買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 幣安幣 > Info

SSL:互聯網醫院大門已敞開,信息安全有哪些薄弱點、又該如何保障?_WEB幣SSL價格

Author:

Time:1900/1/1 0:00:00

2018年,醫療信息化、互聯網醫療重量級政策和標準頻發,這為醫院進入下一個醫療行業的信息安全市場情況如何?醫院目前的信息安全的薄弱點有哪些?醫院該如何應對信息化創新產品下的信息安全,以及日益泛濫的網絡勒索?這些問題,將在本篇文章中得到深度探討。

醫療信息安全市場缺乏活力,根本原因是?

下面這張表,是動脈網結合2018年《全國醫院信息化建設標準與規范》安全要求,以及中國醫院協會信息管理專業委員會CHIMA發布的《2017-2018中國醫院信息化狀況調查報告》中的相關數據得出。將兩者相互印證之后,動脈網得出了目前三級醫院信息安全建設情況:

從表中可以看出,目前三級醫院的信息安全建設,主要集中在防火墻、反病、VPN/網閘和容災備份這四個方面;建設較差的主要包括安全審計、身份認證、隱私保護、終端安全和網絡安全。

針對醫療行業信息安全市場的現狀,廣州市婦女兒童醫療中心數據中心副主任曹曉均給出了自己的觀點。他認為,市場的大小根本原因在于醫療行業的安全建設相對落后。行業中,并沒有整體的安全規劃或建設思路。并且,大部分醫院的安全建設都是滿足合規性要求上的投入。如采購幾臺防火墻、終端管理軟件再加上管理制度,就可以通過等保要求,真正用心做安全整體設計的并不多。這種現狀,導致整個醫療信息安全市場缺乏活力。

此外,目前國內醫療行業更關注業務發展需求,缺乏專業的網絡安全人才儲備,這也是目前比較大的挑戰。

一位業內人士則透露,一方面醫院信息部門的地位相對弱勢,信息化建設大多取決于院方領導的意識。對醫院來說,單位網絡設備體量不大,一般是純內網的環境,當前重點建設基本集中在網絡基礎設施完善,安全建設相對滯后。再加上醫療行業屬于財政差額撥款單位,有相當一部分醫院資金不富裕,因此安全建設的優先級相對較低。

對于國內醫療信息安全市場現階段的產值規模,作為國內信息安全企業的代表,綠盟科技相關負責人分析了以下兩點原因:

香港財政司司長:未來數月將出訪歐美等地介紹香港第三代互聯網等最新發展:金色財經報道,香港財政司司長陳茂波在最新一期《司長隨筆》中透露,未來數月將會出訪歐美等地,親身說明“一國兩制”的獨特優勢為香港發展帶來的新機遇和新潛力,并介紹香港的最新發展,包括創新科技、綠色科技和綠色金融,以及Web3.0等。此外,陳茂波還表示香港即將舉行一系列大型國際金融會議,包括10月底舉行的香港金融科技周、11月的國際金融領袖投資峰會等。[2023/9/5 13:18:35]

其一,信息安全相關配套政策和標準較少。在網絡安全法正式實施之前,國內對于個人隱私信息的安全要求幾乎空白。而醫療行業是涉及個人隱私信息最為深入的領域,沒有法律法規上的明確要求,沒有行業標準的具體指向,各級醫療機構很難認識到信息安全對自身業務的深刻影響,也就很少會主動考慮在安全方面有所投入。

其二,信息或網絡安全對醫療行業的實際業務推進上缺乏直觀的價值感受。舉例而言,一所三甲醫院每年的IT類投資可能達到千萬級。但醫院決策者基于業務發展的考慮更多的會對臨床、研究、醫技等業務領域方面進行投入,原因就在于這些IT投資對業務的推進和支撐幾乎是肉眼可見,而信息安全的價值卻很難被感知。防護了多少安全攻擊、解決了多少安全漏洞、抵御了多少次信息泄露,這些都不會被直接展示到決策者的案桌上。

正因如此,最近兩年,各大信息安全廠商均在重點考慮和投入安全運營和效果可視化。

互聯網醫院扎堆出現,如何保障它們的信息安全?

如何保障互聯網醫院的信息安全?在回答這一問題前,首先要明確而其定義和具體要求。

互聯網醫院的概念提出,是為了解決原有傳統醫療體系中所欠缺的專業醫療資源不均衡和醫療服務體驗差的問題。因此互聯網醫院為了解決這兩大核心問題,采用的機制是借助互聯網這個強大的資源共享方式,借助云計算和大數據等技術,從模式和能力上對作為傳統醫療業務的補充。

新華社:加快Web3.0應用場景建設,有望重塑互聯網全新生態:金色財經報道,新華社主辦《半月談》記者近期發布文章表示,隨著元宇宙、NFT等新技術概念風起云涌,穩定運行多年的現行互聯網面臨重構風險,挑戰者以去中心化為利刃試圖打破行業壟斷。當前,多國政府對Web3.0發展高度關注并保持積極探索,標準化組織正在圍繞分布式標識、數字資產等重點方向開展技術研究與標準制定,Web3.0投融資規模與數量持續增長,互聯網企業與來自其他行業的企業都在通過Web3.0尋找新的產業機遇。[2023/3/1 12:35:59]

互聯網醫院的管理辦法中提到,互聯網醫院由互聯網進行遠程訪問,會涉及到實體醫療機構的重要系統數據交換,同時根據互聯網醫院信息系統按照國家有關法律法規和規定,實施第三級信息安全等級保護。所以,在滿足醫院的互聯網接入和虛擬專用用上,醫院還要滿足數據安全的要求。

從本質上講,互聯網醫院的信息安全所要保障的根本并沒有變,依然是對于數據,特別是醫療臨床等相關的健康數據的保護,從傳輸、處理、共享、存儲各方面考慮其安全性。因此,要滿足這類安全需求,絕不是單一的安全產品能實現。醫院需要充分結合實際的技術場景,選擇在各個維度能夠達到風險控制需要的安全產品。

例如,在傳輸層面,互聯網邊界需要考慮訪問控制、入侵防護、病檢測和防護、WEB安全防護等措施。而在數據交換場景下,醫院需要考慮數據脫敏、數據加密、數據防泄漏、數據庫審計或防護等。所以,沒有最好的安全產品,只有最適合業務的安全解決方案。

對于目前備受關注的互聯網醫院的信息安全建設,國內知名數據安全廠商安華金和醫療行業負責人認為,互聯網專線和VPN能夠解決一部分的外網接入的安全問題,但從業務訪問的角度來講,業務數據系統對外提供,包括遠程醫療、醫保查詢、預約掛號等都需要直接訪問業務數據,對于數據本身的訪問安全以及對于內網訪問安全也需要加強。

例如,在數據庫安全方面可以采用數據庫審計、數據庫防火墻、數據庫加密、數據庫脫敏等手段進行安全加固。整體而言,可以從主動防御體系的思路做安全建設,這涉及四道防線:

銀保監會發布《互聯網保險業務監管辦法》,鼓勵保險與區塊鏈等新技術相融合:今日,銀保監會發布《互聯網保險業務監管辦法》,《辦法》在規范經營、防范風險、劃清紅線的基礎上,鼓勵保險與互聯網、大數據、區塊鏈等新技術相融合,支持互聯網保險在更高水平服務實體經濟和社會民生。(中國經濟網)[2020/12/14 15:07:23]

第一道防線:檢查預警。通過數據庫漏掃產品對數據庫威脅進行檢查分析,給出安全建議。

第二道防線:主動防御。通過數據庫安全運維產品的身份識別、運維審批、流程管理,防止非法人員操作;防止外部攻擊破壞;與此同時做好內部防護,防止內部超級權限。

第三道防線:底線防守。

閾值管控:規避批量惡意訪問,針對大批量醫療泄密進行告警控管,防止醫療數據批量查詢;

數據庫加密產品:防止防止醫患數據泄露“脫庫”;

數據庫脫敏產品:醫療數據去隱私化,防止泄漏真實數據給第三方。

第四道防線:事后追查。利用數據庫審計產品來區分是外部威脅還是內鬼作案,可以對安全事件進行責任追溯。

對于互聯網醫院APP的安全問題,綠盟科技則認為應該從應用服務端、網絡通信和用戶三個層面來整體看待。

對于服務端而言,基于移動應用端的APP安全與傳統的WEB安全并無本質區別,現有的WAF類防護產品依然適用,能夠防護來自APP端的攻擊,網絡通信端的安全則主要考慮數據的保密與完整性。因此,醫院可以通過SSL或HTTPS來解決。

而移動端的安全,對醫院這樣的企業級用戶而言,幾乎不可能通過傳統意義上的安全產品來解決安全漏洞問題。因為無法要求每個移動端用戶自己按照要求安裝指定的安全軟件,那會帶來極大的用戶體驗下降。因此,目前更多的醫療機構在上線APP應用前,會進行系統性的安全評估和安全的黑白盒測試。基于測試和評估結果,安全廠商能夠指導開發者對不安全的漏洞進行及時修復,以此來徹底解決APP的安全問題。

現場 | 薛世淵:與傳統互聯網相比 智能合約能做到“更快”與“更安全”:金色財經現場報道,1月29日,2019區塊鏈產業技術峰會于臺北市舉行。BMW Group區塊鏈工程師薛世淵發表以“推動汽車行業區塊鏈的發展”為主題的演講。他表示,與傳統互聯網相比,智能合約所能做到的是“更快”與“更安全”。 當我們使用電腦的時候,傳統互聯網是將數據都通過中央處理器進行收集和分發,路徑相對復雜。區塊鏈可以實現點對點傳送,效率更高。同時,我們無須懷疑拿到的數據是否真實,是否經過惡意篡改。例如購買二手車時,我們無法知道前車主對這輛車做了什么。但是用區塊鏈記錄駕駛行為,相當于給汽車加了一個護照,我們很容易便能查到這輛車行駛過多少公里,是否發生過事故等等。[2019/1/29]

曹主任的觀點與綠盟科技類似,他認為,在遠程移動的訪問上,采用SSLVPN(國密)實現遠程訪問的卻是較好的方案。在互聯網醫院與偏遠地區醫療機構、基層醫療衛生機構、全科醫生與專科醫生的數據資源共享和業務協同上,可以考慮采用安全一體機部署在基礎醫療機構本地,實現VPN安全組網和數據加密傳輸。

VPN和防火墻,醫院青睞的兩大香餑餑

在騰訊最近發布的醫療行業安全指數報告中提到,目前醫療行業的網絡安全設備首選防火墻和VPN設備。

造成這個結果的原因,綠盟科技負責人認為主要有兩個:一是這兩類產品的使用范圍更多,凡是有網絡邊界的地方幾乎都要用到防火墻進行邏輯隔離。而VPN則是目前最為低成本和穩定的專用網絡解決方案,凡是涉及到有需要遠程接入訪問內網的場景,都需要借助VPN實現,這造成了巨大的需求基數。

另外一方面,醫療用戶普遍對網絡安全的認識還不夠深刻。特別在廣大的基層醫療機構,因為網絡規模較小、信息數據量也不大,認為邊界防護有防火墻,通信數據保障有VPN即可確保整體網絡安全。

但其實無論醫療機構的大小,涉及到病患隱私信息數據、臨床信息數據等敏感數據的重要程度都是不言而喻。對這類數據的保護除了防火墻和VPN之外,還需要考慮邊界的縱深防護,諸如入侵防護、病過濾、針對WEB應用的WAF產品,針對數據庫保護的數據庫防火墻和安全審計等環節,等需要考慮建設。

金丘區塊鏈左鵬:積極擁抱下一輪互聯網的溫商有望成為區塊鏈與實體經濟的連接器:金丘區塊鏈CEO左鵬受邀參加了由Penta(梵塔網絡/PNT)與伽馬資本聯合舉辦的下一代公鏈技術峰會,他表示:金丘成立以來的3輪融資,每輪均有溫州資金的跟投,對溫州懷有深厚感情,對于一直走在創業創新路上的溫商也十分尊重。積極擁抱下一輪互聯網的溫商,將有機會成為區塊鏈與實體經濟的連接器。而作為一個充分享受區塊鏈帶來的機會與資本市場便利的技術公司,也要時刻關注用區塊鏈技術反哺、服務實體經濟。同時,他也對Penta在共識算法、DAPP平臺、互聯互通以及抗量子計算方面的表現表示認可。[2018/5/19]

對于目前醫院VPN的使用現狀,安華金和負責人在與某三級醫院信息科主任溝通之后,也給出了自己的觀點:VPN一方面用于遠程維護,另外一個主要的用途是區域聯網。但目前區域聯網更傾向于專線,只有條件不夠,醫院才選擇走VPN。比如不少醫院與市衛健委、省衛健委的連接方式就采用專線,而條件達不到的醫院,則只能使用VPN實現連接。

此外,在實際使用中,醫院不僅要考慮互聯網訪問的接入安全,還需考慮數據平臺的安全。如果用戶的VPN賬戶被盜取或者邊界被入侵,那么核心的數據將直接暴露在攻擊者面前。因此在對訪問進行準入控制的同時,也需要通過數據安全手段對核心數據進行專業的防護。

對此曹主任也給予了認同,他表示,在目前醫院的安全建設中,醫院內網及遠程醫療的發展尤為重要。因此,防火墻和VPN自然就作為剛需或首先。但隨著如大數據、云計算、移動互聯網、物聯網等新技術的發展,安全技術同樣需要發展和更新。

曹主任建議,醫院可以進行體系化的安全建設,包括安全技術體系、管理體系、運營體系,三者相輔相成。在方案上,可以采用融合安全、立體保護的架構,比如采用一體化的安全設備,減少設備運維管理壓力。另外,在端點安全、網絡邊界安全、云端安全、安全服務、安全管理制度等,醫院都應該及時加強。

保護醫院數據安全,都有哪些妙招?

根據2018年《全國醫院信息化建設標準與規范》安全的要求,三級醫院的數據安全保護主要包括以下8大措施:

1、防火墻

2、安全審計設備

3、系統加固設備

4、數據加固設備

5、入侵防范設備

6、身份認證系統

7、訪問控制系統

8、安全管理系統

對于現階段三級醫院建設較弱的身份認證環節,綠盟科技負責人表示,目前這部分醫院普遍使用4A產品如堡壘機,來解決院內的統一認證的問題。通過將賬號、認證、授權、審計四個過程,來解決對數據的訪問權限的問題。

而認證的方式則可以根據所訪問的數據和系統,醫院可以自行選擇強度適合的方式。例如針對核心的HIS數據,訪問可以采用多人、多因素的認證方式,兩個或兩個以上的人員保存一副密鑰的部分,通過靜態密碼結合短信令牌、CA證書、指紋或其他生物特征識別技術來實現強認證方式。針對醫院的醫護工作人員,則僅進行靜態密碼的認證來實現,以保障業務的順暢性。

在2018版的《電子病歷應用管理規范》解讀中,首都醫科大學附屬北京天壇醫院信息中心主任王韜曾闡述了現有數字簽名在電子病歷數據保護上存在的兩大隱患:

1、簽名內容的專屬性,目前尚未出臺電子病歷簽名內容的標準,這導致CA在簽名時不考慮提交簽名的內容是否存在問題,這到這患者存在“被掉包”的可能性。

2、簽名內容完整性。由于醫院簽名次數較多,CA在驗簽時無法發現醫院是否每次提交內容中有包含不利信息。

以上兩種隱患,王主任認為可以通過簽名+時間戳的方式進行解決。如此一來,就能保證每次的操作人員和操作時間可查詢、可追溯。

但據曹主任所言,目前普遍的認證方式都沒真正在醫院用起來。比如內網中采用最多的CA認證,雖然它可以實現雙因素認證,提高認證的安全性,但因為使用起來比較麻煩,并且還存在兼容性問題,因此醫院采用的其實并不多。

而在數據的查詢、追溯、管理上,醫院可以采用日志審計、堡壘機、數據庫審計等方式進行管理,實現一定程度上的數據保護。但是在大數據上,非結構化的數據會存在一定的問題。并且多設備的部署,醫院在管理運維方面也會比較麻煩。因此曹主任認為,在新的安全技術方向上,醫院可以采用軟件定義安全的模式進行部署。

面對日益泛濫的勒索攻擊,醫院該如何應對?

2018年1月15日,位于印第安納州漢考克健康的Greenfield受到勒索軟件攻擊,這促使技術人員關閉了整個網絡。在醫院電腦屏幕上出現勒索軟件通知后不久。黑客竟然猖狂地表示,在技術人員支付比特幣贖金前,他會長期“保管”一定數量的系統“人質”。

對此,衛生系統的IT團隊立即關閉了包括醫生辦公室和健康中心在內的所有網絡,以隔離病。相關技術人員表示,黑客正試圖讓醫院無法運營,使用“數字掛鎖”來限制人員對系統部分功能的訪問。

McAfee首席科學家RajSamani表示:“就勒索軟件而言,醫療行業遭受的損失可能是最多的。勒索軟件的爆炸式增長,其發源也是醫療領域。黑客們或將從傳統形式的勒索軟件,轉向更多的網絡破壞和服務中斷型攻擊。”

據動脈網了解,勒索病和挖礦病之所以威力巨大,一般是由于利用了永恒之藍等遠程攻擊方式,能夠自我傳播。因此,一個有趣的現象是,即所謂的內外網隔離的內網環境反倒更多地遭到侵襲,病也更泛濫。原因在于,相比于跟互聯網直接接觸的場景,純內網的生產環境對安全少了對危機的敏感度。因此,被攻擊或遭到病的侵襲也就成為必然結果。

在應對勒索病一事上,曹主任認為安全事件并非遙遠不及。安全建設也不是單單的滿足合規性建設,因為,哪怕很多醫院通過等級保護三級的驗收,也一樣會中勒索病。原因是安全技術的發展,傳統的防御技術對新型的威脅或者病是逐步失效的,所以需要加強監測與響應的能力。

在針對勒索病或者挖礦軟件的風險上,曹主任認為可以采用四個階段的防護措施:

第一階段:加強端點安全的建設,包括主機的系統補丁管理、安全基線管理、病查殺軟件等。可以部署下一代端點安全系統,如EDR軟件,可以通過人工智能、大數據技術實現勒索病變種及未知威脅的防護。

第二階段:加強全網流量風險監控及安全可視化的能力,通過整體安全感知平臺,通過流量分析實現網絡中的風險可視化,例如出現病感染時,可以通過全網的主機風險展示進行管理。

第三階段,在網絡邊界處部署下一代防火墻設備,需要支持IPS、僵尸網絡識別、AV防護等一體化的設備,并且可以和感知平臺實現聯動,當平臺發現問題后下方策略到防火墻上進行阻斷。

第四階段,加強全網應急響應及應急演練的能力,可以通過采購第三方專業的安全服務,實現快速的事件響應。對勒索病進行預防和應急處置。

醫療信息安全雖有政策加持,但仍是一個長期過程

醫療行業性政策標準和近兩年隨著網絡安全法正式實施,以及一些跟個人信息保護、關鍵信息基礎設施保護等相關的法規、條例和標準,都對于醫療行業整體的網絡安全環境形成有著非常正向的作用。細化行業政策和標準的出臺,從頂層設計到具體實現各個層面進行了一定的歸一化和標準化,統一共性問題的認識,統一解決思路,這不管是對于醫院還是安全廠商都是非常利好的事情。

醫院用戶具有了在細分業務上權威的信息網絡安全參考,安全廠商也可以在解決行業需求的問題上,更多的朝同一個大方向上的不同維度和領域來擴充和輸出優勢能力,對產業和行業用戶來說,是一個多贏的結果。

雖然行業形勢一片大好,但曹主任也給出了自己的一點建議:

雖然目前幾乎所有的安全企業都在積極的學習和解讀這些安全標準和政策,并根據自己的安全實踐提煉出切實可行的醫療安全方案。但也應該清醒地看到,政策標準到具體執行落地還需要一定的時間,短期內對應醫院的信息化建設上效應不明顯,這是一個長期的過程。

Tags:APPWEBSSLAPP幣是什么幣WEB價格WEB幣SSL價格SSL幣

幣安幣
ABS:四季度貨幣政策報告的8大信號 關注我國信用自主創造_CPI幣是什么幣ABS幣

來源:熊園觀察 事件:本周四,我國央行發布《2018年第4季度中國貨幣政策執行報告》,《報告》梳理了2018年第四季度我國貨幣信貸概況、貨幣政策操作、金融市場運行和國內外宏觀經濟形勢的總體情況.

1900/1/1 0:00:00
SMART:稱為最有錢的“殺馬特”,花花綠綠的頭發,老婆是墨西哥嫩模_ART

稱為最有錢的“殺馬特”,花花綠綠的頭發,老婆是墨西哥嫩模殺馬特這個詞是來源于SMART,原來是聰明的意思,后來慢慢就被玩壞了,成了一個貶義詞.

1900/1/1 0:00:00
區塊鏈:人民幣止跌企穩 短期延續雙向波動_BTC

1月16日,人民幣兌美元即期匯率止跌企穩,盡管在岸價早盤一度跌逾200個基點,但至收盤僅微跌6個基點.

1900/1/1 0:00:00
數字貨幣:「比特百問百答」區塊鏈和比特幣有什么關系_區塊鏈技術發展現狀和趨勢十大數字貨幣交易所排名

對于比特幣和區塊鏈,大家會存在著兩種錯誤的觀念:1.比特幣和區塊鏈是雞和蛋的關系,先有比特幣再有區塊鏈; 2.區塊鏈就是比特幣.

1900/1/1 0:00:00
人工智能:傳字節跳動設立百億人民幣基金投資AI和媒體_人工智能考研考哪些科目

DoNews12月7日消息據TheInformation消息稱,字節跳動有意建立旗下首個風險投資基金,規模約為人民幣100億元,用于投資人工智能和媒體內容領域,目前正在洽談中.

1900/1/1 0:00:00
區塊鏈:10月9日鏈財經晚報:到2022年ICO和加密技術可提供17萬個就業機會_比特幣

加密數字貨幣行情 交易平臺Bitfinex報價:BTC比特幣報6657美元,24小時跌約0.21%。ETH以太坊報230美元,24小時跌約0.30%.

1900/1/1 0:00:00
ads