一、概述
随着医疗行业业务和需求的快速发展,各大医院在原有
HIS 应用的基础上逐步增加了 PACS 系统、远程医疗系统等新业务和应用,在辅助医院提高工作效率和服务病人的同时无疑这些新的应用对网络的性能、可靠性、安全性、运维能力等提出了更高的要求,一方面在进行网络性能升级的同时也面临着应用的提升对网络运维的压力,另一方面各大医院都希望能更具有竞争力并提高效率,这就必须对信息做出及时有力的响应,这样才能进一步提高效率进而推动未来的增长。
随着网络应用的深入和医院业务对网络依赖性的增加,网络安全成为影响网络深入应用的一个重大障碍。各医院在重视网络安全建设的同时一方面引入了大量的新技术、新产品,无可置疑这些新技术、新设备在保障医院网络安全可靠运行的同时也对我们传统的网络系统管理和运维方式提出了新的挑战。
1 、医院的
IT 管理技术手段多停留在设备层面的管理,缺乏复杂系统多样化的管理能力;
2 、医院现有的网络管理维护方法不适应复杂业务应用的开展,技术因素不能解决全部安全问题,需要对传统运维方式的变更;
3 、复杂网络故障的快速定位、及时解决的迫切需求;
4 、缺乏一个具备对医院整体应用系统全面维护的能力的服务机构,由于客观存在的原因软件公司不负责系统维护,系统集成公司不负责软件应用的维护的现状将长期存在,是变更还是守旧?另一方面系统运维是个系统工程,要考虑诸多因素,只偏重技术手段而忽略管理手段和方式的完善是不足的,正是在这种背景下我们推出了医院信息系统运维服务中心理论,通过它改变医院传统系统维护的服务方式,注重风险管理的时效性原则的同时,强调服务能力的建设。
正如我国著名计算机专家沈昌祥院士指出的:
"信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部份,是世纪之交世界各国在奋力攀登的制高点
"。智恒联盟作为国内专业信息安全厂商,长久以来一直专注于国内医疗、金融、政府及其他企事业单位的信息安建设,智恒安全团队根据各行业的安全现状提出了很多的安全理念及全面有效的网络信息安全解决方案。经过多年对医疗行业建设的研究,智恒专门针对医疗行业提出了一套在当前安全形势下行之有效的全面的安全解决方案。能够有效保障医疗系统及核心数据安全。
二、医疗行业业务系统现状及需求分析
2.1 医疗行业业务系统现状
随着网络的快速发展,医疗机构的业务系统日益复杂化,面对庞大的医疗系统,提高系统的运维效率成为目前的一大难题。随着应用的不断增加,运维系统安全风险也会不断暴露出来。由于设备和服务器众多,系统管理员压力太大等因素,越权访问、误操作、滥用、恶意破坏等情况时有发生,这严重影响业务的运行效能,并对医院声誉造成重大影响。另外黑客的恶意访问也有可能获取系统权限,闯入部门或医院内部网络,造成不可估量的损失。医疗机构的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。
如何提高系统运维管理水平,跟踪服务器上用户的操作行为,防止黑客的入侵和破坏,提供控制和审计依据,降低运维成本,满足相关标准要求,越来越成为企事业单位关心的问题。
2.2 医疗行业运维安全风险分析
2.2.1 传统的运维模式中人员和账号的管理带来的安全隐患
医院的支撑系统中有大量的网络设备、主机系统和应用系统,分别属于不同的部门和不同的业务系统。各应用系统都有一套独立的帐号体系,用户为了方便登陆,经常出现多人共用帐号的情况。
多人同时使用一个系统帐号在带来方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将帐号告诉其他无关人员,会使这个帐号的安全无法保证。
由于共享帐号是多人共同使用,发生问题后,无法准确定位恶意操作或误操作的责任人。更改密码需要通知到每一个需要使用此帐号的人员,带来了密码管理的复杂化。
如下图
1.1所示,账号的共享或一人使用多个账号会导致整个运维管理过程的复杂混乱。由于整个运维过程的不定因素太多,使得整个运维过程不可控。不仅仅给运维人员带来了巨大的麻烦,而且让管理人员也无法准确的定位责任人,如果公司长期的在这种传统的运维模式下运维,将会给公司带来巨大的损失,甚至还无法追究责任,所以我们要建立新的运维模式和运维理念。
,
2.2.2 授权不清晰引发的问题
再优秀的管理者也不可能做完所有的事情,因此,一个优秀的管理者必须学会授权,并且要避免因授权不当而带来的管理混乱。
领导者如何进行授权,是医院管理的一个深刻命题。做过管理的人都应该知道,授权在医院管理中是非常重要的。但是,很多医院管理者在授权时,要么顾虑重重,对谁也不放心;要么授权不当,缺乏监督制度,造成医院管理混乱。
这在
IT
运维中也存在着类似的问题,所以让每个运维人员在自己责任范围内正确安全的使用自己的每一个权限十分重要。
而往往在传统的运维模式中,授权是不清晰的,例如
:
