李巍:医疗信息安全实践
前言
本文总结提炼、共享不同团队的信息安全工作经验,供大家交流。受限于本人自身的从业经历和所处行业,可能不具有普遍代表性,希望能给有需要的同仁一些参考帮助。
随着近年来数字化转型和智慧医院建设的不断深入,医院作为服务人民健康的医疗机构,在享受信息化带来的种种便利的同时,也面临着网络威胁、信息泄露等安全挑战。医院信息安全不仅是一个单纯的技术问题,还是一个管理和业务问题。受技术能力的限制,目前大部分医院在安全策略上多采用购买模式,即医院购买软硬件安全产品,供应商负责实施和集成。看业内同仁探讨交流大医院的信息安全架构和运作方法,总是有很多共鸣,同时看到很多同行的信息安全工作还是小团队运作,经常遇到各种困难,于是一直思考小团队应该如何开展信息安全工作。从某种程度上,小团队可参考大团队在安全方面的运作方式,并根据自身情况进行优化和剪裁。
大医院的信息安全策略
根据安全规划方案,不同医院在不同阶段的安全建设和布局方式是不一样的。就以某医院为例,通过每年购买服务,实现技术防范与业务发展联动,更有针对性防范风险。
医院可购买安全服务,服务周期通常为一年,服务内容如下:
1.安全管理体系咨询与建设
按照信息安全主管部门相关管理要求和国家相关标准,结合本地实际,参考相关国家标准,健全完善医院安全管理制度体系,并提交符合相关标准和要求的最终成果文档。
2.系统网络安全检查与整改加固
(1)成立专门的技术专家团队,全面研究卫生健康系统网络安全现状,结合上级主管部门要求,针对当前的重点工作,从技术和管理两方面综合考虑,形成年度网络安全检查工作方案,指导开展网络安全自查工作。
(2)重点对各应用系统开展规范全面的网络安全自查和风险评估,形成完整的评估报告,指明存在的问题和整改加固建议。
(3)协助开展问题整改,结束后进行复测并出具复测报告。
(4)配合省卫生健康委等主管部门要求,完成对本单位的信息安全检查工作。
(5)切合实际形成细致明确的整体安全检查报告,提出下一步的工作意见和建议。成果文档应包括但不限于:《网络安全检查工作方案》《网络安全自查实施方案》《网络安全风险评估报告》《网络安全主要问题和整改加固建议》《××医院信息安全抽查情况报告》。
3.应用系统业务连续性监测和渗透测试及漏洞扫描与挖掘
对医院互联网等应用系统进行业务连续性监测和定期渗透测试及漏洞挖掘,形成监测分析报告、渗透测试报告和漏洞扫描报告。
(1)业务连续性监测
需对所有应用系统定期进行监测和渗透测试,主动按其存在的问题,分析整体安全状况、所面临的主要威胁,详细分析主要的风险点并提供解决方案,配合进行安全加固。
(2)渗透测试
提供内部、外部信息安全渗透测试服务,对系统安全进行全方位的人工诊断,尝试模拟黑客入侵获取敏感数据,以最高等级的智能渗透策略揭露安全漏洞,不限于使用社会工程学手段以确保系统的安全。
(3)漏洞扫描与挖掘
多手段全方位检测系统存在的脆弱性,发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告。
4.应用系统代码审查等安全审核
按照国家卫生健康委要求,参照风险评估中对于代码编写的安全规范要求,采取定期与不定期相结合的方案,对部分应用系统(包括App)的代码进行安全审核,及时发现其中存在的安全风险并提出整改建议,协助完成安全整改加固工作。成果文档包括但不限于:《应用系统代码审计报告及加固建议》《XX系统风险报告及加固建议》。
5.应急预案修订、应急演练及应急处置
(1)对网络安全应急制度体系进行修订,完善应急响应流程,对安全事件进行准确定位,及时响应处理,快速恢复系统运行,降低安全事件造成的损失和影响 。
(2)选择主题开展应急演练(不少于2次)。制定应急演练方案,按照应急预案应急响应流程,组织相关人员进行应急演练。
(3)对安全事件进行应急处置。发生安全事件后,安全专家必须在1小时内到场,24小时内解决安全事件。及时消除安全事件不良后果,并分析安全事件发生的事件原因,处理事件并提交书面的安全事件调查分析报告(包括事故原因、过程描述、入侵来源、解决方案、安全建议、处理结果等)。
6.安全意识培训、安全技能培训
(1)信息安全意识培训
针对当前的安全形势,以及国内外重大安全事件,面向本单位全体工作人员,开展一场信息安全意识和技能培训,培训力求突破传统的教学方式,更加形象生动地传递信息安全意识的基本知识和基本技能,加深学员对信息安全和技能的理解,提升全员安全意识水平和基本安全技能。
(2)安全技能培训
组织一次面向技术人员的现场安全技术培训,提升安全技术人员的安全管理和技术保障水平。培训人员不少于5人,培训时间不少于3天。培训内容需结合形势发展及本单位需求,双方共同商定。
7.网络安全资产梳理服务
全面掌握信息系统部署、运行、应用和运维工作基本情况,编制和完善信息化基础资料。
(1)信息资产梳理:包括网络设备、安全设备、服务器、业务应用等。
(2)基础架构梳理:根据本单位实际的网络环境,绘制详细的网络拓扑图。
8.网络安全资产梳理服务
从应用系统、信息资产、基础架构三个维度进行梳理,全面掌握信息系统部署、运行、应用和运维工作基本情况,编制和完善信息化基础资料。
9.等级保护测评服务
(1)定级备案
协助本单位对相关系统进行定级备案工作。
(2)等级保护测评
通过详细的调研,对上述系统开展等级保护测评工作,找出安全现状与标准要求之间的差距,并遵循适度安全的原则,协助制定安全整改建设方案,指导整改工作,最终完成测评报告。
10.安全运维服务
向信息科提供信息系统相关的安全通告,包括国内外厂家、著名安全组织最新发布的安全漏洞和安全警告、安全升级通告和厂商安全通告(包括 Windows、Linux等),说明各种通告对信息系统的影响程度,并提出相应的解决方案:遇有重大严重安全漏洞发布,要求在漏洞发布的24小时内通告给采购人,并提出相应的解决方案。
小规模安全团队工作思路
小规模安全团队成员较少,普遍身兼多职,在具体安全实践中可采取以下思路:
1.先解决重要、紧迫问题,站稳脚跟
我们的第一件事情是站稳脚跟。如何站稳?就是首要解决管理层关注的重点问题、紧迫问题。
2.做到PDCA
重点问题基本解决之后,要通过运营、检查等综合措施运行一阶段(一般是半年到一年),定期汇报,以实现PDCA的循环。这样既可以保证问题真正得到解决,又可以让领导层等核心干系人放心,他们会觉得信息安全措施靠谱,后续对信息安全工作的支持力度也会更好。
图一 医院信息安全PDCA循环图
3.建立安全基准
安全基线是为了使相关设备和系统具备最基本的安全防护能力而制定的标准和要求。安全基线制定时切忌大而全,这样往往很难落地。核心的安全基线标准主要包括:
(1)密码强度(如果密码强度不够或无定期改密,就很容易被暴力破解)。
(2)帐号安全(比较常见的问题是以root权限启动应用程序,若发生泄漏,得到了root权限)。
(3)日志记录(没有日志记录,或者日志没有集中到日志服务器上,发生安全事件时无法进行监控和审计)。
(4)安全漏洞修复(需要修复高危漏洞,避免被攻击者利用获取权限)。
表1 某医院Linux服务器安全基线
表2 Windows服务器安全基线标准
构建安全文化
医院的安全文化是趋严的,对于违规行为是低容忍的,那么信息安全的策略、导向在一定程度上可以牺牲一些可用性和用户体验,尽可能避免数据安全风险的发生。在建设文化过程中,北京儿童医院信息中心副主任邓卓建议:发现涉嫌违规就要及时处理,以体现无处不在的潜在威慑,数据安全策略应以记录、检测为主,同时根据安全事件推动策略调整。信息安全与IT管理成熟度相关,安全也需要根据成熟度进行规划,忽视业务重点,不能建设初期就用一套大而全并且看似理论正确的体系,在基础设施都没有建全的时候,态势感知、AI防御等看似高大上的东西可能并不适合自己的当下安全需求。
在医疗场景中经常有这样的现象:医院内部有些高价值人员对医院的数据安全、信息安全措施不信任,不用医院的办公电脑,不装本单位的安全软件。出现这种情况的绝大部分原因,在于他们都认为IT人员、安全人员掌握了超级权限,要么可以在后台改数据,要么可以在后台进行监控,出于各种原因,这些高价值人员对IT、安全人员不信任。面对这样困局,来自青海医疗信息化工程师李顺海,建议采取以下几种方式破局、增进互信:
(1)将IT人员掌握超级权限、可以后台修改数据、查阅数据的风险等行为视为高风险,对此优先采取安全控制措施,加以改进。
(2)引入第三方力量对IT人员、安全人员进行监管,比如纪检、审计部门或者主管单位。
(3)在落地重点项目时,不能以医院要求和监管需要去推动项目落地,需要以客户为中心的心态,以服务促管控,通过跨部门的沟通协调,形成合力去推动安全项目。否则,项目不做好,把自己变成孤家寡人,就可能会落得痛打落水狗的下场。
小结
面对日益复杂的网络安全、数据安全形势和医院高速发展的信息需求,对医疗信息人提出了更高要求。我们必须清晰自己的定位,基于医院的业务、发展阶段和内外部环境,综合统筹制定安全规划和实施路径,帮助医院达成工作目标。在协作工作中能够客观看待事物和艺术的处理矛盾,积极主动、不忘初心的去达成目标,慢慢历练出专业感和职业感。我们一起见证携手奋斗的往昔,也为美好的未来助力护航。
作者简介
李巍,CHIMA委员,秦皇岛市妇幼保健院医疗设备与计算机服务中心副主任,河北省信息学会委员,河北省中医信息学会委员。作者观点仅代表个人,纯属技术交流,与供职单位无关。
上一篇: 汪春亮:医院数据治理探索与实践
下一篇: 许杰:医院信息技术服务体系之主导安全