医疗器械网络的安全隐患越发严峻,这堵防火墙将如何筑造?

动脉网
关注

在容灾备份上,广州市妇女儿童医疗中心做到了高于卫健委标准:“我院在对容灾备份的建设中,特别重视高可用性对医院业务连续性的保障,从网络层、主机层、存储层等多个层次设计双活冗余架构,能实现整套信息系统平台无单点故障。

同时,建立同城的异地容灾中心,异地容灾中心实现准实时的数据同步,在极端情况下,能实现RTO≦15 分钟, RPO≈0,也高于卫健委的标准和要求。”曹晓均说道。

初创公司利用AI、区块链等技术进入赛道

正如前文所言,医疗器械的网络安全问题不是能够凭借一个主体就能保证,第三方公司的介入能够帮助医院更好地应对网络攻击,目前也有一些创业公司进入这个赛道。

在国外,从事医疗健康行业网络安全的创业公司超过120家,动脉网此前进行过盘点,动脉网发现其中致力于医疗设备的初创公司有9家,他们分别用AI、区块链等不同的技术帮助医院应对网络攻击。

医疗器械网络的安全隐患越发严峻,这堵防火墙将如何筑造?

在HIMSS19大会上,前美国首席信息安全官Greg Touhill,为医疗组织如何应对网络安全提供了一些建议,动脉网摘编了其中部分为大家提供参考:

1、采取零信任策略。“我认为我们所做的很多事情都被认为是信任,但这是非常错误的。”

2、户名和密码在1979年被认为是最先进的,但是现在应该重新考虑访问控制;

3、金融和政府等其他行业正在使用多因素身份验证来帮助个人更好地保护其信息,医疗保健行业应该比他们更加强调这些功能;

4、TCP / IP是一个薄弱的安全基础:传输控制协议/互联网协议,用于管理计算机系统与互联网的连接,在20世纪70年代后期也是最先进的,Touhill说。但它并不是一个强大的安全基础;

5、利用自动化来检测和阻止欺诈:有许多工具可用于欺诈检测,但Touhill表示最好的工具来自金融部门。医疗保健从业者应该找到金融部门的解决方案并将其带到医疗保健领域;

6、小心飞入云中:Touhill还说道了涉及与云计算相关的安全性。在与云提供商合作时,他建议组织访问日志,保留渗透测试权并保留引入独立第三方审核员的权利;

7、人工智能可能是一个黑客垂涎的入口:由于人工智能大热,很多组织投资于此类技术。但是请记住,使用人工智能会使您的组织成为网络犯罪分子的目标;

同样,曹晓均也给国内医院一些网络安全建设的建议:

1、建立医院信息安全管理组织机构,明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责,建立健全信息安全管理责任制,使得信息安全各项职责落实到人;

2、对医院信息安全管理体系进行定期地内审和管理评审,对各项安全控制措施实施后的有效性进行测量,并实施相应的纠正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效性。对医院信息系统中所存在的安全风险进行有计划的评估和管理;

3、医院业务信息系统分等级保护。按照国家等级保护有关要求,对医院信息系统及信息确定安全等级,并根据不同的安全等级实施分等级保护;

4、规范医院信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理;

5、保障机房物理与环境安全。实施包括门禁、视频监控、报警等安全防范措施,确保机房物理安全。部署机房专用空调、UPS等环境保障设施,对机房设施运转情况进行定期巡检和维护。严格对机房人员和设备的出入管理, 进出需登记,外来人员需由相关管理人员陪同方能访问机房;

6、加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署的服务协议中,对信息系统安全加以要求。通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问业务信息系统的管理,防止外部方危害信息系统安全;

7、在医院网络中统一部署网络防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对业务信息系统的影响。通过强化恶意代码防范的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意代码检测等,提高业务信息系统对恶意代码的防范能力;

8、对重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试验证,保证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复;

9、采用技术和管理两方面的控制措施,加强对网络的安全控制,不断提高网络的安全性和稳定性。医院办公网络与互联网进行逻辑隔离。通过实施网络访问控制等技术防范措施,对接入进行严格审批,加强使用安全管理,加强对网络使用的安全培训和教育,确保网络信息的安全;

10、按照“仅知”原则,通过功能和技术配置,对重要信息系统、数据等实施访问控制。进一步推广数字证书的使用,以及安全的授权管理制度,并落实授权责任人。对系统特殊权限和系统实用工具的使用进行严格的审批和监管;

11、进一步重视软件开发安全。在医院各业务信息系统立项和审批过程中,同步考虑信息安全需求和目标。应保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。属于外包软件开发的,应与服务提供商签署保密协议。系统开发完成后,应要求通过第三方安全机构对软件安全性的测评;

12、在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理,保障密码技术使用的安全性;

13、重视对IT服务连续性的管理,建立对各类信息安全事件的预防、预警、响应、处置、恢复机制,编写针对业务外网等重要系统的应急预案,并定期进行测试和演练,在信息系统发生故障或事故时,能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件或意外灾害给医院业务信息系统所带来的影响;

14、对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新,并对医院信息安全管理现状与法律法规的符合性进行检查,确保各项信息安全工作符合国家信息安全相关法律法规要求。

声明: 本文系OFweek根据授权转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。
侵权投诉

下载OFweek,一手掌握高科技全行业资讯

还不是OFweek会员,马上注册
打开app,查看更多精彩资讯 >
  • 长按识别二维码
  • 进入OFweek阅读全文
长按图片进行保存