近期,央视《新闻直播间》用7分28秒的报道时长,揭开温州警方日前破获的一起“黑客”窃取医院“统方”数据大案的神秘面纱。几个月前,温州警方接到市区一家医院报案称,该医院内部数据库遭遇“黑客”非法侵入。 警方通过侦查发现犯罪嫌疑人趁着中午医生停诊休息的间隙,偷偷溜进了医院四楼的一间诊室里,通过非法手段盗取医院服务器上的“统方”数据,采用U盘拷贝出去,非法获利数百万元。
综观整个数据窃取过程,对医疗行业网络安全现状研究分析,易引起数据外泄渠道如下:
1.终端安全缺乏有效管理,终端主机空口令、弱口令等问题,容易造成非法入侵引起数据泄露;
2.存储介质缺乏使用管理,U盘或移动硬盘随意接入极易造成黑客入侵,引发内部信息泄露、病毒木马传播感染等严重安全事件。
3.终端设备非法接入,外来非法设备、不合规终端接入容易造成信息资源违规占用、病毒木马泛滥、信息泄露、越权访问等一系列安全问题。
4.缺乏内部电脑对敏感数据的访问,通过应用访问、打印、刻录、移动介质等方式越权访问、盗取数据等造成医疗行业敏感信息泄露、侵犯公民隐私的现象时有发生。
从本次安全事件可以看出,由于利益驱使,非法窃取医疗行业数据方式层出不穷,单纯依靠杀毒软件、防火墙等传统安全防护设备类的被动防御手段,不能完全避免安全事件的发生,一定要加强日常的网络安全管理,综合采用终端管理、准入控制、移动介质管控、数据使用管控等多种措施,“防治结合,强身健体”,堵住黑客入侵的源头,才能保障网络安全,并减少数据泄露安全事件发生失。
针对此次医院遭受“统方”数据被窃取的情况,远望信息结合多年信息安全管理经验和医疗行业信息系统特性,提出针对医疗行业数据安全管控解决方案。
1)建设设备准入控制。随着云计算、物联网、移动互联网等新技术的出现,设备类型以及接入网络方式呈多样化、便捷化发展,未授权的笔记本、BYOD、网络设备及各种各样的IOT设备都有可能威胁整个网络的安全。应建立设备准入控制机制,防止外来设备随意接入医疗专网,并防止未达到安全基线要求的设备接入专网,对新入网的设备进行注册审核,并进行安全检查,只有通过认证的设备才允许接入,只有合法的应用才允许在网络中传输,才能守住专网入口,防范外来风险。
2)建设终端安全管控。针对终端主机的攻击越来越多,如WanaCrypt0r勒索软件、挖矿病毒、未知威胁、终端空口令、弱口令等,从攻击者的角度来看,终端可以被定义为网络罪犯和网络间谍用来侵入内部的最具吸引力,最柔软脆弱的目标。应建立终端安全管控,对终端进行统一安全管理,修补安全漏洞、防护病毒木马传播、防护黑客攻击,实现终端资产管理、终端用户行为规范、终端监测预警等安全加固,从而消除终端安全风险,保证内部数据安全。
3)建立移动介质管控。外部移动介质随意接入、内外网间交叉混用移动存储介质,极易引发内部信息泄露、病毒木马传播感染等严重安全事件。建立移动介质管控,提供对移动存储介质统一管理、统一认证、监控和审计功能,实现移动存储介质的注册制、实名制,对未注册移动介质接入行为进行阻断,对违规使用移动存储介质、违规信息泄密行为进行预警,协助网络安全管理人员加强移动存储介质和信息安全保密管理。
4)建立数据使用管控。医疗行业信息化快速发展的同时,信息资源种类和数据激增,信息集中度和敏感度明显增加,通过应用访问、打印、刻录、移动介质等方式越权访问、盗取数据等造成医疗行业敏感信息泄露、侵犯公民隐私的现象时有发生。
建立数据使用管控,通过对用户终端行为、应用系统访问行为、数据库访问行为、打印行为、刻录行为、移动介质使用行为、屏幕截屏行为等操作进行完整记录,实现对数据使用行为360度无死角的全方位监控审计。提供了防范敏感信息泄漏、保护数据安全的有效途径,真正实现可跟踪、可倒查、可预警、可管控。