随着物联网、大数据、人工智能等新技术的发展,国家深化医疗改革政策的不断推进,医疗行业逐步迈向信息化、数字化阶段。在线问诊、电子病历、AI影像等医疗服务带来便利的同时,也引入了新的网络安全风险,医疗机构面临更加严峻的网络安全挑战。本文将围绕医院在数字化转型进程中的安全挑战、解决方案和典型实践展开分享。
HCIS阶段下,需要更主动有效的网络安全策略
目前,国内医院信息化建设处于临床管理信息化(HCIS)阶段,IT基础设施开始引入云计算、大数据、5G、物联网等新技术,HIS、LIS、PACS、电子病历等应用系统频繁采购和升级开发,在远程诊疗的诉求下一些医院开始建设“互联网+医院”。信息化为医院带来高效服务的同时,也不可避免地改变了原有基础架构和网络边界,已有的等保合规建设不断面临挑战。
同时,由于医疗数据具有价值高、隐私性强的特点,极易被黑客盯上,因此,近年来针对医疗机构的网络安全攻击、数据窃取、勒索事件频发。2022年8月,法国巴黎一家中大型医院CHSF遭勒索软件攻击,医院业务软件、存储系统、患者信息系统均无法访问,急诊和手术被迫停业;2022年10月,美国第二大非营利性连锁医院集团CommonSpirit Health遭受网络攻击,分布在多个州的医疗机构业务工作大面积中断,并导致了患者病历数据泄露……不仅造成患者隐私信息的泄露,也对医疗机构的正常运营和医疗服务质量造成严重影响。
面对不断变化的信息技术和网络安全形势,医院需要采取更为主动有效的防护措施。
医院网络安全合规面临新要求
自2011年底原卫生部印发《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)和《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)文件后,行业主管部门不断完善医院等保合规要求,并结合医疗评级来促进医院落实等保建设。
面对新形势,2022年国家卫生健康委、国家中医药局、国家疾控局三部门联合印发《医疗卫生机构网络安全管理办法》(国卫规划发〔2022〕29号)(以下简称《办法》),指导医疗卫生机构加强网络安全管理。《办法》覆盖互联网+医疗健康、医疗大数据业务等新兴业务场景,并在等保之上提出多项创新要求:
● 落实合规要求:贯彻《关键信息基础设施安全保护条例》;
● 坚持综合防护:落实“三化六防”措施;
● 落实主体责任:“谁主管谁负责、谁运营谁负责、谁使用谁负责”;
● 开展安全自查:要求每年开展安全自查,按要求将安全自查整改情况报上级卫生健康行政部门;
● 加强供应链管理:加强自研及外包开发过程的安全管理;
● 加强检测预警:鼓励三级医院加强威胁情报工作,组织开展网络安全威胁分析和态势研判,及时通报预警和处置;
● 加强应急实战:积极参加网络安全攻防演练,提升保护和对抗能力。
图 《办法》总体架构
可以看到,监管部门已经意识到医院现有网络安全措施与关保要求及当前安全形势存在的差距,并强调在监测预警、应急实战、供应链管理等方面提供更强的技术保障措施。
“等保+”理念护航下一阶段的医院网络安全保护
在网络安全形势与合规的叠加作用下,默安科技提出“等保+”理念。“等保+”理念是指以等保为基,结合医院相关合规要求及医院信息化规划建设情况,帮助医院实现等保之上的安全缺口保护。
在该理念的指导下,既要注重如资产、病毒、远程访问等基础问题,又要涵盖供应链安全、主动防御等新兴技术要求。因此,默安科技结合自身业务特点,从“奠根基、防病毒、控行为、治供应、重实战”五个维度出发,提供覆盖医院资产、网络、主机、应用的安全保护措施,帮助落实资产清晰、病毒预防、访问控制、供应治理、实战演练的目的,以应对下一阶段医院可能面临的网络安全威胁。
在“奠根基”方面,针对医院当前各种设备数量和类型众多、部署环境复杂、资产台账不清晰、设备风险不透明,资产管理存在盲区的现状,默安科技提供资产安全治理方案,帮助医院梳理和更新资产、形成资产清单、感知资产风险及资产变更。
在“防病毒”方面,医院长期遭受勒索&挖矿病毒威胁,病毒频繁变种,严重威胁到医院的正常业务和健康医疗数据安全,基于此,默安科技提供勒索&挖矿病毒治理方案,帮助医院加强对病毒入侵行为的感知、预警及应急能力。
在“控行为”方面,针对医院内部账号混用、权限不清,带来数据泄露风险的特点,默安科技提供零信任解决方案,帮助医院加强身份安全管理能力,建立动态的、可持续的访问控制机制。
在“治供应”方面,鉴于组件漏洞和供应链投毒事件频发,同时医院面临日益严峻的合规性压力,默安科技提供软件供应链安全解决方案,帮助医院保障供应商交付软件安全质量和提升第三方组件风险跟踪能力。
在“重实战”方面,随着各级实战攻防演练行动的常态化,医院需要有针对高级攻击的应对能力,基于此,默安科技提供主动防御及运营方案,协助医院将防御理念由被动变为主动,增强应对未知攻击行为的防范能力。
此外,在等保基础上,针对多云复杂环境下的资产保护、病毒预防、精细化访问控制、软件供应链安全、0day及APT高级持续性威胁、网络安全常态化运维等医院核心网络安全场景,默安科技提供相应细分场景的解决方案,帮助医院快速落实“等保+”五大能力。
某三甲医院网络安全“等保+”实践
为深入贯彻落实法律法规和标准规范要求,适应后疫情时代医疗行业安全发展趋势,保障医院的医疗业务安全稳定开展,防范出现突发性网络安全事件,在信息口领导的配合与支持下,默安科技抓住“奠根基”和“重实战”两项,来加强该医院的网络与信息化风险管控与防御水平。
首先,在“奠根基”方面,积极梳理该医院授权的网络设备、安全设备、操作系统、中间件、数据库、业务系统及应用系统等,建立真实的资产台账,围绕资产做定期漏洞扫描、基线检查和渗透测试,持续维护资产暴露面风险可控;同时,提供整体的安全巡检及加固、应急处置和安全培训等服务,提升基础的网络安全意识和安全防护水平。
其次,在“重实战”方面,结合业务防护策略和基础设施建设情况,规划威胁检测与狩猎策略,部署幻阵设备,并虚拟大量的高交互欺骗环境,增强该医院的威胁精准检测和溯源能力;在攻防演练及重大节会保障期间,派驻高级安全专家,利用已有的威胁检测与狩猎部署开展现场安全值守,保障重要时期该医院的HIS、LIS、PACS等核心业务系统的安全。
通过本次实践,建立健全了该医院网络与信息化安全保障体系,加强其网络与信息化风险管控水平,提高网络与信息化安全运维能力,提升了该医院整体网络安全防护水平。
医院信息化已是大势所趋,大量新技术的广泛运用,让网络安全形势变得愈发复杂,医院应考虑网络安全与信息化“同步规划、同步建设、同步使用”,不断完善网络安全各方面的能力建设,以满足安全合规与业务稳定的双重要求。默安科技医院网络安全解决方案以基础安全服务为建设基础,从奠根基、防病毒、控行为、治供应、重实战五个方面帮助医院实现等保之上的安全缺口保护,构建全方位的网络安全防护体系,从而推动医院数字化的安全转型。