随着现代科技的快速发展,我国医疗体系结构不断完善,各大、中型医院的大型贵重医疗设备、仪器的数量也不断增加,高、精、尖医疗设备已经成为医院现代化的重要标志。现实情况中,医疗放射业务系统及业务终端存在多种多样的问题,放射终端基本处于“裸奔”状态,一旦出现安全事件将导致业务瘫痪,进而造成严重影响、重大损失。
2018年至2020年,网络上爆出多家医疗集团设备有安全漏洞风险:
1、2020 年 1 月,某医疗集团的患者监护设备中发现安全漏洞,或导致 DOS 攻击和恶意软件攻击。
2、2019 年 10 月,美国食品和药物管理局警告使用 IPnet 组件的医疗设备存在大量严重漏洞,可导致黑客远程攻击。
3、2018 年 4 月,医学成像设备(MID)存在多个高危漏洞易遭受网络攻击。
高端医疗设备的使用与运维,经常需要设备厂商技术人员给予操作指导和巡检维护,当前医院更多是通过外网远程的方式进行设备的更新、维护,一旦连接外网,就存在一定的网络安全风险:
1、放射科设备由设备科进行管理,信息科无权操作,而设备科相对来说缺乏安全意识,设备容易被病毒感染,形成内部网络传播;
2、鉴于医疗设备系统特性,无法安装第三方杀毒软件,而在工作站上杀毒软件经常出现误杀情况,导致设备长期处于裸奔状态;
3、安全策略复杂,在医院往往是通过传统交换机配置ACL策略进而防止病毒扩散,但配置、使用复杂。
传统方案劣势:
传统方案普遍重出口,轻内网,主要有以下问题:
1.安全机制难以下沉:安全设备一般部署在边界、数据中心等关键位置,安全机制无法延伸至网络内部,无法实现安全机制下沉,并且无法防御新型威胁、变种病毒。
2.业务运维难以保障:网络层面无法有效识别并区分业务和威胁(病毒、攻击等)流量,安全管控策略无法进行, 运营不可视,运维难以实现。
1.安全机制难以下沉:安全设备一般部署在边界、数据中心等关键位置,安全机制无法延伸至网络内部,无法实现安全机制下沉,并且无法防御新型威胁、变种病毒。
2.业务运维难以保障:网络层面无法有效识别并区分业务和威胁(病毒、攻击等)流量,安全管控策略无法进行, 运营不可视,运维难以实现。
铭冠网安信锐东西向流量安全方案:
信锐安视网络应对变种病毒新型威胁,提出东西向流量安全方案:
1.业务黑白名单、风险端口封堵
封堵已知风险端口黑名单,从根本上杜绝风险;对于安全端口,可配置白名单,允许特定访问服务。
- 快速定位病毒
安视交换机与网络控制器联动,通过FSE流量安全引擎实时识别并定位病毒、攻击源。 - 核心业务可“带病”运行
安视交换机与网络控制器联动,只放通放射终端正常业务流量,其余流量一概阻断。当中毒终端不方便做杀毒处理时,可通过该方式满足业务的正常开展,同时避免病毒进行横向扩散。
铭冠网安信锐安视交换机守护医疗网络终端安全解决方案
1.网络安全态势分析
整体呈现安全态势,定位风险服务、风险终端、拦截情况、攻击情况等。
能够清晰展示各区域、角色之间互访情况,帮助管理员进行安全分析。
2.安全威胁精准溯源
可通过时间、事件类型、攻击者MAC、接入点、交换机等选项定向搜索详细安全事件日志。
精确到终端用户名、IP、MAC地址、交换机端口、服务类型、风险服务、 风险终端、拦截情况、攻击情况等。
信锐安视网络以安全可视、风险阻隔,深受医疗行业青睐,现已服务于河北医科大学第二医院、安徽省国际妇女儿童医学中心、上海交通大学医学院附属第九人民医院、浏阳市中医院、河南省中医院等多家医院。
