等級保護2.0下醫(yī)院網(wǎng)絡(luò)安全體系的建設(shè)與探索
分析等級保護2.0標(biāo)準(zhǔn)的變化,探索等保2.0時代三級醫(yī)院網(wǎng)絡(luò)安全建設(shè)的方向,特別是確保新冠肺炎疫情期間醫(yī)院網(wǎng)絡(luò)安全。對2019年新標(biāo)準(zhǔn)《網(wǎng)絡(luò)安全等級保護基本要求》進行分析,同時結(jié)合三級醫(yī)院網(wǎng)絡(luò)安全三級等級保護工作的實踐,探索2.0標(biāo)準(zhǔn)下醫(yī)院網(wǎng)絡(luò)安全體系建設(shè)重點和方向。2.0標(biāo)準(zhǔn)適應(yīng)了時代的需求,要求更加嚴(yán)格,依照新標(biāo)準(zhǔn)對網(wǎng)絡(luò)安全系統(tǒng)進行建設(shè),醫(yī)院網(wǎng)絡(luò)的安全性大大提高。新標(biāo)準(zhǔn)相較于舊標(biāo)準(zhǔn)有了許多新變化,為三級醫(yī)院的網(wǎng)絡(luò)安全建設(shè)提供了方向,醫(yī)院應(yīng)依據(jù)新標(biāo)準(zhǔn),持續(xù)加強網(wǎng)絡(luò)安全管理的建設(shè)。
引言
隨著“互聯(lián)網(wǎng)+醫(yī)療”快速發(fā)展,醫(yī)院網(wǎng)絡(luò)安全的重要性也日益凸顯。近年來,網(wǎng)絡(luò)安全形式日益嚴(yán)峻,醫(yī)院的信息系統(tǒng)的安全面臨嚴(yán)重威脅的威脅。2018年全國共有247家三級醫(yī)院受到勒索病毒攻擊。國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的報告中指出,2019年全年醫(yī)療行業(yè)暴露在互聯(lián)網(wǎng)的相關(guān)系統(tǒng)高達709個,其中137家醫(yī)院存在數(shù)據(jù)安全風(fēng)險,110家醫(yī)院存在主機安全問題,90家醫(yī)院存在網(wǎng)絡(luò)安全問題。2019年全年,醫(yī)療機構(gòu)共發(fā)生500多起較大網(wǎng)絡(luò)安全事故。2020年初新冠肺炎疫情暴發(fā)后,針對醫(yī)療機構(gòu)的網(wǎng)絡(luò)安全事故頻頻發(fā)生。國外黑客集中對國內(nèi)醫(yī)療機構(gòu)進行攻擊,竊取醫(yī)療數(shù)據(jù)、破壞業(yè)務(wù)系統(tǒng)、篡改網(wǎng)站、竊取信息系統(tǒng),多家醫(yī)療機構(gòu)發(fā)生網(wǎng)絡(luò)病毒感染,系統(tǒng)癱瘓等事故。
2017年,《中華人民共和國網(wǎng)絡(luò)安全法》正式施行,明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護制度。2019年5月13日,GB/T 22239-2019《網(wǎng)絡(luò)安全等級保護基本要求》正式發(fā)布,12月1日開始正式實施。新標(biāo)準(zhǔn)對2008年的標(biāo)準(zhǔn)進行了修訂和擴展,以適應(yīng)新技術(shù)、新應(yīng)用、新形勢下等級保護工作的開展,標(biāo)志著網(wǎng)絡(luò)安全等級保護工作正式進入了2.0時代。通過對2.0標(biāo)準(zhǔn)的分析,結(jié)合邯鄲市中心醫(yī)院網(wǎng)絡(luò)安全等級保護工作的實踐,探索了醫(yī)院網(wǎng)絡(luò)安全體系建設(shè)未來的方向。
等保2.0標(biāo)準(zhǔn)分析
2.0標(biāo)準(zhǔn)采用了“1+4”模式,其中“1”為通用要求,“4”指云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)4個新技術(shù)和國家重點領(lǐng)域的擴展要求。通用要求子類仍為10部分,要求項縮減為211項。技術(shù)方面細化了訪問控制、入侵防范的控制要求,增加了可信驗證要求、信息保護,特別是個人信息保護相關(guān)要求;管理方面增加了安全管理中心和集中管控相關(guān)的要求。
新標(biāo)準(zhǔn)下建設(shè)的重點與實踐
2017醫(yī)院開始實施等級保護工作,在物理安全、數(shù)據(jù)安全與備份、主機及應(yīng)用安全、網(wǎng)絡(luò)與邊界安全,以及安全管理方面持續(xù)改進,連續(xù)三年在1.0的標(biāo)準(zhǔn)下通過了等保三級評審。新標(biāo)準(zhǔn)在智能化、可視化、可持續(xù)化要求上更進一步,參照新標(biāo)準(zhǔn),在原有體系的基礎(chǔ)上醫(yī)院未來網(wǎng)絡(luò)安全建設(shè)主要方向如圖1所示。
圖1 等保2.0下醫(yī)院網(wǎng)絡(luò)安全體系建設(shè)
主動防御 主動防御技術(shù)充分利用了大數(shù)據(jù)、云計算和智能化等新技術(shù),在入侵對網(wǎng)絡(luò)系統(tǒng)產(chǎn)生影響之前,通過數(shù)據(jù)捕獲和數(shù)據(jù)分析技術(shù),在信息系統(tǒng)中建立入侵自動檢測報警機制,由事前防御、事中響應(yīng)、事后審計的主動動態(tài)保障體系轉(zhuǎn)變。圖2為醫(yī)院正在建設(shè)的主動防御平臺。
圖2 主動防御平臺
主動防御平臺的核心是態(tài)勢感知,平臺利用大數(shù)據(jù)技術(shù)和機器學(xué)習(xí)技術(shù),針對性分析醫(yī)院內(nèi)網(wǎng)環(huán)境,對網(wǎng)絡(luò)空間中的安全要素進行采集、分析、顯示以及預(yù)測,結(jié)合靜態(tài)環(huán)境與動態(tài)行為,識別傳統(tǒng)安全防護策略難以應(yīng)對安全威脅,及時通過告警平臺通知管理人員。通過互聯(lián)網(wǎng)與第三方數(shù)據(jù)中心相連,及時更新安全情報。同時防御平臺在本地集成一個虛擬沙箱系統(tǒng),對內(nèi)網(wǎng)中可疑的操作和文件傳送到沙箱,在沙箱中模擬運行,從而驗證其安全性;在云安全中心中集成云沙箱系統(tǒng),與本地沙箱協(xié)同工作,運用智能化、大數(shù)據(jù)技術(shù)分析威脅情報,識別各種入侵威脅。
醫(yī)院的主動防御平臺的建設(shè)主要兩個方面,一是不僅僅提供監(jiān)控與預(yù)測功能,還要實現(xiàn)與防火墻、網(wǎng)閘等安全設(shè)備的聯(lián)動,提高反應(yīng)能力,及時調(diào)整安全策略;二是要實現(xiàn)動態(tài)防御,結(jié)合醫(yī)院信息集成系統(tǒng)的虛擬化建設(shè),通過在系統(tǒng)底層集成安全模塊,實現(xiàn)代碼的動態(tài)變幻,從而隱匿攻擊入口,直接在來源端阻斷自動化攻擊工具。
集中管控 集中管控是等級保護新標(biāo)準(zhǔn)針對近年來IT管理平臺的統(tǒng)一化趨勢提出的全新要求,統(tǒng)一的管理平臺在新標(biāo)準(zhǔn)下成為必備建設(shè)項目。集中管控平臺要求在制度上建立安全管理中心,在技術(shù)上劃分特定的安全管理區(qū)域,對分散在網(wǎng)絡(luò)各處的各類網(wǎng)絡(luò)設(shè)備進行運行狀況集中監(jiān)測和控制,包括對鏈路、設(shè)備和服務(wù)器、終端運行狀況進行監(jiān)控和告警;設(shè)備上的操作審計;策略、惡意代碼、補丁升級集中管理。
圖3為目前醫(yī)院正在建設(shè)的集中管理平臺,集中管控的要求包括兩個層面,第一層面是每一個管理項目能做到獨立的集中管控。進一步層面是將所有的管理集成到一個大的管理平臺中,如圖將所有管理接口統(tǒng)一匯總到一個物理局域網(wǎng)或Vlan內(nèi),HIS、EMR等核心業(yè)務(wù)也獨立到一個安全域內(nèi),并通過安全隔離設(shè)備與業(yè)務(wù)系統(tǒng)進行隔離。
圖3 集中管控平臺
堡壘機 主要是針對服務(wù)器設(shè)備,功能主要有兩個方面,集中運維管理和安全審計。堡壘機的核心是基于身份識別,在邏輯上實現(xiàn)了目標(biāo)設(shè)備操作與用戶的分離,簡化了賬戶管理,通過集中管控安全策略實現(xiàn)賬號管理、授權(quán)管理。同時堡壘機可以實現(xiàn)包括SSH、RDP等加密通訊在內(nèi)的審計,通過審計日志和完整的操作視頻回放可以重現(xiàn)整個操作過程,用于事后恢復(fù)和定責(zé)。
數(shù)據(jù)庫審計 主要是針對數(shù)據(jù)庫,實時記錄數(shù)據(jù)庫活動,對數(shù)據(jù)庫的操作進行審計,對數(shù)據(jù)庫的訪問行為進行記錄、分析和匯報,當(dāng)數(shù)據(jù)庫發(fā)生風(fēng)險行為時能夠進行告警,然后做出合規(guī)性的策略,對攻擊行為進行阻斷,在事后生成相應(yīng)報告、實現(xiàn)事故追根溯源。數(shù)據(jù)庫不僅僅能有效發(fā)現(xiàn)外部威脅,同時能實現(xiàn)對內(nèi)部行為的審計和監(jiān)控,對于來自局域網(wǎng)內(nèi)部的威脅也能做出有效的防范。
日志審計 主要用于網(wǎng)絡(luò)中各類設(shè)備的日志進行采集、存儲和備份。根據(jù)等保2.0的要求日志留存至少6個月,隨著醫(yī)院業(yè)務(wù)規(guī)模不斷擴大,原來的分散式日志管理模式無法滿足日志審計的需求,同時集中的日志審計系統(tǒng)也可以實現(xiàn)單系統(tǒng)層面之上日志的統(tǒng)計、分析和告警,與主動防御系統(tǒng)結(jié)合,為網(wǎng)絡(luò)提供更及時的保障。
桌面準(zhǔn)入及管理系統(tǒng) 是針對醫(yī)院業(yè)務(wù)科室終端設(shè)計的集中管理平臺。醫(yī)院的終端管理歷來是個難點和弱項,一方面由于終端數(shù)量多、型號復(fù)雜,而且存在大量老舊設(shè)備,醫(yī)院有大量超過10年的電腦仍在使用當(dāng)中,另一方面由于臨床業(yè)務(wù)科室人員計算機知識與網(wǎng)絡(luò)安全意識相對薄弱。到2019年底,系統(tǒng)已覆蓋了全院內(nèi)網(wǎng)2 000多臺終端設(shè)備,實現(xiàn)了內(nèi)網(wǎng)準(zhǔn)入、遠程控制、軟件下發(fā)、補丁升級、注冊表管理以及端口級別的策略管理等功能,管理員在管理平臺上可以檢測終端的狀態(tài),對終端進行單個、分組或者分區(qū)域管理。
網(wǎng)絡(luò)指揮官(SNC) 專門用于管理網(wǎng)絡(luò)中的交換機,主要功能包括網(wǎng)絡(luò)信息查看,自動對全網(wǎng)拓撲進行發(fā)現(xiàn),通過網(wǎng)路拓撲圖展現(xiàn)網(wǎng)絡(luò)設(shè)備狀態(tài),一旦出現(xiàn)故障能夠及時定位;設(shè)備狀態(tài)監(jiān)控,包括故障信息、性能信息、鏈路狀態(tài)等;設(shè)備配置變更監(jiān)視與設(shè)備配置管理,主動收集網(wǎng)絡(luò)狀況并及時備份,做到狀態(tài)變更的及時響應(yīng),出現(xiàn)故障可及時恢復(fù)。
可信驗證 可信驗證是新標(biāo)準(zhǔn)中新增加的要求項,而且在安全通信網(wǎng)絡(luò)、安全區(qū)域邊界和安全計算環(huán)境中三個要求子類中都增加了可信驗證的要求,分別對應(yīng)了網(wǎng)絡(luò)可信、接入可信、計算環(huán)境可信三個領(lǐng)域,可見可信驗證在未來網(wǎng)絡(luò)安全重要性??尚膨炞C的基本要求是“基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進行可信驗證,并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信驗證,一旦檢測到可信性受到破壞就進行報警,并將驗證結(jié)果形成審計記錄送至安全管理中心”。
可信驗證的主要目標(biāo)就是保證系統(tǒng)和應(yīng)用的完整性,使用可信驗證能夠減少由于使用未知或被篡改的系統(tǒng)或者軟件而遭到攻擊的可能性。動態(tài)可信驗證要求實現(xiàn)預(yù)警和操作的聯(lián)動,當(dāng)可信驗證失敗時,可以向安全管理中心報警和驗證數(shù)據(jù),其他安全模塊能夠及時對被監(jiān)測的對象采取措施,阻斷攻擊達到保護的目的。為了達到主動免疫的效果,可信應(yīng)完成5個方面的驗證,包括體系結(jié)構(gòu)可信、操作行為可信、數(shù)據(jù)存儲可信、策略管理可信、資源配置可信。
個人信息保護 在當(dāng)前個人信息被廣泛采集,個人信息安全事件越來越多的情況下,個人信息保護的重要性日益凸顯,2017年網(wǎng)絡(luò)安全法中關(guān)于個人信息安全有明確規(guī)定,2019年4月公安部頒布《互聯(lián)網(wǎng)個人信息安全保護指南》,等保2.0標(biāo)準(zhǔn)中個人信息保護作為獨立的要求項出現(xiàn)。醫(yī)院作為持有個人信息集中的單位,特別是互聯(lián)網(wǎng)醫(yī)院的大趨勢下移動支付、手機掛號、手機報告查詢、運程診療等應(yīng)用越來越廣泛,個人信息的防護應(yīng)當(dāng)更加重視。對于個人數(shù)據(jù)醫(yī)院應(yīng)盡量只采集和業(yè)務(wù)相關(guān)必須的用戶個人信息,對于必須要采集個人敏感信息,要通過安全技術(shù),如數(shù)據(jù)庫防火墻技術(shù)、數(shù)據(jù)脫敏技術(shù)、數(shù)據(jù)泄露防護技術(shù),實現(xiàn)安全管控。同時在制度上做好個人信息保護相關(guān)的規(guī)定,醫(yī)院采用CA認(rèn)證系統(tǒng),用戶只能通過加密硬件配合用戶名密碼才能登陸使用HIS、EMR等相關(guān)應(yīng)用軟件,嚴(yán)禁外借。
結(jié)果與討論
采用重點保護要求項一票否決制,其他要求項加權(quán)評分的方式。評分公式如下,p為每個要求項的評分,q為每個小項的最高分(q=5),W為每個小項的權(quán)值。每個小項測評結(jié)果由評審專家根據(jù)符合的情況給出相應(yīng)分?jǐn)?shù)。最終加權(quán)獲得總分然后轉(zhuǎn)換為百分制得到最終評分P。
圖4顯示在動態(tài)化管理改進之下,醫(yī)院的網(wǎng)絡(luò)安全工作進步明顯。2019年醫(yī)院采用等保1.0標(biāo)準(zhǔn)完成年度復(fù)審,分?jǐn)?shù)達到78.5分。同年12月份,醫(yī)院采用2.0標(biāo)準(zhǔn)再次對醫(yī)院信息系統(tǒng)進行評測,得分只有56.4分左右,經(jīng)過針對性整改,2020年評測得分為69.2,這說明新標(biāo)準(zhǔn)要求更加嚴(yán)格全面,醫(yī)院網(wǎng)絡(luò)安全與新標(biāo)準(zhǔn)要求還存在距。
圖4 等級保護測評分?jǐn)?shù)
信息安全不是絕對化的,醫(yī)院的信息安全工作也不是靜態(tài)化,而是一項動態(tài)的持續(xù)性工作。等保進入2.0時代,新標(biāo)準(zhǔn)對醫(yī)院的信息網(wǎng)絡(luò)安全工作提出更高要求的同時,也指明了方向,特別是在主動防御、集中管控、可信驗證等新興技術(shù)和管理模式方面還大有可為。醫(yī)院要結(jié)合自身的特點和網(wǎng)絡(luò)安全的需求的變化,引進新技術(shù),提出新的解決方案,因地制宜,不斷改進安全技術(shù)和完善管理制度,使醫(yī)院的信息安全體系更加有效和健全。