圖1 啟明星辰多條產(chǎn)品線全面覆蓋醫(yī)療衛(wèi)生行業(yè)的信息安全需求
針對(duì)醫(yī)療衛(wèi)生行業(yè)的安全建設(shè)需求�����,啟明星辰提出了醫(yī)療衛(wèi)生行業(yè)的安全解決方案:
1���、區(qū)域邊界的一體化防護(hù):在安全域邊界�����,如合作單位的接入?yún)^(qū)域����,互聯(lián)網(wǎng)接入邊界部署天清漢馬USG一體化安全網(wǎng)關(guān)�����。基于多核硬件架構(gòu)的天清漢馬USG一體化安全網(wǎng)關(guān)具有高性能����、低延遲、高穩(wěn)定性的特點(diǎn)����,能夠提供狀態(tài)檢測(cè)防火墻的所有功能����,更具有網(wǎng)絡(luò)入侵防御(默認(rèn)超過(guò)2100條攻擊特征庫(kù))功能和網(wǎng)絡(luò)防病毒(默認(rèn)超過(guò)15萬(wàn)條基礎(chǔ)病毒庫(kù))功能����,能夠檢測(cè)并阻斷木馬連接��、蠕蟲病毒����、網(wǎng)絡(luò)掃描等各種威脅����,同時(shí)一體化的部署大大簡(jiǎn)化了管理員的配置和管理工作。
2��、加強(qiáng)Web業(yè)務(wù)的保護(hù):醫(yī)院的門戶網(wǎng)站和網(wǎng)上診療業(yè)務(wù)是典型的基于Web應(yīng)用,面臨的主要風(fēng)險(xiǎn)是來(lái)自互聯(lián)網(wǎng)的SQL注入攻擊����、跨站腳本攻擊等應(yīng)用層攻擊,這些攻擊能夠穿越防火墻對(duì)Web業(yè)務(wù)造成毀滅性的破壞����。天清IPS是啟明星辰完全自主研發(fā)的入侵防御類產(chǎn)品,該產(chǎn)品采用專利技術(shù)(VISD技術(shù))實(shí)現(xiàn)基于入侵原理的攻擊識(shí)別�����,可以精確識(shí)別SQL注入攻擊并予以阻斷���,是目前最優(yōu)秀的防SQL注入攻擊產(chǎn)品�����。天清IPS還能夠?qū)δ繕?biāo)網(wǎng)站進(jìn)行安全檢查�,及時(shí)發(fā)現(xiàn)網(wǎng)頁(yè)掛馬以及Web程序漏洞����,并通過(guò)電子郵件的方式來(lái)通知網(wǎng)站管理員。
3�����、分析核心網(wǎng)絡(luò)入侵行為:在核心交換機(jī)的位置旁路部署天闐IDS,用來(lái)監(jiān)視網(wǎng)絡(luò)中的安全事件和流量變化情況���,包括端口掃描��、強(qiáng)力攻擊���、木馬后門攻擊�、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊��、IP碎片攻擊��、網(wǎng)絡(luò)蠕蟲攻擊等各種入侵事件���,以及P2P下載等流量信息�����。當(dāng)檢測(cè)到入侵和流量事件時(shí)�����,能夠記錄入侵的源IP�����、攻擊的類型、攻擊的目的、攻擊的時(shí)間���,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。
4、安全審計(jì)消除業(yè)務(wù)風(fēng)險(xiǎn):在HIS����、PACS等核心業(yè)務(wù)系統(tǒng)之前部署天?網(wǎng)絡(luò)安全審計(jì)系統(tǒng)��,對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行記錄和審計(jì)��。天?網(wǎng)絡(luò)安全審計(jì)采用旁路部署的形式����,對(duì)醫(yī)院的業(yè)務(wù)不會(huì)造成任何影響,僅需在交換機(jī)上作簡(jiǎn)單的配置即可實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集和還原����,在這種情況下無(wú)論是通過(guò)HIS系統(tǒng)訪問(wèn)數(shù)據(jù)庫(kù),還是通過(guò)客戶端對(duì)數(shù)據(jù)庫(kù)直接訪問(wèn)�,特別是對(duì)數(shù)據(jù)庫(kù)關(guān)鍵表(處方表��、醫(yī)師表)的聯(lián)合查詢都能夠進(jìn)行記錄和審計(jì)����。
5���、終端準(zhǔn)入確保內(nèi)網(wǎng)合規(guī):在《醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中規(guī)定�,系統(tǒng)應(yīng)具備記錄��、允許或拒絕終端PC接入醫(yī)院網(wǎng)絡(luò)的能力�����,應(yīng)對(duì)醫(yī)院內(nèi)接入信息系統(tǒng)的終端的設(shè)備接口(如光驅(qū)�����、軟驅(qū)����、USB口等)進(jìn)行管理和控制�����。通過(guò)在醫(yī)院的合法終端部署天?終端安全產(chǎn)品既能夠防止非法終端私自接入網(wǎng)絡(luò),又能夠確保合法終端的安全狀態(tài)都是合乎醫(yī)院的管理規(guī)定的:比如必須安裝殺毒軟件�����、注冊(cè)表狀態(tài)正常���、不能安裝P2P應(yīng)用程序���、不能非法使用USB接口等。
6�、定期的漏洞和脆弱性評(píng)估:在網(wǎng)絡(luò)中部署天鏡脆弱性掃描和風(fēng)險(xiǎn)評(píng)估系統(tǒng),對(duì)網(wǎng)絡(luò)主機(jī)��、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)定期進(jìn)行漏洞掃描����,對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)、系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)����。應(yīng)定期安裝系統(tǒng)的最新補(bǔ)丁程序,并根據(jù)廠家提供的可能危害計(jì)算機(jī)的漏洞進(jìn)行及時(shí)修補(bǔ)����,并在安裝系統(tǒng)補(bǔ)丁前對(duì)現(xiàn)有的重要文件進(jìn)行備份�����。
在進(jìn)行了上述的安全部署之后�,醫(yī)院已經(jīng)建立起比較完善的信息安全防護(hù)體系�,能夠?qū)?nèi)部、外部的安全風(fēng)險(xiǎn)進(jìn)行控制和管理�����。在此基礎(chǔ)之上��,還可以考慮部署啟明星辰的泰合信息安全運(yùn)營(yíng)中心進(jìn)行全局的風(fēng)險(xiǎn)管理�,將不同位置、不同資產(chǎn)(主機(jī)�����、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等)中分散且海量的安全信息進(jìn)行范式化�、匯總�����、過(guò)濾和關(guān)聯(lián)分析,形成基于資產(chǎn)/域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理����,并依托安全知識(shí)庫(kù)和工作流程驅(qū)動(dòng)對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理,提供了網(wǎng)絡(luò)架構(gòu)的安全統(tǒng)一視點(diǎn)���。
在進(jìn)行了上述的安全部署之后�,也有助于醫(yī)院的信息系統(tǒng)通過(guò)等級(jí)保護(hù)的各級(jí)要求���。等級(jí)保護(hù)的關(guān)鍵技術(shù)要求同安全措施的對(duì)應(yīng)關(guān)系如下表所示:
