医疗行业是网络攻击犯罪分子的主要目标之一,遭受网络攻击事件接连发生,给医疗行业带来巨大损失。根据《2019 健康医疗行业观测报告》数据,医疗行业总体也处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。
医疗行业也越来越重视网络安全防护。众多医疗机构正在重新审视网络安全部署架构策略,加强网络安全意识,防御与日俱增的网络攻击。应对当下的智慧医疗网络安全问题,山石网科多年基于医疗行业安全服务经验,提出一套新的安全架构思路,将发展与安全同步结合,助力智慧医疗稳步推进。
按需建设,分阶段完善医疗行业网络安全部署
据《医疗行业网络安全白皮书2020》数据显示,医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。现阶段绝大多数医院仅采用防火墙保障网络安全,对网络进行VPN/VLAN划分和上网行为管理的医院仅过半数。大部分医疗信息系统没有完善的数据保护机制。
而通过对参与调查的15339家医疗行业相关单位的观测,存在僵尸、木马或蠕虫等恶意程序的单位共计1029家,应用服务端口暴露在公共互联网中的单位有6446家,4546家单位网站存在被篡改安全隐患,其中261家单位已发生网站被篡改情况。
根据中国评测网安中心对抽样调查的73家医疗机构的信息系统进行网络安全测评的结果来看,58%的医疗信息系统存在弱口令问题;59%医疗信息系统存网络防护架构不完善问题,包括网络区域划分不合理、网络链路无冗余等问题。
医疗行业网络安全建设还处在初级阶段,网络安全的建设梯度存在者参差。与之相对比的是,网络攻击来势汹汹。针对医疗行业发展不同阶段及医疗机构的建设目标、建设内容及需求,山石网科构建一套医疗行业的安全体系建设模型:
1、纵深安全体系建设:适合初期医疗单位安全建设,目标以补全防护短板、端点防护及合规要求为建设目标。构建内容包括安全域边界划分、边界安全、应用安全、终端安全、身份安全、合规要求、业务安全/审计安全/运维管理、应急及风险评估及安全管理制度体系建设。
2、事前安全感知监测:适合中期医疗单位安全建设,目标以构建事前安全监测、重点关注事前安全的检测、防御、应急、管理机制为安全建设目标。构建内容包括安全运营平台态势监测及预警、安全应急处置/事件回溯/风险分析、风险分析能力及防御能力提升等。
3、全方位风险态势感知:适合医疗单位安全建设已具备一定安全防护能力、预警能力,目标以风险治理为安全建设目标,关注风险识别、防御、检测、处置的各个阶段。同时建立安全事件库,使常规安全事件联动安全产品、安全服务机制及业务流程机制,形成自动化安全事件编排处置机制。
构建智慧医疗可持续安全运营体系
从我国近年来对医疗机构信息化建设的推进政策来看,在强调加快智慧医疗、互联网医院发展建设的同时,也着重提到安全制度的建立。
智慧互联化下,医院需要留存数据,保证诊疗活动留痕、可追溯,建立就医各个环节的信息数据库;也需要通过数据的挖掘,院内与院间的信息共享,赋能医疗水平的提高。但实际上,在就医过程中,要保护患者的个人隐私不被泄露或者窃取,安全实现医疗数据院内院间共享,进一步挖掘医疗数据的价值,对信息技术的开发、大数据的应用以及法律的健全都提出了更高的要求。
比如,数据在传输过程中,如何界定网络边界安全问题,端到端的安全防护如何打通?而从当下医疗行业信息安全建设的现状来看,诸多新型技术领域中频发的安全问题已经无法通过传统的安全解决方案处理。医疗行业将会更加趋向于通过专业的安全服务团队针对客户的实际需求定制安全服务内容。
山石网科已服务于国家卫生健康委员会、中国疾病预防控制中心、国家医疗保障局等公共卫生机构近百家,协和医院、301医院、盛京医院等三级医院200余家。基于对医疗行业政策和发展的理解和产品服务技术优势,提出适用于医疗行业的全生命周期安全服务体系。
具体来看,山石网科基于PPDR的可持续安全运营体系,依托山石可靠服务专家+山石专业服务工具,可以为医疗用户提供“自适应、全感知、全覆盖”的全生命周期安全服务体系。围绕预测与发现、防御与控制、监测与分析、响应与管理形成的安全闭环。结合多年医疗行业客户安全攻防研究、安全威胁处置经验,山石网科通过完善的安全服务解决方案,提供全托管式的安全服务体验。