方舱医院
建设背景
目前我国新冠肺炎疫情仍然处于多点高发阶段。在疫情防控的实践中,我国不断探索出科学、合理的救治方案。国家卫健委在今年3月15日下发的《新型冠状病毒肺炎诊疗方案(试行第九版)》,对轻型病例实行了集中隔离的管理要求。
目前我国多地采取了方舱医院的方式,收治轻型患者。国家卫健委要求,每个省至少要有两到三家方舱医院。据统计,截至4月25日,全国已建成和正在建设的方舱医院近400家,床位总数约56万余张。
方舱医院是以医疗方舱为载体,医疗与医技保障功能综合集成的可快速部署的成套移动医疗平台,具有紧急救治、外科处置、临床检验等多方面功能。由于机动性良好、部署快速、环境适应性强等诸多优点,能够适应突发的应急医学救援任务,在公共卫生疫情应急救治保障中发挥着重要作用。
● ● ● ● ● ● ●
方舱医院建设特点
方舱医院建设的主导单位主要是卫健委,可依托当地医院进行建设。其建设特点之一是建设资金审批流程简化,走财政绿色通道,不用公开招标;特点之二是建设周期短、实施快、时效性高,相应地,需要建设单位具有快速的安全实施能力、丰富的安全实施经验以及对业务深刻的安全理解能力。
方舱医院安全要求
国家卫生健康委办公厅于2020年2月3日下发的《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》中明确指出,要充分利用信息化对疫情防控的支撑作用,更要加强基础和安全保障。“以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,畅通信息收集发布渠道,保障数据规范使用,切实保护个人隐私安全,防范网络安全突发事件,为疫情防控工作提供可靠支撑。”
方舱医院安全风险
主要从传统网络安全和实际业务层面两个方面考虑。
在传统网络安全层面,由于互联网区、专线区、内部各区域缺乏隔离导致的非授权访问、设备仿冒,以及传统的病毒攻击传播、漏洞利用等安全威胁,可引起业务不可用、稳定性下降、数据泄露等风险。
在实际业务层面,方舱医院主要面临医疗健康数据存储和传输安全、医护人员及患者网络访问涉及的无线安全、电子病历和影像数据流转过程中夹带的医疗协议攻击等问题。
东软NetEye方舱医院安全解决方案及亮点
按照分区分域原则,基于业务类型将方舱医院网络划分为若干安全域,示意图如下所示。
在方舱医院外联区域边界出口部署东软NetEye下一代防火墙,在进行基本的网络隔离防护的基础上,可对来自互联网和第三方机构的流量进行病毒过滤,有效防范已知和未知病毒,如勒索病毒、挖矿木马等,还可有效防范入侵攻击。
同时,通过部署不同的安全产品,起到业务防护的作用,以下列出部分示例:
数据是方舱医院最重要的信息资产,数据防护是安全工作的核心,可组合相应的数据安全产品。部署东软NetEye数据库审计系统,防止对数据的非法获取和篡改,进而保证数据的完整性和保密性;部署东软NetEye数据库脱敏系统和东软NetEye数据库加密系统,对敏感信息进行打码遮蔽和加密处理,避免敏感信息泄露和个人隐私暴露;部署东软NetEye数据水印系统,对涉及被采集者相关信息的批量导出文件进行水印标记,通过高效水印恢复与检测等能力,在敏感数据外泄时能够快速追踪与溯源。
为了减少人员进出感染风险,移动医护平板和PDA等尽可能采用 WLAN 进行无线覆盖。在每个无线AP后面部署一台东软NetEye无线安全网关,可对移动用户访问行为进行管控和安全检查,同时将医护人员网络和患者网络进行隔离,避免患者越权访问医护网络,非法查看或获取敏感医疗健康信息或其他患者信息。还可利用东软移动终端管理系统(EMM)对医护PDA、平板等移动终端执行接入认证、行为管控、集中管理等,防止非授权仿冒移动终端接入方舱医院系统,进行非法访问和破坏操作。
部署东软NetEye入侵检测系统,通过针对DICOM和HL7协议的流量检测,可及时发现电子病历流转等诊疗行为中的异常,如HL7 C-CDA 医疗信息泄露等高危漏洞,第一时间报警,必要时可联动东软NetEye下一代防火墙对异常行为进行阻断,从而保障各项业务的开展。
东软NetEye方舱医院安全防护价值
体系化的安全防护:基于方舱医院的业务特点,构建纵深安全防护体系,覆盖网络安全、主机安全、数据安全等各个层面,对安全态势进行整体掌控,提供一体化安全防护。
业务化的安全防护:基于方舱医院场景下的业务流转范围、通信协议、交互内容等,有效解决医疗健康数据安全、无线安全、医疗协议漏洞攻击等实际业务问题。