一、醫(yī)院信息安全體系概述
信息安全不是單純依靠安全技術(shù)�����,同時也包括相應(yīng)的管理措施,是一個完整的體系�。除了通過采取各種各樣的安全技術(shù)措施來提高信息系統(tǒng)的穩(wěn)定運行的能力,也需要制訂業(yè)務(wù)持續(xù)性計劃和災難恢復計劃�����,制定相應(yīng)的安全策略�、加強人員安全管理等。只有將信息安全的管理體系化�����、建立統(tǒng)一的信息安全管理體系����、落實各項管理制度、制定合理的安全策略��、采取有效的防范措施��,才能切實保障衛(wèi)生信息系統(tǒng)的安全��、穩(wěn)定、正常地運行�����。
信息系統(tǒng)安全規(guī)劃是一個涉及管理���、法規(guī)和技術(shù)等多方面的綜合工程。信息系統(tǒng)安全的總體目標是物理安全����、網(wǎng)絡(luò)安全、數(shù)據(jù)安全�、信息內(nèi)容安全、信息基礎(chǔ)設(shè)備安全與公共信息安全的總和�。信息系統(tǒng)安全的最終目的是確保信息的保密性、完整性和可用性��。信息系統(tǒng)主體包括醫(yī)院�����、用戶�、社會和國家對于信息資源的控制�����。
信息系統(tǒng)安全規(guī)劃的范圍應(yīng)該是多方面的����,涉及技術(shù)安全�����、規(guī)范管理����、組織結(jié)構(gòu)�����。技術(shù)安全主要包括:防火墻��、入侵檢測�����、漏洞掃描��、防病毒、VPN�、訪問控制、備份恢復等安全產(chǎn)品�。信息系統(tǒng)安全規(guī)劃的層次方法與步驟可以有不同,但是規(guī)劃內(nèi)容與層次應(yīng)該相同��。信息系統(tǒng)安全規(guī)劃不是孤立的�����,第一��,它是依托于醫(yī)院信息化戰(zhàn)略規(guī)劃����。第二,它是為醫(yī)院的信息業(yè)務(wù)系統(tǒng)服務(wù)的����。信息系統(tǒng)安全規(guī)劃需要圍繞技術(shù)安全和管理安全兩部分開展。技術(shù)安全部分包括物理安全�、網(wǎng)絡(luò)安全、主機安全�����、應(yīng)用安全、數(shù)據(jù)安全與備份恢復五個方面�。管理安全部分包括安全管理制度、安全管理機構(gòu)�����、人員安全管理�、系統(tǒng)建設(shè)管理、系統(tǒng)運行維護五個方面�����。
三�����、信息系統(tǒng)安全等級保護體系
信息安全等級保護�����,是對信息和信息載體按照重要性等級分級別進行保護的一種工作��,信息安全等級保護工作包括定級�、備案�����、安全建設(shè)和整改、信息安全等級測評�����、信息安全檢查五個階段�����。信息系統(tǒng)的安全保護等級分為以下五級��,一至五級等級逐級增高���。第一級�����,信息系統(tǒng)受到破壞后����,會對公民����、法人和其他組織的合法權(quán)益造成損害��,但不損害國家安全���、社會秩序和公共利益。第一級信息系統(tǒng)運營��、使用單位應(yīng)當依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標準進行保護�����。第二級�����,信息系統(tǒng)受到破壞后�����,會對公民��、法人和其他組織的合法權(quán)益產(chǎn)生嚴重損害����,或者對社會秩序和公共利益造成損害,但不損害國家安全��。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行指導���。第三級�����,信息系統(tǒng)受到破壞后���,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害����。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行監(jiān)督、檢查�。第四級,信息系統(tǒng)受到破壞后���,會對社會秩序和公共利益造成特別嚴重損害���,或者對國家安全造成嚴重損害。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行強制監(jiān)督�����、檢查。第五級����,信息系統(tǒng)受到破壞后,會對國家安全造成特別嚴重損害����。國家信息安全監(jiān)管部門對該級信息系統(tǒng)安全等級保護工作進行專門監(jiān)督、檢查���。《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》的明確要求�����,全國三甲以上的醫(yī)院核心業(yè)務(wù)系統(tǒng)在2015年12月前均必須達到等保三級����。信息系統(tǒng)安全等級保護體系主要由四大類組成����。
(1)信息系統(tǒng)安全等級保護的法律�����、法規(guī)和政策依據(jù)。
(2)信息系統(tǒng)安全等級保護標準體系���。
(3)信息系統(tǒng)安全等級保護管理體系�����。
(4)信息系統(tǒng)安全等級保護技術(shù)體系��。
四���、醫(yī)院信息安全管理體系建設(shè)
醫(yī)院進行醫(yī)院信息安全管理體系建設(shè),要以《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/T 22239—2008)為指導��,結(jié)合本單位的具體情況��,從安全管理制度�����、安全管理機構(gòu)�����、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理五個方面建立信息安全管理體系���。
根據(jù)安全管理制度的基本要求�,制定各類管理規(guī)定����、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定的各個安全方面所應(yīng)遵守的原則方法和指導性策略�����,引出的具體管理規(guī)定��、管理辦法和實施辦法�����,是具有可操作性���,且必須得到有效推行和實施的制度��;同時���,制定嚴格的制度與發(fā)布流程���、方式�、范圍等;定期對安全管理制度進行評審和修訂����,修訂不足及進行改進。
根據(jù)基本要求設(shè)置安全管理機構(gòu)的組織形式和運作方式�����,明確崗位職責�;設(shè)置安全管理崗位,設(shè)立系統(tǒng)管理員��、網(wǎng)絡(luò)管理員���、安全管理員等崗位���,根據(jù)要求進行人員配備,配備專職安全員���;建立授權(quán)與審批制度����,建立內(nèi)外部溝通合作渠道;定期進行全面安全檢查����,特別是系統(tǒng)日常運行、系統(tǒng)漏洞和數(shù)據(jù)備份等�����。
根據(jù)基本要求制定人員錄用���、離崗�、考核�、培訓等幾方面的規(guī)定,并嚴格執(zhí)行����;規(guī)定外部人員訪問流程,并嚴格執(zhí)行�����;規(guī)定第三方人員工作范圍、工作內(nèi)容����、考核要求,并嚴格執(zhí)行�����。
根據(jù)基本要求制定系統(tǒng)建設(shè)管理制度�����,包括系統(tǒng)定級�、安全方案設(shè)計�����、產(chǎn)品采購和使用�����、自行軟件開發(fā)��、外包軟件開發(fā)��、工程實施�����、測試驗收、系統(tǒng)交付���、系統(tǒng)備案��、等級評測��、安全服務(wù)商選擇等方面��。從工程實施的前��、中��、后三個方面����,從初始定級設(shè)計到驗收評測完整的工程周期角度進行系統(tǒng)建設(shè)管理���。
根據(jù)基本要求進行信息系統(tǒng)日常運行維護管理�,利用管理制度及安全管理中心進行���,環(huán)境管理���、資產(chǎn)管理�、介質(zhì)管理����、設(shè)備管理、監(jiān)控管理和安全管理中心���、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理�、惡意代碼防范管理、密碼管理���、變更管理�����、備份與恢復管理��、安全事件處置���、應(yīng)急預案管理等,使系統(tǒng)始終處于相應(yīng)等級安全狀態(tài)中。
五���、醫(yī)院信息安全技術(shù)體系建設(shè)
技術(shù)安全包括物理安全�、網(wǎng)絡(luò)安全�、主機安全、應(yīng)用安全���、數(shù)據(jù)安全與備份恢復五個方面�����。
(1)物理安全:包括物理位置的選擇�、物理訪問控制�、防盜竊和防破壞、防雷擊�����、防火����、防水和防潮、防靜電�����、溫濕度控制、電力供應(yīng)��、電磁防護��。
(2)網(wǎng)絡(luò)安全包括結(jié)構(gòu)安全��、訪問控制����、安全審計、邊界完整性檢查��、入侵防范��、惡意代碼防范�、網(wǎng)絡(luò)設(shè)備防護��。
(3)主機安全包括身份鑒別����、安全標記、訪問控制�����、可信路徑、安全審計����、剩余信息保護、入侵防范�����、惡意代碼防范�����、資源控制��。
(4)應(yīng)用安全包括身份鑒別����、安全標記、訪問控制���、可信路徑�����、安全審計����、剩余信息保護、通信完整性����、通信保密性、抗抵賴���、軟件容錯�、資源控制���。
(5)數(shù)據(jù)安全�、數(shù)據(jù)備份和恢復包括數(shù)據(jù)完整性�、數(shù)據(jù)保密性、數(shù)據(jù)備份和恢復��。
以患者臨床數(shù)據(jù)為核心的電子病歷信息的采集、存儲����、傳輸��、訪問等環(huán)節(jié)均存在安全問題�。目前重點討論關(guān)注電子病歷臨床數(shù)據(jù)信息傳輸及維護問題��;CA及無紙化環(huán)境下的電子病歷安全�、患者電子病歷信息隱私安全。
(一)電子病歷臨床數(shù)據(jù)信息傳輸及維護
患者數(shù)據(jù)來源于各個臨床信息系統(tǒng)���,組成電子病歷臨床信息����,除信息系統(tǒng)間進行數(shù)據(jù)交互時應(yīng)注意臨床信息一致性���、數(shù)據(jù)來源唯一外����,醫(yī)院職能部門也應(yīng)從規(guī)章制度上定義好相關(guān)的規(guī)范���,在出現(xiàn)問題時的處理要求��、規(guī)范及通知機制�����,避免人為操作錯誤�����。
病歷數(shù)據(jù)為醫(yī)院敏感數(shù)據(jù)��,電子病歷信息數(shù)據(jù)不應(yīng)隨意對外拷貝或?qū)С?���,醫(yī)院內(nèi)部合理查詢或科研要求應(yīng)備案,在安全�����、合理的情況下進行協(xié)助�。如隨意拷貝導出,會形成電子病歷信息安全隱患��。
(二)CA及無紙化環(huán)境下的電子病歷安全
CA數(shù)字認證是由第三方機構(gòu)CA中心簽發(fā)的�,以數(shù)字證書對電子病歷信息進行加密認證的技術(shù)。目前很多醫(yī)院都已經(jīng)完成或正在實施電子病歷的CA數(shù)字認證��?���!峨娮雍灻ā返膶嵤姆缮险J可了數(shù)字簽名的合法性,但這并不意味著電子病歷的信息安全就毫無問題��,通過已上線醫(yī)院的實際使用情況�����,CA數(shù)字認證也存在著以下幾個安全問題���。(1)CA數(shù)字證書的管理問題����。
(2)電子病歷修改后的留痕�����。
(3)CA數(shù)字認證后的應(yīng)急機制�。
(4)電子簽名應(yīng)用的管理。
(5)無紙化的電子病歷信息安全��。
電子病歷信息對于患者同樣是非常重要的資料��,同時也會涉及患者自身的隱私,信息系統(tǒng)如果不注意關(guān)注患者隱私問題����,就容易造成安全隱患。應(yīng)從法律�����、技術(shù)����、公共服務(wù)等角度對電子病歷中的患者信息進行保護。(1)通過防火墻�、信息加密、訪問控制等保護患者隱私�����。
(2)公共場所的患者隱私保護�。
(3)敏感病歷的處理。
七��、數(shù)據(jù)庫審計�、防統(tǒng)方與網(wǎng)站安全
數(shù)據(jù)庫安全風險包括:數(shù)據(jù)庫的用戶訪問控制風險、授權(quán)用戶合法權(quán)限的使用風險����、內(nèi)部操作的風險等��。只有建立完善的數(shù)據(jù)庫安全審計機制,基于數(shù)據(jù)庫操作的行為特征���,對數(shù)據(jù)庫運行中產(chǎn)生的海量��、無序的數(shù)據(jù)進行處理�、分析�,監(jiān)控并審計所有日常操作及數(shù)據(jù)庫任務(wù),對越權(quán)操作��、違規(guī)操作等所有安全事件�,進行實時監(jiān)控并追溯和分析,實現(xiàn)用戶責任追究��。數(shù)據(jù)庫審計系統(tǒng)的工作機制主要通過網(wǎng)絡(luò)抓包����,通常采用旁路部署的方式。將數(shù)據(jù)庫審計設(shè)備直連到數(shù)據(jù)庫服務(wù)器所連接的交換機上�����,并把數(shù)據(jù)庫服務(wù)器所連接的接口或VLAN設(shè)置為鏡像源,把數(shù)據(jù)庫審計設(shè)備所連接的端口設(shè)置為鏡像目的端口���。這樣配置后�,所有通過該交換機訪問數(shù)據(jù)庫的數(shù)據(jù)流量都會被采集到數(shù)據(jù)庫審計系統(tǒng)中���,然后再進行數(shù)據(jù)分析�。數(shù)據(jù)庫審計系統(tǒng)主要功能包括:靜態(tài)審計��、動態(tài)實時監(jiān)控�、審計報表等部分。防統(tǒng)方是數(shù)據(jù)庫審計的一項功能�,主要是針對那些對數(shù)據(jù)庫進行門急診處方數(shù)量查詢、對門急診藥品數(shù)量與金額查詢等�。防統(tǒng)方系統(tǒng)的主要難度是如何區(qū)分正常的查詢與惡意的查詢。經(jīng)常采用電腦的IP地址�、MAC地址、時間段����、用戶權(quán)限等幾個方面與正常的查詢進行區(qū)分,否則誤報率太高��,失去使用價值�����。醫(yī)院網(wǎng)站承擔著“對外服務(wù)、公開信息”等重要職能�����,是醫(yī)院服務(wù)于和諧社會的窗口���,一旦受到黑客攻擊,不僅影響醫(yī)院的正常工作����,降低系統(tǒng)的公信力,嚴重的情況下還會導致重要信息的泄露���,危及醫(yī)院形象�。對醫(yī)院網(wǎng)站的攻擊已經(jīng)由網(wǎng)絡(luò)層轉(zhuǎn)向應(yīng)用層���。常見的八種攻擊包括:
(1)網(wǎng)頁木馬:直接控制網(wǎng)站主機或者借此攻擊訪問者客戶端��;
(2)SQL注入漏洞:數(shù)據(jù)庫信息竊取�����、篡改�、刪除;
(3)Cookie注入:數(shù)據(jù)庫信息竊取��、篡改���、刪除�,控制服務(wù)器���;
(4)跨站腳本漏洞:用戶證書���、網(wǎng)站信息、用戶信息被盜����;
(5)緩沖區(qū)溢出:攻陷和控制服務(wù)器;
(6)表單繞過漏洞:攻擊者訪問禁止訪問的目錄��;
(7)文件上傳漏洞:主頁篡改�����、數(shù)據(jù)損壞和傳播木馬����;
(8)文件攻擊:服務(wù)器信息竊取��、攻陷和控制服務(wù)器�����。
如果醫(yī)院的Web應(yīng)用系統(tǒng)存在上述安全隱患����,若不及時修復有可能導致Web應(yīng)用系統(tǒng)的后臺數(shù)據(jù)庫信息被篡改或盜竊�,嚴重影響醫(yī)院正常的業(yè)務(wù)運營����。建議部署Web應(yīng)用防御設(shè)備,實現(xiàn)對Web應(yīng)用系統(tǒng)面臨的安全威脅進行7×24h實時監(jiān)控�,主動防御來自各個層面的惡意攻擊,提升醫(yī)院Web應(yīng)用系統(tǒng)的可持續(xù)服務(wù)能力�。通過Web應(yīng)用防火墻的部署,可以解決醫(yī)院面臨的常見應(yīng)用安全問題���,如SQL注入攻擊���、跨站攻擊(XSS攻擊��,俗稱釣魚攻擊)����、惡意編碼(網(wǎng)頁木馬)�����、緩沖區(qū)溢出����、應(yīng)用層DDoS攻擊等,防止Web應(yīng)用系統(tǒng)被攻擊���、被掛木馬等嚴重影響形象的安全事件發(fā)生���。
