網(wǎng)御神州助力醫(yī)院信息安全審計業(yè)務(wù)
經(jīng)歷20多年的發(fā)展,中國醫(yī)療信息化建設(shè)已初具規(guī)模,醫(yī)院信息系統(tǒng)(HIS)為醫(yī)院的正常運營和科學(xué)化管理提供保障,然而,醫(yī)院信息管理系統(tǒng)在信息安全保密方面依然是醫(yī)療信息化建設(shè)的短板,嚴重影響或制約了信息化
經(jīng)歷20多年的發(fā)展,中國醫(yī)療信息化建設(shè)已初具規(guī)模,醫(yī)院信息系統(tǒng)(HIS)為醫(yī)院的正常運營和科學(xué)化管理提供保障,然而,醫(yī)院信息管理系統(tǒng)在信息安全保密方面依然是醫(yī)療信息化建設(shè)的短板,嚴重影響或制約了信息化進程。
誰為醫(yī)療信息補漏
隨著信息技術(shù)的不斷發(fā)展,在醫(yī)院這種社會公共服務(wù)領(lǐng)域,收集和儲存了大量的公民個人信息。但在當(dāng)前對醫(yī)療行業(yè)提供的網(wǎng)絡(luò)安全技術(shù)解決方案中,仍以防火墻(FW) 防病毒(AV)為主流選擇,但是這些傳統(tǒng)的安全技術(shù)手段只能阻擋部分從外部到內(nèi)部的攻擊,并且對來自內(nèi)部的信息竊取完全無能為力,這就導(dǎo)致了“泄密門”事件一次次發(fā)生,引發(fā)重要數(shù)據(jù)的丟失、破壞,不僅嚴重影響到醫(yī)院網(wǎng)絡(luò)的正常運行,還直接威脅到患者的隱私和生命安全。
安全隱患暴露
最近,深圳就發(fā)生了一次全市的孕婦信息庫泄露事件,不法分子將孕婦的資料制成了“泄密光盤”,4萬條包括孕婦姓名、出生日期(嬰兒)、戶口性質(zhì)(流動、暫住、常住)、家庭住址、聯(lián)系電話、以及就診醫(yī)院及預(yù)產(chǎn)期的信息以每條0.3元的價格進行銷售,更令人咂舌的是這些信息每月還“滾動更新”,累計達到了10萬條。
而據(jù)記者調(diào)查發(fā)現(xiàn),很多乳品廠商也通過固定的渠道從醫(yī)院套取孕婦的個人信息來達到賺錢的目的。甚至,某些醫(yī)院的個別工作人員已經(jīng)和一些個人醫(yī)療信息的“收購販子”形成了秘密而固定的“銷售渠道”,一般人很難插手。
調(diào)查中,乳品企業(yè)的一名銷售經(jīng)理向記者出示了一打兒厚厚的,記錄了產(chǎn)婦及其丈夫個人信息的表格。隨后,記者按照這位銷售經(jīng)理提供的號碼撥打了某醫(yī)院產(chǎn)科護士長的電話,表示要購買個人信息,對方很嚴肅地說:“不行,我們這里的個人信息是嚴格保密的,絕對不可以出售。”而當(dāng)那位銷售經(jīng)理親自給那家醫(yī)院的產(chǎn)科護士長打電話時,對方卻讓他過去取資料。
事實上,醫(yī)院出現(xiàn)信息系統(tǒng)安全的問題已經(jīng)相當(dāng)普遍,采訪中國內(nèi)某醫(yī)院的一位IT中心工作人員向記者抱怨道,“信息安全的重要性,恐怕只有IT部門知道,而當(dāng)今大多數(shù)醫(yī)院的IT部門,在醫(yī)院充其量還只是扮演‘保姆’的角色。”
這位工作人員指出,國內(nèi)醫(yī)院信息化普遍起步晚、投入少,基本的IT軟硬件環(huán)境尚且捉襟見肘,更無法顧及信息安全系統(tǒng)建設(shè)。像他所在這的這家有著數(shù)十年建院史的大型醫(yī)院,在IT投資上也可謂“保守”,在近20年的信息化過程中,信息裝備投入十分有限,僅僅在近幾年,才投入幾百萬元對全院的網(wǎng)絡(luò)進行升級。
“而更嚴重的是,目前醫(yī)院的IT部門普遍處于很低的地位,信息安全在醫(yī)院領(lǐng)導(dǎo)觀念中就更為淡漠,這造成了醫(yī)院IT投資優(yōu)先考慮的是業(yè)務(wù)的需求,而非保障信息安全。這給醫(yī)院的信息系統(tǒng)埋下了巨大的安全隱患。”這位工作人員表示。
濫用權(quán)限嚴重
如何才能解決當(dāng)前的醫(yī)院信息安全問題呢?首先我們需要了解下目前醫(yī)院信息安全的問題所在。
據(jù)有著多年醫(yī)療行業(yè)系統(tǒng)集成經(jīng)驗的藍天科技的總經(jīng)理錢朝陽博士介紹,由于醫(yī)院內(nèi)部的濫用過高權(quán)限、濫用合法權(quán)、非法接入等行為導(dǎo)致目前我國的醫(yī)療信息安全主要存在三方面的問題:第一,沒有重視和執(zhí)行對醫(yī)務(wù)人員的信息安全知識、法規(guī)、標(biāo)準(zhǔn)的宣傳、培訓(xùn)、考核,沒有規(guī)定和實行醫(yī)院信息系統(tǒng)安全的相關(guān)制度;第二,網(wǎng)絡(luò)安全觀念較為老舊,網(wǎng)絡(luò)設(shè)計存在缺陷,比如過于單方面依賴防火墻;第三,對HIS系統(tǒng),沒有一定的安全監(jiān)督、審查、驗收機制。
