医院安全监察系统在医院敏感数据获取中的应用

医院安全监察系统在医院敏感数据获取中的应用

1信息系统信息安全等级保护不力,非法获取医疗敏感数据的需要信息技术是世界发展的中心技术，是衡量经济发展和社会进步的重要标志。随着科学技术的发展和医院改革的逐步深入,信息化、管理科学化已渗透到医院管理之中,数字化管理已成为现代化医院必不可少的基础设施与技术支撑环境。医疗大数据覆盖了医院运行的各诊疗环节和医院管理的各个方面,既是医院机密又是宝贵财富。为防止机密数据泄露,原卫生部曾多次要求各级卫生行政部门和各类医疗机构加强医院信息系统药品、高值耗材的统计管理工作,避免为不正当商业目的提供医师个人和临床科室有关药品、高值耗材的用量信息。实施和完善信息安全等级保护工作是达到信息安全要求的必由之路。2012年原卫生部制定印发的《卫生行业信息安全等级保护工作的指导意见》要求三级甲等医院的核心业务信息系统安全保护等级原则上不低于第3级。实现医院信息系统安全,需要在安全付出成本与所能承受的安全风险之间进行平衡。因此实施“核心业务”信息系统安全等级保护,有利于为信息系统安全建设和管理提供系统性、针对性、可行性强的指导和服务,有效控制信息安全建设成本。为达到信息系统安全基线的目标,医院严格管理、屡出新招打击非法统方,但往往效果并不理想。有关医药代表勾结医生、信息科人员,非法获取医疗敏感数据的事件层出不穷。在数据库系统实际运行中,有70%以上的安全威胁都源于内部人员攻击。根本原因是仅靠查处和传统的管理手段,通过事件发生后审计的跟踪溯源,也都只是补救,无法从源头上扼制,只有进行事前预防,全程监控敏感信息,不给人犯错误的机会,才能真正有效地解决问题。2.1药剂科的用量监测医院信息系统应用中有部分高权限用户拥有接触敏感信息权限,例如一些医院的药剂科本身就兼具正常处方点评和合理用药监测的职责,需要对医生、药品和剂量信息进行统计,以防止医生药品滥用和用药比例过高。如果医院信息系统本身管理制度出现漏洞,或者有相关人员出现问题,就会导致统方数据外泄。2.2对系统管理员的密码要求外来的系统运维人员有时要在现场或通过远程对后台服务器、数据库和网络设备进行维护。医院系统管理员有时不得不把相关账户信息告知他们。按照规定当运维工作完成后,系统管理员应更改密码,但实际上往往由于疏忽忘记更改。此时的安全漏洞就是外来运维人员可以随意登录系统并访问敏感数据。2.3用户身份认证大多数信息系统没有采用CA证书,仅仅依靠普通的用户名、口令进行身份认证。如前所述,用户名、口令经常被多人掌握,因此即使知道了某个用户登录系统后进行了违规操作,也无法定位到某个自然人。这种模糊的身份识别也为个别内部IT运维人员提供了抵赖的借口。2.4数据库的维护为了工作方便,医院信息系统开发人员掌握着系统访问数据库的用户名和口令,直接在生产数据库系统上进行应用的维护。开发人员对应用系统的架构了如指掌,他们可以借着维护数据的名义获取敏感信息。2.5精通业务系统这些人员并不熟悉各种IT技术,但是他们非常精通业务系统,知道从哪些正常的渠道获取数据,然后对这些数据进行加工,最终得到想要的敏感数据。2.6采用web漏洞入侵数据库黑客直接在医院内部找到一个物理接入点进行攻击。利用现有大多数数据库网络通信都是明文的特点,黑客极有可能得到后台系统的用户名、口令等重要信息。黑客的手段有:利用HIS等医疗系统的Web漏洞入侵数据库;利用数据库漏洞直接入侵数据库;入侵数据库服务器主机直接窃取数据库文件、备份文件等。2.7事件源头定位错误企业内部核心系统的各种用户名和口令管理松散;出现安全事件后,无法快速、准确地定位事件的源头,更谈不上及时阻止;没有任何操作记录可以进行事后审计,因此也不知道该如何修补系统的安全漏洞;因为缺乏一一对应的身份认证,即使找到了安全事件的源头,也无法定位到自然人。