医院信息安全建构策略——基于灾害脆弱性分析吴汉耿目录1写在前面信息安全与医疗安全23风险评估与威胁的种类应用根因法进行灾害脆弱性分析45应用
蜘蛛织网法做相应的措施写在前面从危机管理层面考量,信息安全应与医疗安全同样重视。信息安全应与医疗安全同样重视无论是黑客攻击窃取资料
、网络病毒导致系统瘫痪、数据损毁等都会对医院带来重大的经济损失和负社会效应。1如何保障信息“五性”、建构鲁棒性安全体系?要求信息管
理者必须以灾害脆弱性分析为基础,应用根因法、蜘蛛法展开论证与处理。2灾害脆弱性分析(HazardVulnerabilityAn
alysis,HVA)是2011版三级医院评审所要求的核心条款内容。3信息安全应与医疗安全同样重视根因法(RootCauseA
nalysis,RCA)是以问题为导向进行追溯原因的管理方法。4蜘蛛法亦称蜘蛛织网法(SpiderWeaving-webMet
hodology,SWM)是观察蜘蛛织网的生物学过程而触发的管理思维方法;蜘蛛结网,目标明确,为达完美,无有始尽。5应用根因法找出
问题本质,采用蜘蛛法提出解决方案,二者相互配合,结合建构主义内涵,为医院提供一个基于信息安全鲁棒性并可持续发展策略。6信息安全面临
的挑战不亚于医疗安全信息安全使用必须保证保密、完整、可用、可控和不可否认性,无论是攻击窃取资料,网络病毒导致系统瘫痪,数据损毁等都
会对医院带来重大的经济损失和负社会效应。因信息宿主物理位置相对稳定(裸露性高)更是成为主动损害的目标,损失难以估量,体现在病案等法
律文书、医院运营商业秘密、医患的隐私、勒索赔付、统方犯法诸多内容,会对医院造成很大的影响,诸如不良的医疗服务、造成医疗纠纷、失去民
众信任、医院声誉损害、巨额赔偿等应用危机管理理论从发生概率、易损范围、预见性、防控难度、损失内容等展开分析,可见信息安全事故发生概
率与防控难度、损害范围、预见性以及领导重视程度成反比2互联网体系结构的开放性、网络基础设施和通信协议的缺陷、恶意软件、操作系统漏洞
、内部安全以及社会工程学等难预见性与频发性事故让安全工作防不胜防。31医疗安全事故与信息安全事故比较医疗安全信息安全偶发频发概率大
面积个体范围难预见可预见预见性高、暗箭难防低、可防可控防控难度是否主动损害难估量金钱赔付为主损失内容风险评估1分析与评估最重要成果
就是目前风险的大小,以及相应的降低风险的安全措施部署策略建议。风险分析与评估的结果是信息安全方面投资、决策的依据,同时也是评估投资
效果的重要依据。风险评估流程安全管理无法落实或不到位,从而破坏信息系统正常有序运行。4管理水平3操作失误应该执行而没有执行相应的操
作,或无意执行了错误的操作。2物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害。1软硬件故障对业务实施或系统运行产生
影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题。风险评估2分析与评估最重要成果就是目前风险的大小,以及相应的降低风险的
安全措施部署策略建议。风险分析与评估的结果是信息安全方面投资、决策的依据,同时也是评估投资效果的重要依据。通过物理的接触造成对软件
、硬件、数据的破坏。风险评估流程8物理攻击利用工具和技术通过网络对信息系统进行攻击和入侵。7网络攻击6越权滥用通过采用一些措施,超
越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为。5恶意代码故意在计算机系统上执行恶意任务的程序代
码。风险评估3分析与评估最重要成果就是目前风险的大小,以及相应的降低风险的安全措施部署策略建议。风险分析与评估的结果是信息安全方面
投资、决策的依据,同时也是评估投资效果的重要依据。风险评估流程11抵赖不承认收到的信息和所作的操作和交易。10篡改内容非法修改信息
,破坏信息的完整性使系统的安全性降低或信息不可用。9泄密情况信息泄露给不应了解的他人。应用根因法进行灾害脆弱性分析1类型识别对象脆
弱性子类技术脆弱物理环境机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通讯线路的保护、机房区域防护、机房设
备管理等网络结构网络结构设计、网络传输加密、网络设备安全漏洞、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等服务
器/系统软件补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统
软件安全漏洞、软件安全、功能管理等数据库补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制应用系统审计
机制、审计存储、访问控制策略、数据完整性、通讯、鉴别机制、密码保护等应用中间件协议安全、交易完整性、数据完整性等管理脆弱技术管理物
理和环境安全、通讯和操作管理、访问控制、系统开发与维护、业务连续性等组织管理安全策略、组织安全、信息资产分类与控制、人员安全、符合
性等脆弱性类型与识别对象应用根因法进行灾害脆弱性分析2边界完整性检查结构安全分析1网络、主机、应用、数据等安全现状分析是否按照对业
务服务的重要次序来指定带宽分配优先级别以便确保结构安全,基于ip/tcp是否定点定位。防火墙是否冗余配置;数据库服务与应用服务是否
分离部署等。网络层是否采取防止非授权设备私自联入内部网络的技术手段;闲置端口是否关闭;网络设备、安全设备和服务器不必要的设备插口有
无控制;有无针对特殊端口的监控措施。现状分析42访问控制分析上网行为管理和核心交换机的访问控制策略;网络层对信息内容的过滤,应用层
HTTP、FTP、等协议命令级的控制;网络最大流量数、连接数的监控;重要网段的防地址欺骗。安全审计分析是否对审计记录数据进行分析与
生成审计报表;日志审计是否由专人负责。3应用根因法进行灾害脆弱性分析3网络设备防护检查数据安全现状分析5核心交换机是否配置登录规则
及对管理员登录地址进行限制,有无登录失败处理功能;核心交换机采用何种模式登录;是否实现特权用户的权限分离;核心交换机的本地默认用户
名是否易猜易懂,口令有无定期更换;网络、主机、应用、数据等安全现状分析数据完整性恢复措施,系统管理数据、鉴别信息和重要业务数据传输
保密性,安全设备、网络设备、系统管理数据、鉴别信息和重要业务数据的传输保密性;最新的交换机、防火墙和上网行为管理等设备的配置信息以
及应用系统关键目录或文件进行备份;医院信息系统有无部署异地数据灾备。对同一用户是否选择两种或两种以上组合的鉴别技术来进行身份鉴别。
现状分析86主机安全现状分析应用安全现状分析是否采用两种或两种以上组合的鉴别技术实现用户身份鉴别;密码长度和复杂度、重要信息资源敏
感标记、应用系统设置会话超时,对有敏感标记重要信息资源的操作,日志审计功能、实现数据原发的抗抵赖、最大会话并发连接数等都必须进行部
署。服务器操作系统有没有统一的升级管理控制系统,操作系统有没有及时更新补丁;服务器资源有没有规范访问标准;实行统一的登陆账号密码管
理,统一的访问控制入口;部署安全与日志审计系统,对服务器操作、日志信息进行监测和预警。7应用蜘蛛织网法整改技术管理层面行政管理层面
应用蜘蛛织网法做相应的措施按持续改进管理思维做整改信管工作者要坚决秉持“黑锅经常背,初心永不忘”的理念。构建安全域硬件配置软件方
面技术管理层面构建精确到用户、设备、账号、协议及时间的访问控制基本架构,登陆IP的控制功能,基于ip/tcp黑白名单、时间控制,对
ssh或telnet下的命令检测,基于FTP、SFTP、VNC、RDP的操作审计,支持WEB、命令行的预警和审计回放,数据库峰值处
理吞吐量,VPN传输的保密性和PKI的抗抵赖等相关安全域建造因子的配备可以确保技术管理的高安全度。除了基础配置外,还需要屏蔽灾备机
房建设、堡垒机、防磁屏蔽机柜等。登陆管理系统、数据库审计软件、内网终端管理系统、应用安全管理系统、漏洞扫描系统等。应用蜘蛛织网法做
相应的措施按持续改进管理思维做整改采用危机管理思维,构建防范未然的事前管理模式让信息安全域更具鲁棒性。管理制度配套应急预案演练建
立应急预案行政管理层面管理要提升,制度要先行。基于单位实际情况和职能科室管理能力,相关的制度要做到全员应知应会。分别有:信息安全管
理工作总体方针、机构,人员管理、系统建设、系统运维管理等类别。按“四个凡事”要求,落实相关安全责任,譬如签订《信息科易损性灾害防范
与日常安检责任书》、《信息系统安全保密保证书》等,按图索骥、照本宣科,扎扎实实根据制度要求展开实际工作,确保信息安全、医疗安全。根
据《灾害脆弱性分析报告》、《网络信息安全部署情况报告》等分别制定《门、急诊信息系统障碍应急预案》、《住院信息系统障碍应急预案》及L
IS、PACS、RIS、EMR等相关内容的应急措施。确保基于灾备建设状况下的信息安全更鲁棒。演练可以检验预案的实用性、可用性、可靠
性,可以检验协同反应水平和实战能力。针对HVA报告建立的预案进行定期演练,主要有服务器、数据库侵入、DOS攻击、停电等。要有培训、
有角本、有演练、有总结分析、有会议通报等。同时,按建构主义内涵要义,主动演练可以在学习中进步、在实践中成长[4]。要加强信息技术人
员的培养,提升信息安全技术水平,加强全院职工的信息安全教育,定期组织相关内容学习,轮值演讲,涵盖经验类、总结类、构想类,提高维护信
息安全的主动性和自觉性,打造一个人人参与的安全建设氛围。我们说:“医院信息安全面临考验”。如何应用灾害脆弱性分析并以根因法、蜘蛛法
从硬、软件以及管理配套层面展开论证与处理以期达到安全鲁棒性架构是我们信息管理者必须考量的工作。今天我带来的这个内容试图给出个方案这
个项目有取得2020年度汕头市科学技术协会颁发的三等奖证书。▲信息五个基本属性:保密性confidentiality,完整性i
ntegrity,可用性availability,可控性controlability,可靠性reliability,不可抵赖
性/不可否认性non-repudiation。▲灾害脆弱性分析是医院受到某种潜在灾害影响的可能性及它对灾害的承受能力。它描述的是
某种灾害发生的可能性,如隐患存在的可能,隐患引发事件的可能,事件形成灾害的可能,灾害演变成灾难的可能。▲根因分析是一项结构化的问题
处理法,用以逐步找出问题的根本原因并加以解决,而不是仅仅关注问题的表征。所谓根本原因,就是导致我们所关注的问题发生的最基本的原因
。因为引起问题的原因通常有很多,物理条件、人为因素、系统行为、或者流程因素等等,通过科学分析,有可能发现不止一个根源性原因。1、提
问为什么会发生当前情况,并对可能的答案进行记录。2、找到根本原因后,就要评估改变根本原因的最佳方法,从而从根本上解决问题。▲建
构主义:是一种关于知识和学习的理论,强调学习者的主动性,认为学习是学习者基于原有的知识经验生成意义、建构理解的过程,而这一过程常常
是在社会文化互动中完成的。首先是确定医院信息资产列表及信息资产价值,识别脆弱性与威胁、确定可能性与风险,建议安全防护措施等。通过评
估、扫描、审计、数据与架构分析等方式,全面分析系统的现状、主机、数据库、设备、网络弱点和风险,形成《风险评估报告》1、软硬件故障体
现在:设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等2、物理环境影响体现在:
断电、静电、灰尘、潮湿、温度、洪灾、火灾、地震、暴风雨、潮汐、污染、空调设备故障、鼠蚁虫害、电磁干扰等3、操作失误体现在:维护错误
、操作失误、提供错误的指南或操作信息等。4、管理水平体现在:管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等首
先是确定医院信息资产列表及信息资产价值,识别脆弱性与威胁、确定可能性与风险,建议安全防护措施等。通过评估、扫描、审计、数据与架构分
析等方式,全面分析系统的现状、主机、数据库、设备、网络弱点和风险,形成《风险评估报告》5、恶意代码体现在:病毒、特洛伊木马、蠕虫、
陷门、间谍软件、窃听软件、携带恶意软件的垃圾邮件、流氓安全软件、即时消息垃圾邮件等6、越权滥用体现在:非授权访问网络资源、非授权访
问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息、非授权使用存储介质等7、网络攻击体现在:网络探测和信息采集、漏
洞探测、嗅探(账号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏、拒绝服务攻击、僵尸网络、
隐蔽式下载、名誉劫持、网络黑客的入侵等8、物理攻击体现在:物理接触、物理破坏、盗窃、勒索、罢工、内部员工蓄意破坏等首先是确定医院信
息资产列表及信息资产价值,识别脆弱性与威胁、确定可能性与风险,建议安全防护措施等。通过评估、扫描、审计、数据与架构分析等方式,全面
分析系统的现状、主机、数据库、设备、网络弱点和风险,形成《风险评估报告》9、泄密情况体现在:内部信息泄露、外部信息泄露等10、篡改
内容体现在:篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等11、抵赖体现在:原发抵赖、接受
抵赖、第三方抵赖等。主要从物理、网络、主机、应用、数据以及安全管理体系现状的分析,把把脉、找症结、解剖麻雀。信息资产确定。通过资产
评估,清楚有无。物理安全现状分析。主要分析物理访问控制、介质储存的防盗窃与防破坏以及是否有防盗报警系统,有无冗余或并行的电力电缆线
路的切换记录或测试演练记录以及备用供电系统的运行和维护记录。室内温度、抗磁扰、防静电等有无配套。信息资产确定。通过资产评估,清楚有
无。物理安全现状分析。主要分析物理访问控制、介质储存的防盗窃与防破坏以及是否有防盗报警系统,有无冗余或并行的电力电缆线路的切换记录
或测试演练记录以及备用供电系统的运行和维护记录。室内温度、抗磁扰、防静电等有无配套。这个技术管理层面,我们要以结构安全、访问控制、安全审计、边界完整性、网络设备防护、主机安全、应用安全、数据安全等作为切入点,从硬件配套、软件开发与购置,不要舍不得投入,避免关键时刻掉链子。安全域是指同环境同安全需求和信任并有相同的安全方位与边界控制策略的网络或系统我们说,“技术不是问题,管理才是大学问”。构建现代管理的核心内涵:“凡事有章可循,凡事有据可查,凡事有人负责,凡事有人监督。”“四个凡事”让信管者各司其职、各负其责,消灭中间人、“内鬼”的产生环境。特别指出:要做好巡检工作。按现场管理和危机管理精义,巡检可以事前发现安全问题萌芽状态。有交接班巡检、周巡检、月巡检、节前节后巡检等,按物理巡检、系统巡检、网络巡检,服务器、数据库巡检等有图有真相、有发现、有分析、有处理、有总结,这也是三级甲等医院评审要求内容。 |
|
