- 2014-11-04 12:38
- 作者:佚名
- 来源:中国数字医疗网
阜外医院是国内首家达到安全等级保护三级标准的医院,信息中心主任赵韡对于医院安全等保建设进行过深刻探索。在10月31日召开的 “北京卫生信息化大讲堂系列培训会”上,赵韡主任深入浅出的分享了医院安全等保建设的经验与理念。
2011年原卫生部发布关于全面开展卫生行业信息安全等级保护工作的通知,要求重要的卫生信息安全等级保护原则上不低于三级的,其中和医院有关系的是三级甲等医院的核心业务系统,要求2015年12月30号之前完成所有的整改工作,并通过等级测评。
等保定义
等保是针对国家秘密信息法人和其它组织公民的一些信息的存储、传输、处理,对信息系统实施分级,安全的保护。
实际上等保一共有五级,一级最低,五级最高。从划分上来看它主要针对受侵害的话题和受侵害的程度这两方面来看。只要涉及是国家安全都是三级以上的,涉及到的合法权益和公共秩序这一类的最高可以到四级。三级以下的属于保护和指导为主,不会强制。
三级要求有一个监督检查,三级以上可能就是强制的管理。
从医院的信息安全角度来说,在等级保护时限上我们要考虑资产的识别、脆弱性的识别、威胁的识别三方面的因素。从资产的价值和资产的弱点的严重性程度,我们可以知道安全事件造成的损失情况。从资产的弱点严重程度,比如说脆弱性和威胁,可以看到事件发生的可能性。这两方面最终决定了产生风险的情况。
我们首先来看一下威胁的识别,我们正常情况下在医院的环境里边,碰到最多的威胁主要是两方面。一方面是环境因素,另一方面是人为因素,从环境因素里边,主要指的是常见的包括断水断电,防火等等灾难事故,这些情况。人为因素分为两大部分,一部分是恶意的人员,第二部分是非恶意的,恶意里边也是有两类。一类是通过内部的人员,预谋一些内部人员监守自盗,产生一些问题。另一类,从外部人员来说,主要是通过一些网络或者是系统的防御性、安全性的保护,获取一些利益。
从内部人员非恶意的情况来看,主要是因为人员的责任心缺失,或者是由于在一些规章制度、操作流程方面没有遵循,或者专业技术的缺失导致这样的情况发生。
常见威胁案例分析
系统宕机
某医院出现了系统宕机的情况,从早晨九点半开始系统就不能进入了,整个的情况一直延续到下午一点半。经过四个小时才恢复,这个事件造成了医院的门诊大厅的拥堵。
最近这几年来这样的事件其实已经发生得不是特别多了,但是这种事件的影响,威胁的严重程度比较高。一旦出现这种情况就容易出现大规模的患者的拥堵,属于社会秩序发生混乱。
信息泄露。
举一个2008年的案例。南方的妇幼保健院,内部人员把系统上存的母婴的信息,一共4万多条制成了一个光盘公开出售,这个光盘每条信息3毛钱,一张光盘1万2,造成了非常恶劣的影响。
这是内部人员监守自盗,破坏它的安全性,导致信息泄露。
统方
浙江某医院的医生统方开药情况,这个事情发生之后进行了一个非常严肃的处理。这个也是在内部人员通过系统拿到数据之后造成这样的情况。
黑客统方
2011年福州某三甲医院,它每隔一个月左右就会发现统方的痕迹,有人在数据库上进行大处方查询,各种药品每月的实际处方量都被外面的人员掌握。
2011年9月份的一天,职守的人员又发现有人在医院内部获取信息,医院直接通过软件定位找到了异常端口,派保安直接把窃取信息的人员当场抓获了。警方审讯得知,这些人不在本地住,每个月来一趟,来一趟各个医院跑一圈,把该汇总的信息,该拿到的信息都拿到,拿到之后高价卖掉。警方发现,实际上这伙人入侵的系统并不只这一家,同时这些人也不是普通的和业务无关的人员就能干的事。这些人实际上都是以前的公司的雇员,可能是his公司或者是相关的人员。他们掌握了数据库的密码,也掌握了数据库结构,所以发生了这样的时候安全事件。
黑客攻击医院网站进行勒索。2011年深圳医院员工向网警大队报案,说有人攻击他们的服务机。攻击者向医院索要2000块钱,接到报案以后福田警方就去侦破,抓了两个人。这两个人岁数都不大,当时也就是不到20岁。抓到这个人之后,就对他们进行了审讯。然后这两个人说我们有很多种模式,这个模式是找你要钱还有一种可以深度合作。一旦你要愿意的话你可以给我钱我可以帮你黑别人。
以前我们认为黑客这个职业都是技术含量很高的职业,实际上看来这两个人的技术并不高,就是从网上下载了黑客工具,门槛很低,所以黑客其实离我们并不远。
医院信息资产情况
介绍完常见的威胁之后,接下来我们从资产的识别角度认识一下医院信息资产的情况。
从资产识别上来说,传统来看应该从三方面来看:第一方面保密性,第二方面完整性,第三方面可用性。我们先来看一下信息资产的保密性。医院的信息资产从保密性的定义来看,它分一到五级,五级是最高的,一级是最低的。医院来看应该是第三,组织的一般性秘密,其泄露会使组织的安全和利益受到损害。基本上医院的信息资产的保密性大概是在这样的级别上。所以应该是一个中高的保密性的要求。
信息资产的完整性,第四级完整性价格比较高,未经授权的修改或破坏对组织造成重大影响,对业务冲击严重,较难弥补。很多的信息是这样的,包括病人的诊疗的信息,完整性受到破坏以后,会对整个治疗甚至是患者的生病健康产生影响。
第四级可用性要求比较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统中断时间小于10分钟。医院门诊信息系统就达到了这样的级别,从门诊系统使用上来看,其实能够允许它产生中段的时间一般是在20分钟以内。如果有一个问题产生了门诊宕机,20分钟能解决可能不会产生太大规模的社会事件。如果20分钟没解决那么这个事情就很麻烦了。
所以从这方面,门诊系统的可用性要求来看应该是在四级左右。总体来说医疗的信息系统它的资产的价值是相当高的。所以从这个角度来说是需要进行保护。
识别脆弱性
脆弱性主要来自于两方面,一方面是技术的脆弱性,一方面是管理的脆弱性。技术脆弱性包括几个环节,第一个是物理环境,包括我们的机房、场地、线路等等,第二个网络结构,第三个是系统软件,第四个是应用中间件,第五个是应用系统,在这些环节上都存在脆弱性的情况。
从管理角度来说也有两个方面,一个是技术管理,一个是组织管理。
医院中比较常见的脆弱性情况
第一个是用户帐号,用户帐号一般来说密码过于简单,容易被盗用,而且很多医护人员没有这方面的概念。他的帐号密码经常借给别人使,这里面就有问题。再一个往往这些帐号管理是单因素的,只有密码,没有其它的手段进行识别,这也是它的问题。
第二个审计机制,审计机制相对来说大家重视程度并不高,所以很多的用户操作没有记录、监管,系统管理操作数据库没有记录,这样出现问题是无法追踪的,这也是一个数据完整性方面的漏洞,并且无法自动识别与阻断数据的非法修改。
第三个访问控制,有些关键的访问资源是没有办法进行权限的控制的,很多资源给的权限过大。医院信息系统里在信息安全方面并没有划分使用的细分权限,包括什么样的人员使用什么样的权限,看到什么样的东西。近期卫计委也有相关的课题,主要进行访问控制的表格的建立,试图解决这样一个问题——什么样的角色什么样的权利进入什么样的系统。从系统的开发和维护过程中,整个开发过程是缺乏监管的,在运维的模式里也存在很大的问题。
最后人员安全,从人员安全角度来说存在的最大问题是人员的安全意识比较淡漠。容易产生非恶意的威胁,这是我们常见的一些脆弱性方面的问题。
综上所述,医院在外部的监管要求和内部的驱动上来看,确实有必要进行迫切的等级保护的建设。
等级保护建设的流程
医院要做等级保护工作实际上要分两部分,第一部分是对于已有的已运行的信息系统能够进行等级保护的建设,第二部分是对于新建系统的业务的建设,这两方面都达标,才能够达到整体的要求。
等保建设的主要流程主要是分为这六个步骤。首先是进行自主定级与审批,第二个就是评审和备案。备案之后就是系统安全建设的过程,建设完之后要通过等级测评,最后每年要监督检查。有的时候大家感觉等保测评是一次性的事,其实不然,你只要过了等保测评每年都要做。
医院等保测评材料往公安局已经报上去了,三级,报完以后工作完成了?你不报还好,因为大家不知道你几级,你报了三级,一年之内你过不了,问题就来了,因为报了三级没有实现。从公安局的角度来说他希望你把这个工作实现的,这个工作做完之后,后边就得按照它的要求走。
关于定级
定级并不是所有系统都要定成三级。通过刚才的脆弱性分析,医院真正要解决的问题就是两方面,一方面是业务的连续性,主要指门诊。之所以医院的信息系统能够被定成三级,很重要的因素也是因为门诊的要求。如果是三级甲等医院这块是必须要达到三级。另一方面是信息安全,也就是保密性,这块可以具体情况具体分析。很多其它的业务系统没有必要都定义成三级,比如说一个网站,把它定义成三级,那估计各位后续工作开展就很难了。
怎样过三级?
如果把业务系统定义成三级之后我们要做哪些工作。从等级保护的建设角度来说实际上它分为两个大部分。第一部分是安全技术,第二个是安全管理,从安全技术角度来说,它已经划分得非常好了,从物理安全、数据安全、网络安全、应用安全、主机安全已经梳理出要做哪些事情了。
第二个方面从安全管理角度来说也是五个方面,通过安全管理机构的建设,安全制度,系统的运维管理,系统的建设管理和人员安全。
物理安全注意事项
物理安全其实从物理安全的角度来说,主要有物理位置的选择,物质访问控制,防盗防破坏,防累计,防火、防静电,电力供应,电磁防护,防水和防潮。以下细节需要重点关注。
首先是物理位置的选择。很多医院的信息机房的物理位置选择是不太好的。因为信息化最近这几年重视程度还挺高的,之前不是很高。经常这个楼盖好了没有机房的位置,最后机房就两个选择:一个是地下室,一个房顶。这是有问题的,放到地下室防潮的问题,如果下雨可能有防水的问题。放在房顶上,冬天会很冷,夏天又特别热,能耗的问题比较严重。还有的机房上面是手术室,手术室洗澡的地方就在我们机房上面,经常漏水。
防火。机房要用气体灭火。不是往大罐子往那一戳就完了,气体是会挥发和释放的,时间长了气就跑光了。要定期检查压力表的压力,压力不足时得往里补气。
另一方面,气体灭火还有一个问题就是人员安全。很多把启动开关放到机房里边,放到机房里边按完之后往外跑要考虑放在什么地方。如果开关在外边,里边有人你在外面按了,里面的人就挂了,所以消防系统还是要仔细考虑。
电力供应。从机房建设的角度来说一般要求要有双路供电。一般意外会从医院配电机房拉两路强电到机房里去就认为是双路供电了。实际情况如果真从合规角度来说认为市电是一路安全供电,应该在加一个UPS发电机。
网络安全注意事项
网络安全要求,主要强调以下几点:
第一个从网络的规划布局上要避免单点故障,要有整体的设置。举个例子,我们医院北楼吧,离主院区大概有一里地。然后我们在建设整个的网络连接的时候,就租用光纤。刚才考虑到备份的情况用了两条不同的路由。不同的路由选完之后线路的稳定性就提高了。突然有一天断了,派人屡一下吧,两边设备都好了,肯定线路有问题,就派工程师从主楼走。走到一个十字路口,四个角上的井盖全开了,有工人施工把里面的线全短了,是西城管委剪的。我说我们买的都是从正规公司买的,他说你买的是好的,但是布的线不对,属于非法布线。最后怎么解决的呢,我们在两个楼楼顶上架了一个微波作为备份线路。实际行微波也不好,北京雾霾太大。好在我们离得相对近一点。所以在整个网络的构架上要考虑故障的问题。
网络边界的完整性。边界设置主要防范黑客入侵到医院里来。黑客能从医院的一个网口把数据拿走,也是因为它在网络边界防护做得不到位。任意一台设备接到这上面的MIT就可以用了,所以这个里面存在非授权的外来设备。有很多技术解决方案其实都可以解决。
主机安全。主要说一下安全审计,主要是内部的安全审计。防止管理员监守自盗,他所有的操作通过堡垒主机都能进行管控。通过这个口进去之后再做其它操作,就可防止我们内部的大三元出现问题。
应用安全,重点关注数据审计。之所以查出来每个月都有人留下处方痕迹,其实它依赖的就是数据库审计系统。有的公司卖防统方系统,其实这个防统方系统就是这个数据库审计系统。它一个旁路监听,会把所有对数据库的访问, SQ代码拿过来,拿过来之后会在系统上进行记录。上了系统还不行,还要要配一些策略。比如配访问门诊的处方,返回数据量500条以上,或是200条以上,设一个量。我现在手机就有这个东西,一旦有人进行数据查询了它就会告诉我(不知道是谁查的),我们就有进行信息安全的人员去查到底是出了什么问题。这样就可以把这个问题管控到比较好的程度。
可以列一些白名单,就是常用的系统统计功能,比如说药剂科主任自己要查一些相关的药剂的使用量,实际上也是统方,只不过它属于白道的统方,不算黑道的统方。但是这个功能要有,如果把它放到黑名单的话就会记录下来,如果放到白名单里就不会记录。即使放到白名单里,也要对这个系统进行操作记录和权限控制。
所以这里面是出问题比较多的地方。
数据安全与备份的恢复。关于备份,如果有条件的话,建议采用异地备份的方式。可能很多医院做不到,有分院这种情况,最好楼宇之间的做备份。最好是50公里外的,阜外医院正好有一个西山的国家心电中心,大概有30公里的距离,做了异地备份。效果还是比较好的。
备份的数据其实需要定期检查或者是找一个人在空系统上进行恢复。不能关键时刻掉链子。这种情况也发生过,操作员失误,把原来的系统全部删掉了。
安全管理的制度
包括管理的总体方针、策略,规范各种技术活动和管理活动,包括人员操作的规程。举个例子,机房要巡检,一天上午巡查一次,下午巡查一次,记录机房的温度还有各个硬件设备的情况,这是要有操作规程的。
安全制度每年至少要改一次。因为每年会建很多新系统,买很多新设备,网络的结构会进行调整。很多情况变了,制度就要适应情况的改变,如果它一成不变的话,最后这个制度就是一张废纸,放到那个地方没有任何意义。所以有制度不算完,第一个制度要有执行,有执行就要有监控。第二个制度要修订,变成动态活的制度,而不是上了墙之后一张废纸,这是在管理制度方面的问题。
第二个安全管理机构,这个以后管理机构在每个医院都有一个安全管理机构,国家角度来说也有安全管理机构。这个安全管理机构建议应该是安全管理领导小组的组长要有相当高的权威或者是话语权,一般建议由医院的管理者来担任。如果说你的安全小组的主管就是信息中心主任,那这个事情就很麻烦。因为有时候出问题的时候你是协调不了的,包括政策法规,包括安全事件出现的情况下你要协调其它部门,你作为信息中心主任的话你的话语权明显是不够的。
第三个方面,人员安全管理,这个人员安全管理,我个人认为在所有的条款里是最重要的。所有的安全事故都是由人员的因素导致的,这个人员不管是外边的人员是内部的人员全是由人导致的。我们有再好的技术手段,也解决不了人员的问题。就像原来说我记得伊拉克两伊战争的时候,说是伊拉开着他们最厉害的坦克,发现对方有苏制的77R,他们就准备发起进攻。然后美军的小组的指挥官做了一下评估,说我们这个坦克差不多,基本上损失一半一半,打完之后基本上我们不会有大损失。结果坦克从山坡上冲下去了,打过去一看没有人,伊拉克的坦克里人都跑光了。虽然有很好的武器还是打不过,就说明人员的重要性。
人员管理
首先要解决人员录用的问题,我自己的理念是我们不能光看这个人的技术能力,我们在任用录用的时候要综合去考量这个人适不适合岗位,尤其是一些重要的关键岗位。比如说我们的数据库的管理员,我们的系统管理员,我们的大堂管很重要的岗位。人员录用的时候要给予比较,就是重视他的,一些追求文件的签署,比如说保密协议等等,这是个环节。
第二个人员离岗,如果这个人员离职了,大家一定要非常重视。因为很多的问题可能都出自于人员离岗的过程,人员离职有多种因素。马云说过要不然没给够钱,要不然让人受委屈了,就这俩原因,这两个原因将导致你的资产受到威胁。所以从人员离岗的情况来看,要有一个文件的签署相关保密协议的签署。再有就是人员的培训,人员安全意识的培训和技术人员两个方面。安全意识的培训非常重要,很多人并不是有心做一些事情,可能他主要的问题是安全意识不够或者说责任心不强,所以一定要提高安全意识。第二个方面要提高技术能力的培养,很多人员在操作的过程中,由于培训不足,会导致各种的问题,在这两方面是需要特别注意的。
系统的建设管理
在系统建设的管理过程里,我想强调两个环节,第一个工程的实施,实施过程中的测试,我们知道很多我们的系统都是外包开发的,这个外包开发的厂商良莠不齐,有好的有负责任的厂商会把测试工作做得非常好然后上线。也有厂商人员不足,或者是重视程度不够,测试是不足的,这种系统测试不足,你上线的时候有关它写得不够好,测不出来问题,上线之后出现问题就导致业务系统出现数据的错误甚至是崩溃。这个是很可怕的,很多医院的宕机有非常高的比例,都是出自测试性不足产生的。
所以这方面要加强测试,我看有一些医院做得还是比较好的专门有一个测试的环境。
另一方面就是验收,验收要注意什么呢,验收过程中文档的管理,包括验收的一些比如说技术文档后期的维护手册等等。很多的厂商,更新换代也很快,很多厂商卖系统之后,过几年就消失了。所以它消失之后你的系统不能消失,所以你需要拿到它的很多的一些,我们讲叫技术文档。一旦出现问题的时候,最不济也可以通过技术文档找到相关的一些,或者说其它人员负责维护,能够解决这样的问题。
最后是系统的运维管理,前面说了很多,最后它的真正有效还是落在运维上。包括信息安全的技术,包括上了业务系统,这个业务系统最终好不好用,系统建设和系统功能本身是一个很重要的层面。但是另一方面就是我们的系统运维管理再好的系统不管好也发挥不了作用。实际上我们会看到很多的情况下,包括我们的业务系统运行过程中,用户真正不满意的并不是说业务系统的功能而是它的诉求,或者说它的一些其它的工作我们没有考虑到。
所以通过系统运维管理可以解决这些问题,从安全角度来说它的系统运维管理体现得更加集中一些。主要强调的几块就是,首先要建立一个良好的PC的运行机制,从运行机制的角度来说,可以去参照ITAL20000这样一个标准,这个应该是在国际上非常成熟的一到IT运维标准。通过这个标准主要实现PC这样一个思路,通过事件管理到问题管理,到发布管理,到变更管理和配置管理这几方面,能够把整个的运维工作管控到位,这是整体运维的思路。
再有最好有一个运维管理的软件系统能够配合我们的业务系统的运转。
这里面实际上原来我专门讲IT的时候也说过,我们医疗信息化团队,叫医院信息中心是干嘛的呢,是给别人做IT的,我们自己的IT呢,我们自己有系统吗,我们自己没有系统,这说起来也是很搞笑的一件事情。所以我们需要有一个依托的平台。
应急预案和应急预案演练
应急预案很重要,是不是写到位了,是不是能够通过应急预案解决,这很关键。我们之前的系统包括电子病历HIS系统都是自己开发的。这个系统运转的过程中,也会出问题,但是出问题的时候了,因为我们把应急预案写得非常好。所以出问题的时候,技术人员都知道该干什么,另一个角度应急预案是需要演练的,举个例子,门诊,我写了一个门诊应急预案,门诊一旦断网的情况下,各部门如何展开业务。后边我们的业务人员应该怎么去办,做哪些业务上的处置。这个应急预案写好之后进行演练,我们之前在02年做几次演练,做完之后02年真出一回事,就是门诊因为电力供应的事情,导致门诊机房出问题了。门诊那个地方业务就断了,我就去现场,一看现场断了有十来分钟了,也没人闹,秩序非常好。我惊讶,一看护士在那很镇定,没问题,以前我们演练过,她知道该干嘛,其实很多时候患者不知道怎么回事,你跟患者解释也没用,你说系统瘫了怎么怎么着,患者就着急了,我们什么时候能看上病,局面控制不了了。护士说没事过两分钟就好了,患者也不懂就在边上坐着。原来我们跟北京市医保,原来负责运维那帮人,我听他们打电话就两句话,第一句话叫那很正常,第二句话叫这没关系,就这两句话,我发现要求特好。你说我们系统宕了,这很正常,别人都这样了我也没什么意见了。然后说出问题,这没关系,我们派一个人去。所以大家做运维的时候可以和你们用户试试,这也挺好的。
所以从这个角度来说我们应急演练很重要。
演练完了之后应急预案和我们刚才讲的管理制度是一回事,你的应急预案如果是三年之前写的,到现在系统更换以后你不修正它可能真出问题以后是解决不了问题的。所以应急预案我们要经常去看它的问题,修正它,同时定期演练,保证这个东西支持我们系统运维的开展。
信息安全等级保护来说有外审的驱动,有内部业务的驱动,所以要做一个长效的机制,保证医院信息安全的长治久安。等级保护的要求都要按照ISO2000和1997国际标准。
- 分享到: