醫(yī)院安全監(jiān)察系統(tǒng)在醫(yī)院敏感數(shù)據(jù)獲取中的應(yīng)用

醫(yī)院安全監(jiān)察系統(tǒng)在醫(yī)院敏感數(shù)據(jù)獲取中的應(yīng)用

1信息系統(tǒng)信息安全等級(jí)保護(hù)不力,非法獲取醫(yī)療敏感數(shù)據(jù)的需要信息技術(shù)是世界發(fā)展的中心技術(shù)，是衡量經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步的重要標(biāo)志。隨著科學(xué)技術(shù)的發(fā)展和醫(yī)院改革的逐步深入,信息化、管理科學(xué)化已滲透到醫(yī)院管理之中,數(shù)字化管理已成為現(xiàn)代化醫(yī)院必不可少的基礎(chǔ)設(shè)施與技術(shù)支撐環(huán)境。醫(yī)療大數(shù)據(jù)覆蓋了醫(yī)院運(yùn)行的各診療環(huán)節(jié)和醫(yī)院管理的各個(gè)方面,既是醫(yī)院機(jī)密又是寶貴財(cái)富。為防止機(jī)密數(shù)據(jù)泄露,原衛(wèi)生部曾多次要求各級(jí)衛(wèi)生行政部門(mén)和各類(lèi)醫(yī)療機(jī)構(gòu)加強(qiáng)醫(yī)院信息系統(tǒng)藥品、高值耗材的統(tǒng)計(jì)管理工作,避免為不正當(dāng)商業(yè)目的提供醫(yī)師個(gè)人和臨床科室有關(guān)藥品、高值耗材的用量信息。實(shí)施和完善信息安全等級(jí)保護(hù)工作是達(dá)到信息安全要求的必由之路。2012年原衛(wèi)生部制定印發(fā)的《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》要求三級(jí)甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于第3級(jí)。實(shí)現(xiàn)醫(yī)院信息系統(tǒng)安全,需要在安全付出成本與所能承受的安全風(fēng)險(xiǎn)之間進(jìn)行平衡。因此實(shí)施“核心業(yè)務(wù)”信息系統(tǒng)安全等級(jí)保護(hù),有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性強(qiáng)的指導(dǎo)和服務(wù),有效控制信息安全建設(shè)成本。為達(dá)到信息系統(tǒng)安全基線(xiàn)的目標(biāo),醫(yī)院嚴(yán)格管理、屢出新招打擊非法統(tǒng)方,但往往效果并不理想。有關(guān)醫(yī)藥代表勾結(jié)醫(yī)生、信息科人員,非法獲取醫(yī)療敏感數(shù)據(jù)的事件層出不窮。在數(shù)據(jù)庫(kù)系統(tǒng)實(shí)際運(yùn)行中,有70%以上的安全威脅都源于內(nèi)部人員攻擊。根本原因是僅靠查處和傳統(tǒng)的管理手段,通過(guò)事件發(fā)生后審計(jì)的跟蹤溯源,也都只是補(bǔ)救,無(wú)法從源頭上扼制,只有進(jìn)行事前預(yù)防,全程監(jiān)控敏感信息,不給人犯錯(cuò)誤的機(jī)會(huì),才能真正有效地解決問(wèn)題。2.1藥劑科的用量監(jiān)測(cè)醫(yī)院信息系統(tǒng)應(yīng)用中有部分高權(quán)限用戶(hù)擁有接觸敏感信息權(quán)限,例如一些醫(yī)院的藥劑科本身就兼具正常處方點(diǎn)評(píng)和合理用藥監(jiān)測(cè)的職責(zé),需要對(duì)醫(yī)生、藥品和劑量信息進(jìn)行統(tǒng)計(jì),以防止醫(yī)生藥品濫用和用藥比例過(guò)高。如果醫(yī)院信息系統(tǒng)本身管理制度出現(xiàn)漏洞,或者有相關(guān)人員出現(xiàn)問(wèn)題,就會(huì)導(dǎo)致統(tǒng)方數(shù)據(jù)外泄。2.2對(duì)系統(tǒng)管理員的密碼要求外來(lái)的系統(tǒng)運(yùn)維人員有時(shí)要在現(xiàn)場(chǎng)或通過(guò)遠(yuǎn)程對(duì)后臺(tái)服務(wù)器、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)設(shè)備進(jìn)行維護(hù)。醫(yī)院系統(tǒng)管理員有時(shí)不得不把相關(guān)賬戶(hù)信息告知他們。按照規(guī)定當(dāng)運(yùn)維工作完成后,系統(tǒng)管理員應(yīng)更改密碼,但實(shí)際上往往由于疏忽忘記更改。此時(shí)的安全漏洞就是外來(lái)運(yùn)維人員可以隨意登錄系統(tǒng)并訪(fǎng)問(wèn)敏感數(shù)據(jù)。2.3用戶(hù)身份認(rèn)證大多數(shù)信息系統(tǒng)沒(méi)有采用CA證書(shū),僅僅依靠普通的用戶(hù)名、口令進(jìn)行身份認(rèn)證。如前所述,用戶(hù)名、口令經(jīng)常被多人掌握,因此即使知道了某個(gè)用戶(hù)登錄系統(tǒng)后進(jìn)行了違規(guī)操作,也無(wú)法定位到某個(gè)自然人。這種模糊的身份識(shí)別也為個(gè)別內(nèi)部IT運(yùn)維人員提供了抵賴(lài)的借口。2.4數(shù)據(jù)庫(kù)的維護(hù)為了工作方便,醫(yī)院信息系統(tǒng)開(kāi)發(fā)人員掌握著系統(tǒng)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的用戶(hù)名和口令,直接在生產(chǎn)數(shù)據(jù)庫(kù)系統(tǒng)上進(jìn)行應(yīng)用的維護(hù)。開(kāi)發(fā)人員對(duì)應(yīng)用系統(tǒng)的架構(gòu)了如指掌,他們可以借著維護(hù)數(shù)據(jù)的名義獲取敏感信息。2.5精通業(yè)務(wù)系統(tǒng)這些人員并不熟悉各種IT技術(shù),但是他們非常精通業(yè)務(wù)系統(tǒng),知道從哪些正常的渠道獲取數(shù)據(jù),然后對(duì)這些數(shù)據(jù)進(jìn)行加工,最終得到想要的敏感數(shù)據(jù)。2.6采用web漏洞入侵?jǐn)?shù)據(jù)庫(kù)黑客直接在醫(yī)院內(nèi)部找到一個(gè)物理接入點(diǎn)進(jìn)行攻擊。利用現(xiàn)有大多數(shù)數(shù)據(jù)庫(kù)網(wǎng)絡(luò)通信都是明文的特點(diǎn),黑客極有可能得到后臺(tái)系統(tǒng)的用戶(hù)名、口令等重要信息。黑客的手段有:利用HIS等醫(yī)療系統(tǒng)的Web漏洞入侵?jǐn)?shù)據(jù)庫(kù);利用數(shù)據(jù)庫(kù)漏洞直接入侵?jǐn)?shù)據(jù)庫(kù);入侵?jǐn)?shù)據(jù)庫(kù)服務(wù)器主機(jī)直接竊取數(shù)據(jù)庫(kù)文件、備份文件等。2.7事件源頭定位錯(cuò)誤企業(yè)內(nèi)部核心系統(tǒng)的各種用戶(hù)名和口令管理松散;出現(xiàn)安全事件后,無(wú)法快速、準(zhǔn)確地定位事件的源頭,更談不上及時(shí)阻止;沒(méi)有任何操作記錄可以進(jìn)行事后審計(jì),因此也不知道該如何修補(bǔ)系統(tǒng)的安全漏洞;因?yàn)槿狈σ灰粚?duì)應(yīng)的身份認(rèn)證,即使找到了安全事件的源頭,也無(wú)法定位到自然人。