互联互通评测中集成平台如何满足三级等保(上篇)
CHIMA发布的《2019-2020年中国医院信息化状况调查报告》(公开版)显示,医院信息安全建设的重要性日益凸显。而作为医院系统互联互通关键枢纽的集成平台,不仅承载医疗机构内部的大部分业务,还需要开放接口给院外,和大量系统有千丝万缕的联系。因此集成平台的安全性倍受医疗机构的重视。文章分为上下两篇,上篇(即本篇)主要介绍了三级等保的重要性,并对集成平台在三级等保测评中身份鉴别以及访问控制的要求进行了详细描述,下篇则会对其余四点(备份和恢复、安全审计、通信完整性和保密性、入侵或恶意代码防范)进行探讨。
三级等保能够衡量医疗机构信息系统安全保护管理措施和技术措施是否具备相应的安全保护能力,能帮助医院更好了解集成平台安全状况,排查其中的隐患和薄弱环节,并为监管部门开展监督、检查、指导等工作时提供参照。
开展等保工作是一件需要依法履行的安全保护义务
2019年12月1日起实施的等保2.0对应的最高国家政策是《中华人民共和国网络安全法》,要求医疗机构依照“网络安全法”履行网络安全等级保护制度测评工作。
三级等保是互联互通测评、互联网医院等诸多建设的必要要求
近年来,多项国家规定中都对医疗机构的三级等保建设提出了要求。
2016年发布的《三级综合医院评审标准考评办法》规定了重要业务系统必须达到等保三级标准才满足三级医院评审标准中对于网络安全的要求。
2018年发布的《互联网医院管理办法(试行)》规定了承载互联网医院的平台必须通过等保三级测评。
2020年发布的《国家医疗健康信息医院信息互联互通标准化成熟度测评方案(2020年版)》新增对医院核心业务系统(含平台)完成三级等保备案和测评要求 (详细内容参见“集成平台如何满足医院互联互通第四、第五章测评要求”)。
……
集成平台的三级等保要求每年开展一次等级测评,得分为百分制,成绩达到70分以上且无高危风险才基本符合要求(如图1)。
图1 等保测评结果参考
资料来源:腾讯安全
三级等保基本要求分为技术和管理两大项共10小项(如图2),其中和集成平台相关的则是技术要求下属的主机安全、应用安全、数据安全及备份恢复这三项。
图2 三级等保基本要求框架
资料来源:国家信息安全等级保护制度第三级要求 (标黄部分与集成平台相关)
在这三项中,又有六点需要着重关注,分别是身份鉴别、访问控制、备份和恢复、安全审计、通信完整性和保密性以及入侵或恶意代码防范, 本文将着重对身份鉴别及访问控制进行探讨。
1. 身份鉴别
测评关键点:口令强度、登录失败处理、鉴别信息防窃听、多重鉴别方式
1.1 口令强度要求:
医院有时使用较为简单的口令或对口令进行复用,便于日常操作和记忆,然而这也是造成设备被攻陷的最常见原因。据报告显示,勒索病毒最为流行的攻击手段就是RDP弱口令渗透(占全部勒索事件的61%)。这里的口令指的是日常登录系统界面时所填写的登录密码(即password,以下为方便理解统称为密码)。
三级等保也对身份鉴别信息具有复杂度要求。关于密码复杂度可以参考下列算法(如图3),该算法共分0-4级,根据提供的密码来计算出统计学角度需要多少次试错可以猜出密码信息,从而判断密码的强度等级。而在医院集成平台建设的场景中,建议强度达到2等,即试错次数需要达到109量级才能被破解。
图3 密码强度
医院在实施过程中,可以设置字符长度限制,并通过数字、符号、大小写字母混用等方式提升密码强度。
集成平台也应提供规则校验,辅助用户设置出强度较高的密码。
1.2 登录失败/登录超时处理:
除了增加密码复杂度,集成平台也需要具有登录失败或登录超时处理功能,并能通过修改配置进行更改,例如连续登录失败达到3次就锁定账号,需要等待一定时间才能再次登录;登录超时处理则是当登录后未进行操作超过一定时间(如30分钟),系统会自动登出的措施。
1.3 鉴别信息传输:
医院通常采用HTTP协议进行登录,然而这会使鉴别信息明文传输,一旦在传输途中被窃听或截取,信息就会直接暴露。
建议集成平台可默认支持访问443端口,采用HTTPs实现加密传输,保证鉴别信息传输过程中数据安全。
1.4 多种鉴别方式:
多数医院仅采用用户名+密码方式进行身份鉴别,一旦被攻破就没有其它防御措施,因此三级等保也要求系统“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。”
集成平台可通过客户端服务端双向SSL证书验证,外加用户名密码组合的身份鉴别技术来实现该项等保要求。SSL客户端服务端双向证书验证功能对用户Web管理界面提供了网络层的身份鉴别保证,只有安装了有效客户端证书的浏览器才能够正常访问Web管理界面,在打开Web管理界面后用户仍需要输入用户名和密码进行二次身份鉴别。
集成引擎应可实现客户端服务端双向SSL证书验证:
a. 生成客户端和服务端的CA证书;
b. 安装服务端证书到引擎服务器内;
c. 安装客户端证书到客户端的浏览器内。
2. 访问控制
测评关键点:默认账户调整、账户权限管理
2.1 默认账户:
在进行三级等保测评过程中,一个常见问题就是医院系统的默认账户Admin长期存在且密码未更改。由于医院一般都会将默认账户作为具备一定权限的管理账户进行使用,一旦泄露干系甚大。因此三级等保要求此类默认账户必须要重命名,并且修改默认账户的初始密码。集成平台也应支持并提示用户在首次登录时直接修改密码。
2.2 权限管理:
除了修改默认账户名称和三级等保要求系统应具备各账户的权限管理和控制功能,针对不同岗位的管理员,尽可能授予管理员所需的最小权限。而集成平台除了设置管理员和监控员外,还应建立审计员角色,并根据业务需要设置各帐户的权限,实现管理用户权限分离。
三级等保测评中,除了身份鉴别和访问控制,其余需要关注的四点(备份和恢复、安全审计、通信完整性和保密性、入侵或恶意代码防范)对集成平台又提出了什么要求,集成平台又需要提供哪些技术支撑?这些都将在“下篇”逐一探讨,敬请期待。
(未完待续)
参考资料: