息安全体系,极大提高了技术防护的精确性,避免单一类型安全系统失效导致的防护盲角,深度体现安全建设对医院信息系统的实用价值。

现状分析

国家网络安全等级保护制度中明确要求采用采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性检测,并在检测到破坏后进行恢复。

在网络犯罪世界,数据信息是非常有价值的商品,同时这些信息一旦被泄露,将会造成严重的影响。传统的安全防护体系倾向于在网络边界进行防御,对核心服务器操作系统、应用系统和数据的防御能力不足同时也无法抵御未知的威胁,如新型和变种的病毒木马、未更新补丁的操作系统和应用系统漏洞等。通过可信计算等主动防御措施对防御体系的薄弱点进行补充,可以大大提高系统的安全系数。

千里眼可信计算主动免疫系统

千里眼可信计算主动免疫系统主要针对核心服务器进行防御,通过边运算边防护的模式,识别计算环境中的自我和非我程序,经过检测后用户许可的程序我们加入可信白名单允许其执行。未经许可的程序均判定为非我程序,例如病毒木马等恶意代码、漏洞利用工具和脚本等,主动阻断其执行。

可信计算漏洞防御示例

针对WebLogic、WebSphere、Jboss、Jenkins、OpenNMS等Java应用漏洞,可信计算主动免疫系统可以通过进程管理、系统应用权限管理、访问控制等多个层面进行防护。

( 图 1 可信计算java漏洞防御示例 )
可信计算防病毒示例

针对最近流行的勒索病毒等新型病毒,可信计算主动免疫系统可以通过进程管理、注册表管理(windows)、系统应用权限管理、访问控制等多个层面进行防护。

( 图 1 可信计算勒索病毒防护示例 )

方案优势

符合政策法规要求

满足等级保护三级关于主机安全方面的要求。

传统安全体系的互补性

与传统安全体系一同形成主动与被动防御相结合,核心与边界防御相结合的完整防御体系,极大的提升了安全防御能力。

系统稳定性

使用可信防御的核心服务器不需要更新补丁,不需要修改系统和应用的配置,最大限度保护用户的业务和数据。

数据库脱敏解决方案

行业需求与挑战
外部入侵者的信息获取

互联网的接通、无线网络使用,使外部入侵者更容易进入到企业内部的网络中;外部人员入侵,拷贝数据库文件,窃取客户信息。

内部人员的泄漏

内部的网络管理人员、数据库管理员、第三方的系统开发和维护人员都可以较为容易地接触到数据库中的核心数据,这些人员所拥有的数据库权限高,是现有数据库系统所赋予的特权,也成为客户信息泄漏的重要威胁。

出现非法“统方”行为

信息科人员、其他业务科室、系统维护人员等内部人群可以通过合法访问,登录数据库、应用系统等批量查询或下载处方数据,“统方”行为是导致医疗行业贿赂事件的主要原因。

医疗财务数据被非法篡改导致资金流失

以住院费用查询系统为例,住院病人费用明细清单包括床位费用、医生诊疗费用、药品费用、检查费用等重要信息,维护人员、程序开发人员、信息中心业务人员拥有数据库的高级别权限,正常的数据维护工作和敏感数据的非法篡改,从权限上无法分离,事后亦无法有效定责。

数据泄露风险

在开发、测试环境中,第三方外包人员可能存在数据泄露风险。

方案概述
1、外部攻击导致的数据批量泄露
防护建议:在医疗数据中心与外网业务区之间部署数据库脱敏产品,实现数据应用时的去隐私化处理。
2、外部医疗查询信息去隐私化
防护建议:在医疗数据中心与外网业务区之间部署数据库脱敏产品,实现数据应用时的去隐私化处理。
3、内部行为全面监控与评估
防护建议:针对医院数据中心、外网业务系统进行数据库审计旁路部署,全面监控,满足等保合规。
具体防范
加强对系统漏洞的检查

对应用系统、主机、数据库系统等,使用专业的漏洞检查工具进行扫描,对发现的安全问题进行提前整改;避免出现未进行的补丁升级、密码弱口令、避免低的安全策略配置。

从根源解决患者信息保密

从数据库级别进行防控,从根源上彻底控制客户数据信息的泄露,将患者信息、电子病历、诊断信息中的社会保险号、住宅地址及收入数据等关键项数据,进行加密存储,防止患者隐私信息集中泄露。

变事后追查为主动防御

通过加密技术,将患者信息数据与无关工作人员进行隔离,有效防止非法窃取数据行为的发生;通过数据库防火墙技术,将数据库的攻击行为和患者信息的批量下载行为进行拦截。

应用数据库脱敏技术

除了建立独立于数据库系统的安全权限体系,使与医疗行为无关的DBA、网络维护人员、开发人员不能看到具体的客户信息档案、电子病历等个人信息;

数据访问行为审计

通过数据库审计技术,将数据的访问行为进行记录和存档,在发生安全事件时,做到快速定位和审查。

方案价值

通过独立的权限控制能力,以及基于IP和时间的精细控制,严格保证合法的用户才能访问敏感信息,准确定位非法访问责任人,责任界定明确。

价值一:防止生产库中敏感数据泄露

通过对生产库中的身份信息、地址信息、银行卡号信息、电话号码信息等敏感数据进行混淆、扰乱后再提供给第三方使用,防止生产库中的敏感数据泄露。

价值二:提升测试、开发和培训数据质量

能够通过内置的策略和算法保证脱敏后数据的有效性(保持原有数据类型和业务格式要求)、完整性(保证长度不变化、数据内涵不丢失)、关系性(保持表间数据关联关系、表内数据关联关系),提升数据质量。

