比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > PEPE幣 > Info

互聯網醫院大門已敞開,信息安全有哪些薄弱點、又該如何保障?_WEB

Author:

Time:1900/1/1 0:00:00

2018年,醫療信息化、互聯網醫療重量級政策和標準頻發,這為醫院進入下一個醫療行業的信息安全市場情況如何?醫院目前的信息安全的薄弱點有哪些?醫院該如何應對信息化創新產品下的信息安全,以及日益泛濫的網絡勒索?這些問題,將在本篇文章中得到深度探討。

醫療信息安全市場缺乏活力,根本原因是?

下面這張表,是動脈網結合2018年《全國醫院信息化建設標準與規范》安全要求,以及中國醫院協會信息管理專業委員會CHIMA發布的《2017-2018中國醫院信息化狀況調查報告》中的相關數據得出。將兩者相互印證之后,動脈網得出了目前三級醫院信息安全建設情況:

從表中可以看出,目前三級醫院的信息安全建設,主要集中在防火墻、反病、VPN/網閘和容災備份這四個方面;建設較差的主要包括安全審計、身份認證、隱私保護、終端安全和網絡安全。

針對醫療行業信息安全市場的現狀,廣州市婦女兒童醫療中心數據中心副主任曹曉均給出了自己的觀點。他認為,市場的大小根本原因在于醫療行業的安全建設相對落后。行業中,并沒有整體的安全規劃或建設思路。并且,大部分醫院的安全建設都是滿足合規性要求上的投入。如采購幾臺防火墻、終端管理軟件再加上管理制度,就可以通過等保要求,真正用心做安全整體設計的并不多。這種現狀,導致整個醫療信息安全市場缺乏活力。

此外,目前國內醫療行業更關注業務發展需求,缺乏專業的網絡安全人才儲備,這也是目前比較大的挑戰。

一位業內人士則透露,一方面醫院信息部門的地位相對弱勢,信息化建設大多取決于院方領導的意識。對醫院來說,單位網絡設備體量不大,一般是純內網的環境,當前重點建設基本集中在網絡基礎設施完善,安全建設相對滯后。再加上醫療行業屬于財政差額撥款單位,有相當一部分醫院資金不富裕,因此安全建設的優先級相對較低。

對于國內醫療信息安全市場現階段的產值規模,作為國內信息安全企業的代表,綠盟科技相關負責人分析了以下兩點原因:

Michael Saylor:比特幣的能源密集度遠低于谷歌等互聯網巨頭:金色財經報道,Michael Saylor在其個人網站發布了一篇長文,分享關于比特幣挖礦與環境的一些看法。他表示,大約有40-50億美元的電力被用來為今天價值4200億美元的比特幣網絡提供動力和保障,輸出的價值是能源輸入成本的100倍。這使得比特幣的能源密集度遠遠低于谷歌、Netflix或Facebook,比20世紀的傳統行業如航空、物流、零售、酒店和農業的能源密集度低1-2個數量級。

他還提到,世界上99.92%的碳排放是由于比特幣挖礦以外的工業能源用途造成的。比特幣挖礦既不是問題,也不是減少碳排放挑戰的解決方案。[2022/9/15 6:57:10]

其一,信息安全相關配套政策和標準較少。在網絡安全法正式實施之前,國內對于個人隱私信息的安全要求幾乎空白。而醫療行業是涉及個人隱私信息最為深入的領域,沒有法律法規上的明確要求,沒有行業標準的具體指向,各級醫療機構很難認識到信息安全對自身業務的深刻影響,也就很少會主動考慮在安全方面有所投入。

其二,信息或網絡安全對醫療行業的實際業務推進上缺乏直觀的價值感受。舉例而言,一所三甲醫院每年的IT類投資可能達到千萬級。但醫院決策者基于業務發展的考慮更多的會對臨床、研究、醫技等業務領域方面進行投入,原因就在于這些IT投資對業務的推進和支撐幾乎是肉眼可見,而信息安全的價值卻很難被感知。防護了多少安全攻擊、解決了多少安全漏洞、抵御了多少次信息泄露,這些都不會被直接展示到決策者的案桌上。

正因如此,最近兩年,各大信息安全廠商均在重點考慮和投入安全運營和效果可視化。

互聯網醫院扎堆出現,如何保障它們的信息安全?

如何保障互聯網醫院的信息安全?在回答這一問題前,首先要明確而其定義和具體要求。

互聯網醫院的概念提出,是為了解決原有傳統醫療體系中所欠缺的專業醫療資源不均衡和醫療服務體驗差的問題。因此互聯網醫院為了解決這兩大核心問題,采用的機制是借助互聯網這個強大的資源共享方式,借助云計算和大數據等技術,從模式和能力上對作為傳統醫療業務的補充。

中國互聯網協會理事長尚冰:建立“元宇宙”社會規則體系 統籌規劃元宇宙發展:8月21日消息,2022全球元宇宙大會在上海召開。中國互聯網協會理事長、工業和信息化部原副部長尚冰出席大會并致辭。尚冰就元宇宙的發展提出四點建議:一是鼓勵創新,加強核心技術研究和應用研發。二是積極探索,建立“元宇宙”社會規則體系。三是規范發展,營造可持續發展的元宇宙生態。四是統籌規劃,為元宇宙未來的發展夯實基礎。[2022/8/21 12:38:40]

互聯網醫院的管理辦法中提到,互聯網醫院由互聯網進行遠程訪問,會涉及到實體醫療機構的重要系統數據交換,同時根據互聯網醫院信息系統按照國家有關法律法規和規定,實施第三級信息安全等級保護。所以,在滿足醫院的互聯網接入和虛擬專用用上,醫院還要滿足數據安全的要求。

從本質上講,互聯網醫院的信息安全所要保障的根本并沒有變,依然是對于數據,特別是醫療臨床等相關的健康數據的保護,從傳輸、處理、共享、存儲各方面考慮其安全性。因此,要滿足這類安全需求,絕不是單一的安全產品能實現。醫院需要充分結合實際的技術場景,選擇在各個維度能夠達到風險控制需要的安全產品。

例如,在傳輸層面,互聯網邊界需要考慮訪問控制、入侵防護、病檢測和防護、WEB安全防護等措施。而在數據交換場景下,醫院需要考慮數據脫敏、數據加密、數據防泄漏、數據庫審計或防護等。所以,沒有最好的安全產品,只有最適合業務的安全解決方案。

對于目前備受關注的互聯網醫院的信息安全建設,國內知名數據安全廠商安華金和醫療行業負責人認為,互聯網專線和VPN能夠解決一部分的外網接入的安全問題,但從業務訪問的角度來講,業務數據系統對外提供,包括遠程醫療、醫保查詢、預約掛號等都需要直接訪問業務數據,對于數據本身的訪問安全以及對于內網訪問安全也需要加強。

例如,在數據庫安全方面可以采用數據庫審計、數據庫防火墻、數據庫加密、數據庫脫敏等手段進行安全加固。整體而言,可以從主動防御體系的思路做安全建設,這涉及四道防線:

湖北移動總經理范秉衡:區塊鏈是推動信息互聯網向價值互聯網變革的核心技術:金色財經現場報道,首屆區塊鏈服務網絡全球技術創新發展峰會暨湖北區塊鏈技術創新大會11月27日在武漢舉行。湖北移動總經理范秉衡致辭表示,區塊鏈作為一種顛覆性的技術,已上升成為國家戰略并納入新基建的范疇,有希望成為促進全球技術創新和模式創新的核心技術。我們知道,區塊鏈的底層技術對經濟社會發展的影響越來越強烈,它是第四次工業革命的核心技術,是促進生產關系變革的核心技術,是推動信息互聯網向價值互聯網變革的核心技術。區塊鏈技術不是一個單向的技術,而是一個集成了多方面研究成果的綜合性技術系統,核心技術包括分布式存儲、共識機制、密碼學原理等。武漢對于這次受到了突如其來的疫情防控,也讓我們深切體會到人們的生活方式不得不進行巨大的改變。以區塊鏈技術為代表的數字技術,必將發揮出越來越重要的作用。[2020/11/27 22:22:22]

第一道防線:檢查預警。通過數據庫漏掃產品對數據庫威脅進行檢查分析,給出安全建議。

第二道防線:主動防御。通過數據庫安全運維產品的身份識別、運維審批、流程管理,防止非法人員操作;防止外部攻擊破壞;與此同時做好內部防護,防止內部超級權限。

第三道防線:底線防守。

閾值管控:規避批量惡意訪問,針對大批量醫療泄密進行告警控管,防止醫療數據批量查詢;

數據庫加密產品:防止防止醫患數據泄露“脫庫”;

數據庫脫敏產品:醫療數據去隱私化,防止泄漏真實數據給第三方。

第四道防線:事后追查。利用數據庫審計產品來區分是外部威脅還是內鬼作案,可以對安全事件進行責任追溯。

對于互聯網醫院APP的安全問題,綠盟科技則認為應該從應用服務端、網絡通信和用戶三個層面來整體看待。

對于服務端而言,基于移動應用端的APP安全與傳統的WEB安全并無本質區別,現有的WAF類防護產品依然適用,能夠防護來自APP端的攻擊,網絡通信端的安全則主要考慮數據的保密與完整性。因此,醫院可以通過SSL或HTTPS來解決。

聲音 | 中國計算機學會祝烈煌:區塊鏈技術尚未成為互聯網領域“必須”選項:中國計算機學會區塊鏈專委會秘書長祝烈煌接受采訪表示,目前來看,區塊鏈技術尚未成為互聯網領域的“必須”選項,但假以時日,其重要性將逐漸凸顯。區塊鏈技術應用現已拓展到數字金融、物聯網、智能制造、供應鏈管理、數字資產交易等多個領域。區塊鏈技術發展前景廣闊,應用場景廣泛,但仍面臨諸多挑戰。第一,融合問題仍有待探究。第二,核心技術攻關是關鍵。第三,可監管能力需繼續加強。第四,亟待高端人才持續助力。(新浪財經)[2019/11/25]

而移動端的安全,對醫院這樣的企業級用戶而言,幾乎不可能通過傳統意義上的安全產品來解決安全漏洞問題。因為無法要求每個移動端用戶自己按照要求安裝指定的安全軟件,那會帶來極大的用戶體驗下降。因此,目前更多的醫療機構在上線APP應用前,會進行系統性的安全評估和安全的黑白盒測試。基于測試和評估結果,安全廠商能夠指導開發者對不安全的漏洞進行及時修復,以此來徹底解決APP的安全問題。

曹主任的觀點與綠盟科技類似,他認為,在遠程移動的訪問上,采用SSLVPN(國密)實現遠程訪問的卻是較好的方案。在互聯網醫院與偏遠地區醫療機構、基層醫療衛生機構、全科醫生與專科醫生的數據資源共享和業務協同上,可以考慮采用安全一體機部署在基礎醫療機構本地,實現VPN安全組網和數據加密傳輸。

VPN和防火墻,醫院青睞的兩大香餑餑

在騰訊最近發布的醫療行業安全指數報告中提到,目前醫療行業的網絡安全設備首選防火墻和VPN設備。

造成這個結果的原因,綠盟科技負責人認為主要有兩個:一是這兩類產品的使用范圍更多,凡是有網絡邊界的地方幾乎都要用到防火墻進行邏輯隔離。而VPN則是目前最為低成本和穩定的專用網絡解決方案,凡是涉及到有需要遠程接入訪問內網的場景,都需要借助VPN實現,這造成了巨大的需求基數。

另外一方面,醫療用戶普遍對網絡安全的認識還不夠深刻。特別在廣大的基層醫療機構,因為網絡規模較小、信息數據量也不大,認為邊界防護有防火墻,通信數據保障有VPN即可確保整體網絡安全。

陜西省2018年數字經濟工作要點:旨在以互聯網和數字經濟為發展引擎:5月11日消息,陜西省委辦公廳、省政府辦公廳印發《陜西省2018年數字經濟工作要點》,并發出通知,要求各地各部門結合實際認真貫徹落實。《工作要點》部署了2018年數字經濟工作的20項主要任務,旨在以互聯網和數字經濟為引擎,推動樞紐經濟、門戶經濟和流動經濟發展,發揮信息化和數字經濟驅動引領作用,加快培育發展新動能。[2018/5/11]

但其實無論醫療機構的大小,涉及到病患隱私信息數據、臨床信息數據等敏感數據的重要程度都是不言而喻。對這類數據的保護除了防火墻和VPN之外,還需要考慮邊界的縱深防護,諸如入侵防護、病過濾、針對WEB應用的WAF產品,針對數據庫保護的數據庫防火墻和安全審計等環節,等需要考慮建設。

對于目前醫院VPN的使用現狀,安華金和負責人在與某三級醫院信息科主任溝通之后,也給出了自己的觀點:VPN一方面用于遠程維護,另外一個主要的用途是區域聯網。但目前區域聯網更傾向于專線,只有條件不夠,醫院才選擇走VPN。比如不少醫院與市衛健委、省衛健委的連接方式就采用專線,而條件達不到的醫院,則只能使用VPN實現連接。

此外,在實際使用中,醫院不僅要考慮互聯網訪問的接入安全,還需考慮數據平臺的安全。如果用戶的VPN賬戶被盜取或者邊界被入侵,那么核心的數據將直接暴露在攻擊者面前。因此在對訪問進行準入控制的同時,也需要通過數據安全手段對核心數據進行專業的防護。

對此曹主任也給予了認同,他表示,在目前醫院的安全建設中,醫院內網及遠程醫療的發展尤為重要。因此,防火墻和VPN自然就作為剛需或首先。但隨著如大數據、云計算、移動互聯網、物聯網等新技術的發展,安全技術同樣需要發展和更新。

曹主任建議,醫院可以進行體系化的安全建設,包括安全技術體系、管理體系、運營體系,三者相輔相成。在方案上,可以采用融合安全、立體保護的架構,比如采用一體化的安全設備,減少設備運維管理壓力。另外,在端點安全、網絡邊界安全、云端安全、安全服務、安全管理制度等,醫院都應該及時加強。

保護醫院數據安全,都有哪些妙招?

根據2018年《全國醫院信息化建設標準與規范》安全的要求,三級醫院的數據安全保護主要包括以下8大措施:

1、防火墻

2、安全審計設備

3、系統加固設備

4、數據加固設備

5、入侵防范設備

6、身份認證系統

7、訪問控制系統

8、安全管理系統

對于現階段三級醫院建設較弱的身份認證環節,綠盟科技負責人表示,目前這部分醫院普遍使用4A產品如堡壘機,來解決院內的統一認證的問題。通過將賬號、認證、授權、審計四個過程,來解決對數據的訪問權限的問題。

而認證的方式則可以根據所訪問的數據和系統,醫院可以自行選擇強度適合的方式。例如針對核心的HIS數據,訪問可以采用多人、多因素的認證方式,兩個或兩個以上的人員保存一副密鑰的部分,通過靜態密碼結合短信令牌、CA證書、指紋或其他生物特征識別技術來實現強認證方式。針對醫院的醫護工作人員,則僅進行靜態密碼的認證來實現,以保障業務的順暢性。

在2018版的《電子病歷應用管理規范》解讀中,首都醫科大學附屬北京天壇醫院信息中心主任王韜曾闡述了現有數字簽名在電子病歷數據保護上存在的兩大隱患:

1、簽名內容的專屬性,目前尚未出臺電子病歷簽名內容的標準,這導致CA在簽名時不考慮提交簽名的內容是否存在問題,這到這患者存在“被掉包”的可能性。

2、簽名內容完整性。由于醫院簽名次數較多,CA在驗簽時無法發現醫院是否每次提交內容中有包含不利信息。

以上兩種隱患,王主任認為可以通過簽名+時間戳的方式進行解決。如此一來,就能保證每次的操作人員和操作時間可查詢、可追溯。

但據曹主任所言,目前普遍的認證方式都沒真正在醫院用起來。比如內網中采用最多的CA認證,雖然它可以實現雙因素認證,提高認證的安全性,但因為使用起來比較麻煩,并且還存在兼容性問題,因此醫院采用的其實并不多。

而在數據的查詢、追溯、管理上,醫院可以采用日志審計、堡壘機、數據庫審計等方式進行管理,實現一定程度上的數據保護。但是在大數據上,非結構化的數據會存在一定的問題。并且多設備的部署,醫院在管理運維方面也會比較麻煩。因此曹主任認為,在新的安全技術方向上,醫院可以采用軟件定義安全的模式進行部署。

面對日益泛濫的勒索攻擊,醫院該如何應對?

2018年1月15日,位于印第安納州漢考克健康的Greenfield受到勒索軟件攻擊,這促使技術人員關閉了整個網絡。在醫院電腦屏幕上出現勒索軟件通知后不久。黑客竟然猖狂地表示,在技術人員支付比特幣贖金前,他會長期“保管”一定數量的系統“人質”。

對此,衛生系統的IT團隊立即關閉了包括醫生辦公室和健康中心在內的所有網絡,以隔離病。相關技術人員表示,黑客正試圖讓醫院無法運營,使用“數字掛鎖”來限制人員對系統部分功能的訪問。

McAfee首席科學家RajSamani表示:“就勒索軟件而言,醫療行業遭受的損失可能是最多的。勒索軟件的爆炸式增長,其發源也是醫療領域。黑客們或將從傳統形式的勒索軟件,轉向更多的網絡破壞和服務中斷型攻擊。”

據動脈網了解,勒索病和挖礦病之所以威力巨大,一般是由于利用了永恒之藍等遠程攻擊方式,能夠自我傳播。因此,一個有趣的現象是,即所謂的內外網隔離的內網環境反倒更多地遭到侵襲,病也更泛濫。原因在于,相比于跟互聯網直接接觸的場景,純內網的生產環境對安全少了對危機的敏感度。因此,被攻擊或遭到病的侵襲也就成為必然結果。

在應對勒索病一事上,曹主任認為安全事件并非遙遠不及。安全建設也不是單單的滿足合規性建設,因為,哪怕很多醫院通過等級保護三級的驗收,也一樣會中勒索病。原因是安全技術的發展,傳統的防御技術對新型的威脅或者病是逐步失效的,所以需要加強監測與響應的能力。

在針對勒索病或者挖礦軟件的風險上,曹主任認為可以采用四個階段的防護措施:

第一階段:加強端點安全的建設,包括主機的系統補丁管理、安全基線管理、病查殺軟件等。可以部署下一代端點安全系統,如EDR軟件,可以通過人工智能、大數據技術實現勒索病變種及未知威脅的防護。

第二階段:加強全網流量風險監控及安全可視化的能力,通過整體安全感知平臺,通過流量分析實現網絡中的風險可視化,例如出現病感染時,可以通過全網的主機風險展示進行管理。

第三階段,在網絡邊界處部署下一代防火墻設備,需要支持IPS、僵尸網絡識別、AV防護等一體化的設備,并且可以和感知平臺實現聯動,當平臺發現問題后下方策略到防火墻上進行阻斷。

第四階段,加強全網應急響應及應急演練的能力,可以通過采購第三方專業的安全服務,實現快速的事件響應。對勒索病進行預防和應急處置。

醫療信息安全雖有政策加持,但仍是一個長期過程

醫療行業性政策標準和近兩年隨著網絡安全法正式實施,以及一些跟個人信息保護、關鍵信息基礎設施保護等相關的法規、條例和標準,都對于醫療行業整體的網絡安全環境形成有著非常正向的作用。細化行業政策和標準的出臺,從頂層設計到具體實現各個層面進行了一定的歸一化和標準化,統一共性問題的認識,統一解決思路,這不管是對于醫院還是安全廠商都是非常利好的事情。

醫院用戶具有了在細分業務上權威的信息網絡安全參考,安全廠商也可以在解決行業需求的問題上,更多的朝同一個大方向上的不同維度和領域來擴充和輸出優勢能力,對產業和行業用戶來說,是一個多贏的結果。

雖然行業形勢一片大好,但曹主任也給出了自己的一點建議:

雖然目前幾乎所有的安全企業都在積極的學習和解讀這些安全標準和政策,并根據自己的安全實踐提煉出切實可行的醫療安全方案。但也應該清醒地看到,政策標準到具體執行落地還需要一定的時間,短期內對應醫院的信息化建設上效應不明顯,這是一個長期的過程。

Tags:APPWEBSSLAPP幣是什么幣WEB價格WEB幣SSL價格SSL幣

PEPE幣
12月28日,幣市重要消息解讀_以太坊

新聞一:Coinbase首席運營官:2019年的上幣數量可能會激增Coinbase首席運營官AsiffHirji最近在CNBC表示,該交易所將努力在未來一年列出盡可能多的、有意義的幣種.

1900/1/1 0:00:00
虛擬資產是一種生活方式!_虛擬資產

近年來,隨著互聯網終端普及和VR/AR、云、物聯網技術的發展,互聯網數字世界與現實世界的分野正逐漸消失,從某種程度上而言,數字世界正在與現實世界結合:一方面.

1900/1/1 0:00:00
洛克菲勒迪拜迎春拍精品鑒賞:精品外國錢幣一組_COIN

銀元俗稱“洋錢”、“花邊錢”或“大洋”,銀元起源于15世紀的歐洲,是銀本位制國家的主要流通貨幣。大約在明萬歷年間銀元開始流入中國。清乾隆58年,中國中央政府首次在西藏鑄行“乾隆寶藏”銀幣.

1900/1/1 0:00:00
春節餃子還沒吃完,寶寶就被送進醫院,這件事情寶媽別再做了!_小硬幣

文|小不點 春節吃餃子是我們過年的傳統,尤其是在大年初一大家都喜歡吃餃子,餃子代表著團圓和熱鬧,所以無論男女老少都要吃上一大盤才算有年味兒,家家戶戶都飄著餃子香味.

1900/1/1 0:00:00
阿里騰訊的無幣區塊鏈項目已經落地,有幣區塊鏈還有前途嗎?_區塊鏈

今年雙十一不出意料的又突破了新高,除了亮眼的銷售額外,此次雙十一也加入了新的元素--區塊鏈。據媒體報道,本次雙十一螞蟻區塊鏈首次參戰,覆蓋了全球1.5億件貨品的跨境商品溯源.

1900/1/1 0:00:00
比特幣區塊鏈地址有1.47億屬于命名服務丨 兔鏈晚報_XRP

熱點聚焦 據cointelegraph消息,根據研究公司Chainalysis在12月19日發布的報告,比特幣區塊鏈超過4.6億個地址,然而其中只有1.72億與經濟行為相關.

1900/1/1 0:00:00
ads