斩断伸向医院内部数据的“黑手” ——医疗行业数据安全管控解决方案

发布日期：2019/10/31

近期，央视《新闻直播间》用7分28秒的报道时长，揭开温州警方日前破获的一起“黑客”窃取医院“统方”数据大案的神秘面纱。几个月前，温州警方接到市区一家医院报案称，该医院内部数据库遭遇“黑客”非法侵入。 警方通过侦查发现犯罪嫌疑人趁着中午医生停诊休息的间隙，偷偷溜进了医院四楼的一间诊室里，通过非法手段盗取医院服务器上的“统方”数据，采用U盘拷贝出去，非法获利数百万元。

综观整个数据窃取过程，对医疗行业网络安全现状研究分析，易引起数据外泄渠道如下：

1.终端安全缺乏有效管理，终端主机空口令、弱口令等问题，容易造成非法入侵引起数据泄露；

2.存储介质缺乏使用管理，U盘或移动硬盘随意接入极易造成黑客入侵，引发内部信息泄露、病毒木马传播感染等严重安全事件。

3.终端设备非法接入，外来非法设备、不合规终端接入容易造成信息资源违规占用、病毒木马泛滥、信息泄露、越权访问等一系列安全问题。

4.缺乏内部电脑对敏感数据的访问，通过应用访问、打印、刻录、移动介质等方式越权访问、盗取数据等造成医疗行业敏感信息泄露、侵犯公民隐私的现象时有发生。

从本次安全事件可以看出，由于利益驱使，非法窃取医疗行业数据方式层出不穷，单纯依靠杀毒软件、防火墙等传统安全防护设备类的被动防御手段，不能完全避免安全事件的发生，一定要加强日常的网络安全管理，综合采用终端管理、准入控制、移动介质管控、数据使用管控等多种措施，“防治结合，强身健体”，堵住黑客入侵的源头，才能保障网络安全，并减少数据泄露安全事件发生失。

针对此次医院遭受“统方”数据被窃取的情况，远望信息结合多年信息安全管理经验和医疗行业信息系统特性，提出针对医疗行业数据安全管控解决方案。

1）建设设备准入控制。随着云计算、物联网、移动互联网等新技术的出现，设备类型以及接入网络方式呈多样化、便捷化发展，未授权的笔记本、BYOD、网络设备及各种各样的IOT设备都有可能威胁整个网络的安全。应建立设备准入控制机制，防止外来设备随意接入医疗专网，并防止未达到安全基线要求的设备接入专网，对新入网的设备进行注册审核，并进行安全检查，只有通过认证的设备才允许接入，只有合法的应用才允许在网络中传输，才能守住专网入口，防范外来风险。

2）建设终端安全管控。针对终端主机的攻击越来越多，如WanaCrypt0r勒索软件、挖矿病毒、未知威胁、终端空口令、弱口令等，从攻击者的角度来看，终端可以被定义为网络罪犯和网络间谍用来侵入内部的最具吸引力，最柔软脆弱的目标。应建立终端安全管控，对终端进行统一安全管理，修补安全漏洞、防护病毒木马传播、防护黑客攻击，实现终端资产管理、终端用户行为规范、终端监测预警等安全加固，从而消除终端安全风险，保证内部数据安全。

3）建立移动介质管控。外部移动介质随意接入、内外网间交叉混用移动存储介质，极易引发内部信息泄露、病毒木马传播感染等严重安全事件。建立移动介质管控，提供对移动存储介质统一管理、统一认证、监控和审计功能，实现移动存储介质的注册制、实名制，对未注册移动介质接入行为进行阻断，对违规使用移动存储介质、违规信息泄密行为进行预警，协助网络安全管理人员加强移动存储介质和信息安全保密管理。

4）建立数据使用管控。医疗行业信息化快速发展的同时，信息资源种类和数据激增，信息集中度和敏感度明显增加，通过应用访问、打印、刻录、移动介质等方式越权访问、盗取数据等造成医疗行业敏感信息泄露、侵犯公民隐私的现象时有发生。

建立数据使用管控，通过对用户终端行为、应用系统访问行为、数据库访问行为、打印行为、刻录行为、移动介质使用行为、屏幕截屏行为等操作进行完整记录，实现对数据使用行为360度无死角的全方位监控审计。提供了防范敏感信息泄漏、保护数据安全的有效途径，真正实现可跟踪、可倒查、可预警、可管控。