月亮链 月亮链
Ctrl+D收藏月亮链
首页 > Bitcoin > 正文

APP:互联网医院大门已敞开,信息安全有哪些薄弱点、又该如何保障?_APP币是什么币WEB价格

作者:

时间:1900/1/1 0:00:00

2018年,医疗信息化、互联网医疗重量级政策和标准频发,这为医院进入下一个医疗行业的信息安全市场情况如何?医院目前的信息安全的薄弱点有哪些?医院该如何应对信息化创新产品下的信息安全,以及日益泛滥的网络勒索?这些问题,将在本篇文章中得到深度探讨。

医疗信息安全市场缺乏活力,根本原因是?

下面这张表,是动脉网结合2018年《全国医院信息化建设标准与规范》安全要求,以及中国医院协会信息管理专业委员会CHIMA发布的《2017-2018中国医院信息化状况调查报告》中的相关数据得出。将两者相互印证之后,动脉网得出了目前三级医院信息安全建设情况:

从表中可以看出,目前三级医院的信息安全建设,主要集中在防火墙、反病、VPN/网闸和容灾备份这四个方面;建设较差的主要包括安全审计、身份认证、隐私保护、终端安全和网络安全。

针对医疗行业信息安全市场的现状,广州市妇女儿童医疗中心数据中心副主任曹晓均给出了自己的观点。他认为,市场的大小根本原因在于医疗行业的安全建设相对落后。行业中,并没有整体的安全规划或建设思路。并且,大部分医院的安全建设都是满足合规性要求上的投入。如采购几台防火墙、终端管理软件再加上管理制度,就可以通过等保要求,真正用心做安全整体设计的并不多。这种现状,导致整个医疗信息安全市场缺乏活力。

此外,目前国内医疗行业更关注业务发展需求,缺乏专业的网络安全人才储备,这也是目前比较大的挑战。

一位业内人士则透露,一方面医院信息部门的地位相对弱势,信息化建设大多取决于院方领导的意识。对医院来说,单位网络设备体量不大,一般是纯内网的环境,当前重点建设基本集中在网络基础设施完善,安全建设相对滞后。再加上医疗行业属于财政差额拨款单位,有相当一部分医院资金不富裕,因此安全建设的优先级相对较低。

对于国内医疗信息安全市场现阶段的产值规模,作为国内信息安全企业的代表,绿盟科技相关负责人分析了以下两点原因:

央行研究局局长:强化平台企业金融监管,加强对大型互联网平台的穿透性监管:11月27日,中国人民银行研究局局长王信在财经年会2022上表示,要加强和完善平台企业金融监管,加强对大型互联网平台业务的穿透性监管,维护广大金融消费者权益。王信称,要适应数字经济发展需要,努力遵循市场化、法治化原则,全面清理整顿互联网违法违规金融活动;强化平台企业金融活动监管,明确要求其金融活动全部纳入金融监管,所有金融业务必须持牌经营,消除监管套利。加强对大型互联网平台业务的穿透性监管,增强业务信息披露全面性和透明度,维护广大金融消费者权益。(贝壳财经)[2021/11/27 12:36:09]

其一,信息安全相关配套政策和标准较少。在网络安全法正式实施之前,国内对于个人隐私信息的安全要求几乎空白。而医疗行业是涉及个人隐私信息最为深入的领域,没有法律法规上的明确要求,没有行业标准的具体指向,各级医疗机构很难认识到信息安全对自身业务的深刻影响,也就很少会主动考虑在安全方面有所投入。

其二,信息或网络安全对医疗行业的实际业务推进上缺乏直观的价值感受。举例而言,一所三甲医院每年的IT类投资可能达到千万级。但医院决策者基于业务发展的考虑更多的会对临床、研究、医技等业务领域方面进行投入,原因就在于这些IT投资对业务的推进和支撑几乎是肉眼可见,而信息安全的价值却很难被感知。防护了多少安全攻击、解决了多少安全漏洞、抵御了多少次信息泄露,这些都不会被直接展示到决策者的案桌上。

正因如此,最近两年,各大信息安全厂商均在重点考虑和投入安全运营和效果可视化。

互联网医院扎堆出现,如何保障它们的信息安全?

如何保障互联网医院的信息安全?在回答这一问题前,首先要明确而其定义和具体要求。

互联网医院的概念提出,是为了解决原有传统医疗体系中所欠缺的专业医疗资源不均衡和医疗服务体验差的问题。因此互联网医院为了解决这两大核心问题,采用的机制是借助互联网这个强大的资源共享方式,借助云计算和大数据等技术,从模式和能力上对作为传统医疗业务的补充。

现场 | BTC.top创始人江卓尔:乐观估计未来十年区块链将实现互联网10%的用户规模:金色财经现场报道,全球区块链开发者大会 GBDC 2018于香港正式召开,在“区块链未来十年”主题圆桌上,BTC.top创始人江卓尔指出未来十年区块链通过在分层分片技术上的发展将获得更高的TPS。区块链也将促进更强的经济自由,我们应该做好准备,迎接在稳定币、游戏产业等领域新用户的到来。乐观估计,下个十年的区块链用户规模将达到互联网用户的10%,前景是十分广阔的。[2018/12/16]

互联网医院的管理办法中提到,互联网医院由互联网进行远程访问,会涉及到实体医疗机构的重要系统数据交换,同时根据互联网医院信息系统按照国家有关法律法规和规定,实施第三级信息安全等级保护。所以,在满足医院的互联网接入和虚拟专用用上,医院还要满足数据安全的要求。

从本质上讲,互联网医院的信息安全所要保障的根本并没有变,依然是对于数据,特别是医疗临床等相关的健康数据的保护,从传输、处理、共享、存储各方面考虑其安全性。因此,要满足这类安全需求,绝不是单一的安全产品能实现。医院需要充分结合实际的技术场景,选择在各个维度能够达到风险控制需要的安全产品。

例如,在传输层面,互联网边界需要考虑访问控制、入侵防护、病检测和防护、WEB安全防护等措施。而在数据交换场景下,医院需要考虑数据脱敏、数据加密、数据防泄漏、数据库审计或防护等。所以,没有最好的安全产品,只有最适合业务的安全解决方案。

对于目前备受关注的互联网医院的信息安全建设,国内知名数据安全厂商安华金和医疗行业负责人认为,互联网专线和VPN能够解决一部分的外网接入的安全问题,但从业务访问的角度来讲,业务数据系统对外提供,包括远程医疗、医保查询、预约挂号等都需要直接访问业务数据,对于数据本身的访问安全以及对于内网访问安全也需要加强。

例如,在数据库安全方面可以采用数据库审计、数据库防火墙、数据库加密、数据库脱敏等手段进行安全加固。整体而言,可以从主动防御体系的思路做安全建设,这涉及四道防线:

动态 | 暗网公开叫卖多家互联网金融平台借款人数据:据中国经营报报道,暗网上有多名黑客称掌握多家机构数据,公开叫卖包括河南中原消费金融股份有限公司、拍拍贷、宜人贷等多家互联网金融平台的借款人数据。其中一则为“河南中原消费金融持牌400w鲜活数据,售价2000BTC,10日以后0.001BTC公开低价拿走”。对此,中原消费金融表示早在十多天前,公司在信息安全常规检查中第一时间发现了这个信息,公司高度重视,采取了针对网络系统、服务器、数据库包括相关人员的自查,没有发现异常情况。中原消费金融还与郑州市局网监支队进行沟通与汇报,想借助他们的专业技术支持分析挖掘线索,也并未发现可疑线索,同时邀请了国内排名前三的信息安全机构,抽调专家过来对网络安全进行排查,从技术分析没有发现黑客入侵、获取数据的痕迹。[2018/12/1]

第一道防线:检查预警。通过数据库漏扫产品对数据库威胁进行检查分析,给出安全建议。

第二道防线:主动防御。通过数据库安全运维产品的身份识别、运维审批、流程管理,防止非法人员操作;防止外部攻击破坏;与此同时做好内部防护,防止内部超级权限。

第三道防线:底线防守。

阈值管控:规避批量恶意访问,针对大批量医疗泄密进行告警控管,防止医疗数据批量查询;

数据库加密产品:防止防止医患数据泄露“脱库”;

数据库脱敏产品:医疗数据去隐私化,防止泄漏真实数据给第三方。

第四道防线:事后追查。利用数据库审计产品来区分是外部威胁还是内鬼作案,可以对安全事件进行责任追溯。

对于互联网医院APP的安全问题,绿盟科技则认为应该从应用服务端、网络通信和用户三个层面来整体看待。

对于服务端而言,基于移动应用端的APP安全与传统的WEB安全并无本质区别,现有的WAF类防护产品依然适用,能够防护来自APP端的攻击,网络通信端的安全则主要考虑数据的保密与完整性。因此,医院可以通过SSL或HTTPS来解决。

日本互联网巨头GMO将用比特币资助足球俱乐部:据外媒消息,日本GMO与足球俱乐部“FC琉球”签订合同,GMO将用比特币来对资助该俱乐部。GMO是日本互联网巨头,去年在北欧开始挖矿,今年推出了数字货币交易所。[2018/6/20]

而移动端的安全,对医院这样的企业级用户而言,几乎不可能通过传统意义上的安全产品来解决安全漏洞问题。因为无法要求每个移动端用户自己按照要求安装指定的安全软件,那会带来极大的用户体验下降。因此,目前更多的医疗机构在上线APP应用前,会进行系统性的安全评估和安全的黑白盒测试。基于测试和评估结果,安全厂商能够指导开发者对不安全的漏洞进行及时修复,以此来彻底解决APP的安全问题。

曹主任的观点与绿盟科技类似,他认为,在远程移动的访问上,采用SSLVPN(国密)实现远程访问的却是较好的方案。在互联网医院与偏远地区医疗机构、基层医疗卫生机构、全科医生与专科医生的数据资源共享和业务协同上,可以考虑采用安全一体机部署在基础医疗机构本地,实现VPN安全组网和数据加密传输。

VPN和防火墙,医院青睐的两大香饽饽

在腾讯最近发布的医疗行业安全指数报告中提到,目前医疗行业的网络安全设备首选防火墙和VPN设备。

造成这个结果的原因,绿盟科技负责人认为主要有两个:一是这两类产品的使用范围更多,凡是有网络边界的地方几乎都要用到防火墙进行逻辑隔离。而VPN则是目前最为低成本和稳定的专用网络解决方案,凡是涉及到有需要远程接入访问内网的场景,都需要借助VPN实现,这造成了巨大的需求基数。

另外一方面,医疗用户普遍对网络安全的认识还不够深刻。特别在广大的基层医疗机构,因为网络规模较小、信息数据量也不大,认为边界防护有防火墙,通信数据保障有VPN即可确保整体网络安全。

但其实无论医疗机构的大小,涉及到病患隐私信息数据、临床信息数据等敏感数据的重要程度都是不言而喻。对这类数据的保护除了防火墙和VPN之外,还需要考虑边界的纵深防护,诸如入侵防护、病过滤、针对WEB应用的WAF产品,针对数据库保护的数据库防火墙和安全审计等环节,等需要考虑建设。

元道:区块链可以创造一个比互联网规模大10倍,100倍的蓝海:在今日晚间央视财经《对话》节目中,中关村区块链联盟理事长、世纪互联创始人元道表示:区块链这三个字发明得特别好,与互联网的平行世界,互联网两个部分组成,一个是互联网的基础设施全世界共建共享,任何一个人可以参与,互联网之上是互联网平台,平台经过20多年的发展,平台是独享。什么是区块链?把这些核心能力下沉变成一个共同的基础设施,包括去中心化的身份,包括这些支付,这些核心能力都变成大家共建共享共有的一个能力,有了这样一个新基础之后,所有人回到一个起跑线上,因此区块链可以创造一个比互联网规模大10倍,100倍的蓝海。[2018/6/3]

对于目前医院VPN的使用现状,安华金和负责人在与某三级医院信息科主任沟通之后,也给出了自己的观点:VPN一方面用于远程维护,另外一个主要的用途是区域联网。但目前区域联网更倾向于专线,只有条件不够,医院才选择走VPN。比如不少医院与市卫健委、省卫健委的连接方式就采用专线,而条件达不到的医院,则只能使用VPN实现连接。

此外,在实际使用中,医院不仅要考虑互联网访问的接入安全,还需考虑数据平台的安全。如果用户的VPN账户被盗取或者边界被入侵,那么核心的数据将直接暴露在攻击者面前。因此在对访问进行准入控制的同时,也需要通过数据安全手段对核心数据进行专业的防护。

对此曹主任也给予了认同,他表示,在目前医院的安全建设中,医院内网及远程医疗的发展尤为重要。因此,防火墙和VPN自然就作为刚需或首先。但随着如大数据、云计算、移动互联网、物联网等新技术的发展,安全技术同样需要发展和更新。

曹主任建议,医院可以进行体系化的安全建设,包括安全技术体系、管理体系、运营体系,三者相辅相成。在方案上,可以采用融合安全、立体保护的架构,比如采用一体化的安全设备,减少设备运维管理压力。另外,在端点安全、网络边界安全、云端安全、安全服务、安全管理制度等,医院都应该及时加强。

保护医院数据安全,都有哪些妙招?

根据2018年《全国医院信息化建设标准与规范》安全的要求,三级医院的数据安全保护主要包括以下8大措施:

1、防火墙

2、安全审计设备

3、系统加固设备

4、数据加固设备

5、入侵防范设备

6、身份认证系统

7、访问控制系统

8、安全管理系统

对于现阶段三级医院建设较弱的身份认证环节,绿盟科技负责人表示,目前这部分医院普遍使用4A产品如堡垒机,来解决院内的统一认证的问题。通过将账号、认证、授权、审计四个过程,来解决对数据的访问权限的问题。

而认证的方式则可以根据所访问的数据和系统,医院可以自行选择强度适合的方式。例如针对核心的HIS数据,访问可以采用多人、多因素的认证方式,两个或两个以上的人员保存一副密钥的部分,通过静态密码结合短信令牌、CA证书、指纹或其他生物特征识别技术来实现强认证方式。针对医院的医护工作人员,则仅进行静态密码的认证来实现,以保障业务的顺畅性。

在2018版的《电子病历应用管理规范》解读中,首都医科大学附属北京天坛医院信息中心主任王韬曾阐述了现有数字签名在电子病历数据保护上存在的两大隐患:

1、签名内容的专属性,目前尚未出台电子病历签名内容的标准,这导致CA在签名时不考虑提交签名的内容是否存在问题,这到这患者存在“被掉包”的可能性。

2、签名内容完整性。由于医院签名次数较多,CA在验签时无法发现医院是否每次提交内容中有包含不利信息。

以上两种隐患,王主任认为可以通过签名+时间戳的方式进行解决。如此一来,就能保证每次的操作人员和操作时间可查询、可追溯。

但据曹主任所言,目前普遍的认证方式都没真正在医院用起来。比如内网中采用最多的CA认证,虽然它可以实现双因素认证,提高认证的安全性,但因为使用起来比较麻烦,并且还存在兼容性问题,因此医院采用的其实并不多。

而在数据的查询、追溯、管理上,医院可以采用日志审计、堡垒机、数据库审计等方式进行管理,实现一定程度上的数据保护。但是在大数据上,非结构化的数据会存在一定的问题。并且多设备的部署,医院在管理运维方面也会比较麻烦。因此曹主任认为,在新的安全技术方向上,医院可以采用软件定义安全的模式进行部署。

面对日益泛滥的勒索攻击,医院该如何应对?

2018年1月15日,位于印第安纳州汉考克健康的Greenfield受到勒索软件攻击,这促使技术人员关闭了整个网络。在医院电脑屏幕上出现勒索软件通知后不久。黑客竟然猖狂地表示,在技术人员支付比特币赎金前,他会长期“保管”一定数量的系统“人质”。

对此,卫生系统的IT团队立即关闭了包括医生办公室和健康中心在内的所有网络,以隔离病。相关技术人员表示,黑客正试图让医院无法运营,使用“数字挂锁”来限制人员对系统部分功能的访问。

McAfee首席科学家RajSamani表示:“就勒索软件而言,医疗行业遭受的损失可能是最多的。勒索软件的爆炸式增长,其发源也是医疗领域。黑客们或将从传统形式的勒索软件,转向更多的网络破坏和服务中断型攻击。”

据动脉网了解,勒索病和挖矿病之所以威力巨大,一般是由于利用了永恒之蓝等远程攻击方式,能够自我传播。因此,一个有趣的现象是,即所谓的内外网隔离的内网环境反倒更多地遭到侵袭,病也更泛滥。原因在于,相比于跟互联网直接接触的场景,纯内网的生产环境对安全少了对危机的敏感度。因此,被攻击或遭到病的侵袭也就成为必然结果。

在应对勒索病一事上,曹主任认为安全事件并非遥远不及。安全建设也不是单单的满足合规性建设,因为,哪怕很多医院通过等级保护三级的验收,也一样会中勒索病。原因是安全技术的发展,传统的防御技术对新型的威胁或者病是逐步失效的,所以需要加强监测与响应的能力。

在针对勒索病或者挖矿软件的风险上,曹主任认为可以采用四个阶段的防护措施:

第一阶段:加强端点安全的建设,包括主机的系统补丁管理、安全基线管理、病查杀软件等。可以部署下一代端点安全系统,如EDR软件,可以通过人工智能、大数据技术实现勒索病变种及未知威胁的防护。

第二阶段:加强全网流量风险监控及安全可视化的能力,通过整体安全感知平台,通过流量分析实现网络中的风险可视化,例如出现病感染时,可以通过全网的主机风险展示进行管理。

第三阶段,在网络边界处部署下一代防火墙设备,需要支持IPS、僵尸网络识别、AV防护等一体化的设备,并且可以和感知平台实现联动,当平台发现问题后下方策略到防火墙上进行阻断。

第四阶段,加强全网应急响应及应急演练的能力,可以通过采购第三方专业的安全服务,实现快速的事件响应。对勒索病进行预防和应急处置。

医疗信息安全虽有政策加持,但仍是一个长期过程

医疗行业性政策标准和近两年随着网络安全法正式实施,以及一些跟个人信息保护、关键信息基础设施保护等相关的法规、条例和标准,都对于医疗行业整体的网络安全环境形成有着非常正向的作用。细化行业政策和标准的出台,从顶层设计到具体实现各个层面进行了一定的归一化和标准化,统一共性问题的认识,统一解决思路,这不管是对于医院还是安全厂商都是非常利好的事情。

医院用户具有了在细分业务上权威的信息网络安全参考,安全厂商也可以在解决行业需求的问题上,更多的朝同一个大方向上的不同维度和领域来扩充和输出优势能力,对产业和行业用户来说,是一个多赢的结果。

虽然行业形势一片大好,但曹主任也给出了自己的一点建议:

虽然目前几乎所有的安全企业都在积极的学习和解读这些安全标准和政策,并根据自己的安全实践提炼出切实可行的医疗安全方案。但也应该清醒地看到,政策标准到具体执行落地还需要一定的时间,短期内对应医院的信息化建设上效应不明显,这是一个长期的过程。

标签:APPWEBSSLAPP币是什么币WEB价格WEB币SSL价格SSL币

Bitcoin热门资讯
:一个二队小孩6100W欧?皇马是买彩票还是买比特币?_

在皇马国王杯对阵梅利亚的比赛中,皇马新星维尼修斯在第一次首发并制造两球,为皇马取得久违的大胜。赛后,《马卡报》发起皇马锋线首发的投票,或许是皇马球迷出于对皇马黑色十月的失望,维尼修斯获得了87%.

1900/1/1 0:00:00
区块链:六个现实世界的区块链技术用例应用程序_40亿比特币能提现吗

加密货币是目前最受欢迎和公认的分布式分散分类账技术的应用,称为区块链。加密货币一直是建立在区块链技术的支持下,从几年前开始,在2018年继续使用数百种独特的“alt币”.

1900/1/1 0:00:00
GDP:下半年货币政策松紧适度不搞“大水漫灌”_CPIGDP币

8月10日,央行发布《2018年第二季度中国货币政策执行报告》,作为季度例行报告的重头戏,市场通常最为关注央行对于下一阶段主要政策思路的描述.

1900/1/1 0:00:00
区块链:区块链日报:阿尔巴尼亚制定加密货币法规,传统金融机构跑步进场_加密货币市场还有未来吗

区块链日报:阿尔巴尼亚制定加密货币法规,传统金融机构跑步进场BTC微跌XRP领涨主流币今日早间BTC微跌,XRP领涨主流币,最高上涨至8%,随后回落.

1900/1/1 0:00:00
:这个国家1000亿只能买个面包,最大面值100万亿,却吃不上饭!_

小编经常想着手里要是有个几千万上亿的话,不用工作了,然后去各个国家旅游,买各种豪车,豪华住宅等等,但是当你来到这个国家,你就不会这样想了,手里抓着几千万上亿不知道能买点什么.

1900/1/1 0:00:00
:最霸气的超跑,价值5亿人民币,全球仅此一辆,成龙曾借来拍电影_

大家都知道在古代我国实行的是君主制度,但随着新中国的成立这一制度也随之被废除,其他国界也是如此,现在世界上仅有四个国家实行的是君主制度,其中最出名的就是沙特阿拉伯了.

1900/1/1 0:00:00