1引言
随着智慧医院建设的推进,医院建设的基于“互联网+医疗”的应用越来越普遍,使得医院的互联网暴露面大大增加。《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等一系列信息安全相关法律法规的颁布实施,对网络安全建设、数据共享应用、个人信息保护提出了更高的要求,医院作为特殊行业,网络信息安全工作尤为重要[1]。一个医院的网络资产往往存在着覆盖范围广、内容多、技术繁杂、边界不清不可控等诸多特点和问题,所以理清互联网资产,及时收敛风险暴露面成为医院构筑网络安全防线的根基。
2医院互联网暴露面威胁
对于医院来说,智慧医院建设围绕智慧诊疗、智慧就医、智慧管理等行业标准快速发展,基于“互联网+医疗”的应用越来越普遍。从患者智慧就医角度看,预约、挂号、就诊、检查、购药、缴费、检查化验结果查看、互联网治疗都可以在网上完成。从医院智慧管理的角度,为了提高工作效率、优化业务流程、提高医院竞争力、提升现代医院治理水平,医院内部建设了大量的信息系统,对医院管理者也开放了互联网应用界面。在网络方面,医院往往是有线网、WIFI网、4G和5G网并存使用。基于“医联体”、“互联互通”、“医保”的实际需求,医院的内部信息往往要与外部机构对接传输。数据共享的范围和数据量持续扩大,内外网数据交互日益频繁,网络安全、数据安全、个人信息安全风险持续增加,给医院网络信息安全建设带来了更大的挑战。此外,医院内还有一些风险和隐患来自于不受管控的未知资产,或称为“影子资产”,即指那些不在医院信息部门掌握下的医疗设备、软件及服务等。因此,各种网络资产数量繁杂,攻击者关注的目标入口多样,一个被突破,就可成为突破医院全员网络安全防线的入口,保障医院网络安全已成为当务之急。
2.1网络暴露面 网络暴露面是指网络上的资产、服务和漏洞可能被潜在攻击者利用的程度。它包括开放的端口、未修补的软件漏洞、错误配置的设备等因素。
2.2医院互联网暴露面管理探索与实践
如何有效地发现和管理安全资产成为支撑医院的信息安全运营工作的核心关键。为了及早发现和收敛互联网暴露面,需按照持续建设、逐步覆盖、多手段、自动化的整体思路开展日常监控和及时处置等工作。
2.2.1梳理医院信息系统,建立统一的数字资产资料库
梳理医院建设的各个信息系统服务器配置以及网络内部署的网络安全设备,汇聚服务器IP、域名、URL、应用系统、端口、防火墙策略、运维管理人员及其单位等资产信息,对这些资产数据进行提炼加工,整理一份全面的用于各类场景使用的安全资产数据,以满足网络攻防对抗、安全监测、应急反应快速处置等使用需求[2]。
除此之外,安全资产数据与网络公开或者购买的威胁情报、安全检测和防护设备、态势感知等设备形成联动,补全资产的相关安全属性形成更加完整的数字资产360度安全画像,同时,对于数据资产的检测防护设备(如WAF、HIDS、网页防篡改等)覆盖情况、历史告警数据和安全事件处置情况等也需要及时记录更新,以便于网络安全防护人员全方位开展网络安全相关的运营工作。
2.2.2主动探查互联网资产暴露面风险,实施多层次的安全防御措施
通过提取的医院数字资产资料库,开展互联网资产暴露面风险探查,包括资产风险、数据泄露风险、已知资产的脆弱性风险等,输出风险清单,并开展持续的PDCA处置收敛。
2.2.2.1评估网络暴露面
评估网络暴露面是提高网络安全的关键步骤之一。常规开展漏洞扫描、渗透测试和安全配置审计等。漏洞扫描工具可以帮助发现系统中存在的漏洞和未修补的软件漏洞;渗透测试则模拟真实的攻击场景,评估网络的实际安全性;安全配置审计则着重于检查系统和设备的配置是否符合安全标准和最佳实践[3]。
2.2.2.2威胁情报与网络暴露面收敛
及时获取和分析威胁情报对于有效收敛网络暴露面至关重要。威胁情报可以帮助医院了解当前的安全威胁和攻击趋势,从而有针对性地加强网络安全措施。医院通过订阅威胁情报服务、参与安全信息共享组织以及建立与安全厂商的合作关系来获取威胁情报。
2.2.2.3医疗设备网安全
随着医疗设备网设备的普及和应用,医院网络安全面临着新的挑战。医疗设备通常具有复杂的功能和操作系统,有可能独立成网,监管不到位开可能面向互联网开放端口,可能存在着诸多安全漏洞[4]。加强医疗设备的安全性管理,包括加密通信、访问控制和远程更新等措施,对于提升医院网络安全至关重要。
2.2.2.4第三方供应商和合作伙伴安全管理
对第三方供应商和合作伙伴进行严格的安全审查和评估,确保其符合网络安全标准和合规要求。建立安全合同和服务级别协议(SLA),明确第三方在保护敏感数据和网络安全方面的责任和义务。
3建立互联网安全资产运营机制
在开展日常工作的过程中,需不断积累实践经验,提取形成标准化闭环互联网安全资产运营机制,实现安全资产运营流程标准化,将经验和案例形成知识库,以保证安全资产运营和暴露面管理工作有序且不间断开展。
3.1制度建设 以制度作为依托开展医院互联网暴露面管理工作。制定相关管理办法和实施细则等管理依据,如移动互联应用资产管理及登记管理办法、托管应用及设备安全管理细则等,明确对互联网安全资产管理的工作内容和工作要求,同时通过制度宣讲、安全培训、制度执行检查等手段推动制度的落地,发现制度执行过程中的问题,以检验制度的执行效果。
3.2剖析运营痛难点 分析在运营过程中暴露的痛点难点,不断优化技术手段。网络安全测试可以发现系统中的漏洞、弱点、网络攻击等异常行为,提高网络系统和管理人员的应急响应能力,增加对危险网络攻击的识别和应对能力,从而在发生安全事件时能够短时间内降低损失,从而保障医院随时处于应急准备状态[5]。
3.3抓手段促成效 结合宣传培训、评价考核、竞赛评奖等管理手段,提升运营成效。一是加强宣贯力度,定期开展针对业务部门的技术培训,使全院医务人员更加深刻地理解安全资产管理与暴露面收敛的意义,提升对互联网暴露面的重视程度,进而更好地配合开展网络安全管理工作。二是加强医院网络安全人才培养与队伍建设。医院通过开展网络安全培训课程、建立广泛的合作关系以及吸引优秀的网络安全人才加入医院团队等方式,培养更多的医疗信息技术安全专业人才,保障医院网络安全的长期稳定。
4总 结
针对医院互联网资产暴露面管理机制,需建立“运营+管理+技术”的协同模式,深入探索和实践互联网暴露面的发现和收敛,并在实践过程中持续开展常态化安全资产运营,同时加强互联网资产探查力度、优化探查机制,使得各类资产暴露风险的发现率呈现下降趋势,进而有效支撑安全运营工作,全方位加固医院安全防御体系,构筑牢固的医院网络安全防线。
参考文献:
[1] 穆成欢.医院面临的信息安全问题与应对分析[J].医学信息,2024,37(1):41-44.
[2] 张浩男,张渝,张硕果.医院网络安全监控及预警平台的设计与应用[J].中国卫生信息管理杂志,2023,20(2):263-267,272.
[3] 杨赫.医院信息化建设中网络安全的维护策略研究[J].网络安全技术与应用,2023(2):94-96.
[4] 白波,王韬.医疗设备网络安全管理模式的改进研究[J].中国数字医学,2023,18(9):1-5.
[5] 于继江,胡康.网络安全态势感知中数据融合技术研究[J].微型电脑应用,2022,38(7):102-105.