3后續(xù)監(jiān)測(cè)的工作原則和缺陷3.1后臺(tái)安全檢查的意義目前醫(yī)院信息系統(tǒng)中普遍使用的數(shù)據(jù)庫(kù)安全審計(jì)對(duì)于用戶(hù)行為的監(jiān)控、安全隱患的檢測(cè)以及事后追查和分析都有著重要的意義,通過(guò)對(duì)醫(yī)院信息系統(tǒng)、數(shù)據(jù)庫(kù)等后臺(tái)系統(tǒng)中的安全進(jìn)行審核、稽查和計(jì)算,在記錄一切(或部分)與系統(tǒng)安全有關(guān)活動(dòng)的基礎(chǔ)上,對(duì)其進(jìn)行分析處理、評(píng)估審查,查找安全隱患,追查造成安全事故的原因并做出進(jìn)一步的處理。創(chuàng)建一個(gè)用于監(jiān)測(cè)非正?；蚩梢苫顒?dòng)的事件記錄并自動(dòng)報(bào)警,生成嫌疑報(bào)告,是事后報(bào)告手段,是一種比較初級(jí)和被動(dòng)的方法。3.2非法統(tǒng)方和漏洞的預(yù)防事后審計(jì)無(wú)法主動(dòng)阻止內(nèi)部人員非法統(tǒng)方行為的發(fā)生,審計(jì)軟件擔(dān)任著記錄數(shù)據(jù)庫(kù)存取訪(fǎng)問(wèn)的職責(zé),在非法訪(fǎng)問(wèn)發(fā)生時(shí)不能行使攔截的職能;在偽造IP、用戶(hù)名進(jìn)行非法統(tǒng)方時(shí),只能審計(jì)不能攔截,無(wú)法阻止外部黑客的攻擊和存儲(chǔ)層的數(shù)據(jù)泄密;在出現(xiàn)新的更隱蔽的非法統(tǒng)方和漏洞時(shí),需要重新定義風(fēng)險(xiǎn)和記錄策略。傳統(tǒng)數(shù)據(jù)庫(kù)審計(jì)軟件定位的是事后防范,當(dāng)審計(jì)記錄已經(jīng)捕獲到了一些關(guān)鍵信息時(shí),被動(dòng)審計(jì)通常都不會(huì)產(chǎn)生理想的結(jié)果,及時(shí)地由“監(jiān)測(cè)階段”轉(zhuǎn)入“響應(yīng)階段”至關(guān)重要,這需要借助訪(fǎng)問(wèn)控制、安全監(jiān)察軟件來(lái)實(shí)現(xiàn)事前預(yù)防和事中控制。4引入預(yù)防性安全監(jiān)控系統(tǒng)4.1事前預(yù)防監(jiān)察控制系統(tǒng)安全監(jiān)察系統(tǒng)SA-ToolKit對(duì)業(yè)務(wù)系統(tǒng)所管轄資源的系統(tǒng)賬號(hào)和應(yīng)用賬號(hào)進(jìn)行集中管理、統(tǒng)一認(rèn)證和集中授權(quán),通過(guò)對(duì)自然人身份以及資源、資源賬號(hào)的集中管理,建立“自然人賬號(hào)——設(shè)備資源——設(shè)備資源賬號(hào)”對(duì)應(yīng)關(guān)系,實(shí)現(xiàn)自然人對(duì)資源的統(tǒng)一授權(quán),同時(shí)對(duì)授權(quán)人員的業(yè)務(wù)操作行為進(jìn)行記錄、分析和展現(xiàn),以幫助內(nèi)控工作事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)控、違規(guī)行為響應(yīng)、事后合規(guī)報(bào)告和事故追蹤回放,加強(qiáng)內(nèi)部業(yè)務(wù)操作行為監(jiān)管,避免核心資產(chǎn)(數(shù)據(jù)庫(kù)、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)損失,保障業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)。中山大學(xué)附屬第三醫(yī)院采用了符合國(guó)家4A安全要求的事前預(yù)防監(jiān)察控制系統(tǒng)SA-Toolkit,其應(yīng)用架構(gòu),見(jiàn)圖1。所有對(duì)關(guān)鍵且敏感的網(wǎng)絡(luò)設(shè)備和服務(wù)器的請(qǐng)求都要經(jīng)過(guò)安全監(jiān)察系統(tǒng)的管控,攔截、阻斷、過(guò)濾所有對(duì)目標(biāo)設(shè)備的非法訪(fǎng)問(wèn)和惡意攻擊行為。安全監(jiān)察系統(tǒng)技術(shù)的特點(diǎn)是統(tǒng)一帳號(hào)管理、統(tǒng)一身份認(rèn)證、統(tǒng)一資源授權(quán)、統(tǒng)一操作安全審計(jì)、單點(diǎn)登錄管理等。4.2后臺(tái)管理子系統(tǒng),用戶(hù)可恢復(fù)在各后臺(tái)系統(tǒng)內(nèi)即每位系統(tǒng)操作人員只需使用他自己的用戶(hù)名、口令登錄,然后就可以直接使用其權(quán)限內(nèi)的各種后臺(tái)系統(tǒng),無(wú)需再次輸入各后臺(tái)系統(tǒng)的用戶(hù)名、口令。這就最大程度地限制了后臺(tái)系統(tǒng)的各種用戶(hù)名、口令被散發(fā)出去,見(jiàn)圖2。4.3賬戶(hù)使用權(quán)限和審計(jì)認(rèn)證即每個(gè)用戶(hù)、系統(tǒng)操作人員進(jìn)行一對(duì)一賬號(hào)密碼以及身份驗(yàn)證,只允許使用一個(gè)賬號(hào)和一個(gè)密碼,通過(guò)登錄賬號(hào)可查具體操作人。鑒權(quán)即對(duì)用戶(hù)賬戶(hù)進(jìn)行權(quán)限和驗(yàn)證,對(duì)每個(gè)賬戶(hù)所能進(jìn)行的系統(tǒng)操作進(jìn)行限制,為每位管理員分別設(shè)置使用權(quán)限,管理員只能在被允許的范圍內(nèi)對(duì)設(shè)備進(jìn)行管理,避免人為誤操作。審計(jì)即對(duì)每個(gè)賬戶(hù)所進(jìn)行過(guò)的操作進(jìn)行記錄,必要時(shí)可進(jìn)行實(shí)時(shí)監(jiān)控。對(duì)每位操作人員的在線(xiàn)情況、操作情況、設(shè)備運(yùn)行情況進(jìn)行跟蹤、記錄,任何設(shè)備變動(dòng)都處于可控狀態(tài),見(jiàn)圖3。4.4安全監(jiān)察系統(tǒng)的對(duì)接安全監(jiān)察系統(tǒng)完全覆蓋了防統(tǒng)方漏洞,解決了傳統(tǒng)審計(jì)軟件所暴露的問(wèn)題,堵住了非法數(shù)據(jù)泄露的幾大途徑。同時(shí)它又給醫(yī)療網(wǎng)內(nèi)其他資源安全提供了最全方位的保護(hù),例如對(duì)醫(yī)院信息中心的核心服務(wù)器、數(shù)據(jù)庫(kù)、交換機(jī)等設(shè)備資源提供了最核心的監(jiān)控和保護(hù)。將醫(yī)院信息系統(tǒng)業(yè)務(wù)按等級(jí)分類(lèi),將敏感業(yè)務(wù)接入安全監(jiān)察系統(tǒng),有利于降低安全監(jiān)察系統(tǒng)的負(fù)荷;配合網(wǎng)絡(luò)訪(fǎng)問(wèn)控制,切斷客戶(hù)端直接通向敏感設(shè)備的通道,僅留一條安全監(jiān)察設(shè)備的通道;配置多樣的數(shù)據(jù)庫(kù)客戶(hù)端SQL工具,以方便開(kāi)發(fā)和維護(hù)人員通過(guò)監(jiān)察設(shè)備使用;做好安全監(jiān)察設(shè)備的維護(hù),制定應(yīng)急預(yù)案。5“防統(tǒng)方”理念信息安全等級(jí)保護(hù)制度是國(guó)家信息安全保障工作的基本制度、基本策略和基本方