01
前 言
随着网络互联技术的不断发展,新技术的不断产生和应用,中国的医疗行业正在面临着新一轮的变革。国内的政策环境和病患需求都在发生快速的变化,突如其来的新冠疫情更是加速了整个医疗行业的数字化演进过程,为医疗行业的技术发展和创新带来了前所未有的发展前景和机遇。在医疗行业数字化转型的过程中,医疗行业安全风险也在不断地加剧。近年来,数字化医疗的建设,打破了医疗行业原本将互联网与内网物理隔离的传统网络架构,并且由于在建设过程中往往忽视网络安全及数据隐私,导致安全事件及合规问题层出不穷。
由于医疗行业相对薄弱的安全防护体系,和医疗机构数据的高价值“诱惑”,让网络攻击者不断进行更加周密的筹划,他们正在选择更高端、更隐秘的攻击方式,渗透到医疗系统中,在数据横跨的多个系统、多个环节中寻找攻击点,伺机窃取高价值的医疗数据。在数字化时代下,我国医疗行业的信息安全现状愈发严峻,需要投入更多的精力去建设医疗行业的网络安全体系。
02
医疗行业安全现状
业务系统暴露
传统医疗行业网络主要以内网为主,并且内部网络与互联网进行完全的物理隔离,互联网仅承载医院门户网站等面向外部的业务,其他业务系统在互联网上没有任何暴露面。
但随着数字化医疗的不断建设和发展,互联网结算、在线挂号、自助缴费、网络支付等的不断应用,让医疗的主要业务系统不得不与互联网有数据上的交互,原本物理隔离的纯内网模式被打破,使业务系统在互联网上的暴露面扩大,业务系统安全性堪忧。
虽然某些医院安全防护意识较强,采用了VPN的方式,但是VPN的不稳定性以及近年来针对VPN的安全问题层出不穷,导致用户体验较差,安全风险极高。
终端管理混乱
终端管理混乱,一直是医院信息管理部门亟待解决的问题。由于医院终端众多,终端安装和使用软件各不相同,并且各科室终端类别复杂,导致医院在终端管理工作中问题较多,并且非常混乱。加之在终端的使用过程中,每个终端安装的软件来源不明,导致终端运行速度越来越慢,终端安全风险不断增加。
同时,在各医院终端接入内网访问业务系统时,缺乏有效的安全手段来对终端进行健康和使用环境评估,进而导致内网安全风险升高。
数据安全风险高
在医疗机构加速数字化的今天,网络安全能力匮乏,已经严重影响了全球公民健康数据的个人隐私安全,威胁着医疗机构庞大的数字资产。我国医疗行业现有的安全保障体系尚处于初步建设阶段,尚不足以应对当前网络安全威胁,医疗行业整体网络安全保障水平还需要提升。
并且,医疗行业覆盖面广,产值巨大,成为网络攻击者目标的可能性几乎是其他行业的2倍,每年都有数不清的数据泄露事件发生,数百万患者的隐私信息被盗窃,目前黑市上个人医疗信息的价值比信用卡信息高出50倍。如何保障数据安全,已成为数字医疗体系下安全建设的最重要目标之一。
政策要求
医疗行业的数据安全必须符合各国的法律法规和行业标准,这些法律为数据的收集、存储、处理和传输提供了框架和指引。
美国:HIPAA(健康保险流通与问责法案)是确保患者隐私保护和数据安全的核心法律,要求医疗服务提供商、健康保险公司等机构采取安全措施来保护健康信息。
欧洲:GDPR(通用数据保护条例)适用于涉及欧盟成员国公民的个人数据处理,要求严格的隐私保护和数据安全措施。
中国:个人信息保护法(PIPL)对个人信息的保护进行了规范,要求所有处理个人信息的单位采取严格的安全保护措施。
03
医疗行业零信任网络安全架构解决方案
Part.1
医疗行业零信任架构的核心组成
在医疗行业中,零信任架构的核心组成部分包括身份与访问管理(IAM)、设备安全、网络隔离、数据保护与加密、审计和日志监控等。
身份与访问管理(IAM)
强身份认证:通过多因素认证(MFA)确保用户身份验证的安全性。可以结合生物识别(如指纹识别、面部识别)、硬件令牌、一次性密码等方法进行认证。
单点登录(SSO):实现多系统平台的统一身份认证,简化用户操作同时提高安全性。
动态访问控制:根据用户的行为、设备安全状态、访问时间、访问地点等动态调整权限。例如,当用户从未知设备或位置登录时,可能需要额外的身份验证。
设备与终端安全
设备身份验证:确保所有连接到医疗网络的设备都是经过授权和认证的设备。可以使用设备管理工具(如MDM、EDR)来验证设备的安全状态,并确保设备符合安全要求。
设备隔离与分级:对于不同类型的设备(如医生的移动设备、医院服务器、IoT设备等),采用不同的安全策略与隔离措施。例如,医疗设备和办公设备的访问权限可以根据实际需求进行差异化设置。
网络微隔离
网络隔离:将医疗机构的网络划分为多个独立的区域(如敏感数据区、公共区、员工区等),不同区域之间通过严格的访问控制和数据传输加密进行隔离。
访问控制与监控:通过网络访问控制(NAC)和微隔离技术,限制网络中的用户和设备只能访问其被授权的资源,减少潜在的攻击面。例如,医疗服务系统和患者数据存储系统应该通过隔离和访问控制来确保安全。
数据保护与加密
数据加密:在数据传输(如患者信息通过网络传输时)和存储(如电子病历数据库)过程中,采用强加密技术(如AES-256)保护数据不被泄露或篡改。
数据访问日志:确保所有数据访问操作都有完整的审计日志,并定期检查以发现潜在的安全威胁。
持续监控与事件响应
行为分析与监控:通过行为分析工具(如UEBA)对用户和设备的行为进行实时监控,发现异常行为将立即采取响应。例如,医生的账户如果在异常时间段或不常见的设备上进行登录,可以触发警报。
安全信息与事件管理(SOC):集成SOC系统,实时收集、分析来自各个安全设备和应用程序的日志,及时识别潜在的安全事件,并做出反应。
应急响应机制:建立应急响应计划,当发生数据泄露或攻击时,能够迅速识别、隔离并解决问题。
Part.2
零信任安全架构模型
图1-零信任安全架构模型
Part.3
零信任架构部署示意图
图2-零信任架构部署示意图
部署说明
威努特零信任安全终端:在终端安装配套零信任安全终端管理软件,对终端接入环境进行检查,判断终端入网许可和入网权限,对不满足安全基线要求的终端进行告警并阻断,对使用环境较差的终端,降低其访问权限,并在终端接入后的整个使用过程进行监控,一旦使用环境或访问行为发生偏差,可对终端的权限进行实时调整。并且,终端管理软件具有终端软件安装管理功能,可以对需要安装哪些软件,不许安装哪些软件做限制,并且可以限制安装软件来源本地发布器,保障软件的安全性,降低终端安全风险。
威努特零信任安全网关:用单机旁路模式部署,在单机部署模式下,将零信任部署在核心交换机旁或是部署在汇聚交换机旁,无需对原有网络架构与应用进行改造。针对不同接入规模可提供HA和集群方式部署,实现系统性能的手动和自动扩容,提高医疗体系集中化网络管理能力。
Part.4
终端安全保障能力
网络隐身
图3-“网络隐身”示意图
威努特零信任实现了应用服务器的隐身,基于ZTP协议以及动态iptables的多层安全防护,采用SPA单包授权认证机制,实现“先认证后连接”,有效保护企业应用。认证服务被隐藏,非法连接默认丢弃,防止端口嗅探,基于UDP协议进行认证敲门,每一个客户端的TCP端口连接都会先经过授权验证,验证通过后才可访问,不对外暴露任何TCP端口,隐藏业务服务的IP与端口,零信任安全访问控制系统默认“拒绝一切”连接,只有LXR客户端经过敲门技术授权后,才会针对客户端开放访问通道,非授权用户和网络黑客无法看见和探测企业应用,有效减少、规避业务被攻击面。
数据传输加密
图4-数据传输加密示意图
威努特零信任支持加密隧道方式对数据传输进行保护,确保双向加密通信,用户通过安全隧道访问企业内网业务。采用高强度加密算法和临时密钥机制,一次一密,周期变更,确保数据前后向安全,支持从用户侧操作系统到目的服务器操作系统的端到端数据加密传输,数据在没有到达最终目的的节点之前不被解密,最大限度保障数据传输的安全性。采用国密算法SM2/3/4,支持国密最新标准,满足安全和合规性要求,独创的超轻量加解密技术,保障服务器所有东西向交互都被加密保护,不遗漏任何细节,杜绝“木桶效应”。
智能身份管理
图5-智能身份管理示意图
威努特零信任支持多因素智能身份认证,兼顾合规和安全,保证用户身份和设备的合法性,构建高安全级别的多因素智能身份认证,既满足安全合规性要求,又可保障用户安全、快速的认证接入。
支持本地和外部两大类认证种类下的多种身份认证方式,为数字化医疗用户认证需求提供便利,认证方式自由组合。其中多因素认证包括:“用户名密码+短信”、“用户名密码+硬件特征码”、“用户名密码+短信+硬件特征码”等方式的认证。另外,还可以与外部认证服务器对接,支持LDAP(openLDAP和AD)的认证方式。
通过LXR客户端设备绑定功能,确保用户在正确的设备上使用正确的账号登录,同时可以对账户的登录时间、登录设备及IP地址进行严格控制,以防止非法人员非法接入业务系统。
威努特零信任支持智能身份认证,可根据客户自有认证能力、接入安全性需求、威胁检测、行为检测结果,动态智能选取认证方式组合,无需人工设置认证方式。
威努特零信任可以远程强制用户下线,锁定或停用账号,有效保障企业员工认证信息在泄露、设备遗失等异常情况下的企业数据安全。
动态访问控制
图6-动态访问控制示意图
威努特零信任符合零信任安全访问模型,对用户访问内网基于以下原则,进行最小权限授权:
不自动信任网络的安全性(内网≠可信);
对任何接入系统的人和设备都进行验证;
每次访问都要进行身份验证和行为审计;
细粒度访问控制策略最小权限原则。
管理员可以根据用户的身份和具体的需求,在后台合理限制用户可以访问哪些应用。例如,只允许人事部的员工访问考勤系统,不允许访问财务系统,其越权访问会被零信任安全访问控制系统拦截。并且根据访问业务的终端的计算环境安全情况,基于信任评估和风险决策引擎的智能分析和决策能力,可实时、动态地调整访问权限,有效降低合法用户非法访问的问题,降低了业务被攻击的可能性,减少业务数据泄漏的可能性,保障了数字化医疗业务和数据的持续安全。
除了应用的维度之外,还可以对用户的访问时间,访问设备等维度进行限制,并以应用、设备、零信任安全访问控制系统和资源四个维度进行关联追踪,可视化的呈现四个维度的访问关系视图,帮助用户迅速、清晰的进行全网访问关系查询和梳理,避免权限混乱的管理问题。
安全可视化
图7-安全可视化示意图
威努特零信任所收集和分析的各种安全相关的关键数据,从多维度多层次的图表和日志两个方面提供数据安全的可视化呈现,方便运营人员进行数据安全关键信息的实时监督、处置,以及支撑数据安全事件的跟踪溯源。其中:
图表方面,可呈现用户级数据访问关系概览图、网络流量监控图、风险事件透视图等多维度视图辅助运营人员决策。用户级数据访问关系概览图可呈现的内容包括用户视角的业务访问情况、设备视角的业务访问情况、应用视角的业务访问情况、展示实时或历史访问关系、关键信息搜索查询展示等。网络流量监控图可呈现内容包括网关流量监控情况、用户流量监控情况、应用连接数监控情况、自定义筛选时间周期情况等。风险事件透视图可呈现内容包括风险事件数量情况、用户视角透视图、自动响应统计数量情况、智能策略响应情况等。
日志方面,可呈现系统运行日志、用户登录日志、访问控制日志、API安全日志等多维度日志供运营人员审查。系统运行日志可监控的信息字段包括管理员的IP地址、操作时间、操作内容、系统运行组件对应的事件/时间/内容等。用户登录日志可监控的信息字段包括日期、用户名、所属组、终端类型、设备型号、操作系统、系统版本、IP地址、物理位置、事件、备注等。访问控制日志可监控的信息字段包括日期、用户名、所属组、终端类型、来源、物理位置、目标、动作、当日次数、访问时间、内容等。API安全日志可监控的信息字段包括日期、用户名、所属组、所属应用、状态码、API路径、脱敏字段数量、API服务质量、访问时间等。
04
结 语
随着数字化转型的不断深入,医疗行业正面临着前所未有的机遇与挑战。在这一背景下,构建一个安全、可靠、高效的数字化医疗体系显得尤为重要。零信任网络安全架构,以其动态的访问控制和持续的信任评估,为信息化转型及数字化体系建设提供了一种全新的安全理念和解决方案。
在本建设方案中,主要探讨了零信任架构的实施要点,包括身份认证、访问控制、数据传输加密、身份管理和可视化等方面。通过这些措施,能够确保医疗数据的安全性,保障患者隐私,同时提高医疗服务的质量和效率,构建一个更加安全、高效的数字化医疗体系。
在未来的数字化医疗体系建设中,零信任网络安全架构将发挥关键作用。它不仅能够提供强大的安全保障,还能够促进医疗服务的创新和发展。通过持续的技术创新和实践探索,零信任架构将助力医疗行业实现更加智能化、个性化的服务,为患者带来更加安全、便捷的医疗体验。