近年來(lái)���,醫(yī)療行業(yè)數(shù)字化進(jìn)程不斷加速,極大地提升了醫(yī)療服務(wù)水平����,但隨之而來(lái)的是行業(yè)面臨的信息安全風(fēng)險(xiǎn)日益嚴(yán)重。有數(shù)據(jù)顯示�,全球范圍內(nèi)醫(yī)療行業(yè)2020年數(shù)據(jù)泄露、惡意攻擊等事件同比增加了58%����。
經(jīng)天融信安全專(zhuān)家分析發(fā)現(xiàn),導(dǎo)致醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢(shì)如此嚴(yán)峻的主要原因包括:
1����、資產(chǎn)管理機(jī)制待完善
“互聯(lián)網(wǎng)+”醫(yī)療模式的興起,要求醫(yī)療機(jī)構(gòu)針對(duì)不斷擴(kuò)大的資產(chǎn)邊界要建立更加完善的管理機(jī)制�,但目前醫(yī)療機(jī)構(gòu)在網(wǎng)絡(luò)資產(chǎn)管理方面,普遍存在資產(chǎn)識(shí)別不全面����、對(duì)患者及醫(yī)師信息的管理混亂���、認(rèn)證門(mén)檻低、防護(hù)無(wú)規(guī)劃����、人員信息安全意識(shí)薄弱的情況,增加了數(shù)據(jù)泄露的風(fēng)險(xiǎn)�����。
2����、數(shù)據(jù)管理有缺陷
“硬件有價(jià),數(shù)據(jù)無(wú)價(jià)”�����。醫(yī)療機(jī)構(gòu)系統(tǒng)中包含大量敏感數(shù)據(jù)���,一旦泄露或丟失,會(huì)給醫(yī)療行業(yè)帶來(lái)不良社會(huì)影響��,大量的患者個(gè)人信息丟失也會(huì)帶來(lái)不可預(yù)測(cè)的社會(huì)危害。但目前大部分醫(yī)療機(jī)構(gòu)都存在明文傳輸或低等級(jí)加密傳輸數(shù)據(jù)的情況���,���、HTTP等協(xié)議在傳輸過(guò)程中的普遍使用,也無(wú)法保障信息傳輸?shù)膰?yán)密性和安全性�����。
3��、威脅管控不到位
當(dāng)前眾多醫(yī)療機(jī)構(gòu)為了提升單位的網(wǎng)絡(luò)安全合規(guī)性�,采購(gòu)了大量的網(wǎng)絡(luò)安全設(shè)備。但由于缺乏良好的運(yùn)營(yíng)手段���,使得這些網(wǎng)絡(luò)安全設(shè)備都變成了“紙老虎”�,并沒(méi)有起到預(yù)期的防護(hù)作用�����。
為了協(xié)助醫(yī)療機(jī)構(gòu)解決上述問(wèn)題����,更好地應(yīng)對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)����,天融信安全服務(wù)專(zhuān)家創(chuàng)建了以安全能力成熟度為基礎(chǔ)的安全運(yùn)營(yíng)的模型�,可以提供適合不同醫(yī)療機(jī)構(gòu)能力現(xiàn)狀的安全運(yùn)營(yíng)服務(wù)方案,并將更高層次的能力水平作為遠(yuǎn)景目標(biāo)����,逐步提升其安全能力成熟度。
安全運(yùn)營(yíng)能力框架中將設(shè)備��、技術(shù)�、流程和人進(jìn)行了有機(jī)結(jié)合,旨在提升“資產(chǎn)發(fā)現(xiàn)與體系化管理能力��、脆弱性檢測(cè)與防護(hù)能力�、威脅分析與響應(yīng)能力、防御策略?xún)?yōu)化能力����、行業(yè)威脅情報(bào)能力”這五大安全運(yùn)營(yíng)能力以應(yīng)對(duì)風(fēng)險(xiǎn)。以下以國(guó)內(nèi)某三甲醫(yī)院為例�����,介紹天融信安全運(yùn)營(yíng)服務(wù)為客戶(hù)信息化安全建設(shè)工作帶來(lái)的提升�����。
基礎(chǔ)化運(yùn)營(yíng)能力方面
基礎(chǔ)運(yùn)營(yíng)能力建設(shè)的工作方式以人工為主�����、工具為輔���,幫助醫(yī)療機(jī)構(gòu)初步建立安全運(yùn)營(yíng)機(jī)制互聯(lián)網(wǎng)醫(yī)院運(yùn)營(yíng)計(jì)劃�,并同步規(guī)范基本的網(wǎng)絡(luò)安全管理流程���,為運(yùn)營(yíng)工作的開(kāi)展提供依據(jù)及支撐����。
成果:
1�����、天融信通過(guò)周期性互聯(lián)網(wǎng)暴露面檢測(cè)�,建立信息資產(chǎn)的各流程安全管理制度,幫助該醫(yī)療機(jī)構(gòu)實(shí)現(xiàn)了資產(chǎn)的技術(shù)性排查及管理規(guī)范建設(shè)�����;
2、天融信安全運(yùn)營(yíng)專(zhuān)家結(jié)合該醫(yī)療機(jī)構(gòu)自身情況�����,完善其滲透測(cè)試���、漏洞掃描����、基線(xiàn)核查等方面的周期性����、常態(tài)化實(shí)施方案,通過(guò)安全評(píng)估結(jié)果為后續(xù)安全運(yùn)營(yíng)提供技術(shù)支撐依據(jù)����;
3、該醫(yī)療機(jī)構(gòu)在安全運(yùn)營(yíng)體系引入之初��,已有較為完備的應(yīng)急響應(yīng)預(yù)案及組織架構(gòu)�����,但對(duì)于威脅的分析研判能力不足。天融信有針對(duì)性地解決了在基礎(chǔ)化運(yùn)營(yíng)階段�����,安全分析梯隊(duì)與安全管理平臺(tái)適配及能力提升問(wèn)題���;
4、為更加貼合醫(yī)療機(jī)構(gòu)業(yè)務(wù)特點(diǎn)���,將人工分析的結(jié)果轉(zhuǎn)化為“自動(dòng)化處置能力”��,天融信安全專(zhuān)家通過(guò)日常的安全事件監(jiān)控機(jī)制和分析研判的結(jié)果�,建立了安全檢測(cè)策略和安全防護(hù)模型��;
5����、該醫(yī)療機(jī)構(gòu)以往對(duì)威脅情報(bào)的利用僅限于事后溯源,安全專(zhuān)家為其建設(shè)了開(kāi)源威脅情報(bào)平臺(tái)��,并對(duì)開(kāi)源情報(bào)���、安全通告����、內(nèi)部情報(bào)進(jìn)行科學(xué)監(jiān)控,使安全關(guān)卡前移��,讓威脅情報(bào)發(fā)揮了防患于未然的價(jià)值���。
流程化運(yùn)營(yíng)能力方面