“目前很多醫(yī)院的一把手開始重視信息安全的問題,只有從根本管理制度上解決醫(yī)院工作人員對醫(yī)療信息的權(quán)限混亂,無人監(jiān)管問題,才能解困醫(yī)院的信息安全謎題。”
基于醫(yī)療系統(tǒng)的信息安全隱患,錢朝陽提出,目前醫(yī)療系統(tǒng)的信息安全建設(shè)也要針對性的分三步來走:第一步,加強內(nèi)部管理,在提高醫(yī)務(wù)人員保護患者個人信息及醫(yī)療信息意識的同時,制定符合本單位實際情況的管理制度;第二步,重點保護核心業(yè)務(wù)系統(tǒng);第三步,進行統(tǒng)一的安全管理,全面、高效保障網(wǎng)絡(luò)及信息安全。
錢朝陽認為防護核心業(yè)務(wù)系統(tǒng)是三步中最重要的一步。而如何才能保護核心的業(yè)務(wù)系統(tǒng)呢?
“我們需要有一個專業(yè)的審計系統(tǒng),這個審計系統(tǒng)不僅要具備基本對話的行為分析和本身的隱蔽性、宜用性兩個基本特征,而且為了更好的保護醫(yī)療信息系統(tǒng)的安全。” 網(wǎng)御神州安全管理高級產(chǎn)品經(jīng)理葉蓬認為,保護核心的業(yè)務(wù)系統(tǒng)的關(guān)鍵是要建立專業(yè)的審計系統(tǒng)。
而審計系統(tǒng)必須具備三大功能:一、可自定義及識別風(fēng)險較高的行為操作,并可對此類操作進行告警,采用電子郵件、SNMP Trap等方式通知網(wǎng)絡(luò)安全管理人員;二、對已定義的不合規(guī)操作,可通過與網(wǎng)絡(luò)設(shè)備或安全設(shè)備共同協(xié)作來關(guān)閉通信,以阻止正在進行的操作;三、系統(tǒng)需具備報表系統(tǒng),可以按組管理,可以對報表生成進行日程規(guī)劃,提供打印、導(dǎo)出以及郵件送達等服務(wù),并根據(jù)計劃歸檔報告,歸檔之后發(fā)送郵件通知。
了解了問題所在,醫(yī)院的信息主管應(yīng)該怎么辦呢?
內(nèi)控審計解困
一段時間以來,我國政府相關(guān)部門對包括醫(yī)院信息泄密在內(nèi)的信息安全事故加大了處罰力度。今年2月28日,全國人大常委會通過了刑法修正案(七)的表決,并且從頒布之日起實施。規(guī)定單位如果泄露或非法獲取公民個人信息,將被判處罰金,并追究直接負責(zé)的主管人員和其他直接責(zé)任人員的刑事責(zé)任。這使得愈來愈多的醫(yī)院意識到,信息安全建設(shè)的重要性。
另一方面,醫(yī)院網(wǎng)絡(luò)及信息作為改革醫(yī)院管理體制、提高服務(wù)質(zhì)量的重要保障,必然對醫(yī)院的信息安全管理也提出了很高的要求。4月6日, 歷時兩年多時間的,倍受關(guān)注的新一輪醫(yī)改方案終于出臺。而根據(jù)《關(guān)于深化醫(yī)藥衛(wèi)生體制改革的意見》和《2009-2011年深化醫(yī)藥衛(wèi)生體制改革實施方案》規(guī)定,我國計劃到2011年國家投入8500萬逐步改革公立醫(yī)院管理體制和運行、監(jiān)管機制,提高公立醫(yī)療機構(gòu)服務(wù)水平,推進公立醫(yī)院補償機制改革,加快形成多元化辦醫(yī)格局。
“近些年來我們已經(jīng)完成了局域網(wǎng)和主服務(wù)器、數(shù)據(jù)存儲中心的升級改造,但仍然存在著許多系統(tǒng)安全的隱患。我們希望,IT供應(yīng)商們應(yīng)該考慮到中國醫(yī)院的IT裝備和應(yīng)用水平的實際狀況,提供更為適合醫(yī)院實際的安全性方案。”采訪中某醫(yī)院的IT主管呼吁道。
“正是為了滿足我國醫(yī)療行業(yè)對信息安全的要求,我們自主研發(fā)了網(wǎng)神SecFox安全管理系統(tǒng)(醫(yī)院版),并提出了面向醫(yī)療行業(yè)的統(tǒng)一安全審計解決方案。系統(tǒng)包含SecFox-NBA(業(yè)務(wù)審計型)、SecFox-NBA(上網(wǎng)審計型)、SecFox-LAS日志審計、SecFox-EPS終端安全審計等多個功能模塊,完全可以滿足用戶的相關(guān)需求。” 網(wǎng)御神州安全管理高級產(chǎn)品經(jīng)理葉蓬表示,其中SecFox-NBA(業(yè)務(wù)審計型)模塊,能夠針對客戶業(yè)務(wù)網(wǎng)絡(luò)中的各種數(shù)據(jù)庫、Windows和Unix主機、WEB應(yīng)用系統(tǒng)進行全方位的安全審計,保障客戶業(yè)務(wù)網(wǎng)絡(luò)中數(shù)據(jù)的安全和操作合規(guī)。
