郭扬帆:医院网络安全整体架构思考(上)
中国医院信息化已走过30年的历程,之前都是围绕HIS应用系统建设,在小型局域网内,很少考虑网络安全问题,杀毒软件都是单机版。随着社保系统接入,打破了医院局域网的围墙,开始逐步使用防火墙。互联网应用越来越广泛,又引入了上网行为管理、网闸、入侵检测、漏洞扫描、桌面终端安全管理等边界安全设备。移动医护发展,又加强了无线网络安全。打击医院药品统方行为,催生了中国独特的网络安全产品——防统方管理系统。为了防止数据被破坏、丢失、篡改,又使用了数据库防火墙、防水坝、数据审计、日志审计等工具。甚至在勒索病毒肆掠全球时,很多公司对应开发出防勒索专项产品等。
当前医院网络安全建设迎来黄金时期,但仍然在意识、方法、技术、人员、专业安全公司经营理念等方面存在诸多问题。很少有医院真正从整体架构来思考网络安全建设,大都以合乎等保测评为主流,建设内容条块分割无法形成合力。各专业安全公司之间竞争不断,所谓解决方案都是以自身产品为注脚。在面对日益严峻的网络信息共享时代,医院的信息系统真的安全么?
(1)医院网络安全现状
第一,网络安全设备多而杂
每家医院网络安全建设都不可能一步到位,安全建设永远在路上。限于资金预算不足或政策性安全投入,每段时期或许都会增加不同用途的安全设备,这些安全设备有医院自筹资金购买的,有政府部门或卫生主管部门下发的,也有公司捐赠或测试的。种类多、品牌多、安装运维的公司也多。但有一个共同的特点,就是每家公司只做自己的产品,只防护自己的范围。
第二,设备自验收之后,配置基本没变
设备上线之初,安全公司技术人员会针对医院网络现状做好相应的配置,但医院网络在后继运行过程中,会发生很多改变,很少有医院会再去优化安全设备的配置,甚至直到报废没有变动过也是常见现象。
第三,设备规则库等没有升级
很多安全设备都有内置的规则库、病毒库、特征代码库等,并且也提供在线或离线升级服务,但医院安全设备一般都不会主动连接到互联网,不发生问题时或不被明确要求升级,都不会主动去升级设备的内部软件。
第四,在效率和麻烦中很多安全产品形同虚设
安全与效率之间是一对矛盾体,要安全一定会牺牲效率,增加麻烦。医院领导和信息部门人员的管理初衷是一定要保证医院信息系统的绝对安全,但在实际操作过程中,却屡遭困难和破坏。医院领导和信息部门人员是网络安全的特权人员,自身都难以执行严格的安全规则,而临床科室人员,更是有诸多理由,要求开放更大的网络安全限制范围。例如:U盘使用。信息部门封堵所有USB接口禁用U盘,甚至采用胶水物理封堵,被骂得最惨的其实防护得最好的。一旦有例外解封,同类情况的都会找你解封,而信息部门有时也抹不开同事之间的情面,大开方便之门时有发生。久而久之,发现医院信息网络也没有出什么多大的安全事故,信息部门就疏于管理,导致很多安全产品最终形同虚设。
第五,只注重合规性建设
2017年6月1日,国家《网络安全法》颁布之后,医院又掀起一波等保测评的热潮。等保测评公司都是在进行合规性检测,然后让医院对漏项的风控点进行整改。都是集中在某一点上,没有从医院整体网络安全的架构上来考虑和建议。这也是导致很多医院过了等级保护测评二级或三级,但网络安全事故照发不误的原因。安全管理一样遵循木桶理论,只要信息系统有一块短板或漏洞,其他防护再高,桶里面的水照样不能保全。
(2)医院网络安全痛点
第一,没有整体规划,缺乏分级分类建设方案
网络安全有点像头痛医痛,脚痛医脚。在不断攻防之间,迷失了方向,每家安全产品公司都自称有完整的医院解决方案,其实都是为自身产品堆砌寻找的卖点。
不否认一些大型网络安全公司具有强大的研发能力,也开发出来众多的产品,但术业有专攻,这些大型公司的某些产品有时也是应景应标而做出来的,并非有实际介绍的功能,或许比不上专注于这方面产品研究的小型公司。但每家公司都希望用户全部使用自己的产品。所谓的解决方案,都是为卖更多产品而设的注脚。
这种只从产品和利益出发而做出的解决方案,不是医院真正需要的方案。那么什么是医院真正需要的方案呢?
