醫(yī)院安全監(jiān)察系統(tǒng)在醫(yī)院敏感數(shù)據(jù)獲取中的應(yīng)用

醫(yī)院安全監(jiān)察系統(tǒng)在醫(yī)院敏感數(shù)據(jù)獲取中的應(yīng)用

1信息系統(tǒng)信息安全等級保護(hù)不力,非法獲取醫(yī)療敏感數(shù)據(jù)的需要信息技術(shù)是世界發(fā)展的中心技術(shù)，是衡量經(jīng)濟(jì)發(fā)展和社會進(jìn)步的重要標(biāo)志。隨著科學(xué)技術(shù)的發(fā)展和醫(yī)院改革的逐步深入,信息化、管理科學(xué)化已滲透到醫(yī)院管理之中,數(shù)字化管理已成為現(xiàn)代化醫(yī)院必不可少的基礎(chǔ)設(shè)施與技術(shù)支撐環(huán)境。醫(yī)療大數(shù)據(jù)覆蓋了醫(yī)院運行的各診療環(huán)節(jié)和醫(yī)院管理的各個方面,既是醫(yī)院機(jī)密又是寶貴財富。為防止機(jī)密數(shù)據(jù)泄露,原衛(wèi)生部曾多次要求各級衛(wèi)生行政部門和各類醫(yī)療機(jī)構(gòu)加強(qiáng)醫(yī)院信息系統(tǒng)藥品、高值耗材的統(tǒng)計管理工作,避免為不正當(dāng)商業(yè)目的提供醫(yī)師個人和臨床科室有關(guān)藥品、高值耗材的用量信息。實施和完善信息安全等級保護(hù)工作是達(dá)到信息安全要求的必由之路。2012年原衛(wèi)生部制定印發(fā)的《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》要求三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全保護(hù)等級原則上不低于第3級。實現(xiàn)醫(yī)院信息系統(tǒng)安全,需要在安全付出成本與所能承受的安全風(fēng)險之間進(jìn)行平衡。因此實施“核心業(yè)務(wù)”信息系統(tǒng)安全等級保護(hù),有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性強(qiáng)的指導(dǎo)和服務(wù),有效控制信息安全建設(shè)成本。為達(dá)到信息系統(tǒng)安全基線的目標(biāo),醫(yī)院嚴(yán)格管理、屢出新招打擊非法統(tǒng)方,但往往效果并不理想。有關(guān)醫(yī)藥代表勾結(jié)醫(yī)生、信息科人員,非法獲取醫(yī)療敏感數(shù)據(jù)的事件層出不窮。在數(shù)據(jù)庫系統(tǒng)實際運行中,有70%以上的安全威脅都源于內(nèi)部人員攻擊。根本原因是僅靠查處和傳統(tǒng)的管理手段,通過事件發(fā)生后審計的跟蹤溯源,也都只是補(bǔ)救,無法從源頭上扼制,只有進(jìn)行事前預(yù)防,全程監(jiān)控敏感信息,不給人犯錯誤的機(jī)會,才能真正有效地解決問題。2.1藥劑科的用量監(jiān)測醫(yī)院信息系統(tǒng)應(yīng)用中有部分高權(quán)限用戶擁有接觸敏感信息權(quán)限,例如一些醫(yī)院的藥劑科本身就兼具正常處方點評和合理用藥監(jiān)測的職責(zé),需要對醫(yī)生、藥品和劑量信息進(jìn)行統(tǒng)計,以防止醫(yī)生藥品濫用和用藥比例過高。如果醫(yī)院信息系統(tǒng)本身管理制度出現(xiàn)漏洞,或者有相關(guān)人員出現(xiàn)問題,就會導(dǎo)致統(tǒng)方數(shù)據(jù)外泄。2.2對系統(tǒng)管理員的密碼要求外來的系統(tǒng)運維人員有時要在現(xiàn)場或通過遠(yuǎn)程對后臺服務(wù)器、數(shù)據(jù)庫和網(wǎng)絡(luò)設(shè)備進(jìn)行維護(hù)。醫(yī)院系統(tǒng)管理員有時不得不把相關(guān)賬戶信息告知他們。按照規(guī)定當(dāng)運維工作完成后,系統(tǒng)管理員應(yīng)更改密碼,但實際上往往由于疏忽忘記更改。此時的安全漏洞就是外來運維人員可以隨意登錄系統(tǒng)并訪問敏感數(shù)據(jù)。2.3用戶身份認(rèn)證大多數(shù)信息系統(tǒng)沒有采用CA證書,僅僅依靠普通的用戶名、口令進(jìn)行身份認(rèn)證。如前所述,用戶名、口令經(jīng)常被多人掌握,因此即使知道了某個用戶登錄系統(tǒng)后進(jìn)行了違規(guī)操作,也無法定位到某個自然人。這種模糊的身份識別也為個別內(nèi)部IT運維人員提供了抵賴的借口。2.4數(shù)據(jù)庫的維護(hù)為了工作方便,醫(yī)院信息系統(tǒng)開發(fā)人員掌握著系統(tǒng)訪問數(shù)據(jù)庫的用戶名和口令,直接在生產(chǎn)數(shù)據(jù)庫系統(tǒng)上進(jìn)行應(yīng)用的維護(hù)。開發(fā)人員對應(yīng)用系統(tǒng)的架構(gòu)了如指掌,他們可以借著維護(hù)數(shù)據(jù)的名義獲取敏感信息。2.5精通業(yè)務(wù)系統(tǒng)這些人員并不熟悉各種IT技術(shù),但是他們非常精通業(yè)務(wù)系統(tǒng),知道從哪些正常的渠道獲取數(shù)據(jù),然后對這些數(shù)據(jù)進(jìn)行加工,最終得到想要的敏感數(shù)據(jù)。2.6采用web漏洞入侵?jǐn)?shù)據(jù)庫黑客直接在醫(yī)院內(nèi)部找到一個物理接入點進(jìn)行攻擊。利用現(xiàn)有大多數(shù)數(shù)據(jù)庫網(wǎng)絡(luò)通信都是明文的特點,黑客極有可能得到后臺系統(tǒng)的用戶名、口令等重要信息。黑客的手段有:利用HIS等醫(yī)療系統(tǒng)的Web漏洞入侵?jǐn)?shù)據(jù)庫;利用數(shù)據(jù)庫漏洞直接入侵?jǐn)?shù)據(jù)庫;入侵?jǐn)?shù)據(jù)庫服務(wù)器主機(jī)直接竊取數(shù)據(jù)庫文件、備份文件等。2.7事件源頭定位錯誤企業(yè)內(nèi)部核心系統(tǒng)的各種用戶名和口令管理松散;出現(xiàn)安全事件后,無法快速、準(zhǔn)確地定位事件的源頭,更談不上及時阻止;沒有任何操作記錄可以進(jìn)行事后審計,因此也不知道該如何修補(bǔ)系統(tǒng)的安全漏洞;因為缺乏一一對應(yīng)的身份認(rèn)證,即使找到了安全事件的源頭,也無法定位到自然人。3后續(xù)監(jiān)測的工作原則和缺陷3.1后臺安全檢查的意義目前醫(yī)院信息系統(tǒng)中普遍使用的數(shù)據(jù)庫安全審計對于用戶行為的監(jiān)控、安全隱患的檢測以及事后追查和分析都有著重要的意義,通過對醫(yī)院信息系統(tǒng)、數(shù)據(jù)庫等后臺系統(tǒng)中的安全進(jìn)行審核、稽查和計算,在記錄一切(或部分)與系統(tǒng)安全有關(guān)活動的基礎(chǔ)上,對其進(jìn)行分析處理、評估審查,查找安全隱患,追查造成安全事故的原因并做出進(jìn)一步的處理。創(chuàng)建一個用于監(jiān)測非正?；蚩梢苫顒拥氖录涗洸⒆詣訄缶?生成嫌疑報告,是事后報告手段,是一種比較初級和被動的方法。3.2非法統(tǒng)方和漏洞的預(yù)防事后審計無法主動阻止內(nèi)部人員非法統(tǒng)方行為的發(fā)生,審計軟件擔(dān)任著記錄數(shù)據(jù)庫存取訪問的職責(zé),在非法訪問發(fā)生時不能行使攔截的職能;在偽造IP、用戶名進(jìn)行非法統(tǒng)方時,只能審計不能攔截,無法阻止外部黑客的攻擊和存儲層的數(shù)據(jù)泄密;在出現(xiàn)新的更隱蔽的非法統(tǒng)方和漏洞時,需要重新定義風(fēng)險和記錄策略。傳統(tǒng)數(shù)據(jù)庫審計軟件定位的是事后防范,當(dāng)審計記錄已經(jīng)捕獲到了一些關(guān)鍵信息時,被動審計通常都不會產(chǎn)生理想的結(jié)果,及時地由“監(jiān)測階段”轉(zhuǎn)入“響應(yīng)階段”至關(guān)重要,這需要借助訪問控制、安全監(jiān)察軟件來實現(xiàn)事前預(yù)防和事中控制。