做好资产管理:构建医院信息安全护城河

医疗数据因其蕴藏的巨大价值与集中化存储管理等特点,长久以来一直是不法分子重点攻击的目标。随着数字经济时代的来临,IT基础设施在医院日常业务中发挥的作用越来越明显,尤其是软件、系统、数据等无形资产将成为医院资产重要组成部分。医院信息化飞速发展,医院业务系统面临着不限时间、不限地点的安全威胁,医院信息管理系统的安全问题日益凸显,资产安全管理尤为重要。

做好资产管理:构建医院信息安全护城河

结合国内某医院安全运营工作实践,对信息安全视角下的医院资产管理进行总结分析。

一、资产安全分析

安全运营工作摸清家底是基础,在信息安全视角下,除数据中心的网络设备、存储设备等硬件资产外,清晰明确的业务资产关联关系与信息安全风险点的梳理对提升资产管理效率至关重要。结合实际经验,将医院资产可能存在的安全弱点和易受到的安全威胁进行如下整理:

1、网络设备存在的安全弱点

基于各业务部门需求,经过前期的系列建设后,整体网络构建已基本满足现阶段的业务需求,但从信息安全视角看经常会问题重重。

现有设备固有问题,比如功能缺失、系统BUG、设备老旧需迭代等

策略配置错误或缺失,致使安全策略配置不合理

运维人员安全意识薄弱,比如身份鉴别机制过于简单、对用户行为缺少管控和审计、对特权用户缺少权限分离等……

无论问题来源于哪里,一旦暴露,系统安全就会受到严重威胁,从而直接影响到医院业务的正常进行,甚至会造成重要信息的泄露。

2、主机系统自身存在的安全弱点

是软件就势必会有BUG、有漏洞,操作系统自身也是同理,系统漏洞或缺陷更攻击者最常借助的通道。站在实际应用角度,系统安全程度除系统自身缺陷与漏洞外,也与安全基线配置及系统的应用方式关系密切,特别是在缺少访问控制和授权机制的情况下,攻击者只要实施一般性攻击便可轻松入侵目标系统。

3、应用系统自身存在的安全弱点

应用系统的研发与应用平台程序的设计,在很大程度上依托于开发人员与设计者的主观意识,并且这种意识是与应用需求紧密相连的,无论是Oracle、Apache、IIS、Weblogic、Web Server程序,还是最普通的MS Office办公软件,以及LIS系统、HIS系统、PACS系统等医院专用业务系统,其自身必然存在安全漏洞,这些都将直接影响到医院整体网络的安全性。

综上,我们将当前医院应用系统存在的安全弱点总结为如下几点:

源程序中出于程序调试的方便,人为设置许多“后门”,若被黑客利用,将直接通过“后门”控制系统;

应用系统自身身份认证缺失或不足,致使黑客获得访问应用系统的权限,窃取到业务系统敏感信息,造成信息外泄;

应用系统的用户名和口令以明文方式传输并被截获,引起系统的非授权访问;

各种可执行文件成为病毒的直接攻击对象。

二、资产梳理分类

对医院整体资产数据信息的收集和管理,形成完整、准确的资产数据信息,是资产评估、管理决策的重要数据依据。针对医院资产梳理,需采用平台工具扫描与人工收集相结合的方式,实现对IT资产的全方位排查核对。具体办法如下:

1.通过设备抓取流量进行资产信息初步筛选,以全流量系统数据为基础、以IP信息为基准,梳理业务系统使用状况并理出资产信息,建立初期资产信息收集模板,做到有流量传输的资产线上、线下统一。

2.以全流量数据为依据,分析资产端口信息,对于部分无通信流量或通信周期很长的开放端口,辅助以人工现场核查核对。

3.在院方资产梳理过程中,如遇到有其他单位同步进行资产梳理,双方应进行交叉比对,核验出一致的资产清单。

4. 按照软硬件设备、数据层面等将梳理出的最终资产清单进行资产分类,基于已明确的业务系统信息,再对业务系统进行资产信息分类,在人工与信息化两种核实方式的相互作用下,完成资产清单的更新完善。

三、资产安全评估分析

漏洞扫描、渗透测试是医院资产安全评估工作的两个主要环节,也是实施安全管理的重要步骤。所有的安全威胁不会同时爆发、所有的漏洞也不会同时暴露,在受攻击前,院方无法提前获悉被攻击时间、攻击方式、利用哪些漏洞以及攻击核心目标等,因此,对所有资产进行交叉式漏洞扫描十分必要。

进行漏洞扫描前,首先需对目标网络环境进行网络构架分析确定检测对象的结构组成。然后,分别以发现目标系统的全弱点为目标对系统主机进行漏洞扫描,以发现数据库系统安全策略隐患、漏洞补丁、弱口令为目标对数据库进行漏洞扫描。同时还需对Web应用系统进行全面、深度的漏洞扫描,从而最终实现从系统主机、数据库到业务应用的全资产漏洞排查。

天融信漏洞扫描系统可以实现隐私泄露检测、SSI注入检测、源代码泄露检测、SQL注入检测、系统信息泄露检测、Cookie欺骗检测、隐藏字段欺骗检测、无效的认证措施检测、薄弱的密码恢复验证检测等多个方面的检测,满足最新等级保护技术要求,为资产安全管理策略的有效实施提供重要支持。

四、资产安全问题梳理

对医院资产管理实践而言,安全评估结果具有很重要的参考价值,相应管理方案与制度也均以安全评估结果为基础进行制定与实行。但同时也需认识到,并不是每一次检测都能反映出相同的问题,随着入侵方式和攻击手段的不断丰富,新的系统漏洞也将随之出现。所以从资产安全管理的角度看,结合每一次的检测结果将问题分门别类地梳理清楚,对管理实践具有非常积极的意义。针对医院资产安全问题梳理,需从以下两个维度重点关注:

在管理规范层面:重点关注安全技术人员质量、第三方工作规定明确性以及安全操作流程成熟度等三方面问题;

在技术层面:重点关注人员安全意识(以弱口令问题为代表)、终端管理(以杀毒软件部署不完全为代表)、内网安全重视程度(以未全面进行补丁升级为代表)以及应用系统管理混乱(以流程规范实施缺失为代表)等四方面问题。

持续的安全运营工作将不断改进完善医院安全管理的标准化体系。在医院资产安全管理的标准化体系建设过程中,不仅要完成好每个阶段的工作任务,将检测出的问题逐个进行梳理和分析,并将针对它们所提出的管理办法纳入到相应管理制度和文件中,更要在漏洞整改修复和资产安全保障工作中密切关注已开始实施的策略是否得到了充分、有效的落实,特别是需要人工操作的工作内容。信息安全视角下医院资产管理实践,不仅需要强大的信息化技术给予足够的支持,更需要相关工作人员努力去提升自身管理意识、端正工作态度,唯有如此,医院资产管理质量与效率才能不断提高。

做好资产管理:构建医院信息安全护城河

原创文章,作者:lishengli,如若转载,请注明出处:http://www.lishengli.com/lee/2507.html

发表回复

登录后才能评论