运维人员登录的某台服务器或者某个核心交换机等关键性设备的时候,他将拥有很大的或者是超越自己权限范围的权限,同时他也可以做一些越权的操作,比如是重启或是其他的敏感操作。也许他的操作是恶意或是无意,但是都将引发不可估量或者无法挽回的后果。
面对以上传统运维模式中授权不清晰引发的问题,我们要足够的重视,在一个理想的运维模式中,我们需要对运维人员的权限或者是访问的权限进行精确的定位。
2.2.3 运维人员操作过程的审计
各系统独立运行、维护和管理,所以各系统的审计也是相互独立的。每个网络设备,每个主机系统分别进行审计,安全事故发生后需要排查各系统的日志,但是往往日志找到了,也不能最终定位到行为人。
另外各系统的日志记录能力各不相同,例如对于 Unix 系统来说,日志记录就存在以下问题:
Unix
系统中,用户在服务器上的操作有一个历史命令记录的文件,但是root用户不仅仅可以修改自己的历史记录,还可以修改他人的历史记录,系统本身的历史记录文件已经变的不可信;
无法记录操作人员、操作时间、操作结果等。
2.2.4 缺乏身份认证及识别机制
很多医疗卫生组织为了保护重要系统的安全,实施了双人分段管理密码、操作系统与数据库管理人员的权限分离、禁止混岗等策略,但实际工作中难免有工作或账户使用交叉情况出现,存在着无法对自然人身份的强制识别和认证风险。
2.2.5 传统网络安全审计系统无法满足的运维审计和管理要求
传统的运维审计系统的缺陷:
无法审计运维加密协议、远程桌面内容;
为了加强信息系统风险内控管理,一些医院已部署网络安全审计系统,希望达到对运维人员操作行为监控的目的。由于传统网络安全审计的技术实现方式和系统架构(主要通过旁路镜像或分光方式,分析网络数据包进行审计),导致该系统只能对一些非加密的运维操作协议进行审计,如telnet;却无法对维护人员经常使用的SSH、RDP等加密协议、远程桌面等进行内容审计, 无法有效解决对运维人员操作行为的监管问题;
基于IP的审计,难以准确定位责任人;
大多数网络安全审计系统,只能审计到IP地址,难以将IP与具体人员身份准确关联,导致发生安全事故后,如何追查责任人,反而又成为新的难题。
2.2.6 国家针对相关组织运维模式制定了相关法规和标准
公安部-《信息系统等级保护》
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》及《信息系统等级保护安全设计技术要求》
财政部-《企业内部控制基本规范》,该规范的关键点是如何把IT内控与企业内控管理统一起来,信息安全审计则成为企业IT内控、安全风险管理的不可或缺的技术手段。
银监会《商业银行内部控制指引》、《商业银行操作风险管理指引》(该指引明确要求商业银行应按照指引要求,建立操作风险管理体系,有效地识别、评估、监测和控制/缓释操作风险”。)
上交所《上海证券交易所上市公司内部控制指引》
巴塞尔新资本协议
深交所信息安全评估准则
中国电信《CTG-MBOSS安全规范》
中国移动集团内控手册
中国电信内控手册
美国上市公司须遵循的萨班斯(Sarbance Oxley)法案
2.3 医疗行业运维安全需求分析
外网安全只是安全的一个层面,要保障整个医疗信息系统安全,光有外网安全是不够的,根据资料统计,在对单位造成严重损害的案例中,有
70%是组织里的内部人员所为。医疗行业的网络环境都比较复杂,网络设备、安全设备、服务器和各类应用众多,同时,管理维护这些设备和应用的人员也很多,并且关系复杂,有单位内部人员,外部人员,第三方运维人员,临时介入的应用管理员等。要方便有效的统一管理这些设备和用户,就需要有一个强大的运维审计平台,智恒SAS运维安全审计系统就能有效解决运维安全管理问题。
三、医疗行业信息系统运维安全解决方案
3
3.1 方案设计原则
3.1.1
先进性和成熟性
采用代表当前计算机发展趋势的先进技术和成熟的产品,确保该信息系统在
2年内不落后,保证平台在技术上领先、成熟、稳定和可靠。
3.1.2
可靠性原则
整个网络系统必须具备高度的稳定性和可靠性,提供充分的可靠性服务。网络系统运行稳定、故障率低、容错性强,实现
7*24小时正常工作。
3.1.3
最小影响原则
在方案设计及实施时,遵循对信息系统影响最小原则,尽可能地采用对网络、系统、应用影响最小的技术手段,对现有系统不产生干扰,保护现有系统。
3.1.4
安全性原则
在规划设计和维护管理的过程中要充分考虑网络建设和信息安全相结合的原则,从技术、管理等方面制订严格的方案,形成多层次、全方位的安全保密防线,确保系统的安全性。
3.2 产品概述
智恒
SAS运维安全审计系统(以下简称“SAS”)是新一代运维审计系统,它采用软硬件一体化设计,通过B/S方式(https)进行管理,其主要功能为:能够将网络中设备和数据库等实施统一认证;具有与身份认证系统无缝结合的接口;实现对操作网络中设备和数据库等过程的全程监控与审计,支持账户开通申请与审批的流程管理,以及对违规操作行为的实时阻断。
该产品采用先进的设计理念,支持对多种远程维护方式的支持,如字符终端方式
(SSH、Telnet)、图形方式(RDP)、文件传输(FTP、SFTP)以及多种主流数据库的访问操作, 完整的审计报告,可针对各种不同日志信息生成不同的审计报告,还可对关联日志信息生成关联审计报告,综合有效利用日志信息为网管提供IT网络的整体运行现状。完全可满足电信、医疗、金融、政府、电力等行业客户的审计要求。
3.3 部署示意图
运维安全审计系统系统支持多种部署方式,可以充分满足不同网络对审计系统的需求。运维安全审计系统部署支持
Active-Active双机模式,避免产生单点故障而影响正常的维护通道。SAS的部署应与网络访问控制列表、医院管理制度相结合,以便取得更好的审计效果。
3.4 产品主要功能
3.4.1
单点登录
SAS提供了基于
B/S 的单点登录系统,用户通过一次登录系统后,就可以无需认证的访问被授权的多种基于 B/S 和 C/S 的应用系统。单点登录为具有多帐号的用户提供了方便快捷的访问途经,使用户无需记忆多种登录用户 ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时,由于系统自身是采用强认证的系统,从而提高了用户认证环节的安全性。单点登录可以实现与用户授权管理的无缝链接,可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。
3.4.2
集中账号管理
集中帐号管理包含对所有服务器、网络设备帐号的集中管理。帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成对帐号整个生命周期的监控和管理,而且还降低了管理大量用户帐号的难度和工作量。同时,通过统一的管理还能够发现帐号中存在的安全隐患,并且制定统一的、标准的用户帐号安全策略。
通过建立集中帐号管理,医院可以实现将帐号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。
3.4.3
身份认证
SAS为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。
集中身份认证提供静态密码、Windows NT域、Windows Kerberos、双因素、一次性口令和生物特征等多种认证方式,而且系统具有灵活的定制接口,可以方便的与第三方认证服务器对接。
3.4.4
资质授权
SAS提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。
在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员在SAS上,可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作等的细粒度授权。
3.4.5
访问控制
SAS能够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。
访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。
3.4.6
操作审计
操作审计管理主要审计操作人员的帐号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的帐号、资源进行标识后,操作审计能更好地对帐号的完整使用过程进行追踪。
系统支持对如下协议进行审计:
Telnet、 FTP、 SSH、 RDP (Windows Terminal)、Xwindows、VNC等。
内控堡垒主机系统通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。
对于生成的日志支持丰富的查询和操作:
l 支持按服务器方式进行查询
通过对特定服务器地址进行查询,可以发现该服务器上发生的命令和行为。
l 支持按用户名方式进行查询
通过对用户名进行查询,可以发现该用户的所有行为。
l 支持按登录地址方式进行查询
通过对特定
IP 地址进行查询,可以发现该地址对应主机及其用户在服务器上进行的所有操作。
l 支持按照登录时间进行查询
通过对登录时间进行查询,可以发现特定时间内登录服务器的用户及其进行过的所有操作。
l 支持对命令发生时间进行查询
可以通过对命令发生的时间进行查询,可以查询到特定时间段服务器上发
过的所有行为。
l 支持对命令名称进行查询
通过查询特定命令如
ls,可以查询到使用过该命令的所有用户及其使用的时间等。
l 支持上述六个查询条件的任意组合查询
如,可以查询“谁(用户名) ” “什么时间登录(登录时间) ”服务器并在“什么时间(命令发生时间)”在“服务器(目标服务器)”上执行过“什么操作(命令)”。
l 支持对日志的备份操作处理
l 支持对日志的删除处理
3