圖1 啟明星辰多條產品線全面覆蓋醫(yī)療衛(wèi)生行業(yè)的信息安全需求
針對醫(yī)療衛(wèi)生行業(yè)的安全建設需求�����,啟明星辰提出了醫(yī)療衛(wèi)生行業(yè)的安全解決方案:
1、區(qū)域邊界的一體化防護:在安全域邊界���,如合作單位的接入?yún)^(qū)域�����,互聯(lián)網(wǎng)接入邊界部署天清漢馬USG一體化安全網(wǎng)關���。基于多核硬件架構的天清漢馬USG一體化安全網(wǎng)關具有高性能���、低延遲��、高穩(wěn)定性的特點�,能夠提供狀態(tài)檢測防火墻的所有功能��,更具有網(wǎng)絡入侵防御(默認超過2100條攻擊特征庫)功能和網(wǎng)絡防病毒(默認超過15萬條基礎病毒庫)功能�,能夠檢測并阻斷木馬連接、蠕蟲病毒���、網(wǎng)絡掃描等各種威脅��,同時一體化的部署大大簡化了管理員的配置和管理工作��。
2��、加強Web業(yè)務的保護:醫(yī)院的門戶網(wǎng)站和網(wǎng)上診療業(yè)務是典型的基于Web應用��,面臨的主要風險是來自互聯(lián)網(wǎng)的SQL注入攻擊����、跨站腳本攻擊等應用層攻擊,這些攻擊能夠穿越防火墻對Web業(yè)務造成毀滅性的破壞��。天清IPS是啟明星辰完全自主研發(fā)的入侵防御類產品�,該產品采用專利技術(VISD技術)實現(xiàn)基于入侵原理的攻擊識別,可以精確識別SQL注入攻擊并予以阻斷����,是目前最優(yōu)秀的防SQL注入攻擊產品。天清IPS還能夠對目標網(wǎng)站進行安全檢查�����,及時發(fā)現(xiàn)網(wǎng)頁掛馬以及Web程序漏洞�,并通過電子郵件的方式來通知網(wǎng)站管理員�。
3、分析核心網(wǎng)絡入侵行為:在核心交換機的位置旁路部署天闐IDS���,用來監(jiān)視網(wǎng)絡中的安全事件和流量變化情況�,包括端口掃描、強力攻擊��、木馬后門攻擊�、拒絕服務攻擊、緩沖區(qū)溢出攻擊�、IP碎片攻擊、網(wǎng)絡蠕蟲攻擊等各種入侵事件�����,以及P2P下載等流量信息��。當檢測到入侵和流量事件時��,能夠記錄入侵的源IP���、攻擊的類型����、攻擊的目的�、攻擊的時間,并在發(fā)生嚴重入侵事件時提供報警�。
4�����、安全審計消除業(yè)務風險:在HIS�、PACS等核心業(yè)務系統(tǒng)之前部署天?網(wǎng)絡安全審計系統(tǒng)����,對業(yè)務數(shù)據(jù)進行記錄和審計。天?網(wǎng)絡安全審計采用旁路部署的形式��,對醫(yī)院的業(yè)務不會造成任何影響��,僅需在交換機上作簡單的配置即可實現(xiàn)對數(shù)據(jù)的采集和還原���,在這種情況下無論是通過HIS系統(tǒng)訪問數(shù)據(jù)庫���,還是通過客戶端對數(shù)據(jù)庫直接訪問,特別是對數(shù)據(jù)庫關鍵表(處方表�、醫(yī)師表)的聯(lián)合查詢都能夠進行記錄和審計。
5����、終端準入確保內網(wǎng)合規(guī):在《醫(yī)療機構信息系統(tǒng)安全等級保護基本要求》中規(guī)定�,系統(tǒng)應具備記錄���、允許或拒絕終端PC接入醫(yī)院網(wǎng)絡的能力,應對醫(yī)院內接入信息系統(tǒng)的終端的設備接口(如光驅���、軟驅�、USB口等)進行管理和控制��。通過在醫(yī)院的合法終端部署天?終端安全產品既能夠防止非法終端私自接入網(wǎng)絡��,又能夠確保合法終端的安全狀態(tài)都是合乎醫(yī)院的管理規(guī)定的:比如必須安裝殺毒軟件��、注冊表狀態(tài)正常����、不能安裝P2P應用程序、不能非法使用USB接口等��。
6���、定期的漏洞和脆弱性評估:在網(wǎng)絡中部署天鏡脆弱性掃描和風險評估系統(tǒng)�����,對網(wǎng)絡主機�����、數(shù)據(jù)庫和應用系統(tǒng)定期進行漏洞掃描����,對發(fā)現(xiàn)的網(wǎng)絡、系統(tǒng)安全漏洞進行及時的修補��。應定期安裝系統(tǒng)的最新補丁程序�,并根據(jù)廠家提供的可能危害計算機的漏洞進行及時修補,并在安裝系統(tǒng)補丁前對現(xiàn)有的重要文件進行備份����。
在進行了上述的安全部署之后,醫(yī)院已經建立起比較完善的信息安全防護體系�,能夠對內部、外部的安全風險進行控制和管理�����。在此基礎之上���,還可以考慮部署啟明星辰的泰合信息安全運營中心進行全局的風險管理�����,將不同位置���、不同資產(主機、網(wǎng)絡設備和安全設備等)中分散且海量的安全信息進行范式化�����、匯總�����、過濾和關聯(lián)分析��,形成基于資產/域的統(tǒng)一等級的威脅與風險管理��,并依托安全知識庫和工作流程驅動對威脅與風險進行響應和處理��,提供了網(wǎng)絡架構的安全統(tǒng)一視點�。
在進行了上述的安全部署之后,也有助于醫(yī)院的信息系統(tǒng)通過等級保護的各級要求����。等級保護的關鍵技術要求同安全措施的對應關系如下表所示:
