1、医院信息安全建设与管理医院信息安全建设与管理北京协和医院北京协和医院 提纲提纲国内外医院安全形势现状分国内外医院安全形势现状分析析医院信息安全工作推进建议医院信息安全工作推进建议协和信息安全措施举例与体协和信息安全措施举例与体会会明星婚况明星婚况2018年年8月,某影星在北京月,某影星在北京 某医院手术住院,个人信息被某医院手术住院,个人信息被 截屏发布到了社交媒体。截屏发布到了社交媒体。中华人民共和国侵权责任法 第七章第62条规定:医疗机构及 其医务人员应当对患者的隐私保 密。泄露患者隐私或者未经患者 同意公开其病历资料,造成患者 损害的,应当承担侵权责任。胎毛笔、百日照、奶粉、胎毛笔、百日
2、照、奶粉、患者医院检查单当废纸患者医院检查单当废纸卖卖http:/ 的名字,发现在一家视频网站上,有一的名字,发现在一家视频网站上,有一 条名为条名为“苏锦之子苏锦之子-视频在线观看视频在线观看”信信 息,点开后,是一段息,点开后,是一段15秒的视频。在秒的视频。在视视 频中,不仅能看到自己的儿子,贴频中,不仅能看到自己的儿子,贴在保在保 育箱上的个人信息也清晰可见。育箱上的个人信息也清晰可见。“姓名姓名”、“年龄年龄”、“诊断病情诊断病情”、“入院日期入院日期”等信息一览无余等信息一览无余从从2014年起,安徽某医院新生儿科安年起,安徽某医院新生儿科安 装了远程网络视频探视服务,在家也能装了
3、远程网络视频探视服务,在家也能 看到孩子。但是要输入预留的住院号和看到孩子。但是要输入预留的住院号和 密码,确保只能自己看。密码,确保只能自己看。系统数据被盗泄露隐私系统数据被盗泄露隐私信息系统攻击相关信息系统攻击相关商业统方商业统方http:/www.y- 二百八十五条规定,非法获取计算机 信息系统数据、非法控制计算机信息 系统罪,是指违反国家规定,侵入国 家事务、国防建设、尖端科学技术领 域以外的计算机信息系统或者采用其计算机信息系统或者采用其 他技术手段,获取该计算机信息系统他技术手段,获取该计算机信息系统 中存储、处理或者传输的数据中存储、处理或者传输的数据,情节 严重的行为。国际医疗
4、信息安全形势国际医疗信息安全形势数据来源:赛门数据来源:赛门铁铁克克2016年年互互联联网网安安全全威威胁胁报报告告阿德莱德乌鸦队澳式足球教练阿德莱德乌鸦队澳式足球教练谋谋杀杀案案-医务人员被解雇医务人员被解雇信息系统使用相关信息系统使用相关Direct access to patient information shall only be permitted to those employees who have a“need to know”to perform their job functions医务人员故意侵犯隐私医务人员故意侵犯隐私休斯敦休斯敦MD安德森癌症中心被安德森癌症中心被
5、罚罚430万美元,病人健康记录万美元,病人健康记录 或受损。或受损。这起案件源于2012年和2013年间发生的三起事故,当时一名员工的笔记本电脑笔记本电脑 在家中被盗,另外还有两个在家中被盗,另外还有两个 未加密的未加密的U盘丢失。盘丢失。MD安德森被罚安德森被罚430万美万美元元“Wall of Shame”https:/ Data Breaches of 500 or More Recordshttps:/ of Shame”WannaCry一周年:一周年:医疗行业或成重点攻击对医疗行业或成重点攻击对象象2018年年2月月23日,湖北某医院遭勒索病毒入侵日,湖北某医院遭勒索病毒入侵2018
6、年年2月月24日,湖南某医院遭勒索病毒攻击,服务器文件被加密;日,湖南某医院遭勒索病毒攻击,服务器文件被加密;2018年年2月月24日,上海某公立医院被黑,黑客勒索日,上海某公立医院被黑,黑客勒索2亿以太币;亿以太币;2018年年4月,杭州某医院受到勒索病毒攻击月,杭州某医院受到勒索病毒攻击2017年年5月,月,“永恒之蓝永恒之蓝”勒索软件对成都市传染病医院等造成影响;勒索软件对成都市传染病医院等造成影响;2017年年7月月,GlobeImposter勒索病毒再度攻击医院勒索病毒再度攻击医院http:/ https:/ http:/ http:/ JackATM心脏起搏器心脏起搏器胰岛素注射泵
7、胰岛素注射泵Top 10 Health Technology Hazards for 2018(The Emergency Care Research Institute)Hospira Symbiq美防长访华异常举美防长访华异常举动动伊朗核电站伊朗核电站-震网病震网病毒毒伊朗核电站是一个伊朗核电站是一个物理隔离的网络物理隔离的网络,因此攻击者首先获,因此攻击者首先获 得得了一些了一些核电站工作人员和其家庭成员的信息核电站工作人员和其家庭成员的信息,针对这些家,针对这些家 庭庭成员的主机发起了攻击,成功成员的主机发起了攻击,成功控制控制了这些了这些家庭家庭用的用的主机主机,然然后利用后利用4个
8、个WINDOWS的的0DAY漏洞,可以漏洞,可以感染所有接入感染所有接入的的USB移动介质移动介质以及通过以及通过USB移动介质可以攻击接入的主机。移动介质可以攻击接入的主机。终于靠这种终于靠这种摆渡攻击摆渡攻击渗透进了防护森严物理隔离的伊朗核电渗透进了防护森严物理隔离的伊朗核电 站内部网络,最后再利用了站内部网络,最后再利用了3个西门子的个西门子的0DAY漏洞,成功控漏洞,成功控 制了制了控制离心机的控制系统控制离心机的控制系统,修改了离心机参数,让其,修改了离心机参数,让其发电发电 正常但生产不出制造核武器的物质正常但生产不出制造核武器的物质,但在,但在人工检测显示端显人工检测显示端显 示
9、一切正常示一切正常。成功的将伊朗制造核武器的进程拖后了几年。成功的将伊朗制造核武器的进程拖后了几年。https:/ 勒索病毒从偶发到频发、从无勒索病毒从偶发到频发、从无意意 到有意、从无害到有害到有意、从无害到有害 信息安全(信息安全(Security)已有影响)已有影响 到患者安全到患者安全(Safety)的苗头的苗头 个别大数据公司已出现数据泄个别大数据公司已出现数据泄露露 而被停业追责的现象而被停业追责的现象漏洞产业化漏洞产业化攻击复杂化攻击复杂化重保常态化重保常态化安全法制化安全法制化应急小时化应急小时化军火民用化军火民用化网络安全形势网络安全形势企业安全发展常见历企业安全发展常见历程
10、程不关注安全不关注安全自以为安全自以为安全体系化建设体系化建设整体安全整体安全尝试新技术尝试新技术出现安全事件出现安全事件 也不关心也不关心部署了大量的部署了大量的 安全设备,感安全设备,感 觉良好觉良好拥有了自己的拥有了自己的 安全团队,开安全团队,开 始体系化安全始体系化安全 建设建设整体业务安全整体业务安全 性都得到了满性都得到了满 足足开始尝试前沿开始尝试前沿 和创新的技术和创新的技术提纲提纲国内外医院安全形势现状分国内外医院安全形势现状分析析医院信息安全工作推进建议医院信息安全工作推进建议协和信息安全措施举例与体协和信息安全措施举例与体会会 边界防护边界防护 导入导出导入导出 数据加
11、密数据加密 数据完整数据完整 攻击可见攻击可见 攻击可挡攻击可挡 行为审计行为审计“进不来进不来”“拿不走拿不走”“看不懂看不懂”“改不了改不了”“看得见看得见”“挡得住挡得住”“走不脱走不脱”信息安全建设与管理的目信息安全建设与管理的目标标医院信息安全工作推进建医院信息安全工作推进建议议对标法律法规要求对标法律法规要求制定信息安全规划制定信息安全规划 组建信息安全团队组建信息安全团队 聚焦高危信息场景聚焦高危信息场景 完成每年等保测评完成每年等保测评 开展定期渗透测试开展定期渗透测试 安全事件应急响应安全事件应急响应 重大活动安全保障重大活动安全保障 加强信息安全教育加强信息安全教育网络信息
12、安全相关法律法网络信息安全相关法律法规规名称名称立法机关立法机关生效时间生效时间状态状态国家安全法全国人大常委会2015/7/1现行有效网络安全法网络安全法全国人大常委会全国人大常委会2017/6/1现行有效现行有效全国人民代表大会常务委员会关于 加强网络信息保护的决定全国人大常委会2012/12/28现行有效国家网络空间安全战略国家互联网信息办公室2016/12/27现行有效网络空间国际合作战略外交部和国家互联网信息办公室2017/3/1现行有效网络安全等级保护条例(征求意见稿)公安部等部门2018/6/27制定中信息安全技术信息安全技术 网络安全等级保护基网络安全等级保护基 本要求(征求意
13、见稿)等本要求(征求意见稿)等全国信息安全标准化技术委员会全国信息安全标准化技术委员会N/A制定中制定中等保等保2.0网络安全法处罚案例摘网络安全法处罚案例摘录录被处罚单位被处罚单位执法机构执法机构处罚行为处罚行为处罚措施处罚措施腾讯微信、新浪微博、百度 贴吧北京市、广东 省网信办未加强对用户发布的信息的管理,网站中存在法律、行政法规禁止发布或者传输的信息。调查中BOSS直聘北京市网信办、天津市网信 办为未提供真实身份信息的用户提供信息发布服务;未采取有效措施对用户发布传输的信息进行严格管 理,导致违法违规信息扩散。责令改正汕头市某信息 科技有限公司广东汕头网警 支队2015年11月向公安机关
14、报备的信息系统安全等级为第三级,经测评合格后投入使用,但2016年至今未按 规定定期开展等级测评。警告并责令其改正重庆一网络公司重庆公安局网安总队未依法留存用户登录相关网络日志警告并责令其改正宜 宾 市 翠 屏 区 “教师发展平 台”网站宜宾网安部门终未进行网络安全等级保护的定级备案、等级测评 等工作,未落实网络安全等级保护制度,未履行网 络安全保护义务。导致网站被黑客入侵对直接负责的主管 人员罚款5千,机 构罚款1万元山西忻州市某省直事业单位 网站山西忻州市、县两级公安机 关网安部门存在SQL注入漏洞,严重威胁网站信息安全,连续 被国家网络与信息安全信息通报中心通报。警告并责令其改正方正县农
15、业技术 推广中心哈尔滨市网安大 队自开通以来长期无人维护,安全防护工作落实不到位,未按照网络安全等级保护制度的要求落实网络安全主体 责任,存在高危安全漏洞并被黑客攻击入侵,造成严重 后果。责令整改并罚款2万 元网络信息安全规网络信息安全规划划技术技术物理安物理安 全全网络安网络安 全全主机安主机安 全全应用安应用安 全全数据安数据安 全全信息安全体系建信息安全体系建设设管理管理安全管安全管 理制度理制度安全管安全管 理机构理机构人员安人员安 全管理全管理系统建系统建 设管理设管理系统运系统运 维管理维管理入侵思路出发入侵思路出发 商业统方商业统方 隐私泄露隐私泄露 号源外流号源外流 门户篡改门
16、户篡改 勒索加密勒索加密 DDOS 广告植入广告植入/恶意链接恶意链接 盗用资源(挖矿)盗用资源(挖矿)介质丢失介质丢失 聚焦高危信息场聚焦高危信息场景景组建信息安全团组建信息安全团队队信息安全团队信息安全团队信息安全人员信息安全人员 信息安全岗位信息安全岗位提纲提纲国内外医院安全形势现状分国内外医院安全形势现状分析析医院信息安全工作推进建议医院信息安全工作推进建议协和信息安全措施举例与体协和信息安全措施举例与体会会年年月月日,门 诊 某 教 授 发 现 患 者 列日,门 诊 某 教 授 发 现 患 者 列表 多表 多 出出10多个多个 诊间加号,疑黑客入侵,反馈至信息诊间加号,疑黑客入侵,反
17、馈至信息处。处。信息处接到反馈后,十分重视,经追查及保卫信息处接到反馈后,十分重视,经追查及保卫处处协助协助调调 阅视频,最终明确非本院职工在利用医生账号阅视频,最终明确非本院职工在利用医生账号和和密密码进码进 行了诊间加号。行了诊间加号。安全事件安全事件密码怎么丢的呢?密码怎么丢的呢?(安全隐患(安全隐患1)诊室诊室默认密码未修改(数年前)默认密码未修改(数年前)存在严重安全隐患!存在严重安全隐患!密码怎么丢的呢?密码怎么丢的呢?(安全隐患(安全隐患2)方便方便&安全安全密码怎么丢的呢?密码怎么丢的呢?(安全隐患(安全隐患3)绝大多数人有两个不好的习惯:绝大多数人有两个不好的习惯:昵称在所有
18、网站都一样昵称在所有网站都一样所有网站密码都一样所有网站密码都一样撞库撞库1.网络信息安全组织架网络信息安全组织架构构 成立医院网络安全与信息化建设领导小组成立医院网络安全与信息化建设领导小组 成立医院网络信息安全工作小组,每科成立医院网络信息安全工作小组,每科/处处 室指派一名网络信息安全员,代表和协室指派一名网络信息安全员,代表和协助助 本部门第一负责人,负责本科室网络信本部门第一负责人,负责本科室网络信息息 安全相关的工作安全相关的工作2.建章立制建章立制 北京协和医院网络信息安全管理办法北京协和医院网络信息安全管理办法(试行)(试行)北京协和医院网络信息安全注意事项北京协和医院网络信息
19、安全注意事项(试行)(试行)北京协和医院网络信息安全考核标准北京协和医院网络信息安全考核标准(试行)(试行)三同步三同步同步规划同步规划:立项前:立项前参照等保标准进行安全方案讨论方案讨论,明确保护对象、保 护层级、保护措施;同步建设同步建设:上线前:上线前按信息系统上线安全检查表信息系统上线安全检查表进行符合性评测符合性评测,设 置8项强制符合项(数据备份、主机防火墙、网络端口白名单、统一域 认证、堡垒机、防病毒、设计方案、实施计划)。同步运行同步运行:日常运行中:日常运行中常态化安全监督检查监督检查3.应用举例:企业应用商应用举例:企业应用商店店最小暴露原则最小暴露原则4.渗透测试渗透测试
20、开展渗透测试与数据包分析,攻防演练,渗透测试与整改。开展渗透测试与数据包分析,攻防演练,渗透测试与整改。5.安全等保定期评安全等保定期评审审门诊住院信息系统(等保三级)门诊住院信息系统(等保三级)医院核心信息系统。医院核心信息系统。2015年度开始每年测评。年度开始每年测评。患者手机患者手机APP系统(等保三级)系统(等保三级)北京地区首批通过测评备案的医院手机北京地区首批通过测评备案的医院手机APP系统。系统。2017年年7月备案月备案,2018年年2月通过三级等保测评。月通过三级等保测评。6.应急与重保应急与重保 应急安全事件发生时,多方获取信息,关注事态发展,部署有应急安全事件发生时,多
21、方获取信息,关注事态发展,部署有针针 对性的技术防范手段,结合国家卫计委网络与信息安全事对性的技术防范手段,结合国家卫计委网络与信息安全事件应件应 急预案,做好本单位应对工作。急预案,做好本单位应对工作。针对重大任务保障,提前进行自查和整改工作,进行宣教与动针对重大任务保障,提前进行自查和整改工作,进行宣教与动员员,保障期间执行,保障期间执行“封网封网”策略。策略。春节及春节及“两会两会”重大任务保障时间重大任务保障时间表表7.安全培训与学安全培训与学习习网络信息安全工作小组第一次会议暨网络信息安全工作小组第一次会议暨信信 息安全讲座息安全讲座中华人民共和国网络安全法解中华人民共和国网络安全法
22、解读读医院互联网网站渗透测试结果反医院互联网网站渗透测试结果反馈馈多场网络安全主题明日信息沙龙技多场网络安全主题明日信息沙龙技术术 讨论讨论1)不使用默认密码不使用默认密码2)不使用弱口令(简单数字、生日、姓名等)不使用弱口令(简单数字、生日、姓名等)3)工作账户和生活账户使用不同密码工作账户和生活账户使用不同密码4)尽量不要将手机号设置成登录的账号尽量不要将手机号设置成登录的账号5)不使用没有密码的免费不使用没有密码的免费WIFI(因小失大)因小失大)6)支付、转账等核心操作最好使用自己的支付、转账等核心操作最好使用自己的4G流量流量包包7)设置手机开机密码设置手机开机密码8)手机下载手机下
23、载App尽量到官方尽量到官方App Store/应用商店应用商店信息安全提示信息安全提示16)信息安全意识重要性大于技信息安全意识重要性大于技术术信息安全提示(续)信息安全提示(续)9)电脑上安装杀毒软件或安全防护软件电脑上安装杀毒软件或安全防护软件10)不点击来历不明的文件或链接不点击来历不明的文件或链接(QQ、微信、邮件等)、微信、邮件等)11)系统突然变慢注意查杀病毒(避免成为肉鸡)系统突然变慢注意查杀病毒(避免成为肉鸡)12)确认已经中毒时先拔除网线再做下一步处理确认已经中毒时先拔除网线再做下一步处理13)工作文件尽量使用院内邮箱工作文件尽量使用院内邮箱14)患者隐私信息不发朋友圈患者
24、隐私信息不发朋友圈15)科研合作数据原则上不出医院,出则脱敏科研合作数据原则上不出医院,出则脱敏,像像注注删删重重除除个个隐隐人人私私银银行卡密码一样行卡密码一样 重视院内个人重视院内个人 帐户和口令帐户和口令8.当前医院安全建设的挑当前医院安全建设的挑战战信息资信息资 产管理产管理特殊设特殊设 备备BYOD医疗设医疗设 备备非加密非加密 传输传输HIT服务服务 商商低配机低配机物联网物联网社会工社会工 程学程学9.网络安全最大的隐患是什么?网络安全最大的隐患是什么?社会工程学:一种通过对受害者心理弱点、本社会工程学:一种通过对受害者心理弱点、本能能 反应、好奇心、信任、贪婪等心理陷阱进行反应
25、、好奇心、信任、贪婪等心理陷阱进行诸如诸如 欺骗、伤害等危害手段取得自身利益的手欺骗、伤害等危害手段取得自身利益的手法。法。社工大师都是心理大社工大师都是心理大师师社会工程学利用的漏社会工程学利用的漏洞洞人性的弱点人性的弱点(Robert B.Cialdini)信任权威信任权威信任共同爱好信任共同爱好获得好处后报答获得好处后报答期望守信期望守信期望社会认可期望社会认可短缺资源的渴望短缺资源的渴望49关于网络信息安全的一些说关于网络信息安全的一些说法法 网络信息安全是信息化建设的地基工程,做得网络信息安全是信息化建设的地基工程,做得好好不显,不显,做不好遭殃做不好遭殃 安全不看您做了什么,关键看
26、没做什么安全不看您做了什么,关键看没做什么 安全工作要平衡,投入产出要平衡,安全方便安全工作要平衡,投入产出要平衡,安全方便要要平衡平衡 安全是安全是1,其他是其他是0 人人都是安全员人人都是安全员未来的几年如果安全不做重点,其他重点都将成未来的几年如果安全不做重点,其他重点都将成 为痛点!为痛点!“Culture is often more powerful than law”Glenn Harlan Reynolds展望展望“网络安全的本质在对抗对抗,对抗的本质在攻防两端能力较量。”“网络空间的竞争,归根结底是人才人才竞争。”“网络安全是动态动态的而不是静态的。信息技术变化越来越快,过去分散独立 的网络变得高度关联、相互依赖,网络安全的威胁来源和攻击手段不断变化,那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜,需要 树立动态、综合的防护理念。树立动态、综合的防护理念。”-2016年4月19日习近平在网络安全和信息化工作座谈会上的讲话欢迎大家多提宝贵意见!欢迎大家多提宝贵意见!Thank You!信息永远在路信息永远在路上上 信息安全刚信息安全刚上路上路