不同类型、不同级别、甚至不同地域的医院,对网络安全的要求是不一样的。军队医院和地方医院的要求不一样,三级医院和二级医院的要求不一样,专科医院也有自己的特点。另外还有两个决定性因素,一是医院信息化建设资金是否充裕;二是医院领导是否支持。
所以解决方案是解决医院的网络安全问题,而不是解决公司卖产品的问题。
第二,医院网络安全技术水平低下
今后很长时间,医院信息部门技术水平较低这种情况难以根本改变,其实也不需要改变。网络安全不同于医院的HIS系统、数据库、网络、服务器等,平常不会有哪家医院经常出现网络安全事故,所以信息部门的网络安全专员,没有太多问题处理,技术水平自然也不会增长。而医院信息技术人员又缺乏外出进修培训的机会,除非个人爱好,往往技术水平比公司人员会相差越来越远。网络安全技术受病毒日新月异影响而不断更新变化,这也是医院网络安全专员无从学起又永远跟不上的重要原因。
目前网络安全技术分支越来越细,医院不可能招聘和培养不同类型的安全专员,而购买公司的网络安全运维服务,如同买保险一样,不发生问题时看不到效益。很多医院又舍不得花钱,因为HIS系统好多模块都还没有建设,自然不愿把钱投入到安全保障上面来。
没钱、没人、没技术,这是共性痛点。
可以说,当前网络安全厂商、集成商们遇到了最好的发展机遇。网络安全已上升到国家安全,而做为医院的信息数据,更是重大民生内容,从原来极不重视到现在极度重视。
机遇与风险是孪生兄弟,原来医院没钱投入网络安全,出了问题自然有一堆说辞,医院领导也不好追究。但现在投入了经费,甚至投入了大量经费,结果还是出了问题,那么这个风险谁来承担呢?
买保险的理论仍适用于医院网络安全建设,有N多理由要求医院必须上什么什么安全产品,公司亦不遗余力夸大某些方面的风险隐患,好像医院不采购这些产品就好似身处一群盗贼与病毒之中。所以现在网络安全公司的业务比以前好做很多,有钱的医院也配合公司将自身逐步武装到牙齿,浑身都是盔甲包裹,手中还有各色武器,但一样中毒或数据被盗取。究其原因,仍是安全产品各自为阵,缺乏联动,缺乏交叉验证,缺乏统一协调。
出了问题,或许有公司又会找N多理由为自身开脱,甚至还可以化危为机,再卖更多安全产品给医院。或者会把责任归结于其他厂家提供的安全产品,或者又是医院网络安全专员没有尽到维护的责任。这些理由都可能成立或勉强成立,但在目前网络安全获得空前重视的情况下,网络安全专业公司到底要如何自处? 这已不是一个技术的问题,而是职业道德的原则性问题。
医院做网络安全建设如同买保险,但网络安全公司一定不要有侥幸心理,不要指望医院上了你的产品,然后祈祷不要出事,或事后推责。医院把自己最重要的身家性命都交给你来保卫,一定要做有良心、负责任、有技术、有担当,与用户荣辱与共的企业精神。
能认清这一点并愿意吃亏的公司,一定可以在市场混乱之后,走得更远。
当然网络安全厂商一路摸爬滚打成长不易,但很多历史原因也导致成长不足。
以前安全厂商不像一个技术型的或者说软件型的公司,倒一直像在卖硬件设备的厂商。本来纯软件可以解决的安全问题,硬是要整一套硬件设备集成在里面。不是说这样做不好,而是一直误导了市场对安全厂商的认知。所以最终对安全厂商的价值都体现在这台设备卖多少钱,而不是技术服务值多少钱。
另一点不足就是安全厂商各自为阵,为市场目的,自己定义了很多独有的协议或规则,导致行业内不能共享,既浪费了用户资金又限制了行业发展。
当前网络安全已不是一个单位、一家公司、一个国家的事情,而是全球性的问题,一种病毒蔓延到世界各地,不用一周的时间。而全世界为此付出的代价,却是巨大且惊人的。
回到医院网络安全的话题。医院网络安全已不是一家公司可以全部解决的问题,而是需要联合多方,共同防御,交叉验证,不留死角来解决。让技术问题回归到技术来解决,而不是靠产品来堆砌。
新时期下网络安全,哪家公司能够认识到自身不足,开放自己,与竞争对手合作,优势互补,真正为用户考虑,真正靠技术服务赢得用户的尊重,谁就能在网络安全行业走得更远。
(未完待续)
上一篇: 郭扬帆:医院网络安全整体架构思考(下)
下一篇: 马丽明:我的团长我的团