构建医院信息安全体系的思路和实施建议
2021-11-30林荣宝
林荣宝
(福建省老年医院,福建 福州 350003)
1.医院信息安全现状分析
近些年,我国互联网经济发展和国家对信息安全的高度重视,以及信息系统等级保护测评的实施,这些都促进了医院信息安全建设进程,提高了整个安全体系的水平。医院对信息化的投入也在不断加强,无论是软件、硬件、安全设备等都在不断增加和迭代,新产品、新技术、新方案也都应运而生,但是安全产品的增加并不一定会产生质的飞跃,相反,如果没有合理的安全架构和健全的安全策略,不但无法提高安全等级,反而会带来更多的安全隐患和故障点[1]。笔者从事医院信息安全工作多年,在医院信息化多年的建设过程中,整理总结了一些经验,对医院安全的现状和可能存在的问题进行分析。
1.1 医院网络拓扑结构复杂
由于医院的不断发展,业务应用需求的不断增加,服务内容不断扩展,医院网络由封闭式的隔离网逐步开放,连接医保网、政务外网、政务内网、财政专网、互联网,这就导致众多网络交融在一起,形成一个多出入口、多区域、交互复杂的网络环境,这其中包括有线网络、无线网络、物联网络、5G 网络等,不同的网络之间的通信也极为频繁[2],接入设备也多种多样,包括PC 机、打印机、自助机、智能设备、移动PDA、智慧屏、物联设备等。另外,医院信息系统数量众多,大型三甲医院的系统数量甚至百余个,加上业务系统的复杂性,数据跨多区域传输,而其中系统间数据交互和共享也是错综复杂,操作系统、数据库、中间件、开发语言也各不相同,数据库之间的数据交互类型也多种多样,这些都使医院整体的信息安全庞大而复杂。
1.2 缺乏安全管理机制和统一的处置流程,整体安全意识不足
信息部门工作杂多,软件实施和维护、网络维护、日常维护、系统集成、数据统计上报等等,这就致使信息部门要分不同的功能组,各司其职。而安全问题几乎涉及每一个类别,包括终端安全、管理安全、网络安全、服务器安全、数据库安全、数据安全、设备安全、物理安全、策略安全、主动防御等等,安全管理员无法独立完成所有安全工作,甚至没有设置专职安全管理员,经常出现随意安装设备,任意开放端口,降低管理权限,提升使用权限等等问题。另外,有时为了保证业务系统正常运行,或者软件系统本身的架构和特性,安全问题往往也作出临时的或者永久的让步,这就产生了安全隐患,而这种隐患随着业务的上线,是很难修正的。还有一些信息部门工作人员,安全意识不足,安全知识匮乏,随意修改安全策略,随意卸载安全软件等等。
1.3 安全架构设计存在缺陷和漏洞
医院信息网络可能存在安全域划分不够合理、对数据流向分析不够精细、对功能区边界定义不够清晰等诸多问题。安全设备比如防火墙、WAF 墙、IPS 等,策略设置得不够精细,源地址、目标地址、端口设置颗粒度不够,特征库也没有及时更新,服务器之间或者安全域内部的东西流量没有控制策略,核心设备管理地址没有做好隐藏,账号密码复杂度不够[3],缺少针对数据库的防火墙等等,还有一些安全设备策略不合理,甚至成为网络攻击的跳板。
2.信息安全体系设计及实施建议
2.1 建立安全管理制度,提高人员安全意识
信息安全是信息部门全员参与的工作,要建立切实可行的安全管理制度,包括终端的安全、网络的安全、服务器及数据库的安全、软件的安全等等,都要落实到位并建立相关的责任追溯制度。
通过培训和学习,提高工作人员的安全意识,结合自身的相关工作,由安全管理员牵头,共同建立一套可落地、可执行的安全管理的机制和应对安全事件的方案,并加强工作协调力度。
有完整、全面的安全工作细则,包括系统的安装、软件的部署、网络的接入、权限的分配、策略的变更等,都有相关的指导文件为支撑,做到全方位覆盖无死角。
2.2 重构网络结构,分区分域
重构网络结构的目的是重新梳理现有网络,找到设计缺陷和安全漏洞,然后从功能角度重新设计整个网络拓扑结构。医院网络区域一般分为业务内网、医保政务等外联网、内网安全前置区、互联网安全前置区、互联网区等,各个区域要根据实际情况进行物理隔离或者逻辑隔离[4],区域之间有相应的网闸、下一代墙、光闸等安全设备,还要保证设备的可用性和策略的合理性。
业务内网区又可以分为有线接入区、无线接入区、服务器区、运维管理区等,每个区域都要有相应的安全设备进行隔离,根据实际应用严格管控数据流向。针对接入区,要划分VLAN进行隔离,针对服务器区,每一台服务器的防火墙策略要细化到端口级,关闭一切和业务无关的端口和服务。
利用SDN 引流技术或者Vmware 的NSX 技术,解决传统防火墙无法管控东西流量的问题,使防火墙策略下沉,加强服务器之间的访问策略的安全性。
外联区包括医保网、政务外网、政务内网、财政专网等,该区域与业务内网区要有防火墙、IPS、防毒墙等安全设备,并且要严控数据流向,细化源地址、目标地址、服务及端口,并及时更新设备的病毒库、特征库。
业务内网区和互联网区要设置前置区,包括内网前置和外网前置,区域之间要逻辑隔离,通过网闸、光闸等设备连接,对于TCP 请求,要进行IP 和端口的转换,对于访问数据库业务,要利用网闸的数据摆渡功能同步数据,严格禁止从互联网直接连接至内网。
2.3 基于“零信任”原则,针对不同安全区实施策略,并定期检查策略有效性
对入网的所有设备的合法性进行管控,对接入端设备例如:PC 主机、PDA、移动设备、物联网设备、智能电视、LED 屏等进行准入验证,严格匹配IP 地址、MAC 地址、交换机端口、硬盘序列号等信息,未经授权的设备严禁接入网络,并做好预警提示和日志审计。对服务器要关闭所有非应用端口和服务,通过堡垒机进行数据库日常运维,权限要保证“最小化”原则,超级管理员账号要严格管控,建立三权分立的工作流程。
严格把控设备运行过程中的合规性,保证防病毒软件、桌面管理软件的稳定运行,及时更新系统补丁,并严禁随意卸载。禁止一切非授权外设接入,例如接入U 盘、光驱、硬盘等。严禁内网电脑连接互联网,也禁止私有电脑接入内网,并做好日志记录。对LED、智慧屏、电视等亚终端,对接口和协议进行改造和关闭,防止物理性入侵。
合理规划网络拓扑结构,防止出现安全死角,保证策略覆盖的全面性。信息安全具有木桶效应特性,任何一个短板,都有可能导致所有安全措施防御失败,所以,要多维度、多角度、全方位地执行安全策略[5]。同时,精确掌握数据流向特征,关闭非必要数据通道,要隔离VLAN、安全域之间的非授权访问,将每一台服务器或者设备都建成安全的孤岛(即禁止一切非必要数据流量通行)。
对策略的变更进行严格管控,建立可追溯机制,对于任何策略的变更都要验证其合理性,如果是测试行为,要设置有效期或者注明标签,防止其长期生效。对于远程运维行为,要做到单次授权或者短期授权,并且要通过VPN和堡垒机进行连接,记录操作日志,并有双因素认证体系保证其合法性。
系统在不断的运行调整过程中,难免出现纰漏,所以要定期验证策略的有效性,比如安全软件是否被卸载、网络准入策略是否生效、防火墙策略是否有效、服务器非必要端口是否开启等等。可以通过漏洞扫描工具对全网特别是互联网出口进行定期扫描,并及时解决,形成网络安全事件的PDCA 循环[6],还可以通过态势感知、日志审计、数据库审计等设备,在应用层对非法数据进行分析、审计和留痕。
2.4 以查促建,保持警惕
信息安全工作是永无止境的,没有任何系统是绝对安全的,所以作为安全管理人员,要时刻保持警惕,不断学习以提高技术水平。同时,可以通过邀请院外安全专家进行同行评审、接受网安部门的检查、等保测评、安全演练等活动,查找安全漏洞,也可以通过购买第三方安全服务的方式,授权模拟渗透和攻击。这种方式可以为我们提供更为广阔的思路,有利于提升整体安全水平。
3.结语
医院信息安全工作任重而道远,是信息化建设的保障。规划一个适合医院自身环境的安全解决方案和网络架构是构建一个安全的网络环境的基础,不但要以医院信息化长期发展规划为依据,动态调整安全架构,也要从细微处入手,多维度、多方位地完善安全策略,更要通过制定完善的安全管理制度提高全员的安全意识。同时,安全管理人员要通过不断学习和积累,将新技术和新方案融入具体的工作中。