价值三:提高数据共享安全性

提供了具有高可靠性的动态掩码能力,采用代理部署方式,部署在业务应用系统、ETL、报表和开发、运维工具,和生产数据库之间;通过在数据库协议层的处理,实时的根据用户角色和规则进行筛选,屏蔽敏感数据。

价值四:实现隐私数据管理政策合规

随着《网络安全法》的颁布施行,对个人隐私数据的保护已经上升到法律层面。传统的应用系统普遍缺少对个人隐私数据的保护措施。

通过数据库脱敏技术,可以有效防止企业内部对隐私数据的滥用,防止隐私数据在未经脱敏的情况下从企业流出。满足企业既要保护隐私数据,同时又保持监管合规的双重需求。

内外网融合解决方案

整体背景

随着医疗行业的发展,信息系统的应用需求在不断增加,涉及各个业务领域,网络规模不断增长,信息系统体系结构更加复杂。但是,由于信息安全的木桶效应,再加上难以控制的技术漏洞和管理不当,必然会导致不可避免的安全攻击和灾难,也就造成信息系统存在高度的脆弱性和风险性。

风险分析

医院内部的网络和信息系统面临的典型安全威胁如下:

网络服务中断

由于线路或设备故障,网络管理人员错误操作,网络遭受恶意攻击(如DDOS攻击),数据传播所造成的大量节点数据传输需求增大,产生拒病毒泛滥等原因造成网络拥塞、不可用,这对用户来说是灾难性的。这类事件多数会发生在核心网络的边界和关键节点处。

信息未授权修改

信息系统所承载的重要数据信息等一旦在未授权的情况下,遭受有意或无意的更改、替换或删除,则导致无法正常开展业务工作。核心数据遭到窃取,则直接损害组织利益,造成重大的损失。

应用层攻击

针对WEB、数据库或图纸视频等特定应用的脆弱性以及产生的安全问题,而且这类安全问题传统的技术手段显得力不从心,必须采用专门针对应用层的检测、防护技术手段。

整体部署
图1 内外网融合安全示意图

部署说明:

为加强内外网整体安全防护措施,微信支付平台建立后,除了增加防火墙和IPS基本防御系统之外,还需要在DMZ核心服务区安装部署可信计算软件,实现自主免疫防护功能。由于微信支付使用的是http协议,为了防止网页被篡改,可以部署WAF进行防护。若实现物理上的隔离在内外网核心交换之间可使用网闸进行数据隔离管理。

方案价值
价值一

医院内部核心信息系统、办公系统等融合在一张网络上,数据统一,方便决策。

价值二

根据网络系统的不同应用进行分域划分,统一时刻只能访问同一个域,达到管理与效率的平衡。

价值三

分级分权管理,减少病毒、木马、攻击将对服务器的影响。全网实名认证,只有经过授权的人,才能访问内部和外部网络,保证网络安全。

现状分析

随着移动互联网的发展,越来越多的企业和单位已经建设了移动办公系统,但是如何在享受移动办公带来的便捷性的同时,有效的保障企业移动办公数据安全,做到安全、合规,是眼下企业推广移动办公面临的主要问题。

通常移动办公安全有以下安全需求:

方案现状

功能架构
( 图 1 移动安全办公系统功能架构图 )

在移动终端,提供移动安全空间(移动软件形态)和PAD(定制硬件终端形态)两种方式。而在服务器端,提供移动安全办公系统,主要包含移动设备管理、移动应用管理、移动内容管理以及安全管理服务等。其中:

移动设备管理包括设备信息、设备定位、数据擦除、合规管理、远程操作等功能。

移动应用管理包含移动应用商店,安全隔离空间,应用水印和应用策略等功能。

移动应用内容管理包含移动文档隐藏,移动文档推送,内容权限管理,内容阅后即焚等功能。

移动安全管理服务包括围栏策略、数据加密及防泄露、上网行为管理、围栏策略和日志管理等。

移动安全办公套件

员工可以使用空间中的电子邮件、IM、通话、短信、浏览器、文档等基础套件APP。

员工可以使用空间中的电子邮件、IM、通话、短信、浏览器、文档等基础套件APP
支持使用内嵌的安全文档浏览器访问加密文档
支持加密通话、加密短信、加密IM等功能,适配多种加密算法
支持使用安全邮件客户端收发邮件

产品特点和优势

提供设备、应用、内容的全生命周期安全管理。
提供设备、应用、内容的全生命周期安全管理。
个人与企业数据“真”隔离本产品使用的安全隔离空间技术,可以使得所有企业下发的应用均从系统中无法找到和定位,同时沙箱中的办公应用和系统中的个人应用可以共存从而真正做到了企业空间和个人空间的完美隔离。
领先的加密能力,支持AES,DES,3DES和SM4标准的加密算法。同时采用动态加密算法,通过执行不同的二进制数据生成多个不同的加密库和加密密钥,使得黑客很难开发通用的篡改方案。
应用零修改,同时具备顶尖的设备兼容性和运行稳定性。