医院对运维安全审计的需求点.docx

医院对HAC运维安全审计的需求点医院对HAC的需求点主要表现在以下三个方面1.1 业务需求医院信息系统(Hospital Information System HIS)是医院重要的医疗信息基础设施，HIS系统以大型数据库系统为基础平台，由门诊挂号管理系统、医疗诊治系统、住院管理系统、医疗科研系统以及OA系统等构成。它的特殊性决定了安全性的较高要求。然而随着医院信息化的迅猛发展，信息的高度集中使得核心数据泄密的隐患也越来越突出。HIS系统的安全性重点要考虑二方面的安全风险：一是来自外部安全风险，利用弱口令设置、数据库系统漏洞，非授权进入HIS系统访问、拷贝和修改数据内容，甚至可以采用SQL注入，攻击数据库系统；另一个是内部安全风险，以合法授权身份进入HIS系统对数据的访问和操作的合规性，对HIS系统误操作、越权操作等。以上安全风险会引发HIS系统瘫痪、各种内部数据信息被泄露和篡改、涉密数据信息被窃取和失泄等信息安全事件发生。如：1、患者隐私信息被窃取例如很多乳品厂商也通过固定的渠道从医院套取孕妇的个人信息来达到赚钱的目的。深圳发生了一次全市的孕妇信息库泄露事件，不法分子将孕妇的资料制成了“泄密光盘”，4万条包括孕妇姓名、出生日期（婴儿）、户口性质（流动、暂住、常住）、家庭住址、联系电话、以及就诊医院及预产期的信息以每条0.3元的价格进行销售，更令人咂舌的是这些信息每月还“滚动更新”，累计达到了10万条。2、医院治疗秘方或者重要治疗方案被窃取不少医院，特别是一些中医院，都有一些传统的特色治疗处方，我们一般称之为秘方。还有很多专家的一些科研结果与独门治疗方案。这些秘方或者治疗方法往往会成为一些医疗行业同行或者药厂觊觎。3、海外间谍机构以及记者对敏感VIP病人的诊疗情况非常热衷我们常常从海外媒体得到一些重要领导通知的疾病治疗信息，甚至详尽的治疗方案。很多海外机构利用这些信息，进行一些谣言传播。4、一直困扰医疗界的医药贿赂问题导致药品销售数据被窃取（本项目最首要解决的问题）多年以来，医疗界一直存在着医药贿赂的丑陋现象，究其缘由，主要是由下列原因引起： 医药产品定价和流通环节的制度设计不周全、医疗机构运营和监管制度的不健全等问题滋生了目前医疗行业的潜规则； 以医养药制度的格局使得医疗回扣成了难除的顽疾； 医生的劳务技术价值长期偏低，医生不能通过“阳光收入”实现自我价值，引发了部分医生用回扣弥补收入不足的心理。而作为医药贿赂的主要依据，是关于药品的销售统计，也就是通过统计医院的药品处方，得到医生的药品处方量，俗称统方。统方一般分人工统方（例如药房手工统计）和通过医院信息系统数据库里面的药品销售数据利用技术手段进行统计。在利益的驱使下，屡禁不止的违规统方行为一直来困扰着各级医疗机构，成为医院在行风建设中面临的首要问题。安全监管技术手段的缺乏在一定程度上加剧了违规统方事件的频发，一方面由于没有有效的技术、管理监控手段，致使一部分人在利益面前存在法不责众的侥幸心理；另一方面因为没有足够的证据，使得监管部门的治理、惩罚工作举步维艰。1.2 国家相关政策（等级保护）合规需求2011年11月卫生部下发卫生行业信息安全等级保护工作的指导意见卫办发201185号；卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办 综函20111126 ）；卫生部三级综合医院评审标准（2011版）、卫生部三级综合医院评审标准实施细则（2011版） ，全国所有三甲医院，必须达到等级保护的如下级别：医院序号信息系统类别可能侵害的客体1面向公众提供服务的系统三级2管理病人隐私、商业秘密的系统三级3医生、护士业务管理的系统二级4面向内部行政管理的系统二级根据上述要求，参照等级保护国家标准GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求中S3A3G3的条款：GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求安全审计7.1.3.3a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；d)应能够根据记录数据进行分析，并生成审计报表；监控管理和安全管理中心7.2.5.5a）应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存；b）应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施；c）应建立安全管理中心，对设备状态、恶意代码补丁升级、安全审计等安全相关事项进行集中管理。根据该国家标准，必须对医疗行业的HIS系统进行运维审计。1.3 医院数据安全管理系统常规流程医院数据安全管理系统从原始数据采集到最终的可疑对象定位通常遵循以下处理流程：其中：n 行为记录：记录所有的服务器及数据库活动，包括来自应用系统发起的数据库操作请求、来自客户端工具的操作请求以及通过远程登录服务器后的操作请求；n 行为审计：对服务器、网络设备的所有运维操作进行记录，数据库请求、返回进行语义分析，提取相关要素；n 疑似告警：针对可疑统方行为进行实时告警、可视化展现；n 可疑定位：分