據(jù)介紹,網(wǎng)神SecFox-NBA不僅包括:數(shù)據(jù)訪問審計、數(shù)據(jù)變更審計、用戶操作審計、違規(guī)訪問行為審計、惡意攻擊審計等5大功能。同時,相對于傳統(tǒng)的審計系統(tǒng),網(wǎng)神SecFox-NBA還有四個明顯的特點:一是SecFox-NBA采用旁路偵聽的方式進行工作,對業(yè)務(wù)網(wǎng)絡(luò)中的數(shù)據(jù)包進行應(yīng)用層協(xié)議分析和審計,就像真實世界的攝像機;二是SecFox-NBA對業(yè)務(wù)操作實時監(jiān)控、過程回放;三是快速響應(yīng)和跨設(shè)備協(xié)同;最后一個是報表報告。
“嚴出嚴入,全面防護。在解決了核心業(yè)務(wù)系統(tǒng)的保護后,我們首先要解決通過網(wǎng)絡(luò)外發(fā)信息的信息泄露;其次要解決人員的非法接入、因員工濫用移動存儲導(dǎo)致的信息泄漏問題;最后,我們進行統(tǒng)一的安全管理,全面、高效保障網(wǎng)絡(luò)及信息安全。”葉蓬稱,當(dāng)醫(yī)院應(yīng)用網(wǎng)御神州獨有的基于會話的行為分析(Session-based Behavior Analysis)技術(shù)后,醫(yī)院的審計員不僅可以對當(dāng)前網(wǎng)絡(luò)中所有訪問者進行基于時間的審查,了解每個訪問者任意一段時間內(nèi)先后進行了什么操作,而且還能對過程回放。“SecFox-NBA(業(yè)務(wù)審計型)真正實現(xiàn)了對‘誰、什么時間段內(nèi)、對什么(數(shù)據(jù))、進行了哪些操作、結(jié)果如何’的全程審計。”
責(zé)任編輯:葉雨田
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計落地:鼓勵“光儲充放”,有序推進氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計 -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運
2020-09-14核聚變,ITER,核電 -
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng)
-
新基建助推 數(shù)據(jù)中心建設(shè)將迎爆發(fā)期
2020-06-16數(shù)據(jù)中心,能源互聯(lián)網(wǎng),電力新基建 -
泛在電力物聯(lián)網(wǎng)建設(shè)下看電網(wǎng)企業(yè)數(shù)據(jù)變現(xiàn)之路
2019-11-12泛在電力物聯(lián)網(wǎng) -
泛在電力物聯(lián)網(wǎng)建設(shè)典型實踐案例
2019-10-15泛在電力物聯(lián)網(wǎng)案例
-
新基建之充電樁“火”了 想進這個行業(yè)要“心里有底”
2020-06-16充電樁,充電基礎(chǔ)設(shè)施,電力新基建 -
燃料電池汽車駛?cè)雽こ0傩占疫€要多久?
-
備戰(zhàn)全面電動化 多部委及央企“定調(diào)”充電樁配套節(jié)奏
-
權(quán)威發(fā)布 | 新能源汽車產(chǎn)業(yè)頂層設(shè)計落地:鼓勵“光儲充放”,有序推進氫燃料供給體系建設(shè)
2020-11-03新能源,汽車,產(chǎn)業(yè),設(shè)計 -
中國自主研制的“人造太陽”重力支撐設(shè)備正式啟運
2020-09-14核聚變,ITER,核電 -
能源革命和電改政策紅利將長期助力儲能行業(yè)發(fā)展
-
探索 | 既耗能又可供能的數(shù)據(jù)中心 打造融合型綜合能源系統(tǒng)
2020-06-16綜合能源服務(wù),新能源消納,能源互聯(lián)網(wǎng) -
5G新基建助力智能電網(wǎng)發(fā)展
2020-06-125G,智能電網(wǎng),配電網(wǎng) -
從智能電網(wǎng)到智能城市