3后续监测的工作原则和缺陷3.1后台安全检查的意义目前医院信息系统中普遍使用的数据库安全审计对于用户行为的监控、安全隐患的检测以及事后追查和分析都有着重要的意义,通过对医院信息系统、数据库等后台系统中的安全进行审核、稽查和计算,在记录一切(或部分)与系统安全有关活动的基础上,对其进行分析处理、评估审查,查找安全隐患,追查造成安全事故的原因并做出进一步的处理。创建一个用于监测非正常或可疑活动的事件记录并自动报警,生成嫌疑报告,是事后报告手段,是一种比较初级和被动的方法。3.2非法统方和漏洞的预防事后审计无法主动阻止内部人员非法统方行为的发生,审计软件担任着记录数据库存取访问的职责,在非法访问发生时不能行使拦截的职能;在伪造IP、用户名进行非法统方时,只能审计不能拦截,无法阻止外部黑客的攻击和存储层的数据泄密;在出现新的更隐蔽的非法统方和漏洞时,需要重新定义风险和记录策略。传统数据库审计软件定位的是事后防范,当审计记录已经捕获到了一些关键信息时,被动审计通常都不会产生理想的结果,及时地由“监测阶段”转入“响应阶段”至关重要,这需要借助访问控制、安全监察软件来实现事前预防和事中控制。4引入预防性安全监控系统4.1事前预防监察控制系统安全监察系统SA-ToolKit对业务系统所管辖资源的系统账号和应用账号进行集中管理、统一认证和集中授权,通过对自然人身份以及资源、资源账号的集中管理,建立“自然人账号——设备资源——设备资源账号”对应关系,实现自然人对资源的统一授权,同时对授权人员的业务操作行为进行记录、分析和展现,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告和事故追踪回放,加强内部业务操作行为监管,避免核心资产(数据库、服务器、网络设备等)损失,保障业务系统的正常运营。中山大学附属第三医院采用了符合国家4A安全要求的事前预防监察控制系统SA-Toolkit,其应用架构,见图1。所有对关键且敏感的网络设备和服务器的请求都要经过安全监察系统的管控,拦截、阻断、过滤所有对目标设备的非法访问和恶意攻击行为。安全监察系统技术的特点是统一帐号管理、统一身份认证、统一资源授权、统一操作安全审计、单点登录管理等。4.2后台管理子系统,用户可恢复在各后台系统内即每位系统操作人员只需使用他自己的用户名、口令登录,然后就可以直接使用其权限内的各种后台系统,无需再次输入各后台系统的用户名、口令。这就最大程度地限制了后台系统的各种用户名、口令被散发出去,见图2。4.3账户使用权限和审计认证即每个用户、系统操作人员进行一对一账号密码以及身份验证,只允许使用一个账号和一个密码,通过登录账号可查具体操作人。鉴权即对用户账户进行权限和验证,对每个账户所能进行的系统操作进行限制,为每位管理员分别设置使用权限,管理员只能在被允许的范围内对设备进行管理,避免人为误操作。审计即对每个账户所进行过的操作进行记录,必要时可进行实时监控。对每位操作人员的在线情况、操作情况、设备运行情况进行跟踪、记录,任何设备变动都处于可控状态,见图3。4.4安全监察系统的对接安全监察系统完全覆盖了防统方漏洞,解决了传统审计软件所暴露的问题,堵住了非法数据泄露的几大途径。同时它又给医疗网内其他资源安全提供了最全方位的保护,例如对医院信息中心的核心服务器、数据库、交换机等设备资源提供了最核心的监控和保护。将医院信息系统业务按等级分类,将敏感业务接入安全监察系统,有利于降低安全监察系统的负荷;配合网络访问控制,切断客户端直接通向敏感设备的通道,仅留一条安全监察设备的通道;配置多样的数据库客户端SQL工具,以方便开发和维护人员通过监察设备使用;做好安全监察设备的维护,制定应急预案。5“防统方”理念信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方