您所在的位置:首页 > i医疗 > 医疗信息化 >  郗群:为什么运维安全不容忽视?
郗群:为什么运维安全不容忽视?
  • 2021-09-02 16:18
  • 作者:郗群
  • 来源:HC3i

随着信息化不断的发展,“互联网+”已强势进入医疗行业,医院相关业务与互联网对接已是不可避免的趋势,同时,医院各类业务信息产生大量的业务数据,如网上预约挂号、自助缴费、医生随访、移动护理、远程医疗等场景下新数据呈爆发性增长,其中包含了大量涉及公民信息、个人隐私、健康数据、商业秘密甚至涉及国家安全等方面的数据。

医院作为掌握大量数据且价值密度极高的主体,早已将数据看作机构最重要的核心资产之一。因此,医院除了抵御来自外部的威胁,如黑客团队等,同样,必须要重视内部人员、第三方人员对数据的安全威胁,特别是运维人员的安全审计、操作监测及管控,需要逐步建立一套有效的数据安全运维防护、治理体系,既保证医院数据、公民信息的安全,又充分挖掘和利用数据价值,推动医院业务的快速发展。

医院运维面临的安全风险

1.特权帐号风险管理需求

医院内部业务系统承载着大量特权帐号,没有进行严格的权限划分与访问认证,管理人员无法进行有效管理,往往特权帐号掌握着单位核心数据,任何一个操作都可能导致核心数据的修改和泄露。特权帐号的滥用,让运维安全变得更加脆弱,也让责任划分和威胁追踪变得更加困难。

2.系统共享帐号安全隐患

无论是内部运维人员还是第三方代维人员,基于传统的维护方式,都是直接采用系统帐号完成系统级别的认证即可进行维护操作。随着系统的不断庞大,运维人员与系统帐号之间的交叉关系越来越复杂,一个帐号多个人同时使用,是多对一的关系,帐号不具有唯一性,系统帐号的密码策略很难执行,密码修改要通知所有知道这个帐号的人,如果有人离职或部门调动,密码需要立即修改,如果密码泄露无法追查,如果有误操作或者恶意操作,无法追查到责任人。

3.内部人员操作的安全隐患

随着信息化进程不断深入,业务系统变得日益复杂,由内部员工违规操作导致的安全问题变得日益突出起来。防火墙、防病毒、入侵检测系统等常规的安全产品可以解决一部分安全问题,但对于内部人员的违规操作、数据安全方面却无能为力。

4.第三方维护人员安全隐患

随着业务的发展,医院上线的应用系统越来越多,由于技术人员缺乏,医院会将相应业务系统的维护工作交给原厂商来提供,有的甚至外包给第三方代维公司。如何有效地监控设备厂商和代维人员的操作行为,并进行严格的审计是企业面临的一个关键问题。严格的规章制度只能约束一部分人的行为,只有通过严格的权限控制和操作审计才能确保安全管理制度的有效执行。

5.违规行为无法控制的风险

管理员总是试图定义各种操作条例,来规范内部员工的网络访问行为,但是除了在造成恶性后果后追查责任人,没有更好的方式来限制员工的合规操作。而事后追查,只能是亡羊补牢,损失已经造成。

我院通过全面梳理各类数据安全风险,针对运维场景,包括内部运维人员和第三运维人员,在日常运维过程中的数据操作进行全方位的安全监测与管控,保证医院的数据安全,提出了以身份为中心,实现运维场景下数据“零”下载、细粒度的安全控制,大大提升医院的数据安全保障能力。

图片

运维场景的数据安全分析

通过对医院内部对运维人员使用数据的行为进行分析,发现医院的各类运维人员主要在以下“三大类八种场景”下使用数据,针对各场景下不同的操作对象的数据安全的风险,通过相应的技术防护手段,采用统一的数据安全防护策略,逐一解决解决数据安全问题,真正实现数据安全的可视、可控、可管。

运维数据安全解决方案

1.运维管理

结合日常运维工作,针对SSH、Telnet、Oralce、DB2等远程运维方式,实现运维工具的统一管理和集中发布;实现从账号定期自动改密和代理登录;对操作命令进行审计、阻断、告警和录像;支持金库管理实现对操作命令的二次审批。

2.文档集中存储

可通过文件存储服务器对单位数据进行统一管理,每个用户拥有完全独立且可配置配额的个人文件夹,用于存储日常工作中的各种数据。数据主要分为两种类型:业务系统数据和后台系统数据。业务系统数据可通过FTP或接口方式实现数据重定向,从业务系统的下载数据转存到文档管控系统的个人文件夹中;后台系统数据通过运维工具的统一管理直接实现数据下载管理。

3.数据零下载管理

实现对个人文件夹数据的二次编辑管理。包括文件的重命名、复制、删除、上传、下载、分发;实现各种工具在线查看文件夹中文件,支持在线的文件类型包括Word、Excel、PowerPoint、TXT;避免文件下载到本地PC的泄漏风险。

另外,提供数据下载统一管理流程,支持下载审批功能,当用户提交下载申请后,必须由管理员审批确认后,用户方可下载到个人PC;支持对用户配置审批/免审批权限;支持WEB页面审批审批功能;

数据下载后会被系统记录形成下载日志,日志内容包括用户名、用户IP、下载时间、审批员等。

4.金库模式

在操作过程中提供符合规范的双人操作的金库模式。

授权方式是操作命令控制策略,指使用任意从账号进行高风险操作时(例如更改特定表、删除特定文件等)触发规则。

目前触发方式分为时间段授权和实时授权两种,并且实现金库管理组合。指默认情况下采用实时授权方式,当用户操作时,系统侦测到正在进行的操作需要金库授权时弹出相应金库策略的对话框进行操作授权;此外,用户可以根据操作时间,预先选择需要执行的操作规则进行操作申请,当审批通过后,在一段时间内可任意使用相关操作命令。

方案收益

从数据“源头”防“家贼”,加强数据访问下载链接控制。

依托“零下载技术”,从数据的访问、下载、使用、流通多个环节进行控制,实现数据在运维使用过程中全生命周期的的安全管控防止数据外泄。

按照运维审计要求执行安全管控,满足合规审计要求。

无需终端安装任何软件,不用改变网络拓扑,不用改造应用系统,降低实施成本。

作者简介

郗群  兰州大学第二医院信息中心主任

正高级工程师,硕士研究生,长期以来一直从事医院信息化建设及管理工作,目前担任中国医院协会信息专业委员会全国委员、中华医学会医学信息委员会全国青年委员、中国研究型医院学会移动医疗委员会全国青年委员、中国卫生信息与健康大数据学会智慧医院与人工智能应用专业委员会、健康档案与区域卫生信息化专业委员会全国委员、中国卫生信息学会理事、《中国数字医学》杂志编委。

转载请注明出处:HC3i数字医疗
【责任编辑:程泱溥 TEL:(010)68476606】

标签:安全  医疗数据  信息  
  • 分享到: