2018年,醫療信息化、互聯網醫療重量級政策和標準頻發,這為醫院進入下一個發展階段奠定了基礎。但無論是醫院信息化建設、互聯網醫院還是遠程醫療,都離不開數據安全的問題。云時代的來臨,更是讓醫院保障信息系統和數據的安全性,顯得尤為重要。
醫療行業的信息安全市場情況如何?醫院目前的信息安全的薄弱點有哪些?醫院該如何應對信息化創新產品下的信息安全,以及日益泛濫的網絡勒索?這些問題,將在本篇文章中得到深度探討。
醫療信息安全市場缺乏活力,根本原因是?
目前三級醫院的信息安全建設,主要集中在防火墻、反病毒、VPN/網閘和容災備份這四個方面;建設較差的主要包括安全審計、身份認證、隱私保護、終端安全和網絡安全。
針對醫療行業信息安全市場的現狀,廣州市婦女兒童醫療中心數據中心副主任曹曉均給出了自己的觀點。他認為,市場的大小根本原因在于醫療行業的安全建設相對落后。行業中,并沒有整體的安全規劃或建設思路。并且,大部分醫院的安全建設都是滿足合規性要求上的投入。如采購幾臺防火墻、終端管理軟件再加上管理制度,就可以通過等保要求,真正用心做安全整體設計的并不多。這種現狀,導致整個醫療信息安全市場缺乏活力。
此外,目前國內醫療行業更關注業務發展需求,缺乏專業的網絡安全人才儲備,這也是目前比較大的挑戰。
一位業內人士則透露,一方面醫院信息部門的地位相對弱勢,信息化建設大多取決于院方領導的意識。對醫院來說,單位網絡設備體量不大,一般是純內網的環境,當前重點建設基本集中在網絡基礎設施完善,安全建設相對滯后。再加上醫療行業屬于財政差額撥款單位,有相當一部分醫院資金不富裕,因此安全建設的優先級相對較低。
對于國內醫療信息安全市場現階段的產值規模,作為國內信息安全企業的代表,綠盟科技相關負責人分析了以下兩點原因:
其一,信息安全相關配套政策和標準較少。在網絡安全法正式實施之前,國內對于個人隱私信息的安全要求幾乎空白。而醫療行業是涉及個人隱私信息最為深入的領域,沒有法律法規上的明確要求,沒有行業標準的具體指向,各級醫療機構很難認識到信息安全對自身業務的深刻影響,也就很少會主動考慮在安全方面有所投入。
其二,信息或網絡安全對醫療行業的實際業務推進上缺乏直觀的價值感受。舉例而言,一所三甲醫院每年的IT類投資可能達到千萬級。但醫院決策者基于業務發展的考慮更多的會對臨床、研究、醫技等業務領域方面進行投入,原因就在于這些IT投資對業務的推進和支撐幾乎是肉眼可見,而信息安全的價值卻很難被感知。防護了多少安全攻擊、解決了多少安全漏洞、抵御了多少次信息泄露,這些都不會被直接展示到決策者的案桌上。
正因如此,最近兩年,各大信息安全廠商均在重點考慮和投入安全運營和效果可視化。
互聯網醫院扎堆出現,如何保障它們的信息安全?
如何保障互聯網醫院的信息安全?在回答這一問題前,首先要明確而其定義和具體要求。
互聯網醫院的概念提出,是為了解決原有傳統醫療體系中所欠缺的專業醫療資源不均衡和醫療服務體驗差的問題。因此互聯網醫院為了解決這兩大核心問題,采用的機制是借助互聯網這個強大的資源共享方式,借助云計算和大數據等技術,從模式和能力上對作為傳統醫療業務的補充。
互聯網醫院的管理辦法中提到,互聯網醫院由互聯網進行遠程訪問,會涉及到實體醫療機構的重要系統數據交換,同時根據互聯網醫院信息系統按照國家有關法律法規和規定,實施第三級信息安全等級保護。所以,在滿足醫院的互聯網接入和虛擬專用用上,醫院還要滿足數據安全的要求。
從本質上講,互聯網醫院的信息安全所要保障的根本并沒有變,依然是對于數據,特別是醫療臨床等相關的健康數據的保護,從傳輸、處理、共享、存儲各方面考慮其安全性。因此,要滿足這類安全需求,絕不是單一的安全產品能實現。醫院需要充分結合實際的技術場景,選擇在各個維度能夠達到風險控制需要的安全產品。
例如,在傳輸層面,互聯網邊界需要考慮訪問控制、入侵防護、病毒檢測和防護、WEB安全防護等措施。而在數據交換場景下,醫院需要考慮數據脫敏、數據加密、數據防泄漏、數據庫審計或防護等。所以,沒有最好的安全產品,只有最適合業務的安全解決方案。
對于目前備受關注的互聯網醫院的信息安全建設,國內知名數據安全廠商安華金和醫療行業負責人認為,互聯網專線和VPN能夠解決一部分的外網接入的安全問題,但從業務訪問的角度來講,業務數據系統對外提供,包括遠程醫療、醫保查詢、預約掛號等都需要直接訪問業務數據,對于數據本身的訪問安全以及對于內網訪問安全也需要加強。
例如,在數據庫安全方面可以采用數據庫審計、數據庫防火墻、數據庫加密、數據庫脫敏等手段進行安全加固。整體而言,可以從主動防御體系的思路做安全建設,這涉及四道防線:
第一道防線:檢查預警。通過數據庫漏掃產品對數據庫威脅進行檢查分析,給出安全建議。
第二道防線:主動防御。通過數據庫安全運維產品的身份識別、運維審批、流程管理,防止非法人員操作;防止外部攻擊破壞;與此同時做好內部防護,防止內部超級權限。
第三道防線:底線防守。
閾值管控:規避批量惡意訪問,針對大批量醫療泄密進行告警控管,防止醫療數據批量查詢;
數據庫加密產品:防止防止醫患數據泄露 “脫庫”;
數據庫脫敏產品:醫療數據去隱私化,防止泄漏真實數據給第三方。
第四道防線:事后追查。利用數據庫審計產品來區分是外部威脅還是內鬼作案,可以對安全事件進行責任追溯。
對于互聯網醫院APP的安全問題,綠盟科技則認為應該從應用服務端、網絡通信和用戶三個層面來整體看待。
對于服務端而言,基于移動應用端的APP安全與傳統的WEB安全并無本質區別,現有的WAF類防護產品依然適用,能夠防護來自APP端的攻擊,網絡通信端的安全則主要考慮數據的保密與完整性。因此,醫院可以通過SSL或HTTPS來解決。
而移動端的安全,對醫院這樣的企業級用戶而言,幾乎不可能通過傳統意義上的安全產品來解決安全漏洞問題。因為無法要求每個移動端用戶自己按照要求安裝指定的安全軟件,那會帶來極大的用戶體驗下降。因此,目前更多的醫療機構在上線APP應用前,會進行系統性的安全評估和安全的黑白盒測試。基于測試和評估結果,安全廠商能夠指導開發者對不安全的漏洞進行及時修復,以此來徹底解決APP的安全問題。
曹主任的觀點與綠盟科技類似,他認為,在遠程移動的訪問上,采用SSL VPN(國密)實現遠程訪問的卻是較好的方案。在互聯網醫院與偏遠地區醫療機構、基層醫療衛生機構、全科醫生與專科醫生的數據資源共享和業務協同上,可以考慮采用安全一體機部署在基礎醫療機構本地,實現VPN安全組網和數據加密傳輸。
VPN和防火墻,醫院青睞的兩大香餑餑
在騰訊最近發布的醫療行業安全指數報告中提到,目前醫療行業的網絡安全設備首選防火墻和VPN設備。
造成這個結果的原因,綠盟科技負責人認為主要有兩個:一是這兩類產品的使用范圍更多,凡是有網絡邊界的地方幾乎都要用到防火墻進行邏輯隔離。而VPN則是目前最為低成本和穩定的專用網絡解決方案,凡是涉及到有需要遠程接入訪問內網的場景,都需要借助VPN實現,這造成了巨大的需求基數。
另外一方面,醫療用戶普遍對網絡安全的認識還不夠深刻。特別在廣大的基層醫療機構,因為網絡規模較小、信息數據量也不大,認為邊界防護有防火墻,通信數據保障有VPN即可確保整體網絡安全。
但其實無論醫療機構的大小,涉及到病患隱私信息數據、臨床信息數據等敏感數據的重要程度都是不言而喻。對這類數據的保護除了防火墻和VPN之外,還需要考慮邊界的縱深防護,諸如入侵防護、病毒過濾、針對WEB應用的WAF產品,針對數據庫保護的數據庫防火墻和安全審計等環節,等需要考慮建設。
對于目前醫院VPN的使用現狀,安華金和負責人在與某三級醫院信息科主任溝通之后,也給出了自己的觀點:VPN一方面用于遠程維護,另外一個主要的用途是區域聯網。但目前區域聯網更傾向于專線,只有條件不夠,醫院才選擇走VPN。比如不少醫院與市衛健委、省衛健委的連接方式就采用專線,而條件達不到的醫院,則只能使用VPN實現連接。
此外,在實際使用中,醫院不僅要考慮互聯網訪問的接入安全,還需考慮數據平臺的安全。如果用戶的VPN賬戶被盜取或者邊界被入侵,那么核心的數據將直接暴露在攻擊者面前。因此在對訪問進行準入控制的同時,也需要通過數據安全手段對核心數據進行專業的防護。
對此曹主任也給予了認同,他表示,在目前醫院的安全建設中,醫院內網及遠程醫療的發展尤為重要。因此,防火墻和VPN自然就作為剛需或首先。但隨著如大數據、云計算、移動互聯網、物聯網等新技術的發展,安全技術同樣需要發展和更新。
曹主任建議,醫院可以進行體系化的安全建設,包括安全技術體系、管理體系、運營體系(服務體系),三者相輔相成。在方案上,可以采用融合安全、立體保護的架構,比如采用一體化的安全設備,減少設備運維管理壓力。另外,在端點安全、網絡邊界安全、云端安全、安全服務、安全管理制度等,醫院都應該及時加強。
保護醫院數據安全,都有哪些妙招?
根據2018年《全國醫院信息化建設標準與規范(試行)》安全的要求,三級醫院的數據安全保護主要包括以下8大措施:
1、防火墻
2、安全審計設備
3、系統加固設備
4、數據加固設備
5、入侵防范設備
6、身份認證系統
7、訪問控制系統
8、安全管理系統
對于現階段三級醫院建設較弱的身份認證環節,綠盟科技負責人表示,目前這部分醫院普遍使用4A產品如堡壘機,來解決院內的統一認證的問題。通過將賬號、認證、授權、審計四個過程,來解決對數據的訪問權限的問題。
而認證的方式則可以根據所訪問的數據和系統,醫院可以自行選擇強度適合的方式。例如針對核心的HIS數據,訪問可以采用多人、多因素的認證方式,兩個或兩個以上的人員保存一副密鑰的部分,通過靜態密碼結合短信令牌、CA證書、指紋或其他生物特征識別技術來實現強認證方式。針對醫院的醫護工作人員,則僅進行靜態密碼的認證來實現,以保障業務的順暢性。
在2018版的《電子病歷應用管理規范(試行)》解讀中,首都醫科大學附屬北京天壇醫院信息中心主任王韜曾闡述了現有數字簽名在電子病歷數據保護上存在的兩大隱患:
1、簽名內容的專屬性,目前尚未出臺電子病歷簽名內容的標準,這導致CA(證書授權中心)在簽名時不考慮提交簽名的內容是否存在問題,這到這患者存在“被掉包”的可能性。
2、簽名內容完整性。由于醫院簽名次數較多,CA在驗簽時無法發現醫院是否每次提交內容中有包含不利信息。
以上兩種隱患,王主任認為可以通過簽名+時間戳的方式進行解決。如此一來,就能保證每次的操作人員和操作時間可查詢、可追溯。
但據曹主任所言,目前普遍的認證方式都沒真正在醫院用起來。比如內網中采用最多的CA認證,雖然它可以實現雙因素認證,提高認證的安全性,但因為使用起來比較麻煩,并且還存在兼容性問題,因此醫院采用的其實并不多。
而在數據的查詢、追溯、管理上,醫院可以采用日志審計、堡壘機、數據庫審計等方式進行管理,實現一定程度上的數據保護。但是在大數據上,非結構化的數據會存在一定的問題。并且多設備的部署,醫院在管理運維方面也會比較麻煩。因此曹主任認為,在新的安全技術方向上,醫院可以采用軟件定義安全的模式進行部署。
面對日益泛濫的勒索攻擊,醫院該如何應對?
2018年1月15日,位于印第安納州漢考克健康的Greenfield受到勒索軟件攻擊,這促使技術人員關閉了整個網絡 。在醫院電腦屏幕上出現勒索軟件通知后不久。黑客竟然猖狂地表示,在技術人員支付比特幣贖金前,他會長期“保管”一定數量的系統“人質”。
對此,衛生系統的IT團隊立即關閉了包括醫生辦公室和健康中心在內的所有網絡,以隔離病毒。相關技術人員表示,黑客正試圖讓醫院無法運營,使用“數字掛鎖”來限制人員對系統部分功能的訪問。
McAfee首席科學家Raj Samani表示:“就勒索軟件而言,醫療行業遭受的損失可能是最多的。勒索軟件的爆炸式增長,其發源也是醫療領域。黑客們或將從傳統形式的勒索軟件,轉向更多的網絡破壞和服務中斷型攻擊。”
據動脈網了解,勒索病毒和挖礦病毒之所以威力巨大,一般是由于利用了永恒之藍等遠程攻擊方式,能夠自我傳播。因此,一個有趣的現象是,即所謂的內外網隔離的內網環境反倒更多地遭到侵襲,病毒也更泛濫。原因在于,相比于跟互聯網直接接觸的場景,純內網的生產環境對安全少了對危機的敏感度。因此,被攻擊或遭到病毒的侵襲也就成為必然結果。
在應對勒索病毒一事上,曹主任認為安全事件并非遙遠不及。安全建設也不是單單的滿足合規性建設,因為,哪怕很多醫院通過等級保護三級的驗收,也一樣會中勒索病毒。原因是安全技術的發展,傳統的防御技術對新型的威脅或者病毒是逐步失效的,所以需要加強監測與響應的能力。
在針對勒索病毒或者挖礦軟件的風險上,曹主任認為可以采用四個階段的防護措施:
第一階段:加強端點安全的建設,包括主機(PC\服務器)的系統補丁管理、安全基線管理、病毒查殺軟件等。可以部署下一代端點安全系統,如EDR軟件,可以通過人工智能、大數據技術實現勒索病毒變種及未知威脅的防護。
第二階段:加強全網流量風險監控及安全可視化的能力,通過整體安全感知平臺,通過流量分析實現網絡中的風險可視化,例如出現病毒感染時,可以通過全網的主機風險展示進行管理。
第三階段,在網絡邊界處部署下一代防火墻設備,需要支持IPS、僵尸網絡識別、AV防護等一體化的設備,并且可以和感知平臺實現聯動,當平臺發現問題后下方策略到防火墻上進行阻斷。
第四階段,加強全網應急響應及應急演練的能力,可以通過采購第三方專業的安全服務,實現快速的事件響應。對勒索病毒進行預防和應急處置。
醫療信息安全雖有政策加持,但仍是一個長期過程
醫療行業性政策標準和近兩年隨著網絡安全法正式實施,以及一些跟個人信息保護、關鍵信息基礎設施保護等相關的法規、條例和標準,都對于醫療行業整體的網絡安全環境形成有著非常正向的作用。細化行業政策和標準的出臺,從頂層設計到具體實現各個層面進行了一定的歸一化和標準化,統一共性問題的認識,統一解決思路,這不管是對于醫院還是安全廠商都是非常利好的事情。
醫院用戶具有了在細分業務上權威的信息網絡安全參考,安全廠商也可以在解決行業需求的問題上,更多的朝同一個大方向上的不同維度和領域來擴充和輸出優勢能力,對產業和行業用戶來說,是一個多贏的結果。
雖然行業形勢一片大好,但曹主任也給出了自己的一點建議:
雖然目前幾乎所有的安全企業都在積極的學習和解讀這些安全標準和政策,并根據自己的安全實踐提煉出切實可行的醫療安全方案。但也應該清醒地看到,政策標準到具體執行落地還需要一定的時間,短期內對應醫院的信息化建設上效應不明顯,這是一個長期的過程。