圖1 啟明星辰多條產(chǎn)品線全面覆蓋醫(yī)療衛(wèi)生行業(yè)的信息安全需求
針對(duì)醫(yī)療衛(wèi)生行業(yè)的安全建設(shè)需求,啟明星辰提出了醫(yī)療衛(wèi)生行業(yè)的安全解決方案:
1�����、區(qū)域邊界的一體化防護(hù):在安全域邊界����,如合作單位的接入?yún)^(qū)域�����,互聯(lián)網(wǎng)接入邊界部署天清漢馬USG一體化安全網(wǎng)關(guān)���。基于多核硬件架構(gòu)的天清漢馬USG一體化安全網(wǎng)關(guān)具有高性能����、低延遲、高穩(wěn)定性的特點(diǎn)�,能夠提供狀態(tài)檢測(cè)防火墻的所有功能,更具有網(wǎng)絡(luò)入侵防御(默認(rèn)超過2100條攻擊特征庫)功能和網(wǎng)絡(luò)防病毒(默認(rèn)超過15萬條基礎(chǔ)病毒庫)功能����,能夠檢測(cè)并阻斷木馬連接、蠕蟲病毒�、網(wǎng)絡(luò)掃描等各種威脅,同時(shí)一體化的部署大大簡(jiǎn)化了管理員的配置和管理工作��。
2���、加強(qiáng)Web業(yè)務(wù)的保護(hù):醫(yī)院的門戶網(wǎng)站和網(wǎng)上診療業(yè)務(wù)是典型的基于Web應(yīng)用�����,面臨的主要風(fēng)險(xiǎn)是來自互聯(lián)網(wǎng)的SQL注入攻擊�、跨站腳本攻擊等應(yīng)用層攻擊,這些攻擊能夠穿越防火墻對(duì)Web業(yè)務(wù)造成毀滅性的破壞��。天清IPS是啟明星辰完全自主研發(fā)的入侵防御類產(chǎn)品����,該產(chǎn)品采用專利技術(shù)(VISD技術(shù))實(shí)現(xiàn)基于入侵原理的攻擊識(shí)別,可以精確識(shí)別SQL注入攻擊并予以阻斷���,是目前最優(yōu)秀的防SQL注入攻擊產(chǎn)品���。天清IPS還能夠?qū)δ繕?biāo)網(wǎng)站進(jìn)行安全檢查,及時(shí)發(fā)現(xiàn)網(wǎng)頁掛馬以及Web程序漏洞���,并通過電子郵件的方式來通知網(wǎng)站管理員。
3�����、分析核心網(wǎng)絡(luò)入侵行為:在核心交換機(jī)的位置旁路部署天闐IDS����,用來監(jiān)視網(wǎng)絡(luò)中的安全事件和流量變化情況�,包括端口掃描�����、強(qiáng)力攻擊��、木馬后門攻擊�����、拒絕服務(wù)攻擊�、緩沖區(qū)溢出攻擊、IP碎片攻擊�����、網(wǎng)絡(luò)蠕蟲攻擊等各種入侵事件��,以及P2P下載等流量信息����。當(dāng)檢測(cè)到入侵和流量事件時(shí),能夠記錄入侵的源IP����、攻擊的類型�、攻擊的目的��、攻擊的時(shí)間�����,并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警�����。
4�、安全審計(jì)消除業(yè)務(wù)風(fēng)險(xiǎn):在HIS、PACS等核心業(yè)務(wù)系統(tǒng)之前部署天?網(wǎng)絡(luò)安全審計(jì)系統(tǒng)�,對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行記錄和審計(jì)。天?網(wǎng)絡(luò)安全審計(jì)采用旁路部署的形式�,對(duì)醫(yī)院的業(yè)務(wù)不會(huì)造成任何影響,僅需在交換機(jī)上作簡(jiǎn)單的配置即可實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集和還原����,在這種情況下無論是通過HIS系統(tǒng)訪問數(shù)據(jù)庫,還是通過客戶端對(duì)數(shù)據(jù)庫直接訪問�����,特別是對(duì)數(shù)據(jù)庫關(guān)鍵表(處方表��、醫(yī)師表)的聯(lián)合查詢都能夠進(jìn)行記錄和審計(jì)��。
5�����、終端準(zhǔn)入確保內(nèi)網(wǎng)合規(guī):在《醫(yī)療機(jī)構(gòu)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中規(guī)定�����,系統(tǒng)應(yīng)具備記錄�����、允許或拒絕終端PC接入醫(yī)院網(wǎng)絡(luò)的能力����,應(yīng)對(duì)醫(yī)院內(nèi)接入信息系統(tǒng)的終端的設(shè)備接口(如光驅(qū)、軟驅(qū)����、USB口等)進(jìn)行管理和控制。通過在醫(yī)院的合法終端部署天?終端安全產(chǎn)品既能夠防止非法終端私自接入網(wǎng)絡(luò)����,又能夠確保合法終端的安全狀態(tài)都是合乎醫(yī)院的管理規(guī)定的:比如必須安裝殺毒軟件�����、注冊(cè)表狀態(tài)正常���、不能安裝P2P應(yīng)用程序、不能非法使用USB接口等�����。
6�、定期的漏洞和脆弱性評(píng)估:在網(wǎng)絡(luò)中部署天鏡脆弱性掃描和風(fēng)險(xiǎn)評(píng)估系統(tǒng),對(duì)網(wǎng)絡(luò)主機(jī)����、數(shù)據(jù)庫和應(yīng)用系統(tǒng)定期進(jìn)行漏洞掃描,對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)�����、系統(tǒng)安全漏洞進(jìn)行及時(shí)的修補(bǔ)�����。應(yīng)定期安裝系統(tǒng)的最新補(bǔ)丁程序,并根據(jù)廠家提供的可能危害計(jì)算機(jī)的漏洞進(jìn)行及時(shí)修補(bǔ)��,并在安裝系統(tǒng)補(bǔ)丁前對(duì)現(xiàn)有的重要文件進(jìn)行備份���。
在進(jìn)行了上述的安全部署之后,醫(yī)院已經(jīng)建立起比較完善的信息安全防護(hù)體系��,能夠?qū)?nèi)部����、外部的安全風(fēng)險(xiǎn)進(jìn)行控制和管理。在此基礎(chǔ)之上�����,還可以考慮部署啟明星辰的泰合信息安全運(yùn)營(yíng)中心進(jìn)行全局的風(fēng)險(xiǎn)管理����,將不同位置、不同資產(chǎn)(主機(jī)��、網(wǎng)絡(luò)設(shè)備和安全設(shè)備等)中分散且海量的安全信息進(jìn)行范式化�、匯總、過濾和關(guān)聯(lián)分析�,形成基于資產(chǎn)/域的統(tǒng)一等級(jí)的威脅與風(fēng)險(xiǎn)管理�����,并依托安全知識(shí)庫和工作流程驅(qū)動(dòng)對(duì)威脅與風(fēng)險(xiǎn)進(jìn)行響應(yīng)和處理��,提供了網(wǎng)絡(luò)架構(gòu)的安全統(tǒng)一視點(diǎn)����。
在進(jìn)行了上述的安全部署之后�,也有助于醫(yī)院的信息系統(tǒng)通過等級(jí)保護(hù)的各級(jí)要求。等級(jí)保護(hù)的關(guān)鍵技術(shù)要求同安全措施的對(duì)應(yīng)關(guān)系如下表所示:
