区域卫生信息平台等级保护的建设与实践

2022
06/08

+
分享
评论
李金福 / 中国数字医学
A-
A+

区域卫生信息平台承载越来越多“互联网+智慧医疗”的应用,针对数据合规使用、数据泄露、外部攻击威胁等重点安全问题,在区域卫生信息平台的等级保护建设中需要考虑的重点因素很多。

【摘要】目的:提高区域卫生信息平台等级保护的建设水平,保障区域电子健康档案,区域电子病历,区域影像会诊的安全、可靠运行。方法:通过等级保护差距分析及风险评估分析,查找出健康医疗数据泄露问题以及区域卫生信息平台外部攻击威胁问题,有针对性地开展等级保护整改建设工作。结果:通过建设与应用实践,区域卫生信息平台运行的稳定性和安全性得到了加强,对医疗健康各项信息的互联网应用提供了保障。结论:随着互联网+医疗健康的应用,区域卫生信息平台的安全建设迫在眉睫,需引起广大建设者的重视。

【关键词】区域卫生信息平台;信息安全;等级保护

随着云计算、移动互联网、大数据和“互联网+医疗健康”等的发展,区域卫生信息平台(以下简称区平台)安全架构面临越来越多的挑战。2021年9月,《中华人民共和国数据安全法》正式施行,《中华人民共和国个人信息保护法》于2021年11月1日施行,以上法律的施行对区平台的建设带来了全新的安全规范和要求。北京市顺义区区域卫生信息平台支撑着区域内32家医院及170余家卫生服务站的电子健康档案、电子病历、区域影像会诊等系统应用,是各医疗卫生机构数据存储、交换和共享的中心,本研究按照安全差距分析、整改建设、结果等经验介绍,探讨区域卫生信息平台等级保护建设的必要性及现实意义。

1区平台业务的安全差距分析

1.1平台等级保护定级

区平台是由区域电子病历中心信息系统、区域健康档案中心信息系统和区域影像信息系统等多个子系统组成的综合性平台,面向全区域的居民、医疗机构工作人员和管理人员提供信息服务,区平台承载了区域居民的个人健康档案、患者诊疗信息、区域群体疫情信息等重要的信息数据。

依据国家标准《信息安全技术信息系统安全等级保护定级指南》,当区平台业务信息安全受到破坏时,受到影响的客体是公民、法人和其他组织的合法权益,侵害程度为严重损害等级;当区平台系统服务安全受到破坏时,受到影响的客体是公民、法人和其他组织的合法权益,侵害程度为严重损害等级,从而最终确定区平台的系统安全保护等级为三级。

1.2等级保护差距分析及风险评估

在平台等级保护定级的基础上,通过等级保护差距分析及风险评估提炼出安全需求。以《信息系统安全等级保护基本要求》为基准对区平台信息安全现状进行了全面梳理,分析了与第三等级保护基本要求之间的差距,形成了区平台差距分析报告。同时开展区平台的风险评估工作,通过人工检测分析和工具测试的方式,全面识别区平台当前存在的技术和管理脆弱性,基于已发现的技术和管理脆弱性,提出相关的安全建议。根据等级保护和区平台业务需求,最终在等级保护中需要重点关注的安全风险如下:

1.2.1区平台健康医疗数据的合规使用问题

区平台作为全区健康医疗数据交换和共享平台,支撑着健康档案、电子病历、影像诊断等业务的开展,随着数据存储的集中化,带来了健康医疗数据的合规使用问题。在三级等级保护中的计算环境安全层面需要重点考虑区平台的应用身份鉴别安全防护,对区平台的登录用户采用双因素认证(如USBkey-+密码)或者构建PKI体系采用CA证书的方式进行用户的身份标识和鉴别,以保证区平台用户名的唯一性。同时,为了满足三级等级保护的基本要求中配置用户名和口令的安全性,口令必须具备一定的复杂度。区平台登录用户口令长度应该不少于8位并定期更换且具备3种以上字符,包括英文大小写和数字。在用户登录时应采取必要的登录失败处理措施,如在用户登录失败后采取结束会话、限制非法用户登录次数或者长时间未操作后登录用户自动退出等。

1.2.2区平台健康医疗敏感数据内部泄露问题

根据专业机构Verizon的数据安全状况报告,在医疗卫生行业数据的价值过高是造成医疗行业内部威胁过高的主要原因,内部威胁和外部威胁的比例约为57:43。对区平台造成敏感医疗和健康数据泄漏的内部威胁主要风险包括3种内部人员:第一类是系统管理员和DBA(数据库管理员),他们也是内部数据的主要威胁,能够接触到最为完整和有效的数据;第二类是医生或护士,他们只需在其权限内获取数据即可获得收益;第三类是软件开发和维护人员,他们利用技术等优势泄露数据。在区域平台上敏感健康医疗数据的内部泄漏问题,需主要考虑对区域环境的安全保护进行相关的安全审计和审核,需要在每个安全区域的边界部署相应的安全设备,以负责各区域边界的安全防护,同时必须通过主要边界,如重要子系统区域、外部边界、各区域边界等的流量建立必要的审核机制,以监视流量数据并记录各种操作行为。通过对边界的审计和分析,可以发现跨边界区域的安全威胁,并且可以实时全面地分析发生在网络中的威胁事件。

在技术上通过网络旁路侦听收集、分析和识别网络流量数据流,完成应用层协议的还原,并根据已建立的安全审核策略执行相应的审核响应。综合边界安全审核、主机审核、应用程序审核和网络流量审核的优势,从而形成完整的多层审核体系。与此同时,为了进一步保护区平台上健康医疗数据传输的完整性和机密性,主要考虑在通信网络中检查信息传输的完整性和信息存储的完整性,并且应在通信各方建立连接之前,各个子系统应使用加密技术进行会话的初始化验证,并在通信过程中对敏感信息字段进行加密处理。

1.2.3区平台外部攻击威胁问题

由于医疗行业数据价值高,很容易引发来自互联网的攻击行为,漏洞如果无法及时修复,自然会为外部攻击提供途径,黑客能够非常精准地获取数据,继而进行精确诈骗,因此,区平台必须采取有效措施应对外部攻击威胁风险。在应对区平台外部攻击威胁问题时,最主要考虑区域边界安全的边界入侵防范。在各区域边界,通过边界防火墙根据安全策略对数据的合法流动进行限制,与能够检测新型混合攻击的安全设备和防火墙配合使用,共同防御从应用层到网络层的多种攻击威胁,从而建立了一套完整的针对多层次和多手段的安全保护体系。

同时,为了应对终端恶意代码威胁,还应该增强主机的病毒防护能力,部署相应的网络化的主机防病毒软件进行管理和控制,并且必须及时更新恶意代码软件的版本和恶意代码库,从而建立更加立体的防护措施。

2区平台等级保护整改建设

2.1整改建设原则

在构建区平台等级保护体系时,遵循了以下原则:

2.1.1遵循标准,重点保护

区域卫生信息平台的等级保护探索与实践中,严格遵循国家信息安全等级保护相关标准规范,结合区平台业务特点,优先保护重要业务的信息安全。

2.1.2行业指导,属地管理遵循

“行业指导,属地管理”的原则,并按照国家信息安全等级保护的有关要求,抓好区平台安全等级保护的指导和管理,并按照要求推进实施,落实“谁主管,谁负责,谁运营,谁负责”的信息安全责任。

2.1.3领导重视,全员参与

成立信息安全领导小组,统筹保障业务系统安全,由信息中心负责区平台的日常安全保障,各业务科室全员纳入信息系统安全保障体系中,定期进行信息安全检查以确保安全工作推进落到实处。

2.2区平台整改建设重点内容

经过前期的等级保护差距分析及风险评估,分析和得到了区平台所面临的安全风险,重点对区平台健康医疗数据的合规使用问题、区平台健康医疗敏感数据内部泄露问题以及区平台外部攻击威胁问题,以业务防护目标为导向,结合建设需求,开展区平台等级保护整改建设工作。

从安全域划分到计算环境安全保护,再到边界安全保护和通信网络安全,区平台等级保护整改建设按照三重防护思路进行整改建设,区平台等级保护整改架构见图1。

 

2.2.1安全域划分

安全域是具有相同或相似安全要求和策略的T元素的集合。它是根据信息的性质、使用的主体、安全性目标和策略在同一系统中划分为不同元素的不同逻辑子网或网络。按照分域防护的原则,区平台共划分为数据存储区、应用处理区、DMZ区、终端用户域和安全管理区等安全域。通过安全域的划分,将区平台这样一个大型复杂系统面临的安全问题分解为较小的区域安全保护问题,通过化整为零防护设计,并通过重点区域重点安全策略的保障体系,实现区平台安全等级保障。同时也体现了“分级防护、突出重点”的战略防御理念,对后续各安全域各自的保护策略提供了基础。

2.2.2计算环境安全保护

区平台身份认证鉴别分为2个层面:一个是主机身份认证层面,另一个是应用程序身份认证层面。在主机身份认证层面,为了提高主机系统的安全性并确保各种承载的应用程序正常运行,需要对主机系统采取一系列主机加固和加强措施,例如,需要识别和认证登录到操作系统和数据库系统的用户是否真实有效,其用户名称是否具备唯一性。同时,需要确保配置用户名和口令的安全性,口令必须具备一定的复杂度,区平台登录用户口令长度应该不少于8位并定期更换,且具备3种以上字符,包括英文大小写和数字。在用户登录时应采取必要的登录失败处理措施,如在用户登录失败后采取结束会话、限制非法用户登录次数或者长时间未操作后登录用户自动退出等。在应用程序身份认证层面,部署了基于数字证书登录的数字签名验证系统,并将数字证书颁发给用户,证书加密码实现了双因素认证机制,加强了用户身份认证力度,从而解决了平台用户身份欺诈的攻击问题。

2.2.3系统安全审计

数据库审计系统记录了数据库系统的相关安全事件和操作行为,包括了数据库的操作主体、对象、时间、类型和结果,同时将特定的安全事件进行安全报警。为了保障数据库审计系统的安全,审核记录不受到破坏或审核记录需经授权才可进行访问和查看,数据库审计系统自身对每个用户的用户行为进行覆盖,对用户操作事件和系统状态进行审计,从而保障了数据库系统的整体安全性。

同时,数据库审计系统也全面记录了数据库的访问行为,识别未经授权的操作和其他违规行为,并使得用户行为可追溯。通过用户敏感数据访问行为轨迹,通过所建立的访问行为模型,能够对敏感数据泄漏进行及时检测。

2.2.4构建本地备份体系

针对数据完整性保护构建本地备份体系,每天定时执行增量备份,每周定期执行一次完整备份,以确保在数据损坏后可以及时还原数据。设置合理的安全策略以应对客体安全重用,以便会话在一段时间不活动后自动结束,从而防止犯罪分子对其使用。同时针对系统可执行程序保护要求,为了保护系统的可执行程序,在区平台的服务器上安装防病毒软件,并实施病毒防护安全策略,在计算环境中实现对可执行程序的终端恶意代码防范保护,应对病毒威胁。

2.3区域边界安全防护

在区平台等级保护整改建设的区域边界安全防护当中,最为关键的是区域边界访问控制和数据包过滤。在区平台的网络建设当中通过配置2个核心交换机以及多个接入交换机,以提高网络交换能力并巩固网络基础。同时根据业务系统服务的重要顺序,定义了带宽分配的优先级,并在网络拥塞时优先保护重要主机的网络带宽;通过业务需要合理地规划了网络路由,并在业务终端和业务服务器之间建立安全的通信路径;根据区平台业务场景,将存储重要业务系统和数据的重要网段进行隔离,使其无法直接连接到外部系统,并且划分了不同的安全区域,实现了与其他网段的逻辑隔离。同时,在重要安全区域的边界部署区域防火墙,实现重要安全区域的边界隔离,在DMZ区域的边界部署Web防火墙,实现对4~7层数据包的深度过滤检测,防护实现各类SQL注入、跨站、挂马、扫描器扫描、敏感信息泄露、盗链行为等攻击威胁;通过在互联网边界部署防病毒网关和UTM网关设备,形成了多层次立体化的安全保护屏障。

针对健康医疗敏感数据内部泄露的问题,区域边界安全审计在网络核心交换机上旁路部署综合安全审计系统,实现系统网络操作行为的记录,形成有效的溯源机制。为了保护区域边界的完整性,对内部网络中尚未通过授权许可,私下连接到外部网络的内部用户的行为进行监测和检查,以便保障内部网络边界的完整性。同时,通过在核心交换机上部署入侵检测系统,对网流量进行实时检测和网络入侵行为及时报警,从而保护网络边界的完整性,增强互联网边界对入侵行为的防御能力。

2.4通信网络安全保护

针对通信保密性和完整性,区平台在DMZ区部署SSL VPN设备,实现远程访问过程中对数据的完整性和保密性保护。

3建设合规性对比分析

区域卫生信息平台等级保护整改措施与等级保护基本要求控制点的对应关系见表1。

 

4结论

综上所述,区域卫生信息平台承载越来越多“互联网+智慧医疗”的应用,针对数据合规使用、数据泄露、外部攻击威胁等重点安全问题,在区域卫生信息平台的等级保护建设中需要考虑的重点因素总结如下:

4.1全局考虑综合防范,构建多层次体系化的安全防御

区域卫生信息平台是一个相对复杂的应用系统,也是同时与数十家医疗卫生机构存在数据交换通道的重要业务系统。因此,在区平台的规划建设过程中,需要全面分析各业务域不同层面的安全需求,从访问控制、身份鉴别和安全审计等多个维度进行综合安全防护,结合现行的安全要求和安全管理制度,从而达到多层次体系化的防护效果。

4.2符合自身业务特点,解决必要的安全威胁

区域卫生信息平台中存在大量敏感信息,需要对系统登录的用户进行严格限制阿,同时对数据库的访问进行记录,以便进行事后追踪,因此,在安全防护建设中,通过加强应用系统的登录控制,通过数据库审计系统进行操作层面的审计来加强业务信息的保护。

4.3形成立体化的防御体系,做到相对安全

通过区域卫生信息平台等级保护建设与应用后,对区域健康大数据的安全有了更深的认识,在实际工作中要重点加强业务信息安全的保护,建立事前防范、事中监控和事后审核的网络安全防护体系。在等级保护实践中,认识到没有绝对的安全,在实际工作中要权衡安全的投入和产出,在控制风险及符合规范的前提下,保障区平台业务的安全稳定运行。

原文详见https://pan.baidu.com/s/1vzSC6DZDShDZ71vShzDtvg?pwd=13tb

Doi:10.3969j.issn.1673-7571.2022.2.022

本文转载自其他网站,不代表健康界观点和立场。如有内容和图片的著作权异议,请及时联系我们(邮箱:nanxingjun@hmkx.cn
关键词:
信息平台,智慧医疗,互联网+,数据建设,网络安全

人点赞

收藏

人收藏

打赏

打赏

我有话说

0条评论

0/500

评论字数超出限制

表情
评论

为你推荐

相关文章

推荐课程


社群

精彩视频

您的申请提交成功

确定 取消
剩余5
×

打赏作者

认可我就打赏我~

1元 5元 10元 20元 50元 其它

打赏

打赏作者

认可我就打赏我~

×
打赏

扫描二维码

立即打赏给Ta吧!

温馨提示:仅支持微信支付!