“五防”安全防護思路下的醫(yī)療信息安全研究

◆王湛澤 江丹梨 劉琳輝

“五防”安全防護思路下的醫(yī)療信息安全研究

◆王湛澤1江丹梨2劉琳輝1

（1.廣州市花都區(qū)人民醫(yī)院 計算機網(wǎng)絡(luò)技術(shù)中心 廣東 510800；2.廣州市花都區(qū)婦幼保健院（胡忠醫(yī)院） 廣東 510800）

從2018年至2020年，我國在各行業(yè)，特別是醫(yī)療行業(yè)，發(fā)生網(wǎng)絡(luò)安全事件逐年上升，網(wǎng)絡(luò)信息安全形勢十分嚴峻。面對當前嚴峻的網(wǎng)絡(luò)安全形勢，不斷完善安全架構(gòu)[1]，有效提高我院網(wǎng)絡(luò)安全防范能力，是醫(yī)院信息化建設(shè)中的重要任務(wù)。本文介紹了醫(yī)院安全事件、醫(yī)療行業(yè)政策規(guī)范，以及提出了“五防”安全防護思路的防御措施，對醫(yī)療大數(shù)據(jù)信息安全、網(wǎng)絡(luò)安全建設(shè)，具有重要意義。

醫(yī)療信息安全；網(wǎng)絡(luò)安全；安全防御；醫(yī)院信息化

從公安部門和多家互聯(lián)網(wǎng)公司獲悉，根據(jù)相關(guān)專項檢測，整個醫(yī)療行業(yè)信息安全形勢不容樂觀。從2018年至今，有近300家醫(yī)院發(fā)生網(wǎng)絡(luò)安全事件，尤其是在醫(yī)院服務(wù)器及臨床科室計算機中檢測出勒索病毒，醫(yī)療數(shù)據(jù)被破壞，另外醫(yī)院患者信息被人為倒賣，或者被黑客竊取，嚴重侵害國家人民群眾的切身利益。本文分析了醫(yī)療行業(yè)網(wǎng)絡(luò)現(xiàn)狀，并從“防攻擊、防病毒、防竄改、防癱瘓、防泄密”五個不同維度對醫(yī)療信息網(wǎng)絡(luò)安全建設(shè)提出了安全防護思路。同時從集中安全管理和安全持續(xù)運營的角度，構(gòu)建全面的立體化防護體系[2]。

1 醫(yī)療行業(yè)網(wǎng)絡(luò)現(xiàn)狀及安全事件介紹

醫(yī)療行業(yè)網(wǎng)絡(luò)空間各資產(chǎn)高危端口沒有統(tǒng)一管理，遠程桌面以及文件共享端口開放率高達50%以上；醫(yī)院內(nèi)外網(wǎng)管理缺乏安全管理；乙方公司平臺防護脆弱性增加數(shù)據(jù)泄露的風險；醫(yī)療行業(yè)是保障國家人民衛(wèi)生健康的民生行業(yè)，重要性不言而喻，容易成為勒索病毒攻擊的主要目標。網(wǎng)絡(luò)安全設(shè)備購買越來越多，陳舊不齊，缺乏專業(yè)人員管理以及運維[3]。

1.1 多家三甲醫(yī)院服務(wù)器遭黑客入侵并植入挖礦木馬

2018年7月，廣東、重慶多家三甲醫(yī)院服務(wù)器被黑客入侵，攻擊者暴力破解醫(yī)院服務(wù)器的遠程登錄服務(wù)，之后利用有道筆記的分享文件功能下載多種挖礦木馬。

攻擊者將挖礦木馬偽裝成遠程協(xié)助工具Teamviewer運行，攻擊者的挖礦木馬會檢測多達50個常用挖礦程序的進程，將這些程序結(jié)束進程后獨占服務(wù)器資源挖礦。該挖礦木馬還會通過修改注冊表，破壞操作系統(tǒng)安全功能：禁用UAC（用戶賬戶控制）、禁用Windows Defender，關(guān)閉運行危險程序時的打開警告等等。

已知樣本分析發(fā)現(xiàn)，攻擊者使用的挖礦木馬擁有多個礦池，開挖的山寨加密幣包括：門羅幣（XMR）、以太坊（ETH）、零幣（ZEC）等等，從礦池信息看，目前攻擊者已累積獲利達40余萬元人民幣。

據(jù)有關(guān)機構(gòu)統(tǒng)計分析，我國醫(yī)療機構(gòu)開放遠程登錄服務(wù)（端口號：22）的比例高達50%，這意味著有一半服務(wù)器可能遭遇相同的攻擊。

1.2 白求恩國際和平醫(yī)院網(wǎng)站域名被竄改

2016年7月，根據(jù)中國數(shù)字醫(yī)療網(wǎng)報道，在百度的搜索框中輸入“白求恩國際和平醫(yī)院”，出現(xiàn)的第一個檢索內(nèi)容點擊出來的頁面，卻是“六合彩開獎網(wǎng)”。白求恩國際和平醫(yī)院網(wǎng)站用于發(fā)布醫(yī)院的醫(yī)院概況、最新動態(tài)和招標公示等，是醫(yī)院對外宣傳的平臺。在遭到竄改后，網(wǎng)頁鏈接打開顯示為“六合彩開獎網(wǎng)”，網(wǎng)頁內(nèi)容也全部被竄改為六合彩資訊，引發(fā)網(wǎng)友猜測，醫(yī)院對外的名譽受到一定影響。

1.3 永川某私立醫(yī)院網(wǎng)絡(luò)安全形同虛設(shè)

2019年5月，重慶永川某私立醫(yī)院服務(wù)器突然陷入癱瘓，醫(yī)院業(yè)務(wù)全面“停擺”。

重慶永川公安組織網(wǎng)安刑偵、勘驗、管理民警和技術(shù)支持專家趕赴現(xiàn)場對該案件進行調(diào)查核實。

醫(yī)院未按照《中華人民共和國網(wǎng)絡(luò)安全法》、《網(wǎng)絡(luò)安全等級保護基本要求》進行安全建設(shè)和整改[4]。黑客通過植入勒索病毒到無防護的醫(yī)院信息系統(tǒng)，使得醫(yī)院業(yè)務(wù)全面癱瘓。

1.4 數(shù)十萬名新生兒信息泄露遭倒賣

某婦幼保健院內(nèi)部人員利用工作的便利，在為新生兒辦理出生證時，非法下載新生兒和產(chǎn)婦的個人信息，總量達8.9萬多條。

將這些信息“轉(zhuǎn)賣”給開設(shè)母嬰服務(wù)中心的楊某甲和楊某乙，以及經(jīng)營攝影店的肖某某。截至2020年6月案發(fā)時，她共非法收取“好處費”5.64萬元。

根據(jù)IBM Security的2020年數(shù)據(jù)泄露成本報告，2020年全球醫(yī)療數(shù)據(jù)泄露平均成本高達713萬美元，這比去年增長了10%以上。醫(yī)院就診信息的泄露，嚴重影響醫(yī)院的聲譽，還可能導致社會恐慌。

2 醫(yī)療行業(yè)政策規(guī)范

（1）2017年6月中央網(wǎng)信辦、公安部、工信部等，發(fā)布《中華人民共和國網(wǎng)絡(luò)安全法》，將醫(yī)療衛(wèi)生行業(yè)列為國家關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域之一，嚴格按照等級保護標準進行安全建設(shè)。

（2）2019年5月公安部發(fā)布《網(wǎng)絡(luò)安全等級保護基本要求》22239-2019、《網(wǎng)絡(luò)安全等級保護設(shè)計要求》25070-2019、《網(wǎng)絡(luò)安全等級保護測評要求》28448-2019，要求各行業(yè)及領(lǐng)域可參照新標準進行安全建設(shè)和整改。

（3）2018年6月，原國家衛(wèi)生部發(fā)布《關(guān)于進一步推進以電子病歷為核心的醫(yī)療機構(gòu)信息化建設(shè)工作的通知》[國衛(wèi)辦醫(yī)發(fā)〔2018〕20號]，旨在不斷加強電子病歷信息化建設(shè)，確保電子病歷信息化建設(shè)運行安全

3 實“五防”安全防護思路

“五防”是以防攻擊、防病毒、防竄改、防癱瘓、防泄密為重點，暢通信息收集發(fā)布渠道，保障數(shù)據(jù)規(guī)范使用，切實保護個人隱私安全，防范網(wǎng)絡(luò)安全突發(fā)事件。本院做了如下網(wǎng)絡(luò)安全防護措施：

3.1 防攻擊

（1）網(wǎng)絡(luò)邊界

根據(jù)終端的重要性進行分類，在網(wǎng)絡(luò)上邏輯劃分分區(qū)，如服務(wù)器放在DMZ區(qū)，安全策略設(shè)置調(diào)高等級，對防火墻的出入規(guī)則重新梳理定義，來應(yīng)對未知網(wǎng)絡(luò)攻擊威脅。

（2）鏈路加密

在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，進行加密通訊。

（3）應(yīng)用加密

網(wǎng)站業(yè)務(wù)、小程序等可通過https加密傳輸方式進行?？蛻舳丝蓪端以加殼方式進行防護，防止源代碼泄露。

（4）終端安全

每周或者更短時間間隔對所有應(yīng)用終端，進行系統(tǒng)漏洞掃描，脆弱性分析，及時補丁系統(tǒng)漏洞，進行安全配置加固。

3.2 防病毒

從終端防病毒、網(wǎng)絡(luò)防病毒和云端防病毒三個方面構(gòu)建“三位一體”的立體化病毒防護體系。

（1）對于普通病毒的處理

可通過部署可統(tǒng)一管理的終端殺毒軟件進行防護，在安全中心可關(guān)注整體終端安全情況，下發(fā)升級補丁的任務(wù)。

（2）對于特殊病毒的處理

利用防病毒軟件，入侵檢測系統(tǒng)，防火墻軟件、個人經(jīng)驗等，對于特殊病毒，如勒索病毒、木馬、蠕蟲、僵尸網(wǎng)絡(luò)等病毒進行正確識別。識別到勒索病毒的必須提供警惕，快速切斷網(wǎng)絡(luò)，關(guān)閉網(wǎng)絡(luò)路由器或者交換機的電源，并拔下網(wǎng)線，利用防火墻關(guān)閉終端的攻擊端口；已經(jīng)感染勒索病毒的，確認原來可以訪問的文件無法訪問并且后綴統(tǒng)一，收集后綴名稱以及ID信息、通過加密通告頁面和后綴確認勒索病毒版本，如GANDCRAB、GlobeImposter、Crysis等，利用硬盤殘留數(shù)據(jù)進行恢復，如果是手動方式，可以進行查看下回收站，或者通過nomoreransom平臺發(fā)布的勒索軟件破解軟件進行解密。做了以上努力，仍有數(shù)據(jù)未恢復則選擇有償支付或舍棄已備份或者不重要數(shù)據(jù)。

3.3 防竄改

從漏洞修復、服務(wù)器防竄改、規(guī)范運維管理三個方面進行多維度實現(xiàn)網(wǎng)站防竄改。

（1）漏洞修復

對操作系統(tǒng)、服務(wù)器系統(tǒng)、官網(wǎng)等系統(tǒng)漏洞掃描，及時打補丁。

（2）服務(wù)器防竄改

通過在應(yīng)用服務(wù)器上部署防竄改軟件，自動全量、增量備份網(wǎng)站文件[5]，對竄改實時阻斷和恢復。

（3）規(guī)范運維管理

3.4 防癱瘓

從防斷網(wǎng)、防應(yīng)用故障、防數(shù)據(jù)丟失個方面進行系統(tǒng)防癱瘓

（1）防斷網(wǎng)

對關(guān)鍵網(wǎng)絡(luò)區(qū)域，如DMZ區(qū)，要設(shè)置雙核心路由器、雙核心交換機等保障網(wǎng)絡(luò)線路冗余，滿足網(wǎng)絡(luò)信息安全的可用性要求。

（2）應(yīng)用故障

定期對應(yīng)用數(shù)據(jù)進行備份，避免受到未預期的刪除、修改等。

（3）數(shù)據(jù)丟失

為防止重要數(shù)據(jù)丟失，采購服務(wù)器一體化備份系統(tǒng)，對重要的服務(wù)器、數(shù)據(jù)庫、軟件、重要資料進行備份，時間間隔盡可能縮短，并定期驗證恢復是否可用。每月進行災備演練。

3.5 防泄密

（1）數(shù)據(jù)梳理與風險評估

2.對比法。把形聲字中形符或聲符相同的形聲字進行比較分析的教學方法。例如可以將“青、精、睛、情、晴、清、請”這一組聲符相同的形聲字進行對比分析，也可將形符相同的形聲字進行對比，例如“祝、福、視、神、社、禮”。通過對比分析，可以凸顯彼此之間的差別，加深記憶。類似這樣的形聲字均可按照對比法進行分析。

數(shù)據(jù)規(guī)范制定、敏感數(shù)據(jù)定義、敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)分類分級、數(shù)據(jù)資產(chǎn)測繪、大數(shù)據(jù)組件與掃描、數(shù)據(jù)安全風險評估

（2）數(shù)據(jù)庫安全防護

數(shù)據(jù)庫安全審計，SQL注入行為檢測阻斷、防止敏感數(shù)據(jù)泄露竄改、精細訪問權(quán)限管理

（3）終端數(shù)據(jù)安全防護

終端用戶遵循權(quán)限最小化原則，并制定相應(yīng)的終端使用制度對用戶行為進行規(guī)范。

3.6 在日常運維中如何做到“五防”[6]

讓第三方遠程處理業(yè)務(wù)系統(tǒng)故障時，采用高安全性的堡壘機，并且需要手機二次驗證，同時對第三方遠程行為進行監(jiān)控，審計，防止第三方出現(xiàn)違規(guī)行為。

每臺應(yīng)用終端桌面，安裝終端安全防護軟件，對操作系統(tǒng)的版本，安裝的軟件進行監(jiān)控，及時對高危漏洞進行后臺補丁。

醫(yī)療業(yè)務(wù)系統(tǒng)，定期巡查督促醫(yī)護人員定期修改密碼，設(shè)置高安全性密碼，如大小寫字母、特殊符號、數(shù)字結(jié)合，并且八位以上。

服務(wù)器等重要關(guān)鍵基礎(chǔ)資產(chǎn)進行防病毒檢查，入侵檢測，安裝防火墻，定期備份及驗證備份，并且關(guān)閉遠程，文件共享等高危端口。

提高保護數(shù)據(jù)安全認識，定期做好個人數(shù)據(jù)備份。

3.7 整體安全體系建設(shè)[7]

伴隨“互聯(lián)網(wǎng)+醫(yī)療健康”推進，醫(yī)療企業(yè)和機構(gòu)所面臨的網(wǎng)絡(luò)信息安全風險也被成倍放大，提升安全風險防范意識，加強信息安全體系建設(shè)，才能有效保障和驅(qū)動醫(yī)療信息化的良性發(fā)展。

當前，我國醫(yī)療信息化建設(shè)正在提速，而醫(yī)療信息安全建設(shè)保障工作也得到了行業(yè)普遍關(guān)注和重視；解決醫(yī)療信息安全相關(guān)威脅和挑戰(zhàn)，需要繼續(xù)加強在醫(yī)療信息安全領(lǐng)域的投入、建立系統(tǒng)化的安全保障體系：

（1）對當前醫(yī)療信息化安全系統(tǒng)進行全面體檢，定位安全問題，排除安全隱患；

（2）構(gòu)建醫(yī)院網(wǎng)絡(luò)空間安全防御系統(tǒng)，提高信息安全水平；

（3）加強醫(yī)療網(wǎng)絡(luò)信息安全技術(shù)團隊培訓，全面提升安全防御意識和團隊素養(yǎng)；

（4）定期進行網(wǎng)絡(luò)信息安全檢查及安全防御演練，提升重大威脅應(yīng)急響應(yīng)能力；

（5）建立面向行業(yè)的應(yīng)急響應(yīng)協(xié)同機制，及時預警聯(lián)防共治，攜手應(yīng)對網(wǎng)絡(luò)風險。

3.8 安全運營建設(shè)思路[8]

（1）系統(tǒng)化的安全基礎(chǔ)設(shè)施建設(shè)

所有體系化的安全基礎(chǔ)建設(shè)是安全運營體系中不可或缺的一部分。按照網(wǎng)絡(luò)安全等級保護制度，對關(guān)鍵信息基礎(chǔ)設(shè)施做好安全防護建設(shè)。

（2）數(shù)據(jù)驅(qū)動安全－運營體系持續(xù)優(yōu)化

通過對安全數(shù)據(jù)治理實現(xiàn)安全分析、威脅建模、態(tài)勢感知、可視化展示等，根據(jù)分析結(jié)果，指導安全工作開展，實現(xiàn)安全事件的響應(yīng)追蹤和威脅預測；參考運營過程數(shù)據(jù)，持續(xù)優(yōu)化運營體系，逐步形成貼合業(yè)務(wù)場景的成熟的運營體系。

（3）運營服務(wù)隊伍與體系建設(shè)

培養(yǎng)、引進高水平、高素質(zhì)人才，建設(shè)完備的、科學分工的、整體化的運營服務(wù)體系來支撐安全體系建設(shè)；

（4）閉環(huán)的安全能力持續(xù)輸出

以Gartner提出的下一代的自適應(yīng)安全框架（ASA）為標準，通過持續(xù)的預測、防御、檢測、響應(yīng)的閉環(huán)運營，持續(xù)輸出安全能力。同時通過SOAR逐步實現(xiàn)安全運營過程自動化。

4 結(jié)束語

信息化發(fā)展，離不開安全規(guī)劃。醫(yī)院著力發(fā)展信息化同時，要認識到醫(yī)院網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。本文從“五防”安全防護思路出發(fā)，逐一講解了，各類安全問題的防護手段，最后提出了在日常工作中如何做到“五防”、整體安全體系建設(shè)以及安全運營建設(shè)思路，對醫(yī)院網(wǎng)絡(luò)信息安全建設(shè)提供了參考。

[1]沈穎杰. 分析網(wǎng)絡(luò)信息安全防護體系及其在醫(yī)院網(wǎng)絡(luò)系統(tǒng)中的運用[J]. 電子技術(shù)與軟件工程，2019（3）：182.

[2]陳擁軍，肖新文，陳泓伶，等. 醫(yī)院網(wǎng)絡(luò)安全體系構(gòu)建與實現(xiàn)[J]. 中國數(shù)字醫(yī)學，2016，11（7）：105-107.

[3]胡芳，沈紹武. 醫(yī)院信息安全體系規(guī)劃與設(shè)計[J]. 中國數(shù)字醫(yī)學，2012，7（11）：79-82.

[4]陳明. 基于等級保護的掌上醫(yī)院安全防護體系設(shè)計[D]. 陜西：西安電子科技大學，2018.

[5]李哲. 醫(yī)療機構(gòu)電子病歷長期保存的風險防范研究[D]. 河南：鄭州大學，2019.

[6]周松柏. 醫(yī)療行業(yè)信息安全發(fā)展形勢淺析及展望[C]. //2012中華醫(yī)院信息網(wǎng)絡(luò)大會暨第五屆中美醫(yī)院信息化論壇論文集. 2012：1-5.

[7]吳明偉，常奕. 醫(yī)院信息系統(tǒng)安全建設(shè)構(gòu)想[C]. //2012中華醫(yī)院信息網(wǎng)絡(luò)大會暨第五屆中美醫(yī)院信息化論壇論文集. 2012：1-4.

[8]楊帆帆，彭聰留. 安全運營賦能關(guān)鍵信息基礎(chǔ)設(shè)施安全防護實踐[J]. 警察技術(shù)，2021（1）：21-24.