灾害脆弱性信息安全建构策略研究
从危机管理层面考量,信息安全应与医疗安全同样重视。无论是黑客攻击窃取资料、网络病毒导致系统瘫痪、数据损毁等都会对医院带来重大的经济损失和负社会效应。如何保障信息“五性”、建构鲁棒性安全体系,要求信息管理者必须以灾害脆弱性分析为基础,应用根因法、蜘蛛法展开论证与处理。灾害脆弱性分析(hazardvulnerabilityanalysis,hva)是2011版三级医院评审所要求的核心条款内容。根因法(rootcauseanalysis,rca)是以问题为导向进行追溯原因的管理方法。蜘蛛法亦称蜘蛛织网法(spiderweaving-webmethodology,swm)是观察蜘蛛织网的生物学过程而触发的管理思维方法;蜘蛛结网,目标明确,为达完美,无有始尽。应用根因法找出问题本质,采用蜘蛛法提出解决方案,二者相互配合,结合建构主义内涵,为医院提供一个基于信息安全鲁棒性并可持续发展策略。
1信息安全面临的挑战不亚于医疗安全
信息安全使用必须保证保密、完整、可用、可控和不可否认性,无论是攻击窃取资料,网络病毒导致系统瘫痪,数据损毁等都会对医院带来重大的经济损失和负社会效应。互联网体系结构的开放性、网络基础设施和通信协议的缺陷、恶意软件、操作系统漏洞、内部安全以及社会工程学等难预见性与频发性事故让安全工作防不胜防。其与医疗安全防范有着本质区别,应用危机管理理论从发生概率、易损范围、预见性、防控难度、损失内容等展开分析,可见信息安全事故发生概率与防控难度、损害范围、预见性以及领导重视程度成反比(见表1)。因信息宿主物理位置相对稳定(裸露性高)更是成为主动损害的目标,损失难以估量,体现在病案等法律文书、医院运营商业秘密、医患的隐私、勒索赔付、统方犯法诸多内容,会对医院造成很大的影响,诸如不良的医疗服务、造成医疗纠纷、失去民众信任、医院声誉损害、巨额赔偿等[1]。
2风险评估
第一,风险分析与评估的结果是信息安全方面投资、决策的依据,同时也是评估投资效果的重要依据。分析与评估最重要成果就是目前风险的大小,以及相应的降低风险的安全措施部署策略建议。第二,风险评估的流程。首先是确定医院信息资产列表及信息资产价值,识别脆弱性与威胁(见表2、表3)、确定可能性与风险,建议安全防护措施等。通过评估、扫描、审计、数据与架构分析等方式,全面分析系统的现状、主机、数据库、设备、网络弱点和风险,形成《风险评估报告》[2]。
3应用根因法进行灾害脆弱性分析
主要从物理、网络、主机、应用、数据以及安全管理体系现状的分析,把把脉、找症结、解剖麻雀,见表3。
3.1信息资产确定。通过资产评估,清楚有无。
3.2物理安全现状分析。主要分析物理访问控制、介质储存的防盗窃与防破坏以及是否有防盗报警系统,有无冗余或并行的电力电缆线路的切换记录或测试演练记录以及备用供电系统的运行和维护记录。室内温度、抗磁扰、防静电等有无配套。
3.3网络、主机、应用、数据等安全现状分析。
3.3.1结构安全分析。是否按照对业务服务的重要次序来指定带宽分配优先级别以便确保结构安全,基于ip/tcp是否定点定位。防火墙是否冗余配置;数据库服务与应用服务是否分离部署等。
3.3.3安全审计分析是否对审计记录数据进行分析与生成审计报表;日志审计是否由专人负责。
3.3.4边界完整性检查网络层是否采取防止非授权设备私自联入内部网络的技术手段;闲置端口是否关闭;网络设备、安全设备和服务器不必要的设备插口有无控制;有无针对特殊端口的监控措施。
3.3.5网络设备防护检查核心交换机是否配置登录规则及对管理员登录地址进行限制,有无登录失败处理功能;核心交换机采用何种模式登录;是否实现特权用户的权限分离;核心交换机的本地默认用户名是否易猜易懂,口令有无定期更换;对同一用户是否选择两种或两种以上组合的鉴别技术来进行身份鉴别。
3.3.6主机安全现状分析。服务器操作系统有没有统一的升级管理控制系统,操作系统有没有及时更新补丁;服务器资源有没有规范访问标准;实行统一的登录账号密码管理,统一的访问控制入口;部署安全与日志审计系统,对服务器操作、日志信息进行监测和预警。
3.3.7应用安全现状分析。是否采用两种或两种以上组合的鉴别技术实现用户身份鉴别;密码长度和复杂度、重要信息资源敏感标记、应用系统设置会话超时,对有敏感标记重要信息资源的操作,日志审计功能、实现数据原发的抗抵赖、最大会话并发连接数等都必须进行部署。
此处内容需要权限查看
会员免费查看[2]朗漫芝,王晖等.医院信息系统信息安全等级保护的实施探讨[j].计算机应用与软件,2013,30(1):206-208.
[3]蒋明,吴斌.电力营销系统信息安全等级保护的研究与实践[j].电力信息化,2009,7(3):25-27.
[4]方兆玉.主动学习:建构主义教育观、学习科学和实践智慧的三螺旋结构[j].上海教育,2018(8):21-25.