基于健康档案的区域卫生信息平台所涉及信息包括:病人的基本健康信息,病人的诊疗数据,卫生资源数据等等。一旦健康档案平台遭到非法入侵,会对病人、医生及相关医疗卫生机构的合法权益造成极大的影响和损害,比如病人的隐私泄漏,医生的诊断被篡改,卫生机构的疾控信息被非法泄密等。因此国家规定区卫信息平台的安全保护等级为第二级。
区卫安全的目标就是支撑和保障区域卫生信息平台的信息系统和业务的安全稳定运行,包括如下几方面:
从上面的区卫安全需求类别来看,区域卫生信息平台的安全需求涉及面非常广,基本上安全威胁可以归纳为四层:分别是网络层面、系统层面、应用层面以及健康档案数据层面。
下面对区卫信息平台中网络、系统、应用和数据四个层面的安全威胁与需求进行详细分析。
1.网络层面
威胁类型 |
威胁说明 | 安全需求说明 | ||
---|---|---|---|---|
安全防护 |
网络层 |
通过Internet攻击 |
黑客通过Internet连接对EHR等信息进行破坏和非授权访问 |
阻止安全域外部连接的非授权进入内部,以及通过网络手段阻断特定的内外连接。 |
安全防护 |
网络层 |
通过POS点攻击 |
黑客或内部人员从POS点通过网络连接对RHIN平台进行攻击或非授权访问 |
阻止专线连接的非授权进入内部,以及通过网络手段阻断特定的内外连接。 |
安全防护 |
网络层 |
其它互联机构 |
黑客或内部人员从和RHIN平台连接的第三方网络通过网络连接对RHIN平台进行攻击或非授权访问 |
阻止专线连接的非授权进入内部,以及通过网络手段阻断特定的内外连接。 |
安全防护 |
网络层 |
病毒导致网络攻击 |
RHIN数据中心中的服务器感染蠕虫、或者被种植木马、后门程序而导致向外发起的非法网络连接 |
|
安全防护 |
网络层 |
DDOS攻击 |
攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务 |
及时发现并阻止恶意攻击如DDOS攻击;防DDOS攻击 |
安全防护 |
网络层 |
系统漏洞 |
攻击者利用网络协议、操作系统、应用系统漏洞,越权访问文件、数据或其他资源 |
能够前瞻性地处理和识别漏洞,并实施补救措施;及时发现和抵御利用漏洞进行的入侵。 |
安全防护 |
网络层 |
网络设计缺陷 |
攻击者利用网络结构设计缺陷旁路安全策略,未授权访问网络 |
网络架构设计合理,万一有设计缺陷,可以及时发现和追溯 |
安全防护 |
网络层 |
病毒扩散 |
攻击者和内部人员利用网络扩散病毒 |
用户无法在内网获取或者散发任何病毒、木马、恶意URL等;内部人员在网络的行为受到限制 |
安全防护 |
网络层 |
信息截获 |
攻击者截获、读取、破解通信线路中的信息 |
通信线路难以侵入;通信线路中的信息即使被截获,也无法被读取;如果信息被损坏能及时发现 |
安全防护 |
网络层 |
蠕虫攻击--传播方式 |
蠕虫通过POS连接或第三方外部网络连接扩散到信息平台 |
阻止POS或第三方外部网络连接的非授权进入内部,或者登录后放置携带病毒 |
安全防护 |
网络层 |
蠕虫攻击--传播方式 |
蠕虫通过内部网络连接扩散到信息平台 |
病毒、木马等没有渠道进入信息平台 |
安全防护 |
网络层 |
蠕虫攻击--传播方式 |
利用网络设备、防火墙的漏洞的蠕虫和入侵攻击导致网络基础设施瘫痪 |
防止入侵和病毒;前瞻性发现问题从而进行维护;方便的网络管理 |
2.系统层面
威胁类型 | 威胁说明 | 安全需求说明 | ||
---|---|---|---|---|
安全防护 | 系统层 | 病毒入侵 | 内部人员下载、拷贝软件或文件,打开可疑邮件时引入病毒 | 病毒、木马等没有渠道进入内网 |
安全防护 | 系统层 | 系统漏洞 | 内部人员利用技术或管理漏洞,未授权修改EHR等系统数据或修改系统程序 | 及时发现漏洞;防止内部人员未授权接入系统;所有操作都有详细记录便于追溯 |
安全防护 | 系统层 | 补丁更新 | 服务器或客户端计算机因为未能及时应用最新补丁程序而导致被入侵或感染蠕虫 | 有统一的系统能监控所有服务器或客户端的补丁情况,及时更新,不用人工遍历 |
安全防护 | 系统层 | 系统配置 | 由于系统配置安全问题比如系统用户、数据库用户的口令质量和更改策略,对文件和资源共享没有进行适当安全保护,而可能导致的安全攻击 | 对系统安全策略配置状况进行审计。系统配置问题是安全问题的重要源头,比如不安全的共享、弱口令等等往往会导致严重的蠕虫病毒传播、信息泄密或入侵行为。 |
安全防护 | 系统层 | 身份仿冒 | 对系统管理员和用户进行身份猜测和假冒攻击 | 猜测和假冒无法接入系统 |
安全防护 | 系统层 | 行为抵赖 | 攻击者或内部人员对其进行过的非法系统访问行为抵赖 | 所有操作都有详细记录便于追溯 |
3.应用层面
威胁类型 | 威胁说明 | 安全需求说明 | ||
---|---|---|---|---|
安全防护 |
应用层 |
内部越权访问 |
内部人员,如区域卫生信息平台工作人员对电子病历等信息进行越权访问 |
1。身份保护服务 |
安全防护 |
应用层 |
外部越权访问 |
POS机构、外部机构人员、外部攻击者对电子病历等信息进行越权访问 |
1、外部人员无法进入高安全区域,2、外部人员通过应用服务无法越权访问 |
安全防护 |
应用层 |
内部操作不当 |
内部人员,如区域卫生信息平台工作人员对电子病历等信息进行破坏 |
1、及时发现,2、对数据库的所有行为都有记录,且可及时发现违规行为,3、数据可恢复, |
安全防护 |
应用层 |
外部破坏 |
POS机构、外部机构人员、外部攻击者对电子病历等信息进行破坏 |
1、外部人员无法进入高安全区域,2、外部人员通过应用服务无法越权访问 |
安全防护 |
应用层 |
外部攻击 |
攻击者通过中间人攻击、假冒等手段对上传到区域卫生信息平台的EHR等信息进行篡改和假冒攻击 |
1、外部人员无法进入高安全区域,2、外部人员通过应用服务无法越权访问 |
安全防护 |
应用层 |
行为抵赖 |
攻击者或其他越权访问或操作人员对自己的行为抵赖 |
责任认定需求 |
安全防护 |
应用层 |
信息窃取 |
EHR等等信息在POS到区域卫生信息平台传输过程中,或者在区域卫生信息平台内部网络传输过程中被窃听 |
通信线路中的信息即使被截获,也无法被读取;如果信息被损坏能及时发现 |
4.数据层面
威胁类型 |
威胁说明 | 安全需求说明 | ||
---|---|---|---|---|
隐私防护 |
数据层 |
敏感信息泄露方式 |
攻击者截获、读取、破解介质的信息或剩余信息,进行电子病历等敏感信息的窃取 |
攻击者无法获取介质的信息 |
隐私防护 |
数据层 |
敏感信息泄露方式 |
内部人员通过移动介质或移动计算设备存储电子病例等敏感信息,由于介质或设备丢失而导致信息泄漏 |
未经允许无法从服务器或者电脑往移动介质上拷数据;拷出数据或者获得硬盘介质也无法读取数据 |
隐私防护 |
数据层 |
敏感信息泄露方式 |
内部人员或攻击者利用邮件、Web、打印、拷屏、拷贝等方式和手段将电子病历等敏感信息传输到RHIN平台外部。 |
防止和及时发现通过邮件、web、应用等网络形式的数据泄露 |
隐私防护 |
数据层 |
数据破坏 |
由于物理、恶意代码、攻击、误操作等各种原因导致的数据破坏和丢失 |
数据能恢复 |
1.网络层安全防护方案
威胁与安全需求 |
对策与解决方案 | 涉及产品类型 | |||
---|---|---|---|---|---|
网络层 |
通过Internet攻击 |
黑客通过Internet连接对EHR等信息进行破坏和非授权访问 |
阻止安全域外部连接的非授权进入内部,以及通过网络手段阻断特定的内外连接。 |
在RHIN和外部网络的边界处应部署防火墙设备,能够根据会话状态信息、应用层协议、访问发起用户、被访问资源等进行访问控制规则设置,保证通过网络边界的会话是得到一定控制的 |
防火墙 |
网络层 |
通过POS点攻击 |
黑客或内部人员从POS点通过网络连接对RHIN平台进行攻击或非授权访问 |
阻止专线连接的非授权进入内部,以及通过网络手段阻断特定的内外连接。 |
在RHIN和各个POS之间,以及存在不同安全等级的系统之间互联的边界处也应该考虑采用防火墙、VLAN划分等安全访问控制措施。 |
防火墙 |
网络层 |
其它互联机构 |
黑客或内部人员从和RHIN平台连接的第三方网络通过网络连接对RHIN平台进行攻击或非授权访问 |
阻止专线连接的非授权进入内部,以及通过网络手段阻断特定的内外连接。 |
在RHIN和各个POS之间,以及存在不同安全等级的系统之间互联的边界处也应该考虑采用防火墙、VLAN划分等安全访问控制措施。 |
防火墙 |
网络层 |
病毒导致网络攻击 |
RHIN数据中心中的服务器感染蠕虫、或者被种植木马、后门程序而导致向外发起的非法网络连接 |
1)在服务器中部署杀毒软件; |
web应用防火墙(WAF);anti virus | |
网络层 |
DDOS攻击 |
攻击者利用分布式拒绝服务攻击等拒绝服务攻击工具,恶意地消耗网络、操作系统和应用系统资源,导致拒绝服务 |
及时发现并阻止恶意攻击如DDOS攻击;防DDOS攻击 |
1)用Anti-DDos防DDOS攻击; |
Anti-DDos,web应用防火墙(WAF) |
网络层 |
系统漏洞 |
攻击者利用网络协议、操作系统、应用系统漏洞,越权访问文件、数据或其他资源 |
能够前瞻性地处理和识别漏洞,并实施补救措施;及时发现和抵御利用漏洞进行的入侵。 |
部署漏洞扫描发现漏洞从而可以修改,部署入侵检测&防御及时发现和抵御利用漏洞进行的入侵 |
入侵检测&防御(IPS/IDS) |
网络层 |
网络设计缺陷 |
攻击者利用网络结构设计缺陷旁路安全策略,未授权访问网络 |
网络架构设计合理,万一有设计缺陷,可以及时发现和追溯 |
进行合理的安全设计,通过安全审计对所有操作进行记录,并可以及时对安全事件进行报警 |
安全设计、安全审计 |
网络层 |
病毒扩散 |
攻击者和内部人员利用网络扩散病毒 |
用户无法在内网获取或者散发任何病毒、木马、恶意URL等;内部人员在网络的行为受到限制 |
1)在用户区域的出口部署安全web网关,删除所有通过HTTP/FTP/SMTP/POP3携带的病毒、木马、恶意URL。 |
安全web网关(SWG)、终端防护(包括移动终端安全) |
网络层 |
信息截获 |
攻击者截获、读取、破解通信线路中的信息 |
通信线路难以侵入;通信线路中的信息即使被截获,也无法被读取;如果信息被损坏能及时发现 |
通过VPN保护接入安全;在服务器端和用户客户端建立高强度的加密连接,实现客户端和服务器之间身份的有效认证和数据传输安全;进行完整性校验 |
VPN(包含接入安全、传输加密、完整性检查等) |
网络层 |
蠕虫攻击--传播方式 |
蠕虫通过POS连接或第三方外部网络连接扩散到信息平台 |
阻止POS或第三方外部网络连接的非授权进入内部,或者登录后放置携带病毒 |
在RHIN和各个POS、第三方外部网络之间应该部署安全web网关 |
安全web网关(SWG) |
网络层 |
蠕虫攻击--传播方式 |
蠕虫通过内部网络连接扩散到信息平台 |
病毒、木马等没有渠道进入信息平台 |
在不同安全等级的系统之间互联的边界处也应该部署安全web网关 |
安全web网关(SWG) |
网络层 |
蠕虫攻击--传播方式 |
利用网络设备、防火墙的漏洞的蠕虫和入侵攻击导致网络基础设施瘫痪 |
防止入侵和病毒;前瞻性发现问题从而进行维护;方便的网络管理 |
1)通过IPS/IDS等来检测和防止入侵; |
入侵检测&防御(IPS/IDS)、统一安全管控、统一网络管理 |
2.系统层安全防护方案
威胁与安全需求 |
对策与解决方案 | 涉及产品类型 | |||
---|---|---|---|---|---|
系统层 |
病毒入侵 |
内部人员下载、拷贝软件或文件,打开可疑邮件时引入病毒 |
病毒、木马等没有渠道进入内网 |
1)在用户区域的出口部署web防病毒网关,删除所有通过HTTP/FTP/SMTP/POP3携带的病毒、木马、恶意URL; |
web防病毒网关(SWG)、终端防护(包括移动终端安全)、邮件安全网关 |
系统层 |
系统漏洞 |
内部人员利用技术或管理漏洞,未授权修改EHR等系统数据或修改系统程序 |
及时发现漏洞;防止内部人员未授权接入系统;所有操作都有详细记录便于追溯 |
进行漏洞扫描;所有对系统的操作必须经过堡垒主机(统一运维审计),进行严格的接入控制和监控、审计 |
统一运维审计 |
系统层 |
补丁更新 |
服务器或客户端计算机因为未能及时应用最新补丁程序而导致被入侵或感染蠕虫 |
有统一的系统能监控所有服务器或客户端的补丁情况,及时更新,不用人工遍历 |
通过终端安全管理配置补丁策略,对所有服务器或客户端进行补丁管理和更新 |
终端安全管理,包括安全接入控制、安全策略管理、员工行为管理、补丁管理、软件分发、资产管理 |
系统层 |
系统配置 |
由于系统配置安全问题比如系统用户、数据库用户的口令质量和更改策略,对文件和资源共享没有进行适当安全保护,而可能导致的安全攻击 |
对系统安全策略配置状况进行审计。系统配置问题是安全问题的重要源头,比如不安全的共享、弱口令等等往往会导致严重的蠕虫病毒传播、信息泄密或入侵行为。 |
通过终端安全管理,采用系统安全策略审计对RHIN范围内的主机进行安全策略审计和集中汇总,能够使得管理员能够对安全问题及时发现,并得以及时解决。 |
终端安全管理,能检查不安全的共享 |
系统层 |
身份仿冒 |
对系统管理员和用户进行身份猜测和假冒攻击 |
猜测和假冒无法接入系统 |
所有对系统的操作必须经过堡垒主机(统一运维审计),进行严格的接入控制和监控、审计 |
统一运维审计 |
系统层 |
行为抵赖 |
攻击者或内部人员对其进行过的非法系统访问行为抵赖 |
所有操作都有详细记录便于追溯 |
统一安全管控和统一运维审计,所有内部人员必须通过堡垒主机才能接入设备;所有操作都有日志,如果发现威胁事件会马上告警。 |
统一运维审计 |
3.应用层安全防护方案
威胁与安全需求 |
对策与解决方案 | 涉及产品类型 | |||
---|---|---|---|---|---|
应用层 |
内部越权访问 |
内部人员,如区域卫生信息平台工作人员对电子病历等信息进行越权访问 |
1。身份保护服务 |
1、应用加密、数据库加密和文件加密,应用加密:通过单独的加密机来做,性能有很大提高,而且密钥放在加密机上更安全;数据库加密设置:系统中可以选择需要加密的数据库列,以便于用户选择那些敏感信息进行加密而不是全部数据都加密。内部人员无法通过直接访问数据库获取信息; |
身份认证和权限管理(含PKI)、应用加密、数据库加密、文件加密、统一安全管控和统一运维审计、虚拟机加密 |
应用层 |
外部越权访问 |
POS机构、外部机构人员、外部攻击者对电子病历等信息进行越权访问 |
1、外部人员无法进入高安全区域,2、外部人员通过应用服务无法越权访问 |
1、建立不同级别的安全区域,高安全区域完全隔离,2、严格而且合理的身份认证和权限管理 |
网络结构安全、身份认证和权限管理(含PKI) |
应用层 |
内部操作不当 |
内部人员,如区域卫生信息平台工作人员对电子病历等信息进行破坏 |
1、及时发现,2、对数据库的所有行为都有记录,且可及时发现违规行为,3、数据可恢复, |
1、统一安全管控和统一运维审计,所有内部人员必须通过堡垒主机才能接入设备;所有操作都有日志,如果发现威胁事件会马上告警。 |
统一安全管控和统一运维审计、数据备份和恢复 |
应用层 |
外部破坏 |
POS机构、外部机构人员、外部攻击者对电子病历等信息进行破坏 |
1、外部人员无法进入高安全区域,2、外部人员通过应用服务无法越权访问 |
1、建立不同级别的安全区域,高安全区域完全隔离,2、严格而且合理的身份认证和权限管理 |
网络结构安全、身份认证和权限管理(含PKI) |
应用层 |
外部攻击 |
攻击者通过中间人攻击、假冒等手段对上传到区域卫生信息平台的EHR等信息进行篡改和假冒攻击 |
1、外部人员无法进入高安全区域,2、外部人员通过应用服务无法越权访问 |
1、建立不同级别的安全区域,高安全区域完全隔离,2、严格而且合理的身份认证和权限管理 |
网络结构安全、身份认证和权限管理(含PKI) |
应用层 |
行为抵赖 |
攻击者或其他越权访问或操作人员对自己的行为抵赖 |
责任认定需求 |
统一安全管控和统一运维审计,所有内部人员必须通过堡垒主机才能接入设备;所有操作都有日志,如果发现威胁事件会马上告警。 |
统一安全管控和统一运维审计 |
应用层 |
信息窃取 |
EHR等等信息在POS到区域卫生信息平台传输过程中,或者在区域卫生信息平台内部网络传输过程中被窃听 |
通信线路中的信息即使被截获,也无法被读取;如果信息被损坏能及时发现 |
VPN(包含接入安全、传输加密、完整性检查等) |
4.数据层安全防护方案
威胁与安全需求 |
对策与解决方案 | 涉及产品类型 | |||
---|---|---|---|---|---|
数据层 |
敏感信息泄露方式 |
攻击者截获、读取、破解介质的信息或剩余信息,进行电子病历等敏感信息的窃取 |
攻击者无法获取介质的信息 |
虚拟机加密、全盘加密,无权限无法进入系统; |
虚拟机加密、全盘加密、应用加密、数据库加密、文件加密 |
数据层 |
敏感信息泄露方式 |
内部人员通过移动介质或移动计算设备存储电子病例等敏感信息,由于介质或设备丢失而导致信息泄漏 |
未经允许无法从服务器或者电脑往移动介质上拷数据;拷出数据或者获得硬盘介质也无法读取数据 |
1、终端安全管理可以设置对终端的USB存储设备设置禁用、只读、加密(拷贝到移动介质的数据会加密,在没有TSM的终端上无法解密)、操作记录等,防止故意或者意外导致的数据泄露 |
终端安全防护、终端全盘加密、应用加密、数据库加密、文件加密 |
数据层 |
敏感信息泄露方式 |
内部人员或攻击者利用邮件、Web、打印、拷屏、拷贝等方式和手段将电子病历等敏感信息传输到RHIN平台外部。 |
防止和及时发现通过邮件、web、应用等网络形式的数据泄露 |
DLP防止通过邮件、web、应用等网络形式的数据泄露 |
DLP防止通过邮件、web、应用等网络形式的数据泄露 |
数据层 |
数据破坏 |
由于物理、恶意代码、攻击、误操作等各种原因导致的数据破坏和丢失 |
数据能恢复 |
数据备份和恢复 |
数据备份和恢复 |
根据上述安全对策及解决方案,华为在区卫平台的整体解决方案如下:
整个解决方案分为如下几块:
|
区卫安全需求 | 基础 | 推荐 | 扩展 | 形态 |
---|---|---|---|---|---|
基础设施保护 |
网络防护FW |
√ |
|
|
硬件 |
Anti-DDOS |
√ |
|
|
硬件 | |
Web防护 |
√ |
|
|
硬件 | |
应用安全防护 |
|
|
√ |
硬件 | |
邮件安全 |
|
√ |
|
硬件 | |
入侵保护 |
√ |
|
|
硬件 | |
虚拟专网 |
|
√ |
|
硬件 | |
终端安全防护 |
√ |
|
|
软件 | |
防病毒 |
|
√ |
|
软件 | |
防泄密 |
患者隐私保护 |
√ |
|
|
软件 |
数据防泄漏 |
|
√ |
|
软件 | |
防特权 |
EHR传输、存储加密 |
|
√ |
|
软件 |
身份鉴别、权限管理 |
√ |
|
|
软件 | |
安全管理 |
运维审计 |
|
|
√ |
硬件 |
统一管理 |
√ |
|
|
软件 | |
安全管控 |
|
|
√ |
硬件 | |
虚拟私有云 |
|
|
√ |
软件 | |
安全组 |
√ |
|
|
软件 | |
虚拟防火墙 |
√ |
|
|
软件 |
针对区卫信息平台中常用应用组件的类型及安全威胁重要性,以及综合考虑安全成本和防护效果等因素,给出三种配置组合,其中:
上述配置只代表某些典型场景,对于客户的特殊需求,可以对上述安全需求和配置进行更新,提供个性化安全解决方案。
安全是区卫信息化平台的一个核心功能,安全解决方案的好坏有可能直接决定了区卫信息化平台实施的成败,需要引起高度的重视。华为在区卫一体机平台中,内置几种典型区卫安全配置解决方案,快速解决客户对区卫安全的要求。对于安全软件诉求,通过将安全监控和管理软件制作成配置模板,实现快速部署,对于安全硬件设备,则通过预集成与功能模块化、标准化、实现快速、灵活的搭配与交付。