HIT专家网
来源:HIT专家网 作者:河南省南阳市第一人民医院网络科 尚东挺
网络安全等级保护2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准在2019年5月由国家市场监督管理总局、国家标准化管理委员会正式发布,并于2019年12月1日开始实施。网络安全已上升到战略层面,国家对网络安全要求,越来越严格,数据安全更是重中之重。
当前,医院信息化系统联接社保、分院、医联体、银行、保险、社区等第三方机构、合作公司越来越多,区域互联互通和大数据共享的趋势日增。物联网、大数据、云计算、移动互联网、5G和人工智能等新技术带给医护人员、管理人员和患者高效和便利的同时,信息暴露面也在不断增加,网络边界的模糊化及产业化的黑客链,导致安全事件迅速增加。医院传统的网络安全思维模式和建设模式,已不足以对抗目前日益严峻的网络安全态势。
基层医院普遍存在认识盲区
近年来,笔者通过参加网监支队对医院网络安全等级评审工作,发现很多医院信息科人员对网络安全的认知,几乎还停留在以为只要采购防火墙、安装免费网络版杀毒软件,网络安全就万事大吉的层面。特别是一些二级综合医院,网络安全隐患突出,主要体现在如下多个方面:
(1)未配备精密空调对温湿度进行控制;
(2)机房未做防水保护和密封处理;
(3)未设置DMZ区域和服务器区域;
(4)安全设备口令不满足复杂度安全要求;
(5)未配置可信验证设置;
(6)操作系统未关闭Remote Registry、Task Scheduler等多余的服务,系统默认共享未关闭,操作系统漏洞未打补丁;
(7)出口路由器、核心交换机和防火墙远程管理时未采用加密措施;
(8)网络架构和安全设备配置不合理;
(9)关键网络设备如核心交换机和汇聚交换机没有冗余。
自助设备网络安全隐患多
在国家卫生信息化相关政策支持下,医院智慧服务中的自助机服务基本上覆盖了所有医院,每家医院都配置了不少自助设备。笔者参加“护网行动2019”网络安全攻防演习后,发现很多医院自助机应用管理系统存在严重的安全漏洞,主要包括:
(1)SQL注入漏洞
SQL注入漏洞可使攻击都提交任意参数,操作数据库,造成数据泄露、写入文件进而获得服务器权限;
(2)登录凭证明文传输
第三方能够通过拦截未加密的HTTP连接来读取用户凭证;
(3)数据库账户权限配置不当
平台数据库账户权限过大,可读取、操作其它库,不符合用户权限最小化原则;
(4)脆弱口令
弱口令,不符合复杂强口令要求。
针对以上问题,最主要的解决办法是让自助机厂家逐一进行整改,同时医院信息部门应对Apache Tomcat 管理界面关闭对外开放端口,并对自助机管理系统和应用系统进行漏洞补丁。
这些自助机应用管理系统存在的问题会对医院网络和数据造成严重的威胁:外部入侵者可以利用漏洞入侵到内网服务器,查看服务器中的敏感信息,通过权限提升可以上传非法文档,导致信息泄露;通过端口扫描可直接探测服务器其它应用;攻击者可通过敏感文件上传直接获取web服务器中间件权限,从而查看服务器未授权敏感信息。
运维管理存在侥幸心理
出现以上这些严重隐患,除了医院信息部门缺乏专业的渗透和攻击工具与技术外,也存在对安全意识的淡薄和受传统运维管理思维禁锢。很多负责人抱着侥幸的心理,认为那样的网络事故只会出现在别家医院。殊不知,您所负责网络可能已经隐患重重,随时可能被入侵。
如果发生数据丢失和网络瘫痪等重大网络安全事故,按照“一岗三责”的管理机制,医疗机构将面临网监部门高额罚款,有关责任人甚至将承担严重的刑事责任。 那时您也许会想起周星驰那句话:“曾经有一次机会摆在面前,而我却没有珍惜;假如上天再给我一次机会,我一定会……”
当前很多医院信息科运维人员、各种应用系统设计人员及自助机应用管理系统设计人员都未受过专业的攻防训练,他们只是保证让网络畅通和程序顺利运行。在网络和程序安全方面还缺乏有效的防御应对措施。就好比修一个战备公路,对于一般工程人员来说,修通即可;但对于工程兵来说,除了畅通外,还要考虑更多的军事安全因素。
传统网络安全模式,以事中防御为主,缺乏事前的风险评估和事后的持续检测及响应能力,以及有效的联动分析和防御机制,相当于参评三甲时没有建立持续改进(PDCA)流程。
根据《中华人民共和国网络安全法》和《网络安全等级保护测评》要求,要设计一套完整的医院网络信息安全防御体系,需要对医院网络系统和应用系统每月进行一次全方位的漏洞扫描和渗透攻击测试。
根据国家安全标准和行业安全要求,可将安全需求分为以下六个方面:
(1)信息系统漏洞扫描服务;
(2)信息系统渗透测试服务;
(3)信息系统安全基线配置核查服务;
(4)信息系统安全加固服务;
(5)信息系统风险评估;
(6)应急响应及处置。
这就需要具有国家安全信息资质的信息安全公司利用专业的扫描和渗透工具和手段,并针对医院内部发现的安全事件进行安全加固,同时利用已有的安全产品对各类安全风险进行如下防范:
(1)漏洞保护,如跨站脚本漏洞、恶意外部链接;
(2)漏洞扫描,包括SQL注入漏洞、跨站脚漏洞;
(3)网页防篡改保护;
(4)拒绝服务攻击保护,包括synflood、udpflood、连接耗尽、cc攻击等。
通过对信息系统运行中的漏洞扫描、渗透测试、安全加固、风险评估、应急响应等专业的安全服务,为医院应用业务的连续性、安全性、可靠性提供可靠的保障,降低医院的人力资源消耗和基础设施成本消耗。实现对医院信息系统从预警、监测、防护、响应到恢复各阶段的纵深防护,全面掌握信息系统安全脆弱性、提升信息系统安全层次,降低不可预期的安全事件的发生。从而避免或降低因信息系统潜在风险带来的经济、声誉等损失,同时保护信息数据安全,规避安全风险,为病患信息数据提供稳定、健康的环境。
医院网络安全不容忽视,这是一个不断长期学习和提升的过程。网络事件永远防不胜防,道高一尺、魔高一丈。安全防御是一个多层次的纵深体系,只要我们用心去做,就会减少网络安全隐患的存在和网络事件的发展。从而达到以信息化建设为手段,提高医疗质量、提升管理水平和改变患者就诊体验的智慧医院宏伟目标。
【作者简介】
尚东挺,河南省南阳市第一人民医院网络科主任,计算机信息管理本科学历,高级工程师。1998年至今从事网络安全、网络架构、视联网平台、物联网平台和智慧医院建设等工作。独立设计过《南阳市一院医院税率计算系统》、《南阳市一院门诊日收入系统》、《南阳市反贪污贿赂局查询系统》、《南阳市公路局工资计算系统》和《进销存管理系统》等应用软件。
想加入HIT专家网专业交流群吗?请添加“HIT专家网”小助手微信好友
(请务必注明姓名、单位名称、职务、主管技术或产品领域等实名信息)
【责任编辑:孙鹏】
评论前必须登录!
注册