4引入預(yù)防性安全監(jiān)控系統(tǒng)4.1事前預(yù)防監(jiān)察控制系統(tǒng)安全監(jiān)察系統(tǒng)SA-ToolKit對業(yè)務(wù)系統(tǒng)所管轄資源的系統(tǒng)賬號和應(yīng)用賬號進(jìn)行集中管理、統(tǒng)一認(rèn)證和集中授權(quán),通過對自然人身份以及資源、資源賬號的集中管理,建立“自然人賬號——設(shè)備資源——設(shè)備資源賬號”對應(yīng)關(guān)系,實現(xiàn)自然人對資源的統(tǒng)一授權(quán),同時對授權(quán)人員的業(yè)務(wù)操作行為進(jìn)行記錄、分析和展現(xiàn),以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實時監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報告和事故追蹤回放,加強(qiáng)內(nèi)部業(yè)務(wù)操作行為監(jiān)管,避免核心資產(chǎn)(數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)損失,保障業(yè)務(wù)系統(tǒng)的正常運營。中山大學(xué)附屬第三醫(yī)院采用了符合國家4A安全要求的事前預(yù)防監(jiān)察控制系統(tǒng)SA-Toolkit,其應(yīng)用架構(gòu),見圖1。所有對關(guān)鍵且敏感的網(wǎng)絡(luò)設(shè)備和服務(wù)器的請求都要經(jīng)過安全監(jiān)察系統(tǒng)的管控,攔截、阻斷、過濾所有對目標(biāo)設(shè)備的非法訪問和惡意攻擊行為。安全監(jiān)察系統(tǒng)技術(shù)的特點是統(tǒng)一帳號管理、統(tǒng)一身份認(rèn)證、統(tǒng)一資源授權(quán)、統(tǒng)一操作安全審計、單點登錄管理等。4.2后臺管理子系統(tǒng),用戶可恢復(fù)在各后臺系統(tǒng)內(nèi)即每位系統(tǒng)操作人員只需使用他自己的用戶名、口令登錄,然后就可以直接使用其權(quán)限內(nèi)的各種后臺系統(tǒng),無需再次輸入各后臺系統(tǒng)的用戶名、口令。這就最大程度地限制了后臺系統(tǒng)的各種用戶名、口令被散發(fā)出去,見圖2。4.3賬戶使用權(quán)限和審計認(rèn)證即每個用戶、系統(tǒng)操作人員進(jìn)行一對一賬號密碼以及身份驗證,只允許使用一個賬號和一個密碼,通過登錄賬號可查具體操作人。鑒權(quán)即對用戶賬戶進(jìn)行權(quán)限和驗證,對每個賬戶所能進(jìn)行的系統(tǒng)操作進(jìn)行限制,為每位管理員分別設(shè)置使用權(quán)限,管理員只能在被允許的范圍內(nèi)對設(shè)備進(jìn)行管理,避免人為誤操作。審計即對每個賬戶所進(jìn)行過的操作進(jìn)行記錄,必要時可進(jìn)行實時監(jiān)控。對每位操作人員的在線情況、操作情況、設(shè)備運行情況進(jìn)行跟蹤、記錄,任何設(shè)備變動都處于可控狀態(tài),見圖3。4.4安全監(jiān)察系統(tǒng)的對接安全監(jiān)察系統(tǒng)完全覆蓋了防統(tǒng)方漏洞,解決了傳統(tǒng)審計軟件所暴露的問題,堵住了非法數(shù)據(jù)泄露的幾大途徑。同時它又給醫(yī)療網(wǎng)內(nèi)其他資源安全提供了最全方位的保護(hù),例如對醫(yī)院信息中心的核心服務(wù)器、數(shù)據(jù)庫、交換機(jī)等設(shè)備資源提供了最核心的監(jiān)控和保護(hù)。將醫(yī)院信息系統(tǒng)業(yè)務(wù)按等級分類,將敏感業(yè)務(wù)接入安全監(jiān)察系統(tǒng),有利于降低安全監(jiān)察系統(tǒng)的負(fù)荷;配合網(wǎng)絡(luò)訪問控制,切斷客戶端直接通向敏感設(shè)備的通道,僅留一條安全監(jiān)察設(shè)備的通道;配置多樣的數(shù)據(jù)庫客戶端SQL工具,以方便開發(fā)和維護(hù)人員通過監(jiān)察設(shè)備使用;做好安全監(jiān)察設(shè)備的維護(hù),制定應(yīng)急預(yù)案。5“防統(tǒng)方”理念信息安全等級保護(hù)制度是國家信息安全保障工作的基本制度、基本策略和基本方