圖1 啟明星辰多條產品線全面覆蓋醫(yī)療衛(wèi)生行業(yè)的信息安全需求
針對醫(yī)療衛(wèi)生行業(yè)的安全建設需求��,啟明星辰提出了醫(yī)療衛(wèi)生行業(yè)的安全解決方案:
1、區(qū)域邊界的一體化防護:在安全域邊界��,如合作單位的接入區(qū)域����,互聯網接入邊界部署天清漢馬USG一體化安全網關?��;诙嗪擞布軜嫷奶烨鍧h馬USG一體化安全網關具有高性能���、低延遲、高穩(wěn)定性的特點�����,能夠提供狀態(tài)檢測防火墻的所有功能���,更具有網絡入侵防御(默認超過2100條攻擊特征庫)功能和網絡防病毒(默認超過15萬條基礎病毒庫)功能�,能夠檢測并阻斷木馬連接�、蠕蟲病毒、網絡掃描等各種威脅�,同時一體化的部署大大簡化了管理員的配置和管理工作���。
2、加強Web業(yè)務的保護:醫(yī)院的門戶網站和網上診療業(yè)務是典型的基于Web應用��,面臨的主要風險是來自互聯網的SQL注入攻擊���、跨站腳本攻擊等應用層攻擊����,這些攻擊能夠穿越防火墻對Web業(yè)務造成毀滅性的破壞�。天清IPS是啟明星辰完全自主研發(fā)的入侵防御類產品,該產品采用專利技術(VISD技術)實現基于入侵原理的攻擊識別����,可以精確識別SQL注入攻擊并予以阻斷,是目前最優(yōu)秀的防SQL注入攻擊產品��。天清IPS還能夠對目標網站進行安全檢查�,及時發(fā)現網頁掛馬以及Web程序漏洞,并通過電子郵件的方式來通知網站管理員��。
3�����、分析核心網絡入侵行為:在核心交換機的位置旁路部署天闐IDS,用來監(jiān)視網絡中的安全事件和流量變化情況�����,包括端口掃描���、強力攻擊、木馬后門攻擊�����、拒絕服務攻擊�����、緩沖區(qū)溢出攻擊�、IP碎片攻擊、網絡蠕蟲攻擊等各種入侵事件�����,以及P2P下載等流量信息�����。當檢測到入侵和流量事件時,能夠記錄入侵的源IP�����、攻擊的類型�����、攻擊的目的�、攻擊的時間,并在發(fā)生嚴重入侵事件時提供報警���。
4�、安全審計消除業(yè)務風險:在HIS���、PACS等核心業(yè)務系統之前部署天?網絡安全審計系統�����,對業(yè)務數據進行記錄和審計����。天?網絡安全審計采用旁路部署的形式,對醫(yī)院的業(yè)務不會造成任何影響����,僅需在交換機上作簡單的配置即可實現對數據的采集和還原,在這種情況下無論是通過HIS系統訪問數據庫���,還是通過客戶端對數據庫直接訪問���,特別是對數據庫關鍵表(處方表、醫(yī)師表)的聯合查詢都能夠進行記錄和審計��。
5����、終端準入確保內網合規(guī):在《醫(yī)療機構信息系統安全等級保護基本要求》中規(guī)定��,系統應具備記錄���、允許或拒絕終端PC接入醫(yī)院網絡的能力�,應對醫(yī)院內接入信息系統的終端的設備接口(如光驅��、軟驅���、USB口等)進行管理和控制����。通過在醫(yī)院的合法終端部署天?終端安全產品既能夠防止非法終端私自接入網絡,又能夠確保合法終端的安全狀態(tài)都是合乎醫(yī)院的管理規(guī)定的:比如必須安裝殺毒軟件����、注冊表狀態(tài)正常、不能安裝P2P應用程序�、不能非法使用USB接口等。
6�����、定期的漏洞和脆弱性評估:在網絡中部署天鏡脆弱性掃描和風險評估系統���,對網絡主機���、數據庫和應用系統定期進行漏洞掃描,對發(fā)現的網絡�、系統安全漏洞進行及時的修補。應定期安裝系統的最新補丁程序�,并根據廠家提供的可能危害計算機的漏洞進行及時修補,并在安裝系統補丁前對現有的重要文件進行備份����。
在進行了上述的安全部署之后��,醫(yī)院已經建立起比較完善的信息安全防護體系�,能夠對內部����、外部的安全風險進行控制和管理。在此基礎之上����,還可以考慮部署啟明星辰的泰合信息安全運營中心進行全局的風險管理,將不同位置�、不同資產(主機、網絡設備和安全設備等)中分散且海量的安全信息進行范式化����、匯總����、過濾和關聯分析,形成基于資產/域的統一等級的威脅與風險管理���,并依托安全知識庫和工作流程驅動對威脅與風險進行響應和處理���,提供了網絡架構的安全統一視點�。
在進行了上述的安全部署之后�����,也有助于醫(yī)院的信息系統通過等級保護的各級要求���。等級保護的關鍵技術要求同安全措施的對應關系如下表所示:
