智慧医院网络安全建设

1、智慧医院网络安全建设医院信息化建设医院简介医院创建于1951年徐淮东部地区规模最大三级甲等综合医院全国文明单位全国卫生系统先进集体全国医院文化建设优秀单位全国综合医院中医药工作示范单位XX省文明单位XX省十佳医院XX省省级平安医院XX省卫生系统先进集体XX省基本现代化医院XX省群众满意的医疗卫生机构XX省实施患者安全目标合格医院一院四区高新院区大综合+康复+保健 通灌院区大门诊+专科医院XX院区综合+特色 开发区院区（筹建中）医 康 养 年诊疗总量165万编制床位2970张年出院人次11.88万年手术人次3.1万ABCD多法人组织架构连云港市一院新东卫生服务中心通灌院区 三级高新区院区三级脑科

2、医院儿童医院口腔医院心血管病医院灌南院区 二级开发区院区医养结合信息化建设历程第一台计算机，用于统计报表及人员工资造表第一个部门级局域网，用于门诊收费及药品管理院级HIS、LIS医生工作站（含电子病历）护理系统院感、物流电子病历自评四级，双活数据中心、护理信息化高新、XX院区智能化，自助系统（含预约平台、支付平台），信息系统等保三级多院区信息一体化规划HIS&EMR&HRP&集成平台1987年1993年1998年2002年2007年2013年2014年2015年2016年2017年多院区信息一体化系统上线2004年2009年HIS系统升级（二代电子病历）、分诊叫号、PACS手麻系统2018年电

3、子病历5级2019年互联网医院互联互通四甲通过电子病历5级评价及互联互通四级甲等测评XX省首批互联网医院目录CONTENTS网络安全建设背景01医疗行业网络安全现状02网络安全建设实践03网络安全体系化建设04Part 1网络安全建设背景行业安全威胁类型勒索病毒依然猖獗 云脑监测到Globelmposter、GandCrab、Crysis等 近期出现Globelmposter 4.0、GandCrab 5.2等勒索变种。 圈内出现解密产业链，企业和教育感染病毒数量占总体的51%。Top3 地区：XXXXXX挖矿病毒变种繁多最为活跃的挖矿病毒是Xmrig、WannaMine、MinePool、B

4、itcoinMiner、ZombieboyMiner、FalseSign，特别是Xmrig家族，共拦截4.58亿次。WEB漏洞攻击严重 以系统漏洞利用、WebServer漏洞利用、Web扫描等分类为主。其中系统漏洞利用类型的占比更是高达28.70%，有近亿的命中日志； WebServer漏洞利用类型均占比23.34%；Web扫描类型的漏洞占比17.72%。此外，信息泄露攻击、Webshell上传等攻击类型在3月的攻击数量有所增长。 高危漏洞攻击严重 Windows SMB Server 远程代码执行漏洞攻击利用日志最多； Struts2系列漏洞攻击趋势近几月攻击次数波动较大 Weblogic系

5、列漏洞的攻击趋势结束了前几月的持续降低，本月拦截到近两百万攻击日志； PHPCMS系列漏洞近几月攻击次数大幅上升，中央网络安全和信息化领导小组（更名：中央网络安全和信息化委员会）没有网络安全就没有国家安全，没有信息化就没有现代化。 习近平中华人民共和国网络安全法 中华人民共和国网络安全法由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行。 第三章网络运行安全部分规定，国家实行网络安全等级保护制度，要求网络运营者要按照网络安全等级保护制度执行要求内容。XX省三级综合医院评审标准实施细则（2019版） 第六章“医院管理”（6-6

6、信息与图书管理）：6-6-1-1 建立医院网络安全及信息化建设领导小组和专职管理机构，建立各部门间组织协调机制，制 定信息化发展规划，有信息化建设相关管理制度。6-6-3-1 加强信息系统的安全保障和患者隐私保护。电子病历系统功能应用水平评价标准第九章 电子病历基础基础设施与安全管控Part 2医疗行业网络安全现状“互联网+医疗健康”数据安全移动安全XX全物联网安全信息安全防护云医疗云环境安全端医护患者终端管医疗信息传输安全安全配置访问控制安全认证安全配置接口安全数据校验加密传输配置安全访问控制账号安全安全验证医疗数据全生命周期管理代码安全安全运营安全审计集中管控安全接入数据防泄漏虚机安全入侵

7、防范数据分级管理数据防泄漏跨境传输管理数据采集管理数据安全与隐私保护威胁情报资源管理安全隔离应用安全安全合规备份与恢复流量监测安全隔离安全升级固件安全入侵防范数据安全交换病毒防护国密要求潜在的安全威胁VPNVPNLIS服务器PACS服务器2PACS服务器2HIS服务器2HIS服务器1EMRHIS数据中心PACS数据中心LIS数据中心EMR数据中心防火墙前置机核心交换机交换机交换机交换机门诊系统护士工作站住院医生站药品管理财务管理MRICTCRCRLIS路由器安全配置细化程度不够对0day威胁无抵抗能力系统漏洞未及时修复恶意软件泛滥弱口令被暴力破解资产沦为“肉鸡”移动存储设备随意使用，带入病毒或

8、者关键数据泄露安全运维人员少设备众多，运维繁琐数据库管理监管力度不够、数据安全得不到安全防护病毒木马传播途径多APT（高级持续性威胁）内网电脑非法接入外网医疗行业安全共性问题现状问题: 服务器、终端、应用系统登录弱口令；整改建议：优化系统口令复杂度检查；增加多因子认证。弱口令普遍存在，身份认证安全急需加强共性安全问题现状问题: 网线外露连接的自助设备、网络打印机等终端存在非法接入整改建议： 接入交换机端口开启认证功能。非法终端接入，缺乏认证策略现状问题: 漏洞更新不及时；整改建议： 做好漏洞巡检和修复工作，事前做好测试评估工作 漏洞修复不及时现状问题: 服务器普遍零防御攻击整改建议： 安装服务

9、器主机安全防护软件。服务器安全防护缺失现状问题: 老旧资产成为跳板整改建议： 针对资产信息定期进行梳理，建立台账，准确掌握资产时效性等信息。老旧资产成为跳板现状问题:供应链安全风险整改建议：各单位对自有系统的厂商运维账号、VPN账号等风险点，进行清理整顿；加强对运维单位的管理，定期更换密码。供应链安全风险现状问题:网络缺乏细粒度隔离措施整改建议：业务内网可采用防火墙、vlan等隔离技术，对内部网络进行细分，配置访问控制策略，进行细粒度的隔离设置，并将违规操作上报统一监管平台 同级网络缺乏细粒度隔离措施现状问题:互联网与信息内网；信息内网与核心内网。整改建议：减少互联网出口，并对互联网出口严格管

10、理；对内网核心网络区域施加强隔离措施。业务内网隔离缺失现状问题: 数据加密、被挟持，数据外泄整改建议： 加强对数据的实时有效监管、脱敏加固等防护措施数据防护、泄露现状问题: 边界接入乱；缺乏有效防护整改建议： 按行业、访问方式分类； 防火墙、IPS、防毒 边界接入乱、缺乏有效防护医疗行业安全现状安全防护设备种类繁多，各类告警信息同比增长安全事件层出不穷，安全人员压力增加安全风险不可控，未知威胁风险趋势不可知部分信息化及相关人员，安全意识淡薄应急响应机制不合理，缺乏定期应急演练重视程度不够，安全投入不足，缺乏持续性Part 3网络安全建设实践建设思路内在风险的主动感知2运行环境的安全1外部攻击的

11、积极防御3医院安全架构图等保2.0 标准一个中心三个控制点计算环境区域边界通信网络运行环境的安全 - 终端接入认证1.针对公共区域网线外露连接的设备，在自助机、信息发布终端、医疗设备等通过安装准入客户端或白名单认证，上行连接开启端口认证功能。4.针对驻场工程师： 签订信息系统保密协议书； 配备虚拟终端（开启准入认证）接入业务内网，外带笔记本只允许连接外网；2.终端电脑严禁U盘等存储设备接入，严禁双网卡同时使用。3.门诊医生站、住院医生站、住院护士站配置虚拟桌面。运行环境的安全 - 边界防护1、针对应用场景，将网络划分不同区域，区域与区域之间通过防火墙、网闸等设计进行隔离；2、在防火墙、IPS、

12、网闸设备配置安全访问策略（端口级），不允许未经授权地址访问；3、运维审计域部署入侵检测、日志审计、数据库审计等设备，做好对内网区域实时监控，同时对可能发生的网络安全事件进行预警、记录和审计；边界防火墙- 访问控制策略边界IPS - 实时拦截记录运行环境的安全 - 数据安全：数据库安全、异地备份借助 RecoverPoint 最大程度减少 RPO连续上午 8 点上午 10 点中午 12 点 下午 2 点 下午 4 点下午 6 点晚上 8 点晚上 10 点午夜 12 点提供类似于 DVR 的任意时间点数据访问午夜 12 点午夜 12 点备份恢复点目标 (RPO)快照上午 8 点晚上 11 点下午

13、1 点下午 6 点下午 3:27下午 3:28 发生数据损坏12+ 小时3+ 小时运行环境的安全 应用安全1、利用企业级互联网架构统一系统架构设计，构建医院共享服务中心，系统具有极大的弹性和灵活性，降低了应用的复杂度；2、建设数据集成基础平台，通过Dubbo建立医疗服务总线ESB，实现与业务异构系统以及外部系统之间的的数据交互；3、建设信息资源中心，包含医院主数据、CDR、ODS决策系统等大数据应用。 运行环境的安全集中管控中心图01-Zabbix监控平台（实时监控）图02-数据库监控运维平台（实时监控）图04-数据中心动环监控系统（实时监控）图05-日志审计（定期分析）图03- 微信告警平台

14、（实时告警）图06-手机短信告警（实时告警）互联网医院按等保2.0新标准进行等保三级备案、测评工作内在风险的主动感知等级保护，等保2.0我院信息安全等级保护工作建设HIS、LIS、PACS、EMR完成等保二级备案工作2012年HIS、LIS、PACS、EMR通过等保三级测评，OA和门户网站通过等保二级测评2015年临床一体化系统、LIS、PACS、急诊信息系统、移动护理系统通过等保三级测评，OA和门户网站通过等保二级测评2018年2019年10月内在风险的主动感知终端、服务器安全防护体系1. 未知威胁发现设备（TDA）发现病毒感染事件；（内部进行沙盒测试）2. 通过威胁防御管控中心，实时将病毒分析结果推送到终端设备或服务器端并进行清除或隔离操作；3. 同时通过威胁防御管控中心调查该病毒感染的区域和是否已经扩散，形成分析报告；某终端中毒后联动过程：外部攻击的积极防御安全态势感知医院内网部署态势感知系统，通过收集网络、安全、服务器日志，实时监控数据流量，利用大数据和自身算法实时分析，达到快速定位、预警、控制和处理安全威胁。外部攻击的积极防御依托第三方云平台 2016年03月，在网站虚拟化集群前部署WEB防护（含网页防篡改）； 2017年12月，医院门户、专科医、集团网站迁移至阿里云